Ryzyko operacyjne to możliwość poniesienia straty wynikającej z niewłaściwych lub błędnych procesów wewnętrznych, działań ludzi, funkcjonowania systemów lub ze zdarzeń zewnętrznych.
Celem zarządzania ryzykiem operacyjnym jest optymalizacja jego poziomu i efektywności operacyjnej w działalności Grupy PZU, prowadząca do ograniczenia strat i kosztów spowodowanych materializacją tego ryzyka oraz zapewnienie adekwatnych i efektywnych mechanizmów kontrolnych. Informacje na temat poziomu ryzyka operacyjnego są okresowo przedkładane właściwym organom wewnętrznym.
Identyfikacja ryzyka operacyjnego odbywa się w szczególności poprzez:
- gromadzenie i analizę informacji o incydentach ryzyka operacyjnego oraz przyczynach ich wystąpienia;
- samoocenę ryzyka operacyjnego;
- analizy scenariuszowe.
Ocena i pomiar ryzyka operacyjnego odbywa się poprzez:
- określanie skutków wystąpienia incydentów ryzyka operacyjnego;
- szacowanie skutków wystąpienia potencjalnych incydentów ryzyka operacyjnego.
Monitorowanie i kontrolowanie ryzyka operacyjnego realizowane jest głównie poprzez ustanowiony system wskaźników ryzyka operacyjnego oraz limitów umożliwiających ocenę zmian poziomu ryzyka operacyjnego w czasie oraz czynników mających wpływ na jego poziom w działalności.
Raportowanie polega na komunikacji o poziomie ryzyka operacyjnego, efektach monitorowania i kontrolowania różnym poziomom decyzyjnym. Częstotliwość poszczególnych raportów oraz zakres informacji są dostosowane do potrzeb informacyjnych na poszczególnych poziomach decyzyjnych.
Działania zarządcze w ramach reakcji na zidentyfikowane i ocenione ryzyko operacyjne polegają w szczególności na:
- podjęciu działań mających na celu minimalizację ryzyka, między innymi poprzez wzmocnienie systemu kontroli wewnętrznej;
- transferze ryzyka – w szczególności za pomocą zawarcia umowy ubezpieczenia;
- unikaniu ryzyka poprzez niepodejmowanie lub wycofanie się z określonej działalności biznesowej w przypadku stwierdzenia zbyt wysokiego ryzyka operacyjnego, którego koszty ograniczenia są nieopłacalne;
- akceptacji ryzyka – aprobatę konsekwencji wynikających z ewentualnej materializacji ryzyka operacyjnego, jeśli nie zagraża ono przekroczeniem poziomu tolerancji na ryzyko operacyjne.
PZU wdrożył plany ciągłości działania. Przetestowano działania zabezpieczające poprawne funkcjonowanie procesów objętych Planem w przypadku wystąpienia awarii.
28 stycznia 2022 roku Sztab Kryzysowy w PZU i PZU Życie, w obliczu ataku sił zbrojnych Federacji Rosyjskiej na Ukrainę ogłosił sytuację kryzysową, w ramach której realizowane jest bieżące monitorowanie aktualnej sytuacji politycznej i rynkowej oraz wprowadzanie adekwatnych działań nakierowanych w szczególności na:
- bezpieczeństwo pracowników;
- ciągłość działania spółek oraz bezpieczeństwo aktywów finansowych Grupy PZU;
- dodatkowe środki bezpieczeństwa w obszarze cyberzagrożeń oraz bezpieczeństwa fizycznego.
PZU uruchomiło na rzecz pracowników PZU Ukraina oraz ich rodzin, ewakuowanych na teren Polski, program kompleksowej opieki zapewniającej m.in. zakwaterowanie, wyżywienie, wsparcie finansowe, pomoc medyczną i prawną oraz program aktywizacji zawodowej.
W ramach działającego przy Sztabie Kryzysowym zespołu zadaniowego prowadzony jest monitoring bieżącej sytuacji spółek ukraińskich, w tym w zakresie realizacji założeń wypracowanego przez spółki ukraińskie „Planu zarządzania w sytuacji kryzysowej”.
Realizowane są liczne inicjatywy charytatywne na rzecz Ukrainy i obywateli ukraińskich, podejmowane samodzielnie i we współpracy z organami administracji państwowej oraz podmiotami Grupy PZU.
Wprowadzono dodatkowe środki bezpieczeństwa cybernetycznego, mitygujące ryzyka o wzrastającym prawdopodobieństwie materializacji. Realizowany jest bieżący, całodobowy monitoring anomalii w obszarze cyberzagrożeń obejmujący zasięgiem także podmioty zależne. W związku z wprowadzeniem na terenie całego kraju trzeciego stopnia alarmowego CRP (CHARLIE-CRP) oraz drugiego stopnia alarmowego (BRAVO), nieprzerwanie od lutego 2022 roku utrzymywany jest podwyższony stan gotowości obszarów bezpieczeństwa fizycznego oraz cybernetycznego.
Sztab Kryzysowy pozostaje także w gotowości do podjęcia działań związanych ze stanem zagrożenia epidemicznego.