Polityka i Procedury Zarządzania Ryzykiem

1.Cel

Wszystkie działania podejmowane przez spółkę Logistable Limited („Logistable”, „Spółka”, „ona”) niosą ze sobą pewien element ryzyka. Ekspozycja na te ryzyka (zarówno szanse, jak i wynikające z nich zagrożenia) jest traktowana w procesie Zarządzania Ryzykiem. Spółka Logistable Limited będzie starała się wykorzystać potencjalne możliwości biznesowe w chwili, gdy się pojawią, jednocześnie zarządzając potencjalnymi niekorzystnymi skutkami.

Ogólnym celem tej polityki zarządzania ryzykiem jest zatem zapewnienie wsparcia i poradnictwa           w zakresie identyfikowania i zarządzania ryzykiem, na jakie narażona jest spółka Logistable.

Zasady i procedury zarządzania ryzykiem przedstawione w tym dokumencie mają na celu zapewnienie: osiągnięcie celów biznesowych przez firmę Logistable, ochrony pracowników i aktywów biznesowych (zarówno fizycznych, jak i niematerialnych) oraz zapewnienie solidnej podstawy finansowej dla firmy Logistable.

2.Zakres

Niniejszy dokument ma zastosowanie do wszelkich działań spółki Logistable. Stanowi istotną część ram zarządzania spółki Logistable i ma zastosowanie do zarządu, pracowników i osób trzecich, z którymi firma Logistable przeprowadza transakcje biznesowe.

3.Apetyt na ryzyko i Komunikacja

Spółka Logistable charakteryzuje się niskim apetytem na ryzyko we wszelkich podejmowanych przez siebie działaniach. W tym celu wszyscy pracownicy spółki Logistable mają obowiązek możliwie najszybciej zwracać uwagę kadry kierowniczej wyższego szczebla na wszelkie zidentyfikowane przez nich czynniki ryzyka, które ich zdaniem mogą mieć wpływ na działalność i prawidłowe funkcjonowanie Spółki.

Spółka Logistable wdrożyła szereg pomocniczych polityk i procedur zarządzania, które stanowią integralną część procesu ograniczania ryzyka. Są one zamieszczone w ukierunkowanych politykach, takich jak między innymi:

  • Polityki i procedury AML/CTF/ CPF.
  • Podejście oparte na ryzyku w stosunku do Klientów, z którymi firma rozpoczyna współpracę. 
  • Polityki i procedury dotyczące RODO.
  • Polityka i procedury dotyczące reklamacji. 
  • Polityki i procedury dotyczące konfliktów interesów. 
  • Polityka dotycząca transakcji pracowniczych. 
  • Polityka i procedury dotyczące ciągłości biznesowej/odtwarzania awaryjnego. 
  • Polityki i procedury wydziałowe

4.Zrozumienie Zarządzania Ryzykiem

Ryzyko jest ogólnie definiowane jako połączenie konsekwencji występującego zdarzenia i prawdopodobieństwa jego rzeczywistego wystąpienia.

A zatem ryzyko jest to szansa na wystąpienie zdarzenia, które będzie miało wpływ na cele założone przez firmę Logistable, natomiast zarządzanie ryzykiem to kultura, procedury i struktury, które nakierowane są na identyfikowanie i realizację potencjalnych szans przy jednoczesnym zarządzaniu potencjalnymi niekorzystnymi skutkami.

System zarządzania firmy Logistable ma zatem na celu identyfikację ryzyka, na jakie spółka jest narażona i utrzymywanie go na możliwym do zaakceptowania poziomie. Procesy zarządzania ryzykiem firmy Logistable składają się z następujących głównych elementów:

  • Zidentyfikuj: Zidentyfikuj szanse lub zagrożenia oraz udokumentuj ryzyka z nimi związane.
  • Oceń: Identyfikowanie, analizowanie, ocenianie i dokumentowanie zidentyfikowanych czynników ryzyka poprzez oszacowanie następujących pozycji;
    • Prawdopodobieństwo zmaterializowania się czynników ryzyka 
    • Wpływ każdego czynnika ryzyka na spółkę Logistable
    • Bliskość ryzyka i tempo w jakim może się ono zmaterializować 
  • Planuj: Opracowanie odpowiedzi kierownictwa w celu maksymalizacji szans oraz łagodzenia zagrożeń.
  • Wdrażaj: Wdrażanie odpowiedzi na ryzyko opracowanych przez kierownictwo.
  • Monitoruj i dokonuj przeglądu: Monitorowanie i przegląd system zarzadzania ryzykiem oraz jego skuteczności i wymaganych koniecznych zmian.
  • Zakomunikuj i skonsultuj się: Dostarczanie regularnych raportów kierownictwu wyższego szczebla w wyznaczonych terminach i informowanie wszystkich pracowników firmy Logistable o wszelkich zmianach.

 

5.Zarządzanie Ryzykiem

Jak wskazano powyżej, zakres niniejszego dokumentu dotyczy zarządu, wyższej kadry kierowniczej, pracowników i osób trzecich.

Zarząd: Zarząd zapewnia politykę, nadzór i przegląd polityk i procedur zarządzania ryzykiem spółki Logistable.

Dyrektor operacyjny (COO): Dyrektor operacyjny jest odpowiedzialny za ten dokument i kształtuje kulturę świadomości ryzyka wewnątrz spółki Logistable oraz wyznacza standardy zarządzania nim w spółce Logistable.

Dyrektor ds. ryzyka: Podstawową funkcją Dyrektora ds. ryzyka jest ciągła rewizja, dostosowywanie i rozwijanie polityki zarządzania ryzykiem, jej strategii wdrażania oraz ram, które ją otaczają  i wspierają.

Kierownicy działów: Kierownicy działów muszą zapewnić, aby ich pracownicy znali politykę zarządzania ryzykiem i jej przestrzegali. Muszą także wspierać i promować kulturę świadomości ryzyka, która obejmuje identyfikację czynników ryzyka i reagowanie na nie (w momencie ich pojawienia się) zgodnie z odpowiednimi procedurami.

Personel i osoby trzecie: Cały personel i wszystkie osoby trzecie muszą przestrzegać polityki  i procedur zarządzania ryzykiem, jakie zostały określone w niniejszym dokumencie.

6.Proces Zarządzania Ryzykiem

Przedstawione poniżej podsumowanie procesu zarządzania ryzykiem ma charakter dynamiczny                  i dostosowuje się do zachodzącego rozwoju sytuacji, niezależnie od tego, czy chodzi o zmiany profilu wcześniej zidentyfikowanego ryzyka i/lub pojawienie się nowego ryzyka. Proces uwzględnia  wewnętrzne i zewnętrzne czynniki ryzyka, które mogą osłabić zdolność firmy Logistable do skutecznego i efektywnego działania.

Wewnętrzne czynniki ryzyka: Zidentyfikowane jako związane z działalnością firmy Logistable, jako taką i w związku z tym ogólnie uważane za znajdujące się pod kontrolą firmy. Przykłady obejmują; czynniki ryzyka związane ze stosunkami biznesowymi, czynnika ryzyka związane z pracownikami, zarządzanie wewnętrzne, finansowe czynniki ryzyka i strategiczne czynniki ryzyka.

Zewnętrzne czynniki ryzyka: Te czynniki ryzyka zazwyczaj są identyfikowane jako pozostające poza kontrolą spółki Logistable. Przykłady obejmują; zmiany legislacyjne, ryzyko związane z cyberbezpieczeństwem, globalne warunki makroekonomiczne i globalne pandemie.

Główne składniki procesu są następujące:

1.Ustalenie kontekstu:

Przed formalną oceną ryzyka, na jakie jest narażona, firma Logistable musi ustalić środowisko wewnętrzne, zewnętrzne i zarządzania ryzykiem, w którym odbywać się będzie pozostała część procesu oceny ryzyka i zarządzania nim. Będzie to wymagało uwzględnienia uzgodnionego apetytu na ryzyko oraz tolerancji ustalonych przez zarząd spółki Logistable w zależności od tego, jak postrzega ona swoją: 

  1. Reputację.
  2. Pozycję finansową.
  3. Okoliczności handlowe.
  4. Ład korporacyjny i strukturę zarządzania.
  5. Działania operacyjne.

2.Identyfikowanie ryzyka:

Proces identyfikowania ryzyka obejmuje identyfikowanie i dokumentowanie czynników ryzyka (zarówno wewnętrznych, jak i zewnętrznych) we wszystkich obszarach działalności spółki Logistable, w tym, gdzie, kiedy i w jaki sposób zdarzenie powodujące ryzyko może uniemożliwić, opóźnić lub ułatwić osiągnięcie celów przez spółkę Logistable. Czynniki ryzyka można identyfikować na różne sposoby i przez każdego pracownika Logistable. Można zatem zidentyfikować czynniki ryzyka;

  • Po prostu poprzez proces wykonywania codziennych czynności.
  • W reakcji na wystąpienie nieprzewidzianego zdarzenia.
  • Proaktywnie poprzez formalnie ustanowione systematyczne procesy zarządzania ryzykiem, takie jak;
    • Planowanie strategiczne: przez Zarząd we wszystkich aspektach działalności spółki Logistable.
    • Działalność operacyjna: regularne spotkania wyższej kadry zarządzającej/szefów działów, przetwarzanie i analiza danych, przeglądy finansowe i biznesowe oraz prognozowanie.
    • Oceny: audyty zewnętrzne i przeglądy wewnętrzne oraz sprawozdawczość obejmująca wszelkie aspekty działalności Logistable.
    • Dziennik zdarzeń: rejestrowanie wewnętrznych incydentów i czynników ryzyka, śledzenie ich, identyfikowanie i wdrażanie rozwiązań oraz, w razie potrzeby, tworzenie nowych procedur w celu złagodzenia skutków przyszłych zdarzeń.

 

3.Rejestrowanie zidentyfikowanego ryzyka:

Zidentyfikowane czynniki ryzyka należy zgłosić Dyrektorowi ds. ryzyka i odnotować w Rejestrze czynników ryzyka spółki Logistable.

4.Analiza ryzyka:

Ten etap obejmuje kalkulację zidentyfikowanych czynników ryzyka w oparciu o dwa czynniki, a mianowicie;

  • Konsekwencje wystąpienia tego zdarzenia ryzyka dla firmy Logistable; oraz
  • Prawdopodobieństwo i szybkość wystąpienia zidentyfikowanego zdarzenia ryzyka.

Przeprowadzenie analizy na tej podstawie umożliwia spółce Logistable przypisanie poziomu ryzyka do zidentyfikowanego zdarzenia ryzykownego.

Konsekwencje wystąpienia zdarzenia ryzyka:

Spółka Logistable posiada ustalone parametry określające i stopniujące, w głównych obszarach swojej działalności, konsekwencje materializacji zidentyfikowanego ryzyka. (patrz Tabela 1 poniżej).

Tabela 1. Macierz konsekwencji.

 

Prawdopodobieństwo i szybkość wystąpienia zdarzenia ryzyka:


Firma Logistable opracowała wytyczne określające i oceniające główne obszary swojej działalności, prawdopodobieństwo materializacji zidentyfikowanego ryzyka oraz szybkość, z jaką zidentyfikowane ryzyko może potencjalnie wystąpić (patrz Tabele 2 i 3 poniżej).

Szybkość ryzyka uzupełnia proces analizy ryzyka o kolejny wymiar. Szybkość uwzględnia następujące czynniki związane z każdym zidentyfikowanym czynnikiem ryzyka.

  • Szybkość wystąpienia: Uwzględnia się, jak szybko może wystąpić ryzyko oraz ramy czasowe, w jakich firma Logistable musi przygotować się na wystąpienie tego ryzyka.
  • Szybkość wpływu: Próbuje ustalić, jak szybko i w jaki sposób wystąpienie tego ryzyka wpłynie na firmę Logistable.
  • Szybkość reakcji: Określa zdolność firmy Logistable do zidentyfikowania ryzyka oraz jej zdolność i elastyczność do reagowania i dostosowywania się w odpowiednim czasie.

Tabela 2. Przewodnik po prawdopodobieństwie

Klasyfikacja prawdopodobieństwa Opis 

5. Prawdopodobne Oczekiwane, że wystąpi (ponownie) lub w krótkim okresie czasu (tj. występujące co tydzień lub co miesiąc)

4. Okazjonalne Prawdopodobnie wystąpi w większości okoliczności (tj. kilka razy w roku) 

3. Możliwe Prawdopodobnie wystąpi/może wystąpić w jakimś czasie (tj. może się wydarzyć co rok lub dwa lata)

2.Mało prawdopodobne Potencjalnie może wystąpić ponownie w jakimś czasie (tj. może wydarzyć się co dwa do pięciu lat)

1.Rzadkie Mało prawdopodobne, że wystąpi, może wystąpić jedynie w wyjątkowych okolicznościach (tj. może wydarzyć się co pięć do dziesięć lat)

Tabela 3. Skala szybkości 

Klasyfikacja oceny szybkości ryzyka  Opis 

5 Bardzo wysoka Bardzo szybkie wystąpienie i wpływ ryzyka przy niewielkim ostrzeżeniu lub jego braku. Bardzo wolna szybkość reakcji na wystąpienie ryzyka. 

4 Wysoka Oczekuje się wystąpienia i wpływu ryzyka w ramach czasowych wynoszących od kilku dni do kilku tygodni. Reakcja na wystąpienie ryzyka jest wolna. 

3 Średnia Oczekuje się wystąpienia i wpływu ryzyka w ramach czasowych wynoszących parę miesięcy. Reakcja na wystąpienie ryzyka jest umiarkowana.

2 Niska  Oczekuje się wystąpienia i wpływu ryzyka w ramach czasowych wynoszących kilka miesięcy. Reakcja na wystąpienie ryzyka jest szybka.

1 Średnia Oczekuje się wystąpienia i wpływu ryzyka w ramach czasowych wynoszących rok lub więcej. Reakcja na wystąpienie ryzyka jest błyskawiczna.

W celu ustalenia spójnego podejścia do oceny zidentyfikowanych istotnych ryzyk biznesowych spółka Logistable ustaliła (z jedynym wyjątkiem ryzyk ML/TF i PF, dla których opracowano odrębną matrycę oceny ryzyka zgodnie z ustawą o dochodach z przestępczości z 2015 r.), wytycznymi GFSC dotyczącymi ML, TF i PF oraz krajową oceną ryzyka Gibraltaru na rok 2020), macierz oceny ryzyka (patrz Tabela 4 poniżej) oraz standardowy rejestr czynników ryzyka w celu rejestrowania wszystkich zidentyfikowanych czynników ryzyka. Rejestr czynników ryzyka prowadzi i zarządza nim  Dyrektor ds. ryzyka i stanowi „żywy” dokument. Kopia rejestru czynników ryzyka jest dołączona do niniejszych polityk i procedur.

Tabela 4. Macierz oceny ryzyka.

Likely = Prawdopodobne Catastrophic = Katastrofalne 

Occasional = Okazjonalne Major = Znaczne

Possible = Możliwe Moderate = Umiarkowane 

Unlikely = Mało prawdopodobne Minor = Drobne 

Rare = Rzadkie Negligible = Nieistotne 

Very High = Bardzo wysokie Significant = Istotne 

High = Wysokie 

Med/High = Średnie/Wysokie 

Medium = Średnie 

Low = Niskie 

Very Low = Bardzo niskie 

5. Ocena ryzyka::

Ocena ryzyka przypisana za pomocą matrycy oceny ryzyka każdemu zidentyfikowanemu ryzyku określa poziom priorytetu/pilności danego ryzyka. Firma Logistable określiła wytyczne dotyczące działań proporcjonalnych i odpowiednich do poziomu ryzyka oraz informowania o tym ryzyku wewnątrz firmy Logistable.

7.Zapobieganie ryzyku/Reagowanie na ryzyko

Reagowanie i zapobieganie zidentyfikowanym ryzykom odbywa się poprzez opracowanie i wdrożenie specjalnie dostosowanych, opłacalnych strategii w celu złagodzenia wszelkich potencjalnych kosztów i zwiększenia potencjalnych korzyści.

Wszystkie zidentyfikowane Bardzo wysokie i Wysokie istotne ryzyka wymagają wdrożenia mechanizmów kontrolnych w celu zaradzenia ryzyku i zapobieganiu ryzyku w taki sposób, aby zredukować je do akceptowalnego poziomu mieszczącego się w parametrach ryzyka określonych  przez Zarząd spółki Logistable. Tabela 5 poniżej ilustruje działania i wymogi dotyczące raportowania związane z punktacją i ocenami ryzyka.

Tabela 5. Działania i wymogi dotyczące raportowania.

Firma Logistable posiada trzy warstwy zabezpieczeń przed pojawieniem się określonego ryzyka                   i jego późniejszym zarządzaniem. Są to:

  • Codzienne operacje biznesowe ustalające stałe działania w zarządzaniu ryzykiem zgodnie z udokumentowanymi zasadami i procedurami firmy Logistable.
  • Istnienie funkcji nadzorczych wewnątrz firmy Logistable, takich jak kontrola finansowa, zgodność, funkcja MLRO i zarządzanie ryzykiem. Funkcje te zapewniają, że odpowiednie zasady i procedury, o których mowa powyżej, działają w sposób skuteczny.
  • Wreszcie audyty wewnętrzne i zewnętrzne stanowią trzecią warstwę ochrony. Stanowią one niezależne wyzwanie dla poziomów pewności zapewnianych przez funkcje nadzorcze, o których mowa powyżej. Przykłady obejmują: ustawowy audyt zewnętrzny sprawozdań finansowych i systemów finansowych przeprowadzany corocznie przez PWC oraz audyty wewnętrzne przeprowadzane na podstawie ustawy o dochodach z przestępstwa z 2015 r. przez Petera Wodtke w 2019 r. i PWC w 2021 r.

8.Monitorowanie i przegląd ryzyka

Utworzono Rejestr czynników ryzyka w celu zapewnienia jednolitego dokumentu określającego ryzyka, na jakie narażona jest spółka Logistable w całym zakresie jej działalności biznesowej.

Rejestr czynników ryzyka, jak opisano wcześniej w niniejszym dokumencie dotyczącym polityki i procedur, jest „żywym dokumentem”. Rejestr czynników ryzyka zawiera zatem pierwotną ocenę ryzyka przypisaną do konkretnego zidentyfikowanego ryzyka oraz zawiera opis środków kontroli, planów i procedur łagodzących ryzyko, które istnieją i są wdrażane w reakcji na zidentyfikowane ryzyko. Następnie do tego ryzyka zidentyfikowanego na podstawie planów i procedur łagodzących przypisuje się ocenę ryzyka rezydualnego.

Rejestr jest poddawany przeglądowi, gdy Dyrektor ds. Ryzyka uzna to za stosowne i ma to miejsce co najmniej raz w roku. Przegląd ma na celu:

  • Dokonanie oceny zarejestrowanych czynników ryzyka oraz ich ocen w kontekście zmieniających się procesów biznesowych i operacyjnych Logistable
  • Zbadanie, jak solidna i skuteczna jest w dalszym ciągu wdrożona kontrola ryzyka oraz kontrole, plany i procedury łagodzące

Dyrektor ds. ryzyka przeprowadza comiesięczny przegląd wszystkich czynników ryzyka zgłoszonych w dzienniku ryzyk.

9. Raportowanie ryzyka

Istotne ryzyka biznesowe:
Wszelkie istotne ryzyka biznesowe, niezależnie od tego, czy stanowią zagrożenie, czy szansę, należy jak najszybciej zgłaszać Dyrektorowi ds. Ryzyka.

Incydenty związane z ryzykiem:

Obowiązkiem każdego pracownika spółki Logistable jest zgłaszanie wszelkich potencjalnych lub rzeczywistych incydentów związanych z ryzykiem, gdy tylko zostaną one zidentyfikowane. Pracownicy powinni zgłosić incydent bezpośrednio swojemu przełożonemu, a o incydencie tym należy niezwłocznie poinformować Dyrektora ds. Ryzyka.

Zdarzenie ryzyka to:

  • materializacja ryzyka (przewidywanego/planowanego lub nie), 
  • awaria lub brak mechanizmu kontroli ryzyka.

Wszystkie zdarzenia zgłaszane Dyrektorowi ds. Ryzyka muszą zostać zarejestrowane w Dzienniku zdarzeń ryzyka, przy czym rejestrowany jest również poziom występującego ryzyka, szybkość jego dotkliwości i prawdopodobieństwo jego eskalacji. Należy szczegółowo opisać także końcowy efekt zapobiegania i wdrożenie rozwiązań/nowych procedur.

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.