E.8. Operační riziko a ostatní rizika

Operační riziko je definováno jako riziko potenciální ztráty vznikající na základě nedostatečných nebo chybějících interních procesů, lidských zdrojů a systémů nebo z vnějších příčin. Do kategorie operačních rizik patří rovněž riziko nesouladu s právními předpisy (compliance risk) a riziko související s účetním výkaznictvím. Riziko nesouladu s právními předpisy (compliance risk) je riziko právního postihu, významných finančních ztrát či ztráty dobré pověsti v důsledku porušení zákonů a jiných právních a správních předpisů relevantních pro podnikatelskou činnost Společnosti. Za typ operačního rizika se považuje rovněž riziko související s účetním výkaznictvím, tedy riziko transakční chyby, v jejímž důsledku nejsou aktiva, závazky, zisk nebo ztráta v účetních výkazech Společnosti vykázány věrně a správně.

Společnost v rámci soustavného procesu probíhajícího na úrovni Skupiny Generali přijala několik obecných principů a opatření pro řízení operačního rizika:

Interní zásady a provozní směrnice definující jednotný rámec řízení operačních rizik pro celou Skupinu Generali;
Metodika identifikace významných rizikových událostí a vyhodnocování jejich dopadu na plnění cílů Společnosti;
Proces shromažďování informací o vzniklých provozních ztrátách; tyto informace následně slouží pro účely validace výsledků různých analýz a umožňují identifikovat zatím neznámá rizika a nedostatky v interních kontrolách;
Společné metodologie a principy pro řízení činnosti vnitřního auditu tak, aby byly identifikovány nejdůležitější procesy k auditování.

Proces řízení operačních rizik je založen především na vyhodnocování rizik v jednotlivých provozních oblastech Společnosti příslušnými odborníky a na shromažďování informací o fakticky vzniklých ztrátách. Výstupy z těchto analýz jsou pak podkladem pro cílené zavádění nových vnitřních kontrol nebo jejich modifikace a pro další opatření, jejichž cílem je udržet míru rizika v přijatelných mezích.

E.8.1. Operační systémy a řízení bezpečnosti informačních technologií (IT)

Základním principem organizace systému informačních technologií (IT) je oddělení útvaru bezpečnosti IT od vlastního provozu IT i od vývoje IT. Pravidla stanovená Společností v oblasti řízení rizik informačních technologií a informační bezpečnosti vycházejí z pravidel a doporučení obsažených ve standardu ISO/IEC 27001:2013 Informační technologie – požadavky na systém managementu bezpečnosti informací a rovněž z interních směrnic a zásad stanovených útvarem IT rizik a bezpečnosti (IT Risk and Security) skupiny Generali.

E.8.2. Jiná rizika

Kromě výše zmíněných hlavních typů rizik Společnost vyhodnocuje rovněž některá další rizika. Kvantifikace těchto rizik je však obtížná, takže jejich posouzení je věcí odborného odhadu:

Riziko ztráty dobré pověsti, tj. riziko potenciálních ztrát, které by Společnosti vznikly v případě, že by byla poškozena její dobrá pověst nebo pokud by Společnost či Skupina Generali byly negativně vnímány klienty, obchodními partnery, akcionáři nebo orgány vykonávajícími dohled.
Strategické riziko, tj. riziko vyplývající z vnějších změn nebo interních rozhodnutí, jež by mohla mít v budoucnu dopad na rizikový profil Společnosti nebo Skupiny Generali.
Riziko šíření problémů, tj. riziko, že problémy, s nimiž se potýká jedna společnost Skupiny Generali, by mohly negativně ovlivnit solventnost a ekonomickou či finanční situaci ostatních společností Skupiny Generali, nebo dokonce Skupinu Generali jako celek.
Nová rizika, tj. rizika, která se nově objevují v důsledku změn vnitřního nebo vnějšího prostředí či společenských nebo technologických změn a která by mohla zvýšit rizikovou expozici Společnosti nebo Skupiny Generali, případně si vyžádat definování nové kategorie rizik.

Vyhodnocení těchto rizik se provádí minimálně jednou ročně jako součást plánovacího procesu s cílem identifikovat potenciální rizikové faktory ohrožující splnění stanovených ekonomických cílů.