Sisäinen valvontajärjestelmä ja riskienhallinta

Suomen osakeyhtiölain ja listayhtiöiden hallinnointikoodin
mukaan yhtiön hallitus vastaa yhtiön sisäisen valvonnan
asianmukaisesta järjestämisestä.
Sivua viimeksi päivitetty: 02.08.2024

Pörssiyhtiönä konsernin on noudatettava monia eri säännöksiä. Lisäksi on tärkeää varmistaa, että keskeiset operatiiviset ja raportointitavoitteet täyttyvät. Outokumpu on kehittänyt sisäisen valvontajärjestelmän ja toteuttaa sitä koko yhtiössä. Sisäisen valvontajärjestelmän päätarkoituksena on antaa johdolle ja hallitukselle kohtuullinen varmuus konsernin toimintaan, raportointiin ja lakien- ja säännöstenmukaisuuteen liittyvien tavoitteiden saavuttamisesta.

Outokumpu soveltaa sisäisessä valvontajärjestelmässä COSO:n sisäisen valvonnan viitekehystä (2013). Outokummun sisäinen valvontajärjestelmä pohjautuu sisäisen valvonnan politiikkaan ja siihen liittyviin ohjeisiin, yhteisiin tapoihin toimia, selkeästi määriteltyihin rooleihin ja vastuualueisiin sekä IT-järjestelmien tukemiin prosesseihin. Yhtiön hallituksen hyväksymässä riskienhallintapolitiikassa määritellään konsernin riskienhallinnan tavoitteet, lähestymistavat ja vastuualueet. Riskienhallintaprosessi koostuu seuraavista viidestä vaiheesta: 1) riskien tunnistaminen, 2) riskien arviointi, 3) riskien pienentäminen, 4) valvontatoiminnot ja 5) riskien raportointi. Lue lisää riskeistä ja mahdollisuuksista vuosikertomuksesta.

Taloudellisen raportoinnin sisäinen valvonta

Tämän osion tarkoituksena on kuvata osakkeenomistajille ja muille sidosryhmille, miten taloudellisen raportoinnin sisäinen valvonta on järjestetty Outokummussa. Outokummun tavoitteena on varmistaa, että konsernissa noudatetaan yhteisiä taloudellisia prosesseja ja raportointikäytäntöjä ja että yhtiössä on olemassa tehokkaat taloudellisen raportoinnin valvontajärjestelmät. Outokummun sisäisen valvonnan politiikassa määritellään sisäisen valvontajärjestelmän tärkeimmät roolit, vastuualueet, periaatteet ja tavoitteet. Hallitus on viime kädessä vastuussa sisäisen valvontajärjestelmän valvonnasta, ja toimitusjohtaja muiden ylimmän johdon jäsenten tukemana on vastuussa tehokkaan sisäisen valvontajärjestelmän toteutuksesta ja ylläpidosta. Sisäisen valvonnan toiminto tukee ja kehittää tehokkaita sisäisen valvonnan prosesseja ja on vastuussa kontrollien testaamisesta. Järjestelmän osat ovat valvontaympäristö, riskien arviointi, valvontatoimet, viestintä ja tiedotus sekä seurantatoimet.

Outokummun taloudellisessa raportoinnissa noudatetaan EU:n hyväksymiä kansainvälisiä tilinpäätösstandardeja (IFRS). Outokummun laskentaperiaatteet ovat yhtiön soveltamisohjeistus IFRS:stä. Outokumpu noudattaa taloudellisessa raportoinnissaan myös Finanssivalvonnan, Nasdaq Helsingin ja Euroopan arvopaperimarkkinaviranomaisen (ESMA) sääntöjä ja määräyksiä. Outokummun taloudellisen raportoinnin sisäisen valvonnan tavoitteena on antaa kohtuullinen varmuus siitä, että taloudellisessa raportoinnissa ja tilinpäätöksen laatimisessa noudatetaan sovellettavia lakeja, säädöksiä ja sisäisiä vaatimuksia.

Valvontaympäristö

Outokummun valvontaympäristö perustuu politiikkoihin, standardeihin, prosesseihin ja rakenteisiin, jotka toimivat sisäisen valvontajärjestelmän perustana koko organisaatiossa ja määrittävät Outokummun toimintatavat. Outokummun suorituksen johtamisen prosessi sekä riskienhallinnan ja sisäisen valvonnan prosessi ovat keskeisiä johdon tehtäviä, joilla on tärkeä asema tehokkaan valvontaympäristön toteuttamisessa. Suunnittelu ja tavoitteiden asettaminen lakien- ja säännöstenmukaisuuden, operatiivisen toiminnan ja talouden osa-alueilla tehdään koko konsernissa Outokummun liiketoiminnan tavoitteiden mukaisesti. Johto seuraa tavoitteiden saavuttamista. Riskejä ja uhkia käsitellään säännöllisen raportoinnin ja seurantakokousten avulla.

Sisäinen valvonnan kannalta keskeiset politiikat
  • Hyväksymisperiaatteet määrittävät Outokumpu-konsernin keskeiset valtuutustasot ja -rajat. Sovelletaan Outokummun

    liiketoiminta-alueiden ja konsernitoimintojen tekemien sopimusten ja muiden sitoumusten sisäiseen hyväksyntään.

  • Riskienhallintapolitiikka kuvaa Outokumpu-konsernin noudattamat riskienhallintaperiaatteet ja tärkeimmät säännöt.

  • Toimintaohje (Code of Conduct) määrittelee eettiset periaatteet ja antaa yhteisiä toimintatapoja koskevia ohjeita.

  • Sisäisen tarkastuksen työjärjestys kuvaa Outokumpu-konsernissa noudatettavat sisäisen tarkastuksen tehtävään liittyvät perusperiaatteet ja arvot.

  • Sisäisen valvonnan politiikka määrittelee Outokummun sisäisen valvontajärjestelmän keskeiset roolit, vastuut, periaatteet ja tavoitteet.

  • Rahoituspolitiikka määrittelee rahoitustoiminnon tavoitteet ja pääperiaatteet sekä rahoitukseen liittyvien tehtävien ja vastuiden jakautumisen Outokumpu-konsernissa.

  • IT-politiikka määrittelee rajoitukset ja käytännöt, joita käyttäjän on sitouduttava noudattamaan päästäkseen käyttämään Outokummun verkkoa, internetiä ja muita resursseja.

  • Identiteetti- ja pääsynhallintapolitiikka mahdollistaa oikeiden henkilöiden pääsyn oikeisiin resursseihin, oikeaan aikaan ja oikeista syistä.

  • Yritysvastuupolitiikka ja eettiset periaatteet pyrkivät takaamaan, että yritykset toimivat eettisesti ja ottavat huomioon ihmisoikeudet sekä yhteiskuntaan, talouteen ja ympäristöön liittyvät vaikutukset.

  • Outokummun laskentaperiaatteet (OAP) määrittävät laskentaperiaatteet ja tiedonantovaatimukset, joita kaikkien juridisten yhtiöiden ja raportointiyksiköiden on noudatettava raportoidessaan taloudellisia tietojaan konsernille.

Riskinarviointi

Riskien arviointi on dynaaminen ja toistuva prosessi, jossa tunnistetaan ja arvioidaan riskejä ennalta määritettyjen tavoitteiden saavuttamiseksi. Sen muodostaman perustan avulla määritetään, miten riskejä hallitaan. Taloudelliseen raportointiin liittyviä riskejä hallinnoidaan Outokummun riskienhallintapolitiikan mukaisesti. Taloudelliseen raportointiin liittyvät riskit tunnistetaan ja arvioidaan
riskityöpajoissa tai vastaavissa keskusteluissa, joissa käsitellään taloudellisen raportointiprosessin merkittävimpiä riskejä.

Valvontatoimet

Valvonnan tavoitteena on estää, havaita ja korjata mahdolliset virheet ja poikkeamat. Valvontatoimilla pyritään myös varmistamaan, että valtuutusrakenteet on suunniteltu ja toteutettu niin, että yhteensopimattomat tehtäväyhdistelmät (esimerkiksi sama henkilö suorittaa
kriittisen tehtävän ja valvoo sen suorittamista) on erotettu toisistaan. Valvontatoimia toteutetaan kaikilla organisaatiotasoilla liiketoimintaprosessien eri vaiheissa, ja niissä otetaan huomioon keskeiset teknologiat, kuten toiminnanohjausjärjestelmät. Taloudellisen raportoinnin valvonta käsittää erilaisia toimia, kuten konsernijohdon ja liiketoiminta-alueiden johdon suorittamat taloudellisten
raporttien tarkastukset, tilien täsmäytykset, raportoitujen lukujen loogisuusanalyysit, ennusteiden ja raportoitujen lukujen vertailuanalyysit ja konsernin taloudellisen raportointiprosessin analyysit. Keskeinen tekijä on kuukausittaisen suoriutumisen seuraaminen suhteessa
asetettuihin taloudellisiin ja operatiivisiin tavoitteisiin.

Valvontatoimintojen kohokohdat
  • Vuonna 2023 digitaalisen riskienhallinta- ja valvontajärjestelmän maturiteettia parannettiin kehittämällä raportointia, joka tukee johtoa päätöksenteossa ja valvonnassa.
  • Sisäisen valvonnan kattavuutta parannettiin lisäämällä digitaaliseen järjestelmään uusia osia, kuten Americas-liiketoiminta-
    alueen taloudellisen raportointiprosessin valvontatoimet. Varastonhallinnan prosessista tehtiin erillinen arviointi, ja prosessin lisävalvontatoimien toteutus on aloitettu.
  • Konsernin sisäisen valvonnan toiminto käynnisti valvontatoimien testauksen, jonka avulla voidaan arvioida valvontatoimien tarkoituksenmukaisuutta ja tehokkuutta. Testauksen tulokset annetaan harkittaviksi kunkin valvontatoiminnon omistajille.
  • Tehtävien eriyttämisen hallinnan (SoD) vahvistamista jatkettiin vuonna 2023, kun SAP S/4HANA -ympäristössä otettiin käyttöön tähän liittyvä GRCtoiminnallisuus. Lisäksi SoD-hallintomallin ja prosessien kehittäminen jatkui tavoitteena käynnistää SoDraportointi ja riskien pienentäminen vuonna 2024.
  • Outokumpu otti käyttöön uuden taloudellisen suunnittelun, raportoinnin ja konsolidoinnin järjestelmän. Taloudelliseen raportointiin liittyviä valvontatoimintoja arvioitiin ja hienosäädettiin vastaamaan uutta raportointiprosessia.
  • SAP S/4HANA -järjestelmän ja muiden siihen liittyvien IT-järjestelmien seuraavan käyttöönoton valmistelua jatkettiin.

Viestintä ja tiedotus

Konserninlaajuiset politiikat ja periaatteet ovat kaikkien Outokummun työntekijöiden saatavissa. Taloudelliseen raportointiin liittyvät ohjeet annetaan tiedoksi kaikille asianomaisille. Tärkeimmät viestintäkanavat ovat säännölliset controller-kokoukset, Outokummun intranet sekä digitaaliset alustat ja tietokannat. Konsernitoimintojen ohjausryhmä käsittelee ja arvioi muun muassa sisäisiin valvontatoimintoihin liittyviä asioita. Lisäksi säännöllisissä talousjohdon kokouksissa käsitellään esimerkiksi taloudellisen raportointiprosessin asioita.

Seuranta

Organisaatio arvioi sisäisen valvonnan puutteita ja viestii niistä hyvissä ajoin korjaavista toimista vastaaville osapuolille, kuten ylimmälle johdolle ja tarvittaessa hallitukselle. Outokummun konserniyhtiöiden johto sekä taloushallinto- ja controller-toiminnot vastaavat
taloudelliseen raportointiin liittyvän valvonnan seurannasta. Yhtiön sisäisen valvonnan toiminto kehittää ja seuraa sisäisen valvonnan prosesseja ja valvontajärjestelmää sekä suorittaa kontrollitestausta. Sisäinen tarkastus arvioi konsernin valvontaympäristön asianmukaisuutta. Valvonnan arviointiin osallistuvat myös riskienhallintatoiminto, compliance-toiminto ja
Outokummun tilintarkastajat. Varmentamiseen liittyvät havainnot sekä sisäisen valvontajärjestelmän maturiteetti raportoidaan säännöllisesti tarkastusvaliokunnalle ja konsernitoimintojen ohjausryhmälle.

Sisäinen tarkastus

Sisäisen tarkastuksen tehtävänä on toimia itsenäisenä ja puolueettomana varmennus-, valvonta- ja konsultointitoimintona, jonka tarkoituksena on tuottaa lisäarvoa, parantaa toimintoja sekä seurata ja tukea organisaatiota tavoitteiden saavuttamisessa.

Tarkasti ja järjestelmällisesti toimiva sisäinen tarkastus arvioi, ovatko hallituksen ja Outokummun johtoryhmän suunnittelemat ja edustamat hallinnon sekä lakien- ja säännöstenmukaisuuden prosessit, sisäinen valvontajärjestelmä sekä riskienhallinta- ja sisäisen
valvonnan prosessi tehokkaita ja vaikuttavia.

Konsernin sisäinen tarkastus, jolla on kolmannen linjan tehtävät riskienhallinnassa, tekee tarkastuksia hallituksen
tarkastusvaliokunnan hyväksymän tarkastussuunnitelman mukaisesti. Sisäinen tarkastus seuraa yhdessä compliance-toiminnon kanssa konsernin periaatteiden, politiikkojen ja ohjeiden noudattamista sekä tutkii vilpillisiä ja määräysten vastaisia menettelyjä ja toimia.

Keskeiset toimet vuonna 2023

  • Sisäinen tarkastus teki yhdeksän tarkastusta sisältäen yhden erityistarkastuksen. Tarkastusten tulokset sekä niihin liittyvien jatkotoimien edistyminen raportoidaan asianomaiselle johdolle, hallituksen tarkastusvaliokunnalle ja tilintarkastajille.
  • Vuonna kirjattiin 48 väärinkäytöksiä koskevaa ilmoitusta (2022: 45), joista suurin osa johtaa toimenpidesuosituksiin.

Vuodelle 2024 suunnitellut keskeiset toimet

  • Vuodeksi on suunniteltu 7–9 tiettyyn toimipaikkaan tai teemaan liittyvää tarkastusta.


Eettiset toimintatavat sekä lakien ja säännösten noudattaminen

Outokumpu on sitoutunut vahvasti korkeimpiin eettisiin toimintaperiaatteisiin ja noudattaa toimintamaissaan sovellettavia lakeja ja säännöksiä sekä tekemiään sopimuksia ja sitoumuksia. Nämä eettiset toimintaperiaatteet on esitetty Outokummun toimintaohjeessa (Code of Conduct). Toimintaohjeessa annetaan myös yhteisiä työskentelytapoja koskevia ohjeita, joiden avulla pyritään varmistamaan, että kaikki työntekijät noudattavat Outokummun eettisiä toimintaperiaatteita.

Outokummun lakiasiat- ja compliance-toiminto vastaa Outokummun konserninlaajuisen eettisten toimintatapojen ja lakien ja säännösten noudattamista koskevan ohjelman hallinnasta ja jatkuvasta kehittämisestä. Tästä eettisiä toimintatapoja ja lain ja säännösten noudattamista koskevasta ohjelmasta kerrotaan tarkemmin vastuullisuuskatsauksessa. Lakiasiat- ja compliancetoiminto raportoi toimitusjohtajalle. Lisäksi se raportoi Outokummun johtoryhmälle sekä suoraan hallituksen tarkastusvaliokunnalle eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyvissä asioissa.

Eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyviä asioita käsitellään myös säännöllisesti compliance-ohjausryhmässä, johon kuuluvat konsernitoimintojen ohjausryhmä, sisäisen tarkastuksen ja sisäisen valvonnan johtaja, lakiasiainjohtaja ja compliance-toiminnosta vastaava johtaja. Compliance-ohjausryhmä kokoontui vuoden 2023 aikana neljä kertaa. Lisäksi
compliance-yhteyshenkilöiden maailmanlaajuinen verkosto ja erilaiset tietosuojahallintoelimet tukevat eettisiä toimintatapoja ja lakien ja säännösten noudattamista koskevan ohjelman toimeenpanoa liiketoiminta-alueilla, -linjoilla ja konsernitoiminnoissa.