Proces zarządzania ryzykiem (proces identyfikacji, pomiaru, oceny, monitorowania i raportowania ryzyka, jak również proces podejmowania działań zarządczych) objęty jest systemem kontroli wewnętrznej, który zapewnia zgodność procesu z regulacjami wewnętrznymi i zewnętrznymi oraz zapewnia jego stałe usprawnianie i adekwatność względem profilu działalności.
Identyfikacja
Proces identyfikacji ryzyka rozpoczyna się wraz z propozycją rozpoczęcia tworzenia produktu ubezpieczeniowego, nabycia instrumentu finansowego, zmiany procesu operacyjnego, a także z chwilą zajścia każdego innego zdarzenia potencjalnie wpływającego na powstanie ryzyka i towarzyszy mu, aż do momentu wygaśnięcia zobowiązań, należności lub działań z nimi związanych.
Identyfikacja ryzyka polega na rozpoznaniu rzeczywistych i potencjalnych źródeł ryzyka oraz oszacowaniu istotności potencjalnego wpływu tego rodzaju ryzyka na sytuację finansową.
Pomiar
Wszystkie ryzyka z katalogu ryzyk analizowane są pod kątem istotności. Każde ryzyko uznane za istotne podlega pomiarowi obejmującemu definiowanie miar ryzyka adekwatnego do rodzaju, istotności ryzyka i dostępności danych. Pomiar ryzyka jest przeprowadzany przez wyspecjalizowane jednostki, przy czym za rozwój narzędzi oraz za pomiar ryzyka w zakresie określającym apetyt na ryzyko, profil ryzyka i limity ryzyka odpowiada Biuro Ryzyka („BRY”).
Ocena ryzyka
Całościowa ocena ryzyka odzwierciedlona jest na mapie ryzyka przygotowanej przez BRY i stanowiącej usystematyzowaną wizualizację poziomów narażenia na ryzyko.
Monitorowanie
Monitorowanie i kontrola ryzyka polega na bieżącym przeglądzie przez dedykowane jednostki odchyleń realizacji od założonych punktów odniesienia, tj. limitów, wartości progowych, planów, wartości z poprzedniego okresu, wydanych rekomendacji i zaleceń. W procesie monitorowania dokonywany jest również pomiar ryzyka poprzez kalkulację i analizę ryzyka.
Raportowanie
Raportowanie jest procesem pozwalającym na efektywną komunikację o ryzyku i wspierającym zarządzanie ryzykiem na różnych poziomach decyzyjnych od pracownika do Rady Nadzorczej. Członkowie Zarządu nadzorujący poszczególne linie biznesowe otrzymują bieżące raporty (dzienne / tygodniowe) o zmianach w poszczególnych obszarach wpływających na poziom ryzyka oraz o stopniu wykorzystania limitów ograniczających ryzyko rynkowe.
Poszczególne organy otrzymują następujące informacje w zakresie ryzyka:
- Zarząd – kwartalną i miesięczną informację na temat poziomu ryzyka ubezpieczeniowego, rynkowego, kredytowego, koncentracji i operacyjnego;
- Członkowie KZAP – tygodniową informację o poziomie ryzyka rynkowego oraz bieżącą informację o przekroczeniu limitów rynkowych;
- Członkowie KRK – tygodniową i miesięczną informację o poziomie ryzyka rynkowego, kredytowego i koncentracji oraz bieżącą informację o przekroczeniu limitów rynkowych, kredytowych i koncentracji.
Rada Nadzorcza otrzymuje kwartalną informację o kluczowych wskaźnikach ryzyka ubezpieczeniowego, rynkowego, kredytowego, koncentracji i operacyjnego.
Działania zarządcze
Działania zarządcze dotyczące poszczególnych kategorii ryzyka określone są w regulacjach wewnętrznych. W zależności od rodzaju i charakterystyki ryzyka, działania te mogą obejmować w szczególności: unikanie ryzyka, transfer ryzyka, ograniczanie ryzyka, akceptację poziomu ryzyka oraz narzędzia wpierające te działania, tj. limity, programy reasekuracyjne oraz przeglądy polityki underwritingowej.