Ryzyko jest stale częścią ludzkiego życia i nie dotyczy tylko i wyłącznie przedsiębiorców. Każdy człowiek podejmując jakąkolwiek istotną decyzję zawsze ryzykuje, że decyzja ta nie będzie właściwa i może wiązać się z pewnymi negatywnymi konsekwencjami – dzieje się tak zarówno w kwestii zarządzania budżetem domowym (np. w związku z doborem odpowiednich materiałów podczas remontu), jak i w przypadku innych życiowych decyzji (np. wybór uczelni na studia wyższe czy kierunku dalszej edukacji).
W internetowej Encyklopedii Zarządzania ryzyko definiuje się jako „prawdopodobieństwo, że podmiot gospodarczy poniesie straty w następstwie podjęcia danej decyzji ekonomicznej” . W literaturze przedmiotu podkreśla się, że mimo iż definicje ryzyka są zasadniczo podobne, to pojęcie nadal jest niezwykle złożone, więc jego jednoznacznie, krótkie opisanie jest właściwie niemożliwe. Z tego względu różni autorzy różnie je definiują. K. Brzozowska określa ryzyko jako „prawdopodobieństwo, że negatywne zdarzenie może wystąpić lub istnieje możliwość wystąpienia negatywnego efektu pewnych działań niezgodnych z oczekiwaniami przedsiębiorcy czy inwestora” .
Niekiedy podejmuje się ryzykowne decyzje, które potencjalnie mogą wiązać się ze stratami, jednakże konieczne jest właściwe wyważenie tychże strat i opracowanie takiego planu, który nawet w przypadku strat będzie akceptowalny. Proces ten określany jest w literaturze przedmiotu terminem „zarządzanie ryzykiem”. Jest to po prostu „proces realizowany zarówno przez kierownictwo jednostki, jak i jej pracowników, uwzględniony w strategii działania i dotyczący całej jednostki. Celem zarządzania ryzykiem jest identyfikacja potencjalnych zdarzeń, które mogą wywrzeć wpływ na jednostkę (realizację jej celów), utrzymanie ryzyka w ustalonych granicach oraz rozsądne, a więc nie dające 100% gwarancji, zapewnienie realizacji celów organizacji”.
Ryzyko finansowe dzielone jest w ramach literatury przedmiotu na szereg różnego rodzaju kategorii. Pierwszą kategorią jest ryzyko rynkowe, którego definiowanie ogranicza się zazwyczaj do odniesienia się do zmian cen na rynkach finansowych i na innych rynkach związanych z nimi. Wyróżnia się przy tym 5 głównych kategorii istotnych dla ryzyka rynkowego i są to: ryzyko kursu walutowego; ryzyko stopy procentowej; ryzyko cen akcji; ryzyko cen towarów oraz ryzyko cen nieruchomości. Drugą kategorią wyróżnianą w ramach ryzyka finansowego jest ryzyko operacyjne, które jest spowodowane niewłaściwym działaniem procesów wewnętrznych, systemów oraz zdarzeń zewnętrznych. Ryzyko płynności z kolei to ryzyko związane z możliwością regulowania zobowiązań w terminie lub z możliwością zamknięcia pozycji na rynku finansowym po spodziewanej cenie. Ryzyko prawne związane jest ze zmianą przepisów prawnych w trakcie trwania kontraktu lub z nieprawidłowym czy też niewłaściwie prowadzonej lub niekompletnej dokumentacji. W przypadku ryzyka biznesu chodzi przede wszystkim o ryzyko spowodowane zmianami warunków ekonomicznych prowadzenia działalności gospodarczej (co jest powiązane mocno ze zmianami prawnymi w danym państwie). Ryzyko wydarzeń obejmuje wystąpienie nietypowych wydarzeń, które rozumiane są jako działanie swego rodzaju siły wyższej (np. wybuch pożaru, trzęsienie ziemi, epidemia czy inne zdarzenia na dużą skalę o podobnym charakterze). Ostatnią kategorią ryzyka jest ryzyko kredytowe – ryzyko wynikające z możliwości niedotrzymania warunków kontraktu przez jedną ze stron. Rozróżnia się 2 kryteria różnicowania ryzyka kredytowego: wywiązanie się z warunków umowy oraz charakter drugiej strony kontraktu. Według pierwszego kryterium jest to ryzyko: niedotrzymania warunków umowy, wiarygodności kredytowej. Według drugiego kryterium jest to ryzyko kredytobiorcy lub emitenta oraz ryzyko banku lub innego wierzyciela.
W przypadku instytucji jaką jest bank, niektóre elementy ryzyka finansowego są szczególnie istotne, a tyczy się to przede wszystkim działalności statutowej banku jako organizacji, która w dużej mierze opiera się na udzielaniu kredytów, gdzie jedną z podstawowych kategorii ryzyka finansowego jest właśnie ryzyko kredytowe związane z niewypłacalnością kredytobiorców. Generalnie jednak w literaturze przedmiotu wyróżnia się szereg innych istotnych aspektów, które wiążą się z ryzykiem w przypadku zarządzania bankiem. Chodzi tu przede wszystkim o ryzyko operacyjne, a konkretnie o ryzyko informatyczne, czyli wydarzenie, które uderzy w słaby segment systemu informatycznego. Banki jako instytucje, które zarządzają nie tylko ogromną ilością środków finansowych, ale także (co prawdopodobnie w obecnych czasach jest jeszcze ważniejsze) ogromną ilością kluczowych danych osobowych, są szczególnie narażone na ataki hakerskie, dlatego też muszą posiadać szczególnie wydajną i absolutnie skuteczną sieć zabezpieczeń w celu uchronienia się przed podobnymi praktykami.
Ryzyko kredytowe wciąż jest jednak największym ryzykiem związanym z działalnością banku jako instytucji finansowej. W literaturze przedmiotu nie ma jednoznacznej definicji tego zjawiska, jednakże ogólnie autorzy w zakresie wyjaśniania tego pojęcia odnoszą się w zasadzie do tych samych aspektów. Ryzyko kredytowe sprowadza się bowiem do tego, że kredytobiorca może potencjalnie nie zdołać spłacić zobowiązania, które zaciągnął, co w konsekwencji będzie powodowało straty, ponieważ do momentu ściągnięcia zobowiązania za pomocą instytucji wymiaru sprawiedliwości, straty będą wpływać na funkcjonowanie całej organizacji. Jednocześnie należy zwrócić uwagę na fakt, iż nawet ściągnięcie zobowiązania z klienta w przypadku niespłacenia kredytu nie zawsze będzie miało finansowy charakter. Bank może bowiem pozyskać w wyniku działalności komorniczej własność nieruchomą (jak np. domy, mieszkania itd.), czego nie będzie łatwo w niektórych przypadkach szybko upłynnić.
Samo ryzyko kredytowe, będące częścią szeroko pojętego ryzyka finansowego, dzielone jest na dwie kategorie. Pierwszą z nich jest ryzyko aktywne, nazywane także czynnym, które rozumiane jest jako „zagrożenie spłaty kredytu przez kredytobiorcę zgodnie z ustalonym terminem zawartym w umowie kredytowej, co w konsekwencji może skutkować utratą płynności przez bank. Cechą tego typu ryzyka jest to, że w głównej mierze jest ono zdeterminowane przez bank, jednak pewna część tego ryzyka ma charakter od niego niezależny przez co nie można go w pełni kontrolować”. Drugą kategorią jest ryzyko pasywne, zwane również biernym, które dotyczy wcześniejszego niż przewiduje umowa wycofania środków finansowych przez dysponenta (mogą nim być np. gospodarstwa domowe, przedsiębiorstwa czy jednostki samorządowe), a także groźba nieuzyskania kredytu refinansowego od zewnętrznych instytucji finansowych. W tej sytuacji bank jest stroną bierną, która praktycznie nie ma wpływu na tego rodzaju ryzyko .
Bank PKO BP stawia duży nacisk na zarządzanie ryzykiem i dbanie o to, by ryzyko nie wymknęło się spod kontroli. Z tego też względu co roku powstają raporty, które dotyczą właśnie kwestii zarządzania ryzykiem, co stanowi podsumowanie całego rozbudowanego systemu zarządzania ryzykiem. Główny cel działań w tym zakresie jest „zapewnienie odpowiedniego zarządzania wszystkimi rodzajami ryzyka związanymi z prowadzoną działalnością. Grupa zarządza ryzykiem przez identyfikację, pomiar i ocenę, kontrolę, prognozowanie i monitorowanie ryzyka, raportowanie oraz działania zarządcze”. Zarządzanie ryzykiem to zadanie, którym zajmuje się szereg instytucji w ramach całej organizacji – zarówno tych wyższego szczebla, jak i tych na niższym poziomie. Kluczowe instytucje wyższe to Rada Nadzorcza, Departament Audytu Wewnętrznego, Zarząd oraz Komitety niższego poziomu. Zarządzanie ryzykiem to zatem zadanie, które nie spoczywa wyłącznie na barkach wydzielonego pionu, lecz w które angażują się wszystkie instytucje zarządzające firmą (poczynając od Zarządu i Rady Nadzorczej).
Na stronach internetowych PKO BP wszystkie poszczególne aspekty zarządzania ryzykiem (wymienione wyżej w ramach kategoryzacji ryzyka finansowego) w ramach poszczególnych raportów. W firmie zarządzanie ryzykiem ma bowiem charakter całościowy – firma zajmuje się zarządzaniem ryzykiem we wszystkich jego aspektach. Mimo że system zarządzania ryzykiem jest w jakimś sensie sprzężony z innymi działaniami prowadzonymi w PKO BP, choć jednocześnie zaznacza się, że instytucje związane z zarządzaniem ryzykiem posiadają pewną odrębność instytucjonalną, a zatem działają w jakimś sensie na własną rękę, mogąc skupiać się wyłącznie na przeznaczonych im zadaniach. Podmioty te zajmują się przede wszystkim pomiarem i oceną ryzyka, kontrolą ryzyka, prognozowaniem i monitorowaniem ryzyka, raportowaniem ryzyka oraz działaniem zarządczym w celu ograniczenia ryzyka albo raczej w celu zmniejszenia potencjalnych strat, jakie ryzyko może powodować.
W przypadku zarządzania ryzykiem płynności, podstawowym celem PKO BP jest przede wszystkim „zapewnienie niezbędnej wysokości środków finansowych koniecznych do wywiązywania się z bieżących i przyszłych (również potencjalnych) zobowiązań z uwzględnieniem charakteru prowadzonej działalności oraz potrzeb mogących się pojawić w wyniku zmian otoczenia rynkowego poprzez odpowiednie kształtowanie struktury aktywów i zobowiązań, w tym pozabilansowych”. Oznacza to ni mniej ni więcej, że podstawowe zasady zarządzania płynnością kapitałową w PKO BP nie różnią się właściwie niczym w swoich teoretycznych założeniach od zarządzania płynnością kapitałową w jakiejkolwiek innej firmie. Chodzi jedynie o utrzymanie takiego stanu finansów, by zaspokajać wszystkie aktualne potrzeby firmy oraz posiadać zabezpieczenie na wypadek zmian otoczenia, które mogą wiązać się z pojawieniem się pewnych dodatkowych kosztów operacyjnych. Istotne jest zatem w tym wypadku posiadanie odpowiednich rezerw finansowych i środków zabezpieczających przed kryzysem finansowym.
Zarządzanie ryzykiem operacyjnym w PKO BP opiera się przede wszystkim na gromadzeniu danych o ryzyku operacyjnym (zarówno danych wewnętrznych, jak i zewnętrznych) i samoocenie ryzyka operacyjnego. Dane te dotyczą przede wszystkim otoczenia biznesowego firmy, które w zestawieniu z oceną sytuacji wewnętrznej pozwolą na wyciągnięcie pewnych wniosków w zakresie ryzyka operacyjnego. Samoocena ryzyka operacyjnego z kolei obejmuje identyfikację i ocenę ryzyka operacyjnego dla produktów, procesów i aplikacji banku oraz zmian organizacyjnych i jest przeprowadzana cyklicznie oraz przed wprowadzaniem nowych lub zmienianych produktów, procesów i aplikacji banku w celu zaplanowania właściwego planu wdrażania nowych technologii czy rozwiązań procesowych. Zarządzanie ryzykiem operacyjnym dotyczy w dużej mierze zarządzania personelem w czasie rzeczywistym, ale także formułowaniem pewnych konkretnych strategicznych planów działania dotyczących pewnych losowych zdarzeń operacyjnych i ich skutków. Zwalczanie ryzyka w tym zakresie prowadzone jest na trzech stopniach. Pierwszym z nich jest redukcja ryzyka, czyli łagodzenie wpływu czynników ryzyka lub skutków jego materializacji przez wprowadzenie lub wzmocnienie różnego rodzaju instrumentów zarządzania ryzykiem operacyjnym takich jak: instrumenty kontrolne, instrumenty zarządzania zasobami ludzkimi, ustalenie lub weryfikacja wartości progowych i krytycznych wskaźników ryzyka operacyjnego, ustalenie lub weryfikacja limitów ryzyka operacyjnego i plany awaryjne; transfer ryzyka, czyli przeniesienie odpowiedzialności za pokrycie ewentualnych strat na podmiot zewnętrzny: ubezpieczenia i outsourcing; unikanie ryzyka.
Zarządzanie ryzykiem walutowym wiąże się bezpośrednio ze zmianami kursu walut i dla banku jest równie istotnym czynnikiem ryzyka, jak wspomniane wyżej ryzyko kredytowe. Celem zarządzania ryzykiem w tym wypadku jest oczywiście ograniczenie strat wynikających z wciąż zmieniających się kursów walut, zaś jego zwalczanie opiera się na podobnych zasadach, co w przypadku wymienionych wyżej innych kategorii ryzyka. Główną metodą redukowania strat w tym zakresie jest opracowanie właściwych procedur, które będą pozwalały na zachowanie odpowiednich rezerw finansowych, które z kolei pozwolą na zachowanie płynności finansowej nawet w przypadku wytępianie swoistego kryzysu walutowego. Poza tym istotne jest określenie dopuszczalnych typów transakcji walutowych oraz stosowanych w tych transakcjach kursów walutowych. Pomocne w wyliczaniu właściwych proporcji strat, jakie można ponieść w zakresie ryzyka walutowego jest określenie potencjalnej wartości strat, jakie mogą wystąpić w warunkach rynkowych w określonym czasie (tzw. horyzoncie) oraz z założonym poziomem prawdopodobieństwa z tytułu zmian kursów walutowych. Wówczas wykonuje się tzw. stres testy, które mają za zadanie określić szacunkowe straty w przypadku zaistnienia na rynku walutowym gwałtownych zmian. Przeprowadzenie takich testów ma za zadanie nie tylko wskazać, jakie potencjalnie sytuacje mogą wystąpić w przypadku kryzysu, ale przede wszystkim przygotować organizację na wystąpienie faktycznego kryzysu. Wówczas PKO BP powinno posiadać ściśle określony plan działania, który pozwoli bankowi przetrwać kryzys i ograniczyć przy tym straty do minimum .
Najważniejszym elementem zarządzania ryzykiem w banku PKO BP, jak i we wszystkich instytucjach bankowych w ogóle, jest przede wszystkim zarządzanie ryzykiem kredytowym, jako że banki to instytucje opierające swą działalność w dużej mierze właśnie na udzielaniu pożyczek (oraz na depozytach i szeregach innych funkcji). Celem zarządzania ryzykiem kredytowym jest ograniczenie strat na portfelu kredytowym oraz minimalizacja ryzyka wystąpienia ekspozycji kredytowych zagrożonych utratą wartości, przy zachowaniu oczekiwanego poziomu dochodowości i wartości portfela kredytowego. Bank posiada przy tym bogate doświadczenie w zakresie zapewniania sobie bezpieczeństwa kredytowego, dlatego też ma już konkretnie opracowany plan działania w zakresie minimalizacji ryzyka. Stosuje się w tym zakresie następujące zasady: transakcja kredytowa wymaga wszechstronnej oceny ryzyka kredytowego, której wyrazem jest rating wewnętrzny lub ocena scoringowa; pomiar ryzyka kredytowego transakcji kredytowych dokonywany jest na etapie rozpatrywania wniosku o udzielenie transakcji i cyklicznie w ramach monitorowania z uwzględnieniem zmieniających się warunków zewnętrznych oraz zmian sytuacji finansowej kredytobiorców; ocena ryzyka kredytowego ekspozycji jest oddzielona od funkcji sprzedaży poprzez zapewnienie właściwej struktury organizacyjnej, niezależności budowy i walidacji narzędzi wspierających ocenę ryzyka kredytowego oraz niezależność decyzji akceptujących odstępstwa od wskazań tych narzędzi; oferowane klientowi warunki transakcji kredytowej zależą od oceny poziomu ryzyka kredytowego generowanego przez tę transakcję.