Ryzyka i Szanse

Strategia zarządzania ryzykiem

GRI G4-2

Proces zarządzania ryzykiem przenika przez cała organizację i każdy, w miarę swoich możliwości zarządza ryzykiem. Poszczególne role jednak zmieniają się wraz z hierarchią w Spółce.

Komitet Audytu Rady Nadzorczej (KARN). Jest to komitet Rady Nadzorczej PKP CARGO, którego podstawowym zadaniem jest badanie prawidłowości i efektywności wykonywania wewnętrznych kontroli finansowych w Spółce i Grupie Kapitałowej Spółki, a także monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem. Komitet Audytu Rady Nadzorczej dokonuje oceny systemu zarządzania ryzykiem.

Zarząd PKP CARGO S.A. odpowiada za zarządzanie ryzykiem w oparciu o przyjęta Strategię, a przede wszystkim wyznacza kierunki rozwoju Spółki oraz podejmuje decyzje dotyczące planów postępowania z ryzykiem.

Właściciel ryzyka. Dyrektor Zakładu bądź Biura Centrali Spółki, odpowiedzialny za zarzadzanie ryzykiem w podlegającym mu obszarze. Jego odpowiedzialnością jest zidentyfikowanie ryzyk pojawiających się w jego działalności, przeanalizowanie ich i dokonanie oceny, a następnie porównanie z oczekiwanym wynikami. W zależności od uzyskanych wyników porównania, podejmowane są różne działania zmierzające bądź do zachowania status quo bądź do zmniejszenia poziomu ryzyka.

Pracownicy PKP CARGO SA są zobowiązani do przestrzegania postanowień Polityki w zakresie swoich kompetencji.

W Polityce wyznaczony został Lider Ryzyka – osoba, której zadaniem jest koordynowanie wszystkich spraw związanych z zarządzaniem ryzykiem. Gromadzenie informacji, ich analiza i raportowanie Zarządowi i Komitetowi Audytu Rady Nadzorczej. Każdy podmiot ma inne zadania. Ryzykiem w organizacji zarządzają wszyscy pracownicy.

Zarządzanie ryzykiem

Walidacja ryzyka

Ryzyka, które z punktu widzenia kierownictwa Spółki są szczególnie istotne, poddane zostały szczególnemu monitoringowi. W odniesieniu do ryzyk wskazanych przez Członków Zarządu zaprojektowane zostały wskaźniki, które obrazują poziom ryzyka. Obecnie monitorowanych jest 26 wskaźników. Raz w miesiącu Zarząd PKP CARGO otrzymuje raport, w którym wskazane są poziomy wskaźników (neutralny, alarmowy i katastroficzny), tendencja panująca w danym wskaźniku oraz informacja na temat przyczyn zaistniałych odchyleń oraz działań podejmowanych przez właścicieli ryzyka w związku z odchyleniami.

Wskaźniki w większości przypadków mają charakter ilościowy i przedstawiają informację, która jest weryfikowalna i bez ponoszenia nadmiernych kosztów wygenerowana z systemów informatycznych PKP CARGO S.A.

Zarząd PKP CARGO ma możliwość zmiany monitorowanych wskaźników w zależności od swoich potrzeb informacyjnych.

Przebieg procesu

Polityka została opracowana w oparciu o postanowienia normy ISO 31000 ‘Zarządzanie ryzykiem”.

Proces oceny ryzyka odbywa się co najmniej raz w roku, w ramach prowadzonej samooceny. W jej trakcie właściciele ryzyk identyfikują ryzyka w swoim obszarze oraz aktywa informacyjne, w odniesieniu do ryzyk związanych z bezpieczeństwem informacji oraz planują działania zmierzające do obniżenia poziomu ryzyka w przypadku, gdy poziom ryzyka jest nieakceptowalny. W przypadku, gdy zaistnieją okoliczności istotnie wpływające na poziom ryzyka, właściciel ryzyka powinien dokonać samooceny przed upływem roku.

Proces oceny odbywa się w trzech etapach: rozpoczyna się identyfikacją ryzyka, następnie ryzyko jest analizowane, a otrzymane wyniki porównywane są z oczekiwaniami i od tego zależy dalsze postępowanie z ryzykiem. Ryzyko może zostać zaakceptowane lub właściciel ryzyka przygotowuje Plan postępowania z ryzykiem.

W odniesieniu do ryzyk związanych z bezpieczeństwem informacji, w odniesieniu do aktywów, które zostały przez właścicieli uznane za krytyczne tworzy się Plany ciągłości działania. Właściciel aktywa jest odpowiedzialny za utrzymanie, aktualizację i testowanie Planu.

Cykliczność procesu zakłada jego ciągłe zmiany mające na celu doskonalenie.

Ewaluacja ryzyka

  • Porównanie wyników analizy z kryteriami ryzyka w celu stwierdzenia, czy poziom ryzyka jest akceptowalny
  • Ryzyko jest na poziomie neutralnym: akceptujemy je, regularnie, ale niezbyt często monitorujemy
  • Ryzyko jest na poziomie alarmowym lub katastroficznym: wypełniamy dokument „Plan postępowania z ryzykiem”.

Właściciel ryzyka podejmuje decyzję o podjęciu działań zmierzających do obniżenia poziomu ryzyka lub o niepodejmowaniu żadnych działań.