Celem Grupy ORLEN jest całkowita eliminacja przypadków korupcji i łapownictwa. Przeciwdziałamy wszelkim formom korupcji i wdrażamy praktyki zapobiegawcze zarówno wewnątrz organizacji, jak i w łańcuchu dostaw. W sytuacji identyfikacji jakiejkolwiek formy korupcji podejmowane są stanowcze kroki naprawcze i przeciwdziałające kolejnym incydentom tego typu.

Do funkcjonujących Polityk i Wewnętrznych Aktów Organizacyjnych służących przeciwdziałaniu korupcji i łapownictwu należą m.in.:

• Wartości i Zasady Postępowania – dokument opisujący standardy działania związane z sytuacjami dotyczącymi przyjmowania lub oferowania korzyści materialnych.
• Polityka i Procedura Zarządzania Ryzykiem Korporacyjnym – dokumenty regulujące sposób identyfikacji, oceny oraz monitorowania ryzyk zgodnie z przyjętą metodyką w spółce.
• Regulamin prowadzenia kontroli przez Biuro Audytu, Kontroli Finansowej i Zarządzania Ryzykiem Korporacyjnym – określa zasady prowadzenia kontroli wewnętrznej w PKN ORLEN i spółkach zależnych. Reguluje wszelkie aspekty procesu dotyczące celowości, gospodarności, rzetelności, legalności, sprawności organizacyjnej i prawidłowości działania.
• Zasady zarządzania ryzykiem regulacyjnym w Grupie ORLEN – regulują procesy zarządzania ryzykiem regulacyjnym wynikającym z obowiązujących lub projektowanych aktów prawnych, z wyłączeniem ryzyk podatkowych.
• Anonimowy System Zgłaszania Nieprawidłowości (ASZN) – w ramach systemu identyfikowane są potencjalne nieprawidłowości i nadużycia, które mogą być zgłaszane poprzez wskazane kanały informacyjne.
• Zasady Nadzoru Właścicielskiego – zawierają instrukcję doboru kandydatów na stanowiska członków organów spółek Grupy ORLEN oraz zasady ustalania i rozliczania Indywidualnych Zadań Premiowych dla członków zarządów spółek Grupy ORLEN. Uwzględniają objęcie pełnym nadzorem właścicielskim Fundację ORLEN Dar Serca.
• Zasady zarządzania ryzykiem utraty atrybutów bezpieczeństwa informacji – zawierają informacje i wytyczne dotyczące przebiegu procesu zarządzania ryzykiem utraty atrybutów bezpieczeństwa.
• Kodeks Postępowania dla Dostawców – określa standardy etyczne, które muszą spełniać dostawcy Grupy ORLEN, reguluje również działania związane z przeciwdziałaniem korupcji oraz promuje wysokie standardy etycznego prowadzenia działalności.

PKN ORLEN w myśl dobrych praktyk spółek notowanych na GPW posiada skuteczne systemy kontroli funkcjonalnej, zarządzania ryzykiem oraz nadzoru zgodności działalności z prawem (compliance), a także funkcję audytu i kontroli wewnętrznej. Równoległe funkcjonowanie wszystkich wyżej wymienionych elementów umożliwia sprawowanie stałego i skutecznego nadzoru w zakresie przeciwdziałania korupcji.

Koncern posiada strukturalnie zorganizowany system kontroli zarządczej, na który składają się kompleksowe procedury. Do zarządzania nimi wykorzystywany jest specjalnie przygotowany system informatyczny zapewniający ich spójność poprzez wieloobszarowe uzgodnienia oraz akceptację na każdym poziomie w organizacji.

PKN ORLEN w celu minimalizacji wystąpienia ryzyk nadużyć oraz korupcji wykorzystuje popularny „Model Trzech Linii Obrony/Prewencji” (ang. Three Lines of Defense).

Na pierwszej linii obrony znajduje się zarządzanie ryzykiem przez jednostki biznesowe oraz mechanizmy kontrolne dotyczące procesów operacyjnych spółki, na drugiej funkcje compliance, natomiast na trzeciej – audyt i kontrola wewnętrzna, wspierające poprawne funkcjonowanie wskazanych prewencji.

1. Pierwsza linia obrony/prewencji – Zintegrowany System Zarządzania Ryzykiem Korporacyjnym (ERM).

Proces zarządzania ryzykiem jest procesem ciągłym, który ze względu na zmieniające się nieustannie otoczenie gospodarcze ulega modyfikacjom. W związku z tym w celu usystematyzowania i zoptymalizowania procesu zarządzania ryzykiem została wdrożona Polityka i Procedura Zarządzania Ryzykiem Korporacyjnym.

Zgodnie z przyjętą metodologią proces zarządzania ryzykiem w Grupie ORLEN obejmuje:

• Identyfikację ryzyk.
• Ocenę poprzez wpływ i prawdopodobieństwo wystąpienia danych zdarzeń z uwzględnieniem zarówno oceny ryzyka brutto (stanu, gdyby nie zostały wprowadzone żadne mechanizmy kontrolne w odniesieniu do danego ryzyka), jak i oceny netto (wynikającej z oceny skuteczności mechanizmów kontrolnych). W ramach oceny ryzyka, jego właściciel określa również poziom „apetytu”¹ na ryzyko, przy którym możliwa będzie realizacja celów strategicznych.
• Opracowywanie planów działań naprawczych w przypadku niskiej oceny funkcjonowania mechanizmów kontrolnych.
• Monitoring i raportowanie.

W celu zapewnienia aktualnych informacji na temat najważniejszych ryzyk raz w roku przeprowadzana jest przez poszczególne obszary biznesowe ocena ryzyk, która umożliwia zaktualizowanie listy ryzyk o największej dla organizacji istotności. Za jej przeprowadzenie odpowiadają właściciele procesów, ryzyk i kontroli funkcjonalnych.

W wyniku dokonanej samooceny określane są odpowiednie plany działań naprawczych dla poszczególnych ryzyk i kontroli funkcjonalnych, które mają doprowadzić do zrównania się oceny netto ryzyka (przy funkcjonujących mechanizmach kontrolnych) do pożądanego przez organizację „apetytu” na ryzyko.

W celu zapewnienia odpowiedniej jakości realizowanego przez obszary biznesowe procesu samooceny przeprowadzane są cykliczne weryfikacje poprawności testowania mechanizmów kontrolnych, które dodatkowo pozwalają sprawować nadzór w zakresie compliance dla ryzyk finansowych i operacyjnych.

Każdorazowo z zakończonego procesu samooceny ryzyk oraz testowania mechanizmów kontrolnych sporządzany jest raport, który przedstawiany jest Członkom Zarządu spółki oraz Komitetowi Audytowemu Rady Nadzorczej spółki. W raporcie zawarte są informacje o najbardziej istotnych ryzykach dla PKN ORLEN oraz planowanym sposobie ich łagodzenia. W roku 2017 proces samooceny ryzyk i testowania mechanizmów kontrolnych tylko w PKN ORLEN realizowany był z udziałem kluczowej kadry menadżerskiej, co pozwoliło zaktualizować ocenę 521 ryzyk poprzez zweryfikowanie 1251 mechanizmów kontrolnych w 83 procesach biznesowych.

W roku 2017 do objętych ERM kluczowych spółek Grupy ORLEN, jak Anwil, ORLEN Lietuva, Unipetrol oraz ORLEN Deutshland GmbH dołączyły ORLEN Paliwa i ORLEN Centrum Usług Korporacyjnych.

2. Druga linia obrony/prewencji – funkcja compliance.

Funkcja compliance w PKN ORLEN realizowana jest w oparciu o cztery płaszczyzny:

• W zakresie działalności Biura Audytu, Kontroli Finansowej i Zarządzania Ryzykiem Korporacyjnym poprzez:

1. Funkcję audytu i kontroli wewnętrznej, w zakresie zgodności przebiegu procesów z regulacjami wewnętrznymi.
2. ERM rozumiany, jako system oceny zgodności ryzyk finansowych i operacyjnych w odniesieniu do uzyskanej skuteczności mechanizmów kontrolnych oraz obowiązującej Polityki i Procedury ERM.

• W zakresie kompetencji audytu oraz pozostałych Biur PKN ORLEN poprzez:

1. Badanie zgodności ze zintegrowanymi systemami zarządzania (ISO).
2. Identyfikację ryzyk regulacyjnych, w tym w szczególności związanych z sektorem działalności spółki.

W PKN ORLEN została opracowana i zakomunikowana Polityka Zintegrowanego Systemu Zarządzania, której realizacja i aktualność jest okresowo oceniana przez kierujących komórkami organizacyjnymi, także przez Dyrektorów Wykonawczych i Dyrektorów Biur.

Funkcjonujący w Spółce Zintegrowany System Zarządzania uwzględnia wyniki audytów, przeglądów, zgłaszanych reklamacji i skarg, dodatkowo podejmowane są działania zapobiegawcze/korygujące wynikające ze zidentyfikowanych w ramach powyższych procesów niezgodności. Wszystkie wymienione działania mają na celu zapewnienie zgodności z przyjętymi normami odniesienia, tj.: ISO 9001 (systemem zarządzania jakością), ISO 14001 (systemem zarządzania środowiskowego), PN-N-18001 (systemem zarządzania BHP) oraz ISO 27001 (systemem zarządzania bezpieczeństwem informacji), Systemem Certyfikacji Biomasy i Biopaliw ISCC, Systemem Zakładowej Kontroli Produkcji oraz Systemem Zarządzania Bezpieczeństwem Żywności.

Z dokonanych przeglądów przygotowywany jest raz w roku kompleksowy raport określający stan Zintegrowanego Systemu Zarządzania w organizacji, który prezentowany jest Zarządowi spółki oraz publikowany na wewnętrznym portalu komunikacyjnym – Intranecie.

Na bieżąco prowadzona jest analiza stanu dostosowania i przygotowania Koncernu odpowiednio do obowiązujących lub projektowanych aktów prawnych, które w razie potrzeby inicjują działania mające na celu dostosowanie Koncernu do wymagań prawa krajowego i UE.

3. Trzecia linia obrony / prewencji – funkcja audytu wewnętrznego i kontroli wewnętrznej.

Funkcja audytu i kontroli wewnętrznej realizowana jest przez Biuro Audytu, Kontroli Finansowej i Zarządzania Ryzykiem Korporacyjnym (dalej: Biuro GA), którego celem jest dokonywanie niezależnej i obiektywnej oceny systemów kontroli funkcjonalnej oraz analizy procesów biznesowych.

Działania Biura GA są realizowane zgodnie z Międzynarodowymi Standardami Praktyki Audytu Wewnętrznego (ang. The Institute of Internal Auditors – the IIA), weryfikacja tej zgodności jest realizowana okresowo przez zewnętrzny podmiot posiadający odpowiednie uprawnienia.
W roku 2016 została ona potwierdzona przez firmę KPMG, gdzie Biuro GA uzyskało pełną zgodność z międzynarodowymi standardami oraz dobrymi praktykami w tym zakresie. 

Niezależność Biura Audytu, Kontroli i Zarządzania Ryzykiem Korporacyjnym jest zapewniona poprzez odpowiednią podległość funkcjonalną i administracyjną w strukturze organizacyjnej spółki.

Biuro GA realizuje zadania (audyty, kontrole i projekty doradcze) w oparciu o roczne plany: audytów i kontroli zatwierdzane przez Zarząd spółki. Dodatkowo plan audytów przyjmowany jest również przez Komitet Audytowy Rady Nadzorczej i Radę Nadzorczą spółki. W ramach realizowanych zadań na bieżąco weryfikowane są kwestie dotyczące compliance poprzez ocenę zgodności przebiegu procesów z regulacjami wewnętrznymi. Biuro GA może realizować zlecane przez Radę Nadzorczą lub Zarząd spółki audyty i kontrole w trybie doraźnym.

W oparciu o podstawową działalność Biuro GA określa, w formie opracowanych rekomendacji, zaleceń pokontrolnych i poleceń pokontrolnych, rozwiązania i standardy, których celem jest redukcja ryzyka niezrealizowania celów Koncernu, poprawa skuteczności systemu kontroli funkcjonalnej oraz zwiększenie wydajności procesów biznesowych. Biuro GA prowadzi bieżący monitoring wydanych rekomendacji, zaleceń pokontrolnych i poleceń pokontrolnych, z którego dwa razy w roku przygotowuje sprawozdanie, wskazując stopień ich wdrożenia. Ponadto cyklicznie przygotowywane są sprawozdania z działalności audytu PKN ORLEN oraz spółek Grupy ORLEN, gdzie prezentowany jest szczegółowy opis kluczowych obserwacji. Adresatami wszystkich omówionych powyżej raportów jest Zarząd spółki i Komitet Audytowy Rady Nadzorczej spółki, dokonujący bieżącej oceny sposobu funkcjonowania całej organizacji.

Zadania realizowane przez audyt i kontrolę wewnętrzną mają charakter odpowiednio działań prewencyjnych oraz detekcyjnych. Uzupełnieniem tych działań są czynności realizowane przez spółkę ORLEN Ochrona posiadającą odpowiednie umocowanie organizacyjne, jak również niezbędne narzędzia, w tym m.in. możliwość wspierania się usługami wywiadowni gospodarczych i detektywów.
W domniemanych przypadkach korupcji ma także miejsce ścisła współpraca z organami ścigania, w tym z policją i CBA. Równoległe funkcjonowanie wszystkich wskazanych elementów umożliwia sprawowanie stałego i skutecznego nadzoru w zakresie przeciwdziałania korupcji.