Riskit ja sisäinen valvonta

Sisäisen valvonnan periaatteet

Orionin hallitus on määritellyt yrityksen sisäisen valvonnan toimintaperiaatteet yhtiössä. Johtamistavan ja -kulttuurin perustana ovat lakien ja yhtiöjärjestyksen noudattaminen sekä Orionin arvot ja eettiset liiketoimintatavat. Sisäinen valvonta on osa johtamisjärjestelmässä kuvatun mukaista normaalia liiketoiminnan ohjausta ja johtamista, jota varmennetaan riskienhallinnan, tilintarkastuksen ja sisäisen tarkastuksen avulla. Sen tavoitteena on varmistaa, että toiminta on tehokasta ja tuloksellista, liiketoimintariskit on hallittu asianmukaisesti, lakeja ja säännöksiä noudatetaan ja informaatio on luotettavaa. Se perustuu selkeään tavoitteenasetteluun, tiiviiseen tavoitteiden seurantaan sekä tehokkaaseen ja käytännönläheiseen riskienhallintaan.

Käytännössä sisäisestä valvonnasta vastaa kunkin osa-alueen johto ja jokainen liiketoimintayksikkö tai toiminto järjestää oman yksikkönsä tai organisaationsa sisäisen valvonnan itse konsernitasolla määritettyjen politiikkojen ja ohjeiden määrittämien periaatteiden mukaisesti. Keskeiset ohjeet sisältyvät konsernin johtamisohjeistoon.

Riskienhallinta Orion-konsernissa

Riskienhallinnan päämäärä ja toimintamalli

Riskienhallinnan perustarkoituksena on tunnistaa, mitata ja hallita käytettävissä olevin keinoin ne riskit, jotka mahdollisesti uhkaavat yhtiön toimintaa sekä asetettujen tavoitteiden saavuttamista.

Riskien hallinta on erottamaton osa päivittäisiä johtamisprosesseja sekä Orion-konsernin hallinnointi- ja ohjausjärjestelmäkokonaisuutta (Corporate Governance) ja liittyy yhtiön vastuurakenteisiin sekä toiminnan valvonnan periaatteisiin. Riskienhallinta noudattaa hyvän hallintotavan periaatteita sekä pörssiyhtiöille annettuja suosituksia, säännöksiä ja määräyksiä.

Riskienhallintaprosessin käytännön toteutus, kehittäminen ja seuranta perustuvat kolmen puolustuslinjan malliin. Roolit ja vastuut jakautuvat puolustuslinjoittain seuraavasti:

 

 

Riskienhallinnan periaatteet

Riskit määritellään tekijöiksi, jotka uhkaavat asetettujen tavoitteiden saavuttamista ja riskit mitataan niiden vaikutuksen ja todennäköisyyden mukaan. Riskienhallinta on jatkuva prosessi ja se on osa yhtiön strategiaprosessia, operatiivista suunnittelua, päivittäistä päätöksentekoa ja toiminnan seurantaa. Riskienhallinta on myös osa sisäistä valvontajärjestelmää.

Toiminnassaan Orion-konsernin liiketoimintayksiköt toteuttavat harkittua riskinottoa ja päätökset perustuvat huolelliseen arviointiin ja harkintaan mm. riskinoton ja siihen liittyvän tuoton suhteen.

Riskienhallintatyön tavoitteena on järjestelmällisesti tunnistaa, arvioida sekä kustannustehokkaalla toiminnalla hallita riskit ja siten:

  • varmistaa, että tunnistetut henkilöstöön, asiakkaisiin, tuotteisiin, maineeseen, omaisuuteen, tietopääomaan ja yhtiön toimintakykyyn vaikuttavat riskit on hallittu lain edellyttämällä tavalla ja muutoin siten kuin parhaan tietämyksen ja taloudelliset olosuhteet huomioiden on perusteltua
  • täyttää sidosryhmien odotukset (omistajat, asiakkaat, henkilöstö, kumppanit ja yhteiskunta)
  • varmistaa liiketoiminnan häiriötön jatkuminen

Riskienhallintapolitiikan perustana ovat Orion-konsernin päätetyt strategiat sekä taloudelliset tavoitteet. Yhtiön strategian toteuttamista ja tavoitteiden saavuttamista uhkaavat riskit pyritään tunnistamaan, analysoimaan ja arvottamaan. Tunnistettuihin riskeihin reagoidaan siten, että yhtiö voidaan suojata menetyksiä vastaan tai riskeihin liittyvät mahdollisuudet voidaan hyödyntää.

Riskien luokittelu

Riski voi olla sisäinen tai ulkoinen tapahtuma, joka vaarantaa yhtiön mahdollisuuksia saavuttaa asetetut tavoitteensa. Riskit jaetaan seuraaviin pääryhmiin, jotka voidaan tarvittaessa jakaa alaryhmiin:

  1. Strategiset riskit
  2. Operatiiviset riskit
  3. Taloudelliset riskit
  4. Compliance -riskit

Valvontatoimenpiteet

Raportointi ja tiedonvälitys

Orionin tehokkaat ja yhdenmukaiset toimintaprosessit perustuvat yhtenäiseen toiminnanohjausjärjestelmään. Toiminnan ohjaamista varten laaditaan kuukausittaiset talousraportit, joissa esitetään toteutuneen tuloksen lisäksi vertailu toteutuneen ja tavoitteen välillä sekä ennuste tulevasta kehityksestä. Orionilla on eri toiminnoissa käytössä myös lukuisia tavoitteiden asettamisen ja seurannan mittareita, joiden avulla toimintaa valvotaan ja ohjataan asetettujen tavoitteiden mukaisesti.

Riskejä ja niiden hallintakeinoja seurataan ja raportoidaan liiketoimintayksiköissä ja eri toiminnoissa niiden sisäisesti konsernitason periaatteiden ja ohjeiden pohjalta määrittämien prosessien mukaisesti. Konsernitasolla riskeistä raportoidaan toimitusjohtajalle ja johtoryhmälle osana vuosisuunnittelua sekä erikseen tarvittaessa.

Raportointi hallitukselle ja tarkastusvaliokunnalle tapahtuu tarkastusvaliokunnan vuosisuunnitelmissa kuvattuina ajanjaksoina sekä aina kun hallitus, tarkastusvaliokunta, toimitusjohtaja tai sisäisen tarkastus näkee siihen erityisiä syitä.

Seuranta ja tarkastus

Orion Oyj:n hallitus vastaa riskienhallintapolitiikan hyväksymisestä ja valvoo, että johto toimii sen mukaisesti. Hallituksen vastuulla on valvoa riskienhallinnan ja sisäisen valvonnan toimivuutta hyvän hallintotavan mukaisesti.

Hallitus on delegoinut tarkastusvaliokunnalle valtuudet arvioida liiketoimintariskejä ja niiden raportointia sekä riskienhallinnan kattavuutta. Tarpeen mukaan tarkastusvaliokunta vie asioita hallituksen päätettäväksi ja arvioitavaksi. Tarkastusvaliokunta käsittelee riskienhallintaan liittyviä kysymyksiä työjärjestyksensä mukaisella aikataululla sekä aina kun hallitus, tarkastusvaliokunta, toimitusjohtaja tai sisäinen tarkastus näkee siihen erityistä syytä.

Toimitusjohtaja vastaa riskien hallinnasta, sen vaatimista resursseista ja raportoinnista hallitukselle ja tarkastusvaliokunnalle riskienhallintapolitiikan, päätetyn toimintamallin sekä muiden erityisten vaatimusten ja tarkoituksenmukaisen käytännön mukaisesti. Toimitusjohtaja delegoi riskienhallinnan käytännön toteutuksen yhtiön organisaatiorakenteiden mukaisella tavalla ylimmän johdon edustajille, jotka ovat vastuussa toiminnoista, joiden alueella riskit ovat.

Toiminnan valvontaa ja ohjausta varten konsernissa on sisäinen tarkastus, joka toimii hallinnollisesti emoyhtiön toimitusjohtajan välittömässä alaisuudessa ja raportoi työssään tarkastusvaliokunnalle. Sisäinen tarkastus vastaa säännöllisestä riippumattoman arvioinnin suorittamisesta riskienhallinnan riittävyydestä ja riskienhallintaprosessin toimivuudesta. Suunnitelman tämän arvioinnin toteutuksesta tarkastusvaliokunta käsittelee ja hallitus hyväksyy osana sisäisen tarkastuksen vuosisuunnitelmaa.

Riskienhallinta kuuluu jokaiselle orionilaiselle ja sen tulee olla kaikilla organisaation tasolla osa normaalia päivittäistä työtä huolimatta siitä, että vain konsernin kannalta merkittävimpiä riskejä seurataan konsernin johtoryhmässä ja hallituksessa. Riskin omistajien vastuulla on, että heidän liiketoiminta-alueillansa riskejä käsitellään säännöllisesti. Riskin omistajien vastuulla on myös määrätä vastuuhenkilö tai henkilöt, jotka käytännössä vastaavat kyseisen riskin hallinnasta ja raportoinnista. Nämä henkilöt vastaavat omien alueittensa osalta riskienhallinnan prosessista ja riskien asianmukaisesta käsittelystä.

Yhtiön oman sisäisen riskienhallinnan lisäksi yhtiön riskejä arvio myös lakisääteisen tilintarkastus, jonka tehtävänä on todentaa, että tilinpäätös ja toimintakertomus antavat oikeat ja riittävät tiedot konsernin toiminnan tuloksesta ja taloudellisesta asemasta. Lisäksi tilintarkastus käsittää yhtiön kirjanpidon ja hallinnon tarkastuksen. Emoyhtiön varsinaisen tilintarkastajan päävastuullinen tilintarkastaja koordinoi konsernin tytäryhtiöiden tilintarkastusta yhdessä toimitusjohtajan ja sisäisen tarkastuksen kanssa.