Bezpieczeństwo prowadzenia działalności przez Grupę PKP CARGO zarówno obecnie jak i w przyszłości realizuje się poprzez wdrożenie i utrzymywanie w spółce PKP CARGO S.A. oraz spółkach zależnych odpowiednich do wielkości, rodzaju i skali prowadzonej działalności systemów i funkcji wewnętrznych takich jak: zarządzanie ryzykiem, kontrola wewnętrzna, compliance, audyt wewnętrzny a także Zintegrowany System Zarządzania oraz specyficzny dla działalności Grupy PKP CARGO system bezpieczeństwa SMS i MMS. W odniesieniu do PKP CARGO S.A. ww. systemy i funkcje wewnętrzne oraz ich wzajemne relacje a także miejsce w hierarchii służbowej przedsiębiorstwa zostały zilustrowane za pomocą modelu trzech linii obrony organizacji przed ryzykiem.
Systemy i funkcje wewnętrzne PKP CARGO S.A. służące zapewnieniu bezpieczeństwa działalności PKP CARGO S.A. oraz Grupy Kapitałowej PKP CARGO przedstawione za pomocą modelu trzech linii obrony przed ryzykiem.
Pierwsza linia obrony to głównie menedżerowie niższego i średniego szczebla, którzy zarządzają ryzykiem i kontrolą w codziennych działaniach. Menedżerowie operacyjni tworzą i wdrażają kontrolę w procesach i zarządzaniu ryzykiem w organizacji. Obejmują one mechanizmy kontrolne służące do identyfikacji i oceny istotnych czynników ryzyka, właściwego wykonania czynności i zadań, wskazania nieodpowiednich procesów, rozwiązywania problemu nieskutecznej kontroli i komunikowania się z głównymi osobami zaangażowanymi w proces. Kierownictwo wyższego szczebla (dyrektorzy biur, dyrektorzy zakładów) ponosi ogólną odpowiedzialność za wszystkie działania pierwszej linii. W niektórych obszarach wysokiego ryzyka może również sprawować bezpośredni nadzór nad menadżerami niskiego i średniego szczebla lub nawet wykonywać samemu niektóre obowiązki pierwszej linii.
Druga linia obrony obejmuje różne funkcje zarządzania ryzykiem i zgodności stworzone przez kierownictwo w celu zapewnienia, że kontrole i procesy zarządzania ryzykiem wdrożone przez pierwszą linię obrony są odpowiednio zaprojektowane i działają zgodnie z przeznaczeniem. Są to funkcje zarządzania, oddzielone od zarządzania operacyjnego pierwszej linii, ale nadal pod kontrolą i wpływem kierownictwa wyższego szczebla. Podstawowym obowiązkiem funkcji z drugiej linii jest bieżące monitorowanie kontroli i ryzyka. Często ściśle współpracują z menadżerami operacyjnymi, wspierając ich w zdefiniowaniu strategii wdrożenia celów dostarczając wiedzy nt. ryzyka, wdrażaniu polityk i procedur oraz zbieraniu informacji w celu stworzenia mapy ryzyka i kontroli z perspektywy całego przedsiębiorstwa. W PKP CARGO S.A., stanowiącą organizację silnie regulowaną większość funkcji jest wydzielona i działa odrębnie. Funkcje drugiej linii obejmują wyspecjalizowane grupy, takie jak:
- Zarządzanie ryzykiem;
- Compliance;
- Zintegrowany System Zarządzania;
- System Zarządzania Bezpieczeństwem (SMS);
- System Zarządzania Utrzymaniem (MMS);
- Kontrola wewnętrzna.
Działania drugiej linii są pewnym sensie niezależne od działań pierwszej linii obrony, ale są one, z natury, wciąż funkcjami zarządczymi. Funkcje drugiej linii mogą bezpośrednio rozwijać, wdrażać lub modyfikować mechanizmy kontrolne i procesy zarządzania ryzykiem w Spółce. Mogą również podejmować decyzje w przypadku niektórych działań operacyjnych. Rola drugiej linii obrony wymaga jej zaangażowania w działania pierwszej linii obrony.
Zgodnie z regulaminem organizacyjnym PKP CARGO S.A. funkcje:
- zarządzania ryzykiem;
- kontroli wewnętrznej;
- Zintegrowanego Systemu Zarządzania;
- compliance w odniesieniu do przeciwdziałania korupcji i łapownictwu oraz przestrzegania Kodeksu Etyki PKP CARGO S.A.
są realizowane w ramach Biura Bezpieczeństwa i Audytu, które podlega bezpośrednio Prezesowi Zarządu PKP CARGO S.A. Komórki merytoryczne realizujące te funkcje mają zapewnioną możliwość bezpośredniego raportowania do Zarządu Spółki oraz, za wyjątkiem funkcji kontroli wewnętrznej oraz Rzecznika Etyki, również do Komitetu Audytu Rady Nadzorczej PKP CARGO S.A. Funkcja compliance rozumiana jako badanie zgodności działalności Spółki z obowiązującym prawem jest zgodnie z regulaminem organizacyjnym PKP CARGO S.A. realizowana przez komórkę merytoryczną zlokalizowaną w strukturze Biura Obsługi Prawnej i Nadzoru Właścicielskiego, które podlega bezpośrednio pod Prezesa Zarządu Spółki.
Trzecia linia obrony - Audyt wewnętrzny służy organizacji jako trzecia linia obrony. Instytut Audytorów Wewnętrznych definiuje audyt wewnętrzny jako „działalność niezależną i obiektywną, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo”. Zakres audytu wewnętrznego dotyczy wszystkich aspektów działalności organizacji. Wysoki poziom organizacyjnej niezależności i obiektywizmu odróżnia audyt wewnętrzny od pozostałych dwóch linii obrony. Audytorzy wewnętrzni nie projektują i nie wdrażają kontroli w ramach swoich normalnych obowiązków i nie są odpowiedzialni za działalność operacyjną. Niezależność funkcji audytu wewnętrznego jest dodatkowo wzmocniona przez bezpośrednie raportowanie przez szefa Wydziału Audytu Wewnętrznego do Zarządu oraz Komitetu Audytu Rady Nadzorczej Spółki. Ze względu na wysoki poziom niezależności, audytorzy wewnętrzni są najlepiej umocowani do dostarczenia Radzie Nadzorczej i Zarządowi Spółki wiarygodnego i obiektywnego zapewnienia o skuteczności ładu organizacyjnego, ryzyka i kontroli.