Struktura organizacyjna systemu zarządzania ryzykiem jest spójna w Grupie PZU i w poszczególnych spółkach obejmuje cztery poziomy kompetencyjne.
Trzy pierwsze to:
- Rada Nadzorcza, która sprawuje nadzór nad procesem zarządzania ryzykiem oraz ocenia adekwatność i skuteczność tego procesu w ramach decyzji określonych w statucie danej spółki i regulaminie Rady Nadzorczej;
- Zarząd, który organizuje i zapewnia działanie systemu zarządzania ryzykiem poprzez uchwalanie strategii, polityk, wyznaczanie apetytu na ryzyko, określenie profilu ryzyka i określenie tolerancji na poszczególne kategorie ryzyk;
- komitety, które podejmują decyzje dotyczące ograniczania poziomu poszczególnych ryzyk do ram wyznaczonych przez apetyt na ryzyko. Komitety przyjmują procedury i metodyki związane z ograniczaniem poszczególnych ryzyk, a także akceptują limity ograniczające poszczególne rodzaje ryzyk.
Czwarty poziom kompetencyjny dotyczy działań operacyjnych i podzielony jest pomiędzy trzy linie obrony:
- pierwsza linia obrony – obejmuje bieżące zarządzanie ryzykiem na poziomie jednostek i komórek organizacyjnych spółek oraz podejmowanie decyzji w ramach procesu zarządzania ryzykiem;
- druga linia obrony – obejmuje zarządzanie ryzykiem poprzez wyspecjalizowane komórki zajmujące się identyfikacją, pomiarem, oceną, monitorowaniem i raportowaniem ryzyka oraz kontrolą limitów;
- trzecia linia obrony – obejmuje audyt wewnętrzny, który przeprowadza niezależne audyty elementów systemu zarządzania ryzykiem oraz czynności kontrolnych wbudowanych w działalność Grupy.