Struktura zarządzania ryzykiem oparta jest na czterech poziomach kompetencyjnych. Trzy pierwsze poziomy obejmują:
- Rady Nadzorcze, które sprawują nadzór nad procesem zarządzania ryzykiem oraz oceniają adekwatność i skuteczność tego procesu w ramach decyzji określonych w statutach PZU i PZU Życie i regulaminach Rad Nadzorczych;
- Zarządy, który organizują i zapewniają działanie systemu zarządzania ryzykiem poprzez przyjęcie strategii, polityk, wyznaczanie apetytu na ryzyko, określenie profilu ryzyka i tolerancji na poszczególne kategorie ryzyk;
- Komitety (KZAP i KRK), które podejmują decyzje dotyczące ograniczania poziomu poszczególnych ryzyk do ram wyznaczanych przez apetyt na ryzyko. Komitety przyjmują procedury i metodyki związane z ograniczaniem poszczególnych ryzyk, a także akceptują limity dla poszczególnych rodzajów ryzyk.
Czwarty poziom kompetencyjny dotyczy poziomu operacyjnego, w którym zadania związane z procesem zarządzania ryzykiem podzielone są pomiędzy trzy linie obrony:
- Pierwsza linia obrony obejmuje bieżące zarządzanie ryzykiem na poziomie jednostek i komórek organizacyjnych oraz podejmowanie decyzji w ramach procesu zarządzania ryzykiem. Kadra zarządzająca odpowiada za wdrożenie skutecznego systemu zarządzania ryzykiem w nadzorowanym obszarze, w szczególności za zaprojektowanie i efektywne funkcjonowanie działań identyfikujących i monitorujących jako integralnych składników realizowanych procesów, zapewniających właściwą reakcję na występujące ryzyka.
- Druga linia obrony obejmuje zarządzanie ryzykiem poprzez wyspecjalizowane komórki zajmujące się identyfikacją, monitorowaniem i raportowaniem o ryzyku oraz kontrolą limitów.
- Trzecia linia obrony obejmuje audyt wewnętrzny, który przeprowadza niezależne kontrole elementów systemu zarządzania ryzykiem oraz czynności kontrolne wbudowane w działalność Grupy PZU.