Suomen osakeyhtiölain ja listayhtiöiden hallinnointikoodin mukaan yhtiön hallitus vastaa yhtiön sisäisen valvonnan asianmukaisesta järjestämisestä. Pörssiyhtiönä konsernin on noudatettava monia eri säännöksiä. Lisäksi on tärkeää varmistaa, että keskeiset operatiiviset ja raportointitavoitteet täyttyvät. Outokumpu on kehittänyt sisäisen valvontajärjestelmän ja toteuttaa sitä koko yhtiössä. Sisäisen valvontajärjestelmän päätarkoituksena on antaa johdolle ja hallitukselle kohtuullinen varmuus konsernin toimintaan, raportointiin ja lakien- ja säännöstenmukaisuuteen liittyvien tavoitteiden saavuttamisesta. Sisäinen valvontajärjestelmä koostuu sisäisen valvonnan politiikasta ja siihen liittyvistä ohjeista, yhteisistä tavoista toimia, selkeästi määritellyistä rooleista ja vastuista sekä IT-järjestelmien tukemista prosesseista. Yhtiön hallituksen hyväksymässä riskienhallintapolitiikassa määritellään konsernin riskienhallinnan tavoitteet, lähestymistavat ja vastuualueet.
Riskienhallintaprosessi koostuu seuraavista viidestä vaiheesta: 1) riskien tunnistaminen, 2) riskien arviointi, 3) riskien pienentäminen, 4) valvontatoiminnot ja 5) riskien raportointi. Lue lisää riskeistä ja mahdollisuuksista vuosikertomuksesta.
Taloudellisen raportoinnin sisäinen valvonta
Outokummun sisäisen valvonnan politiikassa määritellään konsernin sisäisen valvontajärjestelmän keskeiset roolit, vastuut, periaatteet ja tavoitteet. Outokumpu soveltaa sisäisessä valvontajärjestelmässä COSO:n sisäisen valvonnan viitekehystä (2013).
Hallitus on viime kädessä vastuussa sisäisen valvontajärjestelmän valvonnasta, ja toimitusjohtaja muiden ylimmän johdon jäsenten tukemana on vastuussa tehokkaan sisäisen valvontajärjestelmän toteutuksesta ja ylläpidosta. Järjestelmän osia ovat valvontaympäristö, riskinarviointi, valvontatoimet, viestintä ja tiedotus sekä seurantatoimet.
Outokummun taloudellisessa raportoinnissa noudatetaan EU:n hyväksymiä kansainvälisiä tilinpäätösstandardeja (IFRS). Outokummun laskentaperiaatteet ovat yhtiön soveltamisohjeistus IFRS:stä. Outokumpu noudattaa taloudellisessa raportoinnissaan myös Finanssivalvonnan, Nasdaq Helsingin ja Euroopan arvopaperimarkkinaviranomaisen (ESMA) sääntöjä ja määräyksiä. Outokummun taloudellisen raportoinnin sisäisen valvonnan tavoitteena on antaa kohtuullinen varmuus siitä, että taloudellisessa raportoinnissa ja tilinpäätöksen laatimisessa noudatetaan sovellettavia lakeja, säädöksiä ja sisäisiä vaatimuksia.
Valvontaympäristö
Outokummun valvontaympäristö perustuu politiikkoihin, standardeihin, prosesseihin ja rakenteisiin, jotka toimivat sisäisen valvontajärjestelmän perustana koko organisaatiossa ja määrittävät Outokummun toimintatavat. Outokummun suorituksen johtamisen prosessi sekä riskienhallinnan ja sisäisen valvonnan prosessi ovat keskeisiä johdon tehtäviä, joilla on tärkeä asema tehokkaan valvontaympäristön toteuttamisessa. Suunnittelu ja tavoitteiden asettaminen lakien- ja säännöstenmukaisuuden, operatiivisen toiminnan ja talouden osa-alueilla suoritetaan koko konsernissa Outokummun liiketoiminnan tavoitteiden mukaisesti. Johto seuraa tavoitteiden saavuttamista. Riskejä ja uhkia käsitellään säännöllisen raportoinnin ja seurantakokousten avulla.
Sisäinen valvonnan kannalta keskeiset politiikat
- Hyväksymisperiaatteet määrittävät Outokumpu-konsernin keskeiset valtuutustasot ja rajat. Sovelletaan Outokummun liiketoiminta-alueiden ja konsernitoimintojen tekemien sopimusten ja muiden sitoumusten sisäiseen hyväksyntään.
- Riskienhallintapolitiikka kuvaa Outokumpu-konsernin noudattamat riskienhallintaperiaatteet ja tärkeimmät säännöt.
- Toimintaohje (Code of Conduct) määrittelee eettiset periaatteet ja antaa yhteisiä toimintatapoja koskevia ohjeita.
- Sisäisen tarkastuksen työjärjestys kuvaa Outokumpu-konsernissa noudatettavat sisäisen tarkastuksen tehtävään liittyvät perusperiaatteet, säännöt ja arvot.
- Sisäisen valvonnan politiikka määrittelee Outokummun sisäisen valvontajärjestelmän keskeiset roolit, vastuut, periaatteet ja tavoitteet.
- Rahoituspolitiikka määrittelee rahoitustoiminnon tavoitteet ja pääperiaatteet sekä rahoitukseen liittyvien tehtävien ja vastuiden jakautumisen Outokumpu-konsernissa.
- IT-politiikka määrittelee rajoitukset ja käytännöt, joita käyttäjän on sitouduttava noudattamaan päästäkseen käyttämään Outokummun verkkoa, internetiä ja muita resursseja.
- Identiteetti- ja pääsynhallintapolitiikka mahdollistaa oikeiden henkilöiden pääsyn oikeisiin resursseihin oikeaan aikaan ja oikeista syistä.
- Yritysvastuupolitiikka ja eettiset periaatteet pyrkivät takaamaan, että yritykset toimivat eettisesti ja ottavat huomioon ihmisoikeudet sekä yhteiskuntaan, talouteen ja ympäristöön liittyvät vaikutukset.
- Outokummun laskentaperiaatteet (OAP) määrittävät laskentaperiaatteet ja tiedonantovaatimukset, joita kaikkien juridisten yhtiöiden ja raportointiyksiköiden on noudatettava raportoidessaan taloudellisia tietojaan konsernille.
Riskinarviointi
Riskinarviointi on dynaaminen ja toistuva prosessi, jossa tunnistetaan ja arvioidaan riskejä ennalta määritettyjen tavoitteiden saavuttamiseksi. Sen muodostaman perustan avulla määritetään, miten riskejä hallitaan.
Taloudelliseen raportointiin liittyviä riskejä hallinnoidaan Outokummun riskienhallintapolitiikan mukaisesti. Taloudelliseen raportointiin liittyvät riskit tunnistetaan ja arvioidaan riskityöpajoissa tai vastaavissa. Arvioinnissa otetaan huomioon taloudellisen raportoinnin prosessin merkittävimpiin osiin kohdistuvat riskit.
Valvontatoimet
Valvonnan tavoitteena on estää, havaita ja korjata mahdolliset virheet ja poikkeamat. Valvontatoimilla pyritään myös varmistamaan, että valtuutusrakenteet on suunniteltu ja toteutettu niin, että yhteensopimattomat tehtäväyhdistelmät (esimerkiksi sama henkilö suorittaa kriittisen tehtävän ja valvoo sen suorittamista) erotetaan toisistaan. Valvontatoimia toteutetaan kaikilla organisaatiotasoilla liiketoimintaprosessien eri vaiheissa, ja niissä otetaan huomioon keskeiset teknologiat, kuten toiminnanohjausjärjestelmät.
Taloudellisen raportoinnin valvonta käsittää erilaisia toimia, kuten konsernijohdon ja liiketoimintaalueiden johdon suorittamat taloudellisten raporttien tarkastukset, tilien täsmäytykset, raportoitujen lukujen loogisuusanalyysit, ennusteiden ja raportoitujen lukujen vertailuanalyysit ja konsernin taloudellisen raportointiprosessin analyysit. Keskeinen tekijä on kuukausittaisen suoriutumisen seuraaminen suhteessa asetettuihin taloudellisiin ja operatiivisiin tavoitteisiin. Tämäntyyppiset valvontatoimet toteutetaan eri organisaatiotasoilla.
Valvontatoimintojen kohokohdat
- Vuoden 2022 aikana digitaalisen riskienhallinta- ja valvontajärjestelmän käyttöönottoa jatkettiin vakauttamalla prosessia ja tuomalla sen piiriin lisää yksiköitä ja toimintoja.
- Tehtävien erottelun hallinnan vahvistamista jatkettiin vuonna 2022 kehityssuunnitelman mukaisesti hallintomallin ja prosessien mallinnuksen sekä tehtävien erotteluun liittyvien riskien tunnistamisen kautta. Lisäksi aloitettiin näiden riskien raportoinnin kehitystyö.
- Vuonna 2022 Outokumpu kehitti edelleen taloudellisen raportoinnin prosessiaan tehostamalla ja yhdenmukaistamalla tilinpäätösprosesseja ja -aikatauluja, dokumentoimalla taloudelliseen raportointiin liittyviä riskejä ja lisäämällä taloudellisen raportoinnin prosessiin kohdistuvan sisäisen valvonnan kattavuutta.
- Uuden toiminnanohjausjärjestelmän sekä muiden siihen liittyvien IT-järjestelmien seuraavan käyttöönoton valmistelua jatkettiin.
Viestintä ja tiedotus
Konserninlaajuiset politiikat ja periaatteet ovat kaikkien Outokummun työntekijöiden saatavissa. Taloudelliseen raportointiin liittyvät ohjeet annetaan tiedoksi kaikille asianomaisille. Tärkeimmät viestintäkanavat ovat säännölliset Controller-kokoukset, Outokummun intranet, muut helposti käytettävissä olevat tietokannat ja sähköposti. Säännöllisissä talousjohdon kokouksissa jaetaan tietoa ja keskustellaan konsernin ajankohtaisista asioista.
Lisäksi Outokummussa on perustettu konsernitoimintojen ohjausryhmä ja muita ohjausryhmiä, joissa käsitellään ja arvioidaan taloudellisen raportoinnin ja sisäisen valvonnan asioita. Ryhmiin kuuluu tyypillisesti johtoasemassa olevia henkilöitä ja aihealueen asiantuntijoita. Outokummun tavoitteena on varmistaa talouden prosessien ja raportointikäytäntöjen yhtenäisyys koko konsernissa sekä taloudellisen tiedon raportoinnin tehokas sisäinen valvonta.
Seuranta
Organisaatio arvioi sisäisen valvonnan puutteita ja ilmoittaa ajoissa korjaavista toimista vastaaville osapuolille, kuten ylimmälle johdolle ja tarvittaessa hallitukselle. Outokummun konserniyhtiöiden johto ja taloushallinto- ja controller-toiminnot vastaavat taloudelliseen raportointiin liittyvän valvonnan seurannasta. Yhtiön sisäisen valvonnan toiminto kehittää ja seuraa valvonnan prosesseja ja ympäristöä sekä suorittaa kontrollitestausta. Sisäinen tarkastus arvioi konsernin valvontaympäristön asianmukaisuutta. Valvonnan arviointiin osallistuvat myös riskienhallintatoiminto, compliance-toiminto sekä Outokummun tilintarkastus. Arviointiin liittyvät havainnot sekä sisäisen valvontajärjestelmän maturiteetti raportoidaan säännöllisesti tarkastusvaliokunnalle ja konsernitoimintojen ohjausryhmälle.
Sisäinen tarkastus
Sisäisen tarkastuksen tehtävänä on toimia itsenäisenä ja puolueettomana varmistus-, valvonta- ja konsultointitoimintona konsernin sisällä, tuottaa lisäarvoa, parantaa toimintoja sekä seurata ja tukea organisaatiota tavoitteiden saavuttamisessa.
Tarkasti ja järjestelmällisesti toimiva sisäinen tarkastus arvioi, ovatko hallinto- ja lakien- ja säännöstenmukaisuusprosessit ja sisäinen valvontajärjestelmä sekä hallituksen ja Outokummun johtoryhmän suunnittelema ja edustama riskienhallinta- ja sisäisen valvonnan prosessi tehokkaita ja vaikuttavia.
Konsernin sisäinen tarkastus, jolla on kolmannen linjan tehtävät riskienhallinnassa, tekee tarkastuksia hallituksen tarkastusvaliokunnan hyväksymän tarkastussuunnitelman mukaisesti. Lisäksi sisäinen tarkastus seuraa yhdessä compliance-toiminnon kanssa konsernin periaatteiden, politiikkojen ja ohjeiden noudattamista sekä tutkii vilpillisiä ja määräysten vastaisia menettelyjä ja toimia.
Keskeiset toimet vuonna 2022
- Vuonna 2022 sisäinen tarkastus teki yhdeksän tarkastusta tarkastussuunnitelman mukaisesti. Tarkastusten tulokset sekä niihin liittyvien toimien edistyminen raportoidaan asianomaiselle johdolle, hallituksen tarkastusvaliokunnalle ja tilintarkastajille.
- Vuonna 2022 kirjattiin 45 väärinkäytöksiä koskevaa ilmoitusta (2021: 40), joista suurin osa johtaa johdon toimintaa koskeviin suosituksiin.
Vuodelle 2023 suunnitellut keskeiset toimet
- Vuodelle 2023 on suunniteltu 8–10 tiettyyn toimipaikkaan tai teemaan liittyvää tarkastusta.
Eettiset toimintatavat sekä lakien ja säännösten noudattaminen
Outokumpu on sitoutunut vahvasti korkeimpiin eettisiin toimintaperiaatteisiin ja noudattaa toimintamaissaan sovellettavia lakeja ja säännöksiä sekä tekemiään sopimuksia ja sitoumuksia. Nämä eettiset toimintaperiaatteet on esitetty Outokummun toimintaohjeessa (Code of Conduct). Siinä annetaan myös yhteisiä työskentelytapoja koskevia ohjeita, joiden avulla pyritään varmistamaan, että kaikki työntekijät noudattavat Outokummun eettisiä toimintaperiaatteita.
Outokummun lakiasiat- ja compliance-toiminto vastaa Outokummun konserninlaajuisen eettisten toimintatapojen ja lakien ja säännösten noudattamista koskevan ohjelman hallinnasta ja jatkuvasta kehittämisestä. Tästä eettisiä toimintatapoja ja lain ja säännösten noudattamista koskevasta ohjelmasta kerrotaan tarkemmin vastuullisuusraportissa. Lakiasiat- ja compliance-toiminto raportoi toimitusjohtajalle. Lisäksi se raportoi Outokummun johtoryhmälle sekä suoraan hallituksen tarkastusvaliokunnalle eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyvissä asioissa.
Eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyviä asioita käsitellään myös säännöllisesti compliance-ohjausryhmässä, johon kuuluvat toimitusjohtaja, talous- ja rahoitusjohtaja, henkilöstöjohtaja, sisäisen tarkastuksen ja sisäisen valvonnan johtaja, lakiasiainjohtaja ja compliance-toiminnosta vastaava johtaja. Compliance-ohjausryhmä kokoontui vuoden 2022 aikana neljä kertaa. Lisäksi compliance-yhteyshenkilöiden maailmanlaajuinen verkosto ja erilaiset tietosuojahallintoelimet tukevat eettisiä toimintatapoja ja lakien ja säännösten noudattamista koskevan ohjelman toimeenpanoa liiketoiminta-alueilla ja konsernitoiminnoissa.