Sisäinen valvonta ja riskienhallinta
Suomen osakeyhtiölain ja listayhtiöiden hallinnointikoodin mukaan yhtiön hallitus vastaa yhtiön sisäisen valvonnan asianmukaisesta järjestämisestä. Tämän osion tarkoituksena on kuvata osakkeenomistajille ja muille asianosaisille, miten taloudellisen raportoinnin sisäinen valvonta ja riskienhallinta on järjestetty Outokummussa. Pörssiyhtiönä konsernin on noudatettava monia eri säännöksiä. Jotta Outokumpu kykenisi täyttämään kaikki siihen sovellettavat vaatimukset, Outokummussa on käytössä taloudellisen raportoinnin ja sisäisen valvonnan periaatteet, jotka on jaettu koko organisaation tietoon.
Valvontaympäristö
Outokummun valvontaympäristön perusta on konsernissa omaksuttu liiketoimintakulttuuri ja sen mukaiset toimintatavat. Outokummun valvontaympäristön muodostavat konsernin politiikat ja periaatteet, jotka määrittävät Outokummun organisaation toimintamallin. Näitä politiikkoja ja periaatteita ovat esimerkiksi konsernin yritysvastuupolitiikka ja eettiset periaatteet. Outokummun toimintaohjeessa (Code of Conduct) kuvataan konsernin perusarvoja sekä annetaan yhdenmukaisia käytännöllisiä ohjeita yhtiön esimiehille ja työntekijöille. Lisäksi sisäisen valvonnan politiikassa, hyväksymispolitiikassa ja identiteetti- ja pääsynhallintapolitiikassa määritellään useita sisäisen valvonnan järjestelmiin liittyviä periaatteita.
Outokummun suorituksen johtamisen prosessi sekä riskienhallinnan ja sisäisen valvonnan prosessi ovat keskeisiä johdon tehtäviä, joilla on tärkeä asema tehokkaan valvontaympäristön toteuttamisessa. Suunnittelu ja tavoitteiden asettaminen sekä operatiivisessa että taloudellisessa mielessä suoritetaan koko operatiivisessa organisaatiossa Outokummun liiketoiminnan tavoitteiden mukaisesti. Johto seuraa tavoitteiden saavuttamista ja riskejä säännöllisten johtamisraporttien ja kokousten avulla.
Sisäisen valvonnan toiminto seuraa ja kehittää Outokummun sisäistä valvontajärjestelmää ja testaa kontrolleja. Toiminto on vastuussa myös konserninlaajuisesta hallinnon, riskienhallinnan ja lakien- ja säännöstenmukaisuuden koordinoinnista. Sisäisen valvonnan toiminnon johdolla Outokumpu on jatkanut globaalin, yhtenäisen ja yhdenmukaisen riskienhallinnan ja sisäisen valvonnan prosessin kehittämistä ja toteuttamista, mikä lisää yhtiön mahdollisuuksia saavuttaa keskeiset tavoitteensa. Uuden riskienhallinnan ja sisäisen valvonnan prosessin käyttöönotto alkoi vuonna 2021 ja jatkuu vuonna 2022. Lisäksi laadittiin tehtävien eriyttämiseen liittyvä selvitys ja määriteltiin tiekartta toimenpiteistä lähivuosille. Vuoden aikana toteutettiin parannustoimia liittyen esimerkiksi n.s. fire fighter -prosessiin (laajat muokkausoikeudet tietojärjestelmien tuotantoympäristöön).
Riskienhallinta
Outokumpu noudattaa toiminnassaan yhtiön hallituksen hyväksymää riskienhallintapolitiikkaa. Politiikka määrittelee konsernin riskienhallinnan tavoitteet, lähestymistavat ja vastuualueet. Riskienhallinta tukee Outokummun strategiaa, ja sen tavoitteena on tunnistaa, arvioida, pienentää ja hallita riskejä osakkeenomistajien ja muiden sidosryhmien, kuten asiakkaiden, toimittajien, rahoittajien, viranomaisten ja työntekijöiden, näkökulmasta.
Riskienhallintaorganisaatio
Hallitus vastaa Outokummun riskienhallinnasta. Toimitusjohtaja ja johtoryhmä vastaavat riskienhallinnan toimintatapojen määrittämisestä ja toteuttamisesta ja valvovat, että riskit otetaan huomioon strategia- ja liiketoimintasuunnittelussa.
Outokummun riskienhallinnan johtamisvastuu on Outokummun riskienhallinnan ohjausryhmällä, jota johtaa konsernin talous- ja rahoitusjohtaja. Lisäksi myös muut talous- ja rahoitusjohtajan vetämät ohjausryhmät, kuten taloudellisten riskien riskienhallinnan ohjausryhmä ja energiariskien riskienhallinnan ohjausryhmä, osallistuvat yhtiön riskienhallintaan.
Liiketoiminta-alueet ja konsernitoiminnot ovat vastuussa liiketoimintaansa kuuluvien riskien tunnistamisesta, arvioimisesta ja hallinnasta. Riskienhallinnan ohjausryhmä ja hallitus käyvät säännöllisesti läpi keskeiset riskit ja riskienhallintatoimenpiteet. Konsernin rahoitustoiminnon tehtävänä on tukea riskienhallintapolitiikan täytäntöönpanoa, koordinoida riskienhallintatoimia ja laatia neljännesvuosittain riskiraportti konsernijohdolle, hallituksen tarkastusvaliokunnalle ja tilintarkastajille.
Riskienhallinnan ja sisäisen valvonnan toimenpiteet
Outokumpu on määritellyt riskiksi minkä tahansa asian, joka voi estää konsernin tavoitteiden saavuttamisen tai haitata sitä. Riskit voivat siis olla konsernin nykyiseen tai tulevaan toimintaan liittyviä uhkia, epävarmuustekijöitä tai menetettyjä mahdollisuuksia. Outokummun riskinottohalukkuus ja riskinkantokyky määritetään säännöllisesti suhteessa konsernin tulokseen, kassavirtaan ja pääomarakenteeseen. Riskienhallinta- ja valvontaprosessi on osa yleistä johtamisprosessia, ja se jakautuu seuraaviin vaiheisiin: 1) riskien tunnistaminen, 2) riskien arviointi ja priorisointi, 3) riskien pienentäminen ja kontrollointi sekä 4) seuranta ja raportointi. Outokummun riskienhallintaprosessi on kaksiosainen ja se koostuu riskienhallinnasta, siihen liittyvistä kontrolleista ja niiden testauksesta. Samaa prosessia sovelletaan konserniorganisaation eri tasoilla.
Outokummussa prosessia seurataan ja valvotaan eri organisaatiotasoilla. Riskeihin kohdistetaan säännöllisiä katsauksia tietojen päivittämiseksi. Säännöllisillä kontrolleilla varmistetaan, että yhtiön toimintatapoja ja prosesseja noudatetaan. Riskikatsausten tulosten seuranta sekä riskien pienentämiseen tähtäävät toimet ja valvontatoimet varmistavat täsmällisen tiedon saatavuuden sisäisesti liiketoiminta-alueiden johtoryhmille ja konsernin johtoryhmälle sekä tärkeille ulkoisille tahoille, kuten osakkeenomistajille ja muille sidosryhmille.
Taloudellisen raportoinnin sisäinen valvonta
Outokummun taloudellisen raportoinnin valvontaprosessi perustuu pääosin sisäisen valvonnan politiikkaan, Outokummun laskenta- ja hyväksymisperiaatteisiin sekä konsernin vastuu- ja valtuusrakenteeseen. Taloudelliseen raportointiin liittyvien politiikkojen omistaja ja hyväksyjä on yleensä talous- ja rahoitusjohtaja. Outokummun taloudellinen raportointi toteutetaan yhdenmukaisesti yhteisen tilikartan ja periaatteiden avulla.
Taloudellinen raportointi laaditaan kansainvälisten tilinpäätösstandardien (IFRS) mukaisesti. Outokummun laskentaperiaatteet (OAP) ovat yhtiön soveltamisohjeistus IFRS:stä. Outokummun laskentaperiaatteiden ja muun taloudellisen raportoinnin ohjeistuksen tavoitteena on varmistaa yhdenmukaiset taloudellisen raportoinnin prosessit ja käytännöt koko konsernissa. Taloudelliseen raportointiin liittyvät politiikat ja ohjeet arvioidaan säännöllisesti ja niitä tarkistetaan tarvittaessa.
Konsernin emoyhtiön ja suomalaisten tytäryhtiöiden tilinpäätökset on laadittu Suomessa noudatettavan hyvän kirjanpitotavan mukaisesti, ja ulkomaiset tytäryhtiöt noudattavat paikallisia kirjanpitosääntöjä. Outokumpu noudattaa taloudellisessa raportoinnissaan myös Finanssivalvonnan, Nasdaq Helsingin ja Euroopan arvopaperimarkkinaviranomaisen (ESMA) sääntöjä ja määräyksiä.
Taloudelliseen raportointiin liittyvien riskien tunnistaminen ja arviointi
Yhtiön taloudelliseen raportointiin liittyviä riskejä hallinnoidaan Outokummun riskienhallintapolitiikan mukaisesti. Taloudelliseen raportointiin liittyvät riskit on luokiteltu operatiivisiksi riskeiksi, ja niitä voi aiheutua riittämättömien tai epäonnistuneiden sisäisten prosessien, työntekijöiden toiminnan, järjestelmien tai muiden tapahtumien, kuten väärinkäytösten tai rikosten, seurauksena. Taloudelliseen raportointiin liittyvät riskit tunnistetaan ja arvioidaan riskityöpajoissa. Vuonna 2021 arvioitiin taloudellisen raportoinnin prosessi merkittävimmiltä osin. Jotkin tunnistetut riskit ja niihin liittyvät valvontatoimet implementoitiin uuteen riskienhallinta- ja valvontajärjestelmään.
Valvontatoiminnot
Hallituksen lisäksi Outokummun taloushallinto eri tasoilla ja tytäryhtiöiden hallitukset vastaavat taloudelliseen raportointiin sovellettavan sisäisen valvonnan järjestämisestä. Outokumpu on keskittänyt suuren osan taloushallintoa ja taloudellista raportointia liiketoiminnan palvelukeskukseen, mikä mahdollistaa tehokkaan sisäisen valvonnan.
Valvonnan tavoitteena on havaita, estää ja korjata mahdolliset virheet ja poikkeamat taloudellisessa raportoinnissa. Valvontatoimilla pyritään myös varmistamaan, että valtuutusrakenteet on suunniteltu ja toteutettu niin, että yhteensopimattomat tehtäväyhdistelmät (esimerkiksi sama henkilö suorittaa kriittisen tehtävän ja valvoo sen suorittamista) erotetaan toisistaan. Valvonta käsittää erilaisia toimia, kuten konserninjohdon ja liiketoiminta-alueiden johdon suorittamat taloudellisten raporttien tarkastukset, tilien täsmäytykset, raportoitujen lukujen loogisuusanalyysit, ennusteiden ja toteutumien vertailuanalyysit ja taloudellisen raportointiprosessin analyysit. Keskeinen tekijä on kuukausittaisen suoriutumisen seuraaminen suhteessa asetettuihin taloudellisiin ja operatiivisiin tavoitteisiin. Nämä kontrollit toteutetaan eri organisaatiotasoilla.
Outokummun taloudellisen raportoinnin merkittävimmät erät ovat varastojen arvostus ja raportointi sekä muut johdon harkintaa vaativat erät kuten varaukset. Lisäksi vaikeissa markkinatilanteissa, kuten koronaviruspandemian aikana, omaisuuserien arvonalennuslaskelmat ja niihin liittyvät herkkyysanalyysit ovat myös tärkeitä. Niitä seurataan tarkasti ja valvotaan säännöllisesti sekä liiketoiminta-alueilla että konsernin tasolla.
Tietotekniikalla ja IT-järjestelmillä on tärkeä asema sisäisen valvonnan rakenteiden asianmukaisessa varmistamisessa. Yhtiön konsolidointijärjestelmä varmistaa konsernin yksiköiden taloudellisen ja johdon raportoinnin oikea-aikaisuuden ja yhdenmukaisuuden sekä koko konsernin tehokkaan tilinpäätösprosessin. Outokummulla on lisäksi käynnissä liiketoiminnan muutosohjelma, jonka tavoitteena on kehittää ja parantaa liiketoimintakykyä sekä uudistaa hajanaista järjestelmäympäristöä. Tavoite saavutetaan pääasiassa yhtenäistämällä ja parantamalla konsernin ydinliiketoimintaprosesseja ja toteuttamalla niitä tukevia järjestelmiä. Lisäksi prosessien avulla voidaan kehittää järjestelmäperustaista valvontaa.
Uusi toiminnanohjausjärjestelmä (ERP) sekä muita siihen liittyviä IT-ratkaisuja otettiin onnistuneesti käyttöön Avestassa vuonna 2021. Järjestelmän laajempaan käyttöönottoon tähtäävien toimenpiteiden arvioidaan jatkuvan vuonna 2022. Lisäksi Outokumpu sai valmiiksi tilinpäätöstä tukevan järjestelmän käyttööoton ja vahvisti siihen liittyen yhtenäisen tilinpäätösprosessin sisäistä valvontaa. Uusi järjestelmä lisää läpinäkyvyyttä sisältäen prosessin valvonnan ja parantaa sekä raportointiprosessin tehokkuutta että luotettavuutta. Vuonna 2022 Outokumpu pyrkii kehittämään taloudellisen raportoinnin prosessia edelleen lisäämällä sisäisen valvonnan kattavuutta, kehittämällä taloudellisten tietojen konsolidointijärjestelmää ja tehostamalla tilinpäätösprosesseja.
Viestintä ja tiedotus
Konserninlaajuiset politiikat ja periaatteet ovat kaikkien Outokummun työntekijöiden saatavissa. Taloudelliseen raportointiin liittyvät ohjeet annetaan tiedoksi kaikille asianomaisille. Tärkeimmät viestintäkanavat ovat Outokummun intranet, muut helposti käytettävissä olevat tietokannat ja sähköposti. Pandemiatilanteessa on suositeltu etätyötä, joten kokouksia, joissa osallistujat ovat läsnä, on järjestetty vähän. Säännöllisissä talousjohdon kokouksissa jaetaan tietoa ja keskustellaan konsernin ajankohtaisista asioista.
Lisäksi Outokummussa on perustettu konsernitoimintojen ohjausryhmä ja muita ohjausryhmiä (esimerkiksi riskienhallinnalle ja lakien- ja säännöstenmukaisuudelle), joissa käsitellään ja arvioidaan taloudellisen raportoinnin ja sisäisen valvonnan asioita. Ryhmiin kuuluu tyypillisesti johtoasemassa olevia henkilöitä ja aihealueen asiantuntijoita. Outokummun tavoitteena on varmistaa talouden prosessien ja raportointikäytäntöjen yhtenäisyys koko konsernissa sekä taloudellisen tiedon raportoinnin tehokas sisäinen valvonta.
Seuranta
Outokummun konserniyhtiöiden johto ja taloushallinto- ja controller-toiminnot vastaavat taloudelliseen raportointiin liittyvien kontrollien seurannasta. Yhtiön sisäisen valvonnan toiminto kehittää ja seuraa valvonnan prosesseja ja ympäristöä sekä suorittaa kontrollitestausta. Sisäinen tarkastus arvioi konsernin valvontaympäristön asianmukaisuutta. Seurantaan ja valvontaan osallistuvat myös riskienhallintatoiminto, compliance-toiminto sekä tilintarkastus. Seurantaan liittyvät havainnot raportoidaan säännöllisesti tarkastusvaliokunnalle ja konsernitoimintojen ohjausryhmälle.
Sisäinen tarkastus
Sisäinen tarkastus on itsenäinen ja puolueeton varmistus-, valvonta- ja konsultointitoiminto konsernin sisällä. Sen tarkoituksena on tuottaa lisäarvoa, parantaa toimintoja sekä seurata ja tukea organisaatiota tavoitteiden saavuttamisessa. Tarkasti ja järjestelmällisesti toimiva sisäinen tarkastus arvioi, ovatko hallinto- ja lakien- ja säännöstenmukaisuusprosessit ja sisäinen valvontajärjestelmä sekä hallituksen ja Outokummun johtoryhmän suunnittelema ja edustama riskienhallinta- ja sisäisen valvonnan prosessi tehokkaita ja vaikuttavia.
Johdonmukaisesti ja vastuullisesti toimiva sisäinen tarkastus tuottaa hallitukselle ja ylimmälle johdolle arvoa täsmällisen ja luotettavan tiedon sekä riippumattomien neuvojen suorana ja puolueettomana lähteenä. Lisäksi sisäinen tarkastus seuraa konsernin periaatteiden, politiikkojen ja ohjeiden noudattamista sekä tutkii vilpillisiä ja määräysten vastaisia menettelyjä ja toimia. Sisäinen tarkastus toimii tarkastusvaliokunnan puolesta ja raportoi suoraan tarkastusvaliokunnalle ja ylimmälle johdolle. Hallituksen tarkastusvaliokunta hyväksyy sisäisen tarkastuksen suunnitelman. Lisäksi valiokunta voi toteuttaa suunnitelmaan kuulumattomia tarkastuksia tarpeen mukaan.
Vuonna 2021 sisäinen tarkastus teki viisi suunniteltua toimipaikkaan tai tiettyyn teemaan liittyvää tarkastusta. Kaikkien tarkastusten tulokset, sisältäen riskiarvioinnit, on raportoitu kirjallisesti. Outokummun toimintaohjeen ja yritysvastuupolitiikan näkökulmasta ei tunnistettu konsernin kannalta olennaisia riskejä. Sisäisen tarkastuksen suunnitelma vuodelle 2022 keskittyy muun muassa toimitusketjun riskienhallintaan ja toimipaikkojen tarkastuksiin.
Outokumpu kannustaa kaikkia kertomaan väärinkäytösepäilyistään, ja Outokummulla on käytäntö, jonka mukaan hyvässä uskossa tehdyistä ilmoituksista ei saa seurata vastatoimenpiteitä. Väärinkäytösepäilyksiä voi raportoida usein eri tavoin, esimerkiksi ulkoisesti hallinnoidun SpeakUp-raportointikanavan kautta. Sen avulla voi ilmoittaa väärinkäytöksistä luottamuksellisesti ja anonyymisti lakien ja määräysten sen salliessa.
SpeakUp-kanava on käytettävissä sekä sisäisesti yhtiön intranetsivuilla että ulkoisille sidosryhmille yhtiön verkkosivuilla. Vuonna 2021 kirjattiin 40 ilmoitusta mahdollisista väärinkäytöksistä, joista 29 tapausta ilmoitettiin SpeakUp-kanavan ja 11 muiden kanavien kautta.
Vuoden aikana kehitettiin sisäisen tarkastuksen prosessia sekä tutkintaan liittyvää toimintamallia, työkaluja ja menetelmiä. Tavoitteena oli tehostaa toimintatapoja sekä valmistautua EU:n ilmoittajansuojelua koskevaan whistleblower protection -direktiiviin ja sen perusteella voimaantulevaan lainsäädäntöön.
Eettiset toimintatavat sekä lakien ja säännösten noudattaminen
Outokumpu on sitoutunut vahvasti korkeimpiin eettisiin toimintaperiaatteisiin ja noudattaa toimintamaissaan sovellettavia lakeja ja säännöksiä sekä tekemiään sopimuksia ja sitoumuksia. Nämä eettiset toimintaperiaatteet on esitetty Outokummun toimintaohjeessa (Code of Conduct). Siinä annetaan myös yhteisiä työskentelytapoja koskevia ohjeita, joiden avulla pyritään varmistamaan, että kaikki työntekijät noudattavat Outokummun eettisiä toimintaperiaatteita.
Outokummun lakiasiat- ja compliance-toiminto vastaa Outokummun eettisten toimintatapojen ja lakien ja säännösten noudattamista koskevan ohjelman hallinnasta ja jatkuvasta kehittämisestä. Tästä eettisiä toimintatapoja ja lain ja säännösten noudattamista koskevasta ohjelmasta kerrotaan tarkemmin vastuullisuusraportissa. Lakiasiat- ja compliance-toiminto raportoi toimitusjohtajalle. Lisäksi se raportoi Outokummun johtoryhmälle sekä suoraan hallituksen tarkastusvaliokunnalle eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyvissä asioissa. Eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyviä asioita käsitellään myös säännöllisesti compliance-ohjausryhmässä, johon kuuluvat toimitusjohtaja,talous- ja rahoitusjohtaja, henkilöstöjohtaja, sisäisen tarkastuksen ja sisäisen valvonnan johtaja, konsernin lakiasiainjohtaja ja compliance-toiminnosta vastaava johtaja. Compliance-ohjausryhmä kokoontui vuoden 2021 aikana neljä kertaa. Compliance-yhteyshenkilöiden verkosto ja erilaiset tietosuojahallintoelimet tukevat eettisiä toimintatapoja ja lakien ja säännösten noudattamista koskevan ohjelman toimeenpanoa liiketoiminta-alueilla ja konsernifunktioissa.
Päivitetty 4.3.2022.