E.8. Operační riziko a ostatní rizika

Operační riziko je definováno jako riziko potenciální ztráty, včetně ztrát z ušlých příležitostí vznikajících na základě nedostatečných nebo chybějících interních procesů, lidských zdrojů a systémů nebo z vnějších příčin. Do kategorie operačních rizik patří rovněž riziko nesouladu s právními předpisy (compliance risk), tedy riziko právního postihu, významných finančních ztrát či ztráty dobré pověsti v důsledku porušení zákonů a jiných právních a správních předpisů relevantních pro podnikatelskou činnost Skupiny. Za typ operačního rizika se považuje rovněž riziko související s účetním výkaznictvím, tedy riziko transakční chyby, v jejímž důsledku nejsou aktiva, závazky, zisk nebo ztráta v konsolidovaných účetních výkazech vykázány věrně a správně.

Skupina v rámci soustavného procesu probíhajícího na úrovni skupiny Generali přijala několik obecných principů a opatření pro řízení operačního rizika:

Interní zásady a provozní směrnice definující jednotný rámec řízení operačních rizik pro celou skupinu Generali;
Metodika identifikace významných rizikových událostí a vyhodnocování jejich dopadu na plnění cílů Skupiny;
Proces shromažďování informací o vzniklých provozních ztrátách; tyto informace následně slouží pro účely validace výsledků různých analýz a umožňují identifikovat zatím neznámá rizika a nedostatky v interních kontrolách;
Společné metodologie a principy pro řízení činnosti vnitřního auditu tak, aby byly identifikovány nejdůležitější procesy k auditování.

Proces řízení operačních rizik je založen především na vyhodnocování rizik v jednotlivých provozních oblastech Skupiny příslušnými odborníky a na shromažďování informací o fakticky vzniklých ztrátách. Výstupy z těchto analýz jsou pak podkladem pro cílené zavádění nových vnitřních kontrol nebo jejich modifikace a pro další opatření, jejichž cílem je udržet míru rizika v přijatelných mezích.

E.8.1. Operační systémy a řízení bezpečnosti informačních technologií (IT)

Organizace systému informačních technologií (IT) vychází z rozdělení pravomocí na útvar bezpečnosti informačních technologií a na vlastní IT provozy a vývoj IT. Pravidla stanovená mateřskou společností v oblasti řízení rizik informačních technologií a informační bezpečnosti vycházejí z pravidel a doporučení obsažených ve standardu ISO/IEC 27001:2005 Informační technologie – požadavky na systém managementu bezpečnosti informací.

E.8.2. Jiná rizika

Kromě výše zmíněných hlavních typů rizik Skupina vyhodnocuje rovněž některá další rizika. Kvantifikace těchto rizik je však obtížná, takže jejich posouzení je věcí odborného odhadu:

Riziko ztráty dobré pověsti, tj. riziko potenciálních ztrát, které by Skupině vznikly v případě, že by byla poškozena její dobrá pověst nebo pokud by Skupina či skupina Generali byly negativně vnímány klienty, obchodními partnery, akcionáři nebo orgány vykonávajícími dohled.
Strategické riziko, tj. riziko vyplývající z vnějších změn nebo interních rozhodnutí, jež by mohla mít v budoucnu dopad na rizikový profil Skupiny nebo skupiny Generali.
Riziko šíření problémů, tj. riziko, že problémy, s nimiž se potýká jedna společnost skupiny Generali, by mohly negativně ovlivnit solventnost a ekonomickou či finanční situaci ostatních společností skupiny Generali, nebo dokonce skupinu Generali jako celek.
Nová rizika, tj. rizika, která se nově objevují v důsledku změn vnitřního nebo vnějšího prostředí či společenských nebo technologických změn a která by mohla zvýšit rizikovou expozici Skupiny nebo skupiny Generali, případně si vyžádat definování nové kategorie rizik.

Vyhodnocení těchto rizik se provádí minimálně jednou ročně jako součást plánovacího procesu s cílem identifikovat potenciální rizikové faktory ohrožující splnění stanovených ekonomických cílů.