Raport
Zintegrowany
2019

Orange Polska

Zarządzanie ryzykiem

Wprowadzenie

Orange Polska jest narażona na ryzyko zewnętrzne i wewnętrzne o wielorakim charakterze, które może mieć wpływ na realizację założonych celów. W związku z tym w Orange Polska funkcjonuje system zarządzania ryzykiem, który zapewnia identyfikację, ocenę i zarządzanie czynnikami ryzyka. System ten został opracowany na podstawie norm ISO 31000:2018 oraz ISO 27005 (tylko w odniesieniu do Systemu Zarządzania Bezpieczeństwem Informacji). Osoby kierujące poszczególnymi obszarami i funkcjami biznesowymi są odpowiedzialne za ocenę i zarządzanie ryzykiem, w tym identyfikację nowych i nasilających się czynników, monitorowanie ryzyka i skuteczności mechanizmów kontrolnych oraz przekazywanie odpowiednich raportów. Wszelkie zdarzenia są rozpatrywane w kontekście potencjalnego wpływu na realizację celów biznesowych Grupy.

Trzy linie obrony Orange Polska

Apetyt na ryzyko

Przy ocenie ryzyka uwzględniamy prawdopodobieństwo i wpływ zajścia określonych zdarzeń na sytuację finansową, wizerunek przedsiębiorstwa, ciągłość działania oraz życie i zdrowie ludzi. W przypadku gdy konsekwencje wystąpienia ryzyka mają na przykład wpływ zarówno finansowy, jak i wizerunkowy, wycenia się je według najbardziej negatywnego skutku. Do ryzyk, których negatywny wpływ na Spółkę został oceniony powyżej dopuszczalnego poziomu, są przypisywane działania mitygujące, które mają na celu zapobieżenie stratom lub ich zminimalizowanie. Skuteczność tych działań jest weryfikowana na bieżąco, a w razie potrzeby są one korygowane. Ryzyka oraz przypisane do nich działania mitygujące stanowią jedno ze źródeł wykorzystywanych do przygotowania Rocznego Planu Audytu Wewnętrznego.

Klastry i domeny

Zidentyfikowane czynniki ryzyka o podobnym charakterze są łączone w grupy (tzw. klastry) w celu zapewnienia spójnego i efektywnego zarządzania ryzykiem w całej Grupie Orange Polska. Procesem oceny ryzyka (zob. schemat poniżej) zarządzają koordynatorzy poszczególnych domen.

Podział czynników ryzyka na domeny ryzyk operacyjnych, utraty informacji, ciągłości działania, zapewnienia zgodności, nadużyć oraz ryzyk społecznych zapewnia jednolite i obiektywne podejście do oceny ryzyk o zbliżonych konsekwencjach (analiza przyczynowo-skutkowa).

Proces zarządzania ryzykiem

Lista ryzyk kluczowych powstaje w wyniku indywidualnych spotkań z Członkami Zarządu oraz Dyrektorami Wykonawczymi, którzy wskazują na istotne zdarzenia mogące potencjalnie zagrozić realizacji strategii Spółki. Na podstawie zidentyfikowanych w ten sposób ryzyk ich właściciele dokonują dalszej oceny ich prawdopodobieństwa i wpływu, a także przypisują takim ryzykom działania mitygujące oraz wyznaczają menedżerów odpowiedzialnych za ich realizację. Wyniki analizy każdego z ryzyk kluczowych podlegają zatwierdzeniu przez Członka Zarządu lub Dyrektora Wykonawczego odpowiedzialnego za dany obszar, a w przypadku potencjalnych strat finansowych – również przez Członka Zarządu ds. Finansów.

Proces zarządzania ryzkiem w Orange Polska

Sprawozdawczość

Do wyceny i raportowania ryzyka stosowane są mapy ryzyka (ang. heat map), które ilustrują stopień zagrożenia ze strony poszczególnych zdarzeń.

Przykładowa mapa ryzyka

Ten konkretny przykład pokazuje ryzyko mające niski wpływ wizerunkowy i umiarkowany wpływ na ciągłość świadczenia usług. W efekcie całe ryzyko zostałoby ocenione jako średnie.

Komitet Audytowy monitoruje skuteczność systemu zarządzania ryzykiem oraz analizuje raporty dotyczące jego kształtu i funkcjonowania.

Ryzyka kluczowe są omawiane podczas posiedzeń Zarządu oraz Rady Nadzorczej.

Ryzyka kluczowe

Ryzyka kluczowe, przedstawione w tabeli na podstronie Ekspozycja na ryzyko, to zagregowane kategorie ryzyk opartych na zdarzeniach. Ryzyka te mogą mieć istotny wpływ na model biznesowy, przyszłe wyniki i płynność Grupy. W każdym przypadku przedstawiono także metody ograniczania danego ryzyka przez Zarząd.

Uwzględnione na liście ryzyk kluczowych obszary ryzyka odpowiadają czynnikom, które są najsilniej związane z działalnością biznesową bądź wpływają na utratę lub wzrost wartości. Ryzyka te podlegają zmianom. Na przykład w 2018 roku stwierdzono, że ryzyko związane z brakiem pracowników zostało wystarczająco ograniczone dzięki podjętym działaniom mitygującym i zarządzanie nim można przenieść na poziom poszczególnych obszarów biznesowych. Identyfikujemy i monitorujemy także czynniki ryzyka związane z naszym wpływem na otoczenie społeczne i środowisko naturalne. Jednak nie zaliczają się one do ryzyk kluczowych, gdyż ich potencjalny wpływ nie przekracza przyjętego poziomu istotności.

Strona korzysta z plików cookie i podobnych technologii, aby poprawić wydajność i jakość użytkowania. Korzystanie z naszej witryny oznacza zgodę na pliki cookie opisane w naszych zasadach. Możesz modyfikować, blokować lub usuwać pliki cookie w dowolnym czasie, zmieniając ustawienia przeglądarki. Aby uzyskać więcej informacji, zapoznaj się z naszą Polityką prywatności.