Wprowadzenie
W dniu 25 września 2018 r. Zarząd PKP CARGO S.A. przyjął Uchwałę Nr 324/2018 w sprawie wprowadzenia do stosowania Polityki zarządzania ryzykiem w PKP CARGO S.A. Zmiany w Uchwale miały na celu mocniejsze powiązanie poziomu ryzyka ze środkami finansowymi, przeznaczanymi na jego obniżenie, w szczególności w obszarze inwestycji.
Biuro Bezpieczeństwa i Audytu zostało zobowiązane do sprawowania nadzoru nad wdrożeniem i realizacją postanowień Polityki. Jego odpowiedzialnością jest zidentyfikowanie ryzyk pojawiających się w jego obszarze zarządzania, przeanalizowanie ich i dokonanie oceny, a następnie porównanie z oczekiwanym wynikiem.
Podmioty uczestniczące
Proces zarządzania ryzykiem przenika przez cała organizację i każdy, w miarę swoich możliwości zarządza ryzykiem. Poszczególne role jednak zmieniają się wraz z hierarchią w Spółce.
Komitet Audytu Rady Nadzorczej. Jest to komitet Rady Nadzorczej PKP CARGO, którego podstawowym zadaniem jest badanie prawidłowości i efektywności wykonywania wewnętrznych kontroli finansowych w Spółce i Grupie Kapitałowej Spółki, a także monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem. Komitet Audytu Rady Nadzorczej dokonuje oceny systemu zarządzania ryzykiem.
Zarząd PKP CARGO S.A. odpowiada za zarządzanie ryzykiem w oparciu o przyjęta Strategię, a przede wszystkim wyznacza kierunki rozwoju Spółki oraz podejmuje decyzje dotyczące planów postępowania z ryzykiem.
Właściciel ryzyka. Dyrektor Zakładu bądź Biura Centrali Spółki, odpowiedzialny za zarządzanie ryzykiem w podlegającym mu obszarze. Jego odpowiedzialnością jest zidentyfikowanie ryzyk pojawiających się w jego obszarze zarządzania, przeanalizowanie ich i dokonanie oceny, a następnie porównanie z oczekiwanym wynikiem. W zależności od uzyskanych wyników porównania, podejmowane są różne działania zmierzające bądź do zachowania status quo bądź do zmniejszenia poziomu ryzyka.
Pracownicy PKP CARGO SA są zobowiązani do przestrzegania postanowień Polityki w zakresie swoich kompetencji.
W Polityce wyznaczony został Lider Ryzyka – osoba, której zadaniem jest koordynowanie wszystkich spraw związanych z zarządzaniem ryzykiem. Gromadzenie informacji, ich analiza i raportowanie Zarządowi i Komitetowi Audytu Rady Nadzorczej.
Walidacja ryzyka
Ryzyka, które z punktu widzenia kierownictwa Spółki są szczególnie istotne, poddane zostały szczególnemu monitoringowi. W odniesieniu do ryzyk wskazanych przez Członków Zarządu zaprojektowane zostały wskaźniki, które obrazują poziom ryzyka. Obecnie monitorowane są 24 wskaźniki. Raz w miesiącu Zarząd PKP CARGO otrzymuje raport, w którym wskazane są poziomy wskaźników (neutralny, alarmowy i katastroficzny), tendencja panująca w danym wskaźniku oraz informacja na temat przyczyn zaistniałych odchyleń oraz działań podejmowanych przez właścicieli ryzyka w związku z odchyleniami.
Wskaźniki w większości przypadków mają charakter ilościowy i przestawiają informację, która jest weryfikowalna i bez ponoszenia nadmiernych kosztów wygenerowana z systemów informatycznych PKP CARGO S.A.
Zarząd PKP CARGO ma możliwość zmiany monitorowanych wskaźników w zależności od swoich potrzeb informacyjnych.
Przebieg procesu
Polityka została opracowana w oparciu o postanowienia normy ISO 31000 „Zarządzanie ryzykiem”.
Proces oceny ryzyka odbywa się co najmniej raz w roku, w ramach prowadzonej samooceny. W jej trakcie właściciele ryzyk identyfikują ryzyka w swoim obszarze oraz aktywa informacyjne, w odniesieniu do ryzyk związanych z bezpieczeństwem informacji oraz planują działania zmierzające do obniżenia poziomu ryzyka w przypadku, gdy poziom ryzyka jest nieakceptowalny. W przypadku, gdy zaistnieją okoliczności istotnie wpływające na poziom ryzyka, właściciel ryzyka powinien dokonać samooceny przed upływem roku.
Proces oceny odbywa się w trzech etapach: rozpoczyna się identyfikacją ryzyka, następnie ryzyko jest analizowane, a otrzymane wyniki porównywane są z oczekiwaniami i od tego zależy dalsze postępowanie z ryzykiem. Ryzyko może zostać zaakceptowane lub właściciel ryzyka przygotowuje Plan postępowania z ryzykiem. W przypadku, gdy Plan Postępowania z Ryzykiem zakłada konieczność dokonania inwestycji, numer ryzyka z rejestru jest przywoływany we wniosku inwestycyjnym.
W odniesieniu do ryzyk związanych z bezpieczeństwem informacji, w odniesieniu do aktywów, które zostały przez właścicieli uznane za krytyczne - tworzy się „Plany ciągłości działania”. Właściciel aktywa jest odpowiedzialny za utrzymanie, aktualizację i testowanie Planu.
Cykliczność procesu zakłada jego ciągłe zmiany mające na celu doskonalenie.
Ewaluacja ryzyka
- Porównanie wyników analizy z kryteriami ryzyka w celu stwierdzenia, czy poziom ryzyka jest akceptowalny;
- Ryzyko jest na poziomie neutralnym: akceptujemy je, regularnie, ale niezbyt często monitorujemy;
- Ryzyko jest na poziomie alarmowym lub katastroficznym: wypełniamy dokument „Plan postępowania z ryzykiem”.
Właściciel ryzyka podejmuje decyzję o podjęciu działań zmierzających do obniżenia poziomu ryzyka lub o niepodejmowaniu żadnych działań.
Matryca ryzyka zawiera skwantyfikowane ryzyko będące iloczynem wartości prawdopodobieństwa wystąpienia ryzyka oraz wartości następstw oddziaływania ryzyka. Szczegółowe wyjaśnienia i opis metodologii pomiaru ryzyka zawierają tabele poniżej.
Opis ryzyka
Opis ryzyka według kryterium prawdopodobieństwa
| Prawdopodobieństwo wystąpienia ryzyka | Opis szczegółowy | Wartość punktowa prawdopodobieństwa |
|---|---|---|
| prawie niemożliwe | zdarzenie może zaistnieć jedynie w wyjątkowych okolicznościach (prawdopodobieństwo wystąpienia w ciągu roku od 1 do 20%); a najprawdopodobniej w ogóle nie zaistnieje; nie wystąpiło dotychczas; dotyczy jednostkowych spraw; |
1 |
| mało prawdopodobne | istnieje małe prawdopodobieństwo (od 21 do 40%, że wystąpi w ciągu roku) zaistnienia tego zdarzenia; może wystąpić kilka razy w okresie pięciu lat; dotyczy nielicznych spraw; |
2 |
| średnie | zaistnienie zdarzenia jest średnio możliwe, ale w niektórych przypadkach zdarzenie takie może mieć miejsce (od 41 do 60%, że wystąpi w ciągu roku); dotyczy niektórych spraw; |
3 |
| prawdopodobne | zaistnienie zdarzenia jest bardzo prawdopodobne (od 61 do 80%, że wystąpi regularnie przynajmniej raz w roku); dotyczy większości spraw; |
4 |
| prawie pewne | oczekuje się, że zdarzenie takie nastąpi (od 81 do 100%, że wystąpi regularnie co miesiąc lub częściej); dotyczy wszystkich lub prawie wszystkich spraw. |
5 |
Opis ryzyka według kryterium następstw
| Oddziaływanie ryzyka | Opis szczegółowy | Wartość punktowa skutków |
|---|---|---|
| nieznaczne | znikomy wpływ na realizację celów i zadań organizacji; brak skutków prawnych; nieznaczny skutek finansowy; brak wpływu na bezpieczeństwo pracowników; brak wpływu na wizerunek organizacji; |
1 |
| małe | mały wpływ na realizację celów i zadań, bez skutków prawnych; mały skutek finansowy; brak wpływu na bezpieczeństwo pracowników; niewielki wpływ na wizerunek organizacji; |
2 |
| średnie | średni wpływ na realizację celów i zadań; umiarkowane konsekwencje prawne; średni skutek finansowy; brak wpływu na bezpieczeństwo pracowników; średni wpływ na wizerunek organizacji; |
3 |
| poważne | poważne wpływ na realizację zadania w tym poważne zagrożenie terminu jego realizacji jak i osiągnięcie celu; zagrożenie bezpieczeństwa pracowników; poważne straty finansowe; poważny wpływ na wizerunek organizacji; |
4 |
| katastrofalne | brak realizacji zadania i brak realizacji celu; bardzo poważne i rozległe konsekwencje prawne; naruszenie bezpieczeństwa pracowników (ujemne konsekwencje dla ich życia i zdrowia); wysokie straty finansowe; utrata dobrego wizerunku organizacji w środowisku oraz w opinii publicznej. |
5 |