Organizując proces zarządzania ryzykiem operacyjnym, mBank kieruje się zasadami i wymaganiami zawartymi w regulacjach zewnętrznych, w szczególności Rekomendacjach M, H i D, wydanych przez KNF, Rozporządzeniu CRR oraz Rozporządzeniu Ministra Finansów i Rozwoju (w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach), które stanowią punkt wyjścia dla ram systemu kontroli i zarządzania ryzykiem operacyjnym w Grupie mBanku.
W celu skutecznego zarządzania ryzykiem operacyjnym bank stosuje metody oraz narzędzia ilościowe i jakościowe, które zmierzają do ukierunkowanego na przyczynę zarządzania tym ryzykiem.
Podstawowym narzędziem jakościowym jest Samoocena Efektywności Zarządzania Ryzykiem Operacyjnym, która jest wykonywana przez jednostki organizacyjne banku i spółki Grupy. Proces Samooceny ma na celu zapewnienie komunikacji o konieczności zmian i usprawnień procesów kontrolnych, a tym samym bardziej aktywne podejście do zarządzania ryzykiem operacyjnym oraz zwiększenie świadomości ryzyka operacyjnego w Grupie mBanku. Efektem końcowym Samooceny jest ocena ryzyk, mechanizmów kontrolnych i niezależnych monitorowań mechanizmów kontrolnych oraz stworzenie planów naprawczych nakierowanych na zmianę struktury lub optymalizację mechanizmów kontrolnych i ich niezależnych monitorowań.
Bank przygotowuje także analizy scenariuszowe, które opisują ryzyka związane z występowaniem rzadkich, ale potencjalnie bardzo poważnych w skutkach zdarzeń ryzyka operacyjnego.
W banku, zgodnie z wymogami Rekomendacji M, funkcjonuje proces identyfikacji zagrożeń związanych z ryzykiem operacyjnym dla wszystkich istotnych obszarów działalności banku oraz tworzenia nowych i modyfikacji istniejących produktów, procesów i systemów, a także dla zmian struktury organizacyjnej.
Do ilościowych narzędzi należy przede wszystkim zbieranie danych o zdarzeniach i efektach operacyjnych. Przy zastosowaniu dostępnej w ramach Grupy mBanku bazy danych, informacje o stratach wynikających z ryzyka operacyjnego są ewidencjonowane z ukierunkowaniem na przyczynę ich powstania. Analiza zaewidencjonowanych danych odbywa się w Departamencie Zarządzania Zintegrowanym Ryzykiem oraz w jednostkach organizacyjnych. Podejście to umożliwia jednostkom organizacyjnym bieżącą analizę ich profilu ryzyka. mBank korzysta także z dostępu do zewnętrznych baz danych o stratach operacyjnych i wykorzystuje je do analizy ryzyka operacyjnego i potencjalnych zagrożeń, na które narażone są instytucje działające w sektorze finansowym.
Kolejnym narzędziem są kluczowe czynniki ryzyka (KRI). Bieżące monitorowanie czynników ryzyka, uznawanych w danym momencie za kluczowe, umożliwia przewidywanie z pewnym wyprzedzeniem występowania zwiększonego poziomu ryzyka operacyjnego i odpowiednie reagowanie przez jednostki organizacyjne w celu uniknięcia powstawania zdarzeń i strat operacyjnych.
Grupa mBanku poprzez narzędzia ryzyka operacyjnego monitoruje procesy funkcjonujące w czasie pandemii oraz definiuje plany naprawcze, mające na celu udoskonalenie metod pracy wykonywanych przez pracowników w trybie pracy zdalnej.
Organizacja systemu kontroli i zarządzania ryzykiem operacyjnym ma na celu umożliwienie efektywnej kontroli oraz zarządzania tym ryzykiem na wszystkich poziomach struktury organizacyjnej banku. Struktura kontroli i zarządzania ryzykiem operacyjnym obejmuje w szczególności rolę Zarządu banku, Forum Biznesu i Ryzyka, Wiceprezesa Zarządu ds. Zarządzania Ryzykiem, Departamentu Zarządzania Zintegrowanym Ryzykiem oraz zadania osób zarządzających ryzykiem operacyjnym w poszczególnych jednostkach organizacyjnych i obszarach biznesowych banku. Przygotowanie i koordynacja procesu kontroli i zarządzania ryzykiem operacyjnym w banku są skupione w centralnej funkcji kontroli ryzyka operacyjnego, podczas gdy zarządzanie ryzykiem operacyjnym odbywa się w każdej jednostce organizacyjnej banku i w każdej ze spółek Grupy. Polega ono na identyfikacji i monitorowaniu ryzyka operacyjnego oraz podejmowaniu działań służących jego unikaniu, ograniczaniu lub transferze. Nadzór nad procesem kontroli ryzyka operacyjnego sprawuje Rada Nadzorcza banku przez Komisję ds. Ryzyka.