Sisäisen valvonnan ja riskienhallinnan pääpiirteet
Taloudelliseen raportointiin liittyvät sisäisen valvonnan ja riskienhallinnan järjestelmät on suunniteltu siten, että ne tuottavat riittävän varmuuden taloudellisen raportoinnin luotettavuudesta sekä varmistavat, että soveltuvia lakeja ja säädöksiä on noudatettu. Ensisijainen vastuu toimintaperiaatteiden määrittelystä ja valvonnan järjestämisestä on yhtiön hallituksella.
Sisäinen valvonta
Sisäinen valvonta on strategista ja realistista toiminnan ja talouden suunnittelua sekä toiminnan seuraamista, jatkuvaa arviointia ja poikkeamiin reagointia. Sisäinen valvonta kattaa kaikki ne yhtiön toiminta- ja menettelytavat, joilla pyritään varmistamaan toiminnan tehokkuus, taloudellisuus ja tuloksellisuus. Sisäinen valvonta on lopulta riskien ennaltaehkäisyä ja laadukkaan johtamisen varmistamista.
Keskeistä on, että sisäisen valvonnan järjestelmä – ja riskienhallinta sen osana – toimii ja että sisäisen valvonnan tavoite, yhtiön toiminnalle asetettujen tavoitteiden ja päämäärien saavuttaminen, toteutuu. Tämän toimintaperiaatteen on hyväksynyt myös hallitus.
Sisäisen valvonnan tavoitteena on lisäksi varmistaa, että
- yhtiön johdon päätöksenteko pohjautuu oikeisiin, riittäviin ja luotettaviin tietoihin
- yhtiön toiminta on linjassa yhtiön hallinnointiperiaatteiden ja toimintaperiaatteiden (Code of Conduct) kanssa
- yhtiön toiminta on lain, viranomaisohjeiden ja yhtiön toimielinten päätösten mukaista
- voimavaroja ja resursseja käytetään tehokkaasti ja omaisuus turvataan
Sisäinen valvonta on kiinteä osa yhtiön jokapäiväistä toimintaa kattaen konsernin kaikki tasot ja prosessit. Sisäinen valvonta ei ole pelkästään taloudellisesta valvontaa, vaikka luotettava talousraportointi onkin keskeisessä roolissa. Yhtä lailla kyse on työtehtävien tarkoituksenmukaisesta ja tasapainoisesta jakamisesta. Tällöin jokaisen työntekijän työpanos edistää niin yhtiön kuin sisäisen valvonnankin tavoitteiden saavuttamista.
Ponsse on sitoutunut harjoittamaan liiketoimintaansa kestävällä ja vastuullisella tavalla. Vastuullisuus pohjautuu yhtiön perusarvoihin: välitämme aidosti, teemme asiakkaalle, olemme sanamme mittaisia ja uudistumme innolla. Eettinen toimintaohje (Code of Conduct) sisältää ohjeita Ponssen liiketoimintaympäristöön, työntekijöihin, liikekumppaneihin ja yhteiskuntaan kohdistuvista velvollisuuksista. Myös nämä tekijät otetaan huomioon sisäisessä valvonnassa. Työntekijöitä rohkaistaan tekemään ilmoitus, mikäli he epäilevät sääntörikkomuksia tai epäeettistä toimintaa. Ponsse käyttää eettistä ilmoituskanavaa (whistleblowing), jonka kautta työntekijät ja ulkopuoliset sidosryhmät voivat nimettömästi ilmoittaa mahdollisesti havaitsemistaan väärinkäytöksistä tai niiden epäilyistä. Yhtiön hallituksen nimittämä ryhmä tutkii kaikki ilmoitetut tapaukset ja raportoi tarvittaessa havaituista epäkohdista johtoryhmälle tai hallitukselle.
Johtamisen tukitoimintona toimii sisäinen tarkastuksen funktio, joka arvioi paitsi sisäistä valvontaa ja riskienhallintaa myös hyvää hallintotapaa. Yhtiöllä on nimetty sisäinen tarkastaja, joka määrittää vuosittain tarkastuksen painopistealueet yhdessä hallituksen kanssa ja raportoi sille säännöllisesti tarkastuksen tuloksista hallitukselle.
Vastuunjako
Sisäisen valvonnan perustan luo valvontaympäristö. Valvontaympäristöön kuuluvat konsernin toimintaa ohjaavat toimintaohjeet, kuten hallinnointiperiaatteet, eettinen ohjeistus ja tarvittavat politiikat, kuten yhtiön tiedonantopolitiikka. Yksinkertaistettuna sisäinen valvonta Ponsse-konsernissa tarkoittaa sen varmistamista, että jokainen henkilö ja hallintoelin hoitaa tehtävänsä ammattitaitoisesti, huolellisesti ja oikea-aikaisesti sekä noudattaa annettuja ohjeita ja hyväksyttyjä käytäntöjä. Se, etteivät konsernin palveluksessa olevat henkilöt ole tietoisia valvontaympäristöstä, on riski itsessään, ja tästä syystä ensisijainen vastuu sisäisestä valvonnasta on yhtiön johdolla, joka seuraa sisäisen valvonnan toimivuutta jatkuvasti hyödyntäen sisäisen tarkastuksen työtä.
Yhtiön johto tai kulloinkin erikseen määritelty vastuutaho huolehtii avoimesta ja oikea-aikaisesta tiedonannosta, jotta hallituksella on päätöksentekonsa pohjana riittävät ja ajantasaiset tiedot. Erityisesti taloudellisen raportoinnin luotettavuus varmistetaan kiinnittämällä huomiota työtehtävien ja vastuun tehokkaaseen jakamiseen. Vastuutahojen on oltava tietoisia toimintaoheista ja noudatettava niitä. Taloudellisen raportoinnin luotettavuuteen liittyy myös tilintarkastus, jossa viime kädessä varmistetaan taloudellisen tiedon oikeellisuus ja täydellisyys. Edellä mainittu koskee koko konsernia, ei vain emoyhtiön johtoa.
Toimitusjohtaja, johtoryhmän jäsenet ja yhtiön tytäryhtiöiden johtohenkilöt ovat vastuussa siitä, että heidän vastuualueensa kirjanpito ja hallinto ovat sovellettavan lainsäädännön yhtiön toimintaohjeiden mukaisia.
Toimija |
Sisäisen valvonnan tehtävä |
Hallitus |
|
Toimitusjohtaja |
|
Johtoryhmä |
|
Talous- hallinto |
|
Sisäinen tarkastus |
|
Riskienhallinta
Riskienhallinta tarkoittaa sisäiseen valvontaan kuuluvia ja johtamisjärjestelmään sisällytettyjä menettelytapoja, joilla tunnistetaan ja arvioidaan Ponsse-konsernin toimintaan liittyvää epävarmuutta ja varaudutaan riskeihin sekä tartutaan mahdollisuuksiin. Riskienhallinta on yhtiön toimintaedellytysten turvaamisen ja toiminnan tuloksellisuuden kannalta ehdottoman tärkeää. Sellaisista merkittävistä riskeistä, joilla toteutuessaan saattaisi olla taloudellisia vaikutuksia tai jotka saattaisivat johtaa rikkomukseen, raportoidaan hallitukselle.
Riski voidaan määritellä mahdolliseksi tapahtumaksi tai tapahtumaketjuksi, joka vaikuttaa epävarmuutena yhtiön tavoitteiden saavuttamiseen tai uhkaa liiketoiminnan jatkuvuutta. Poikkeama asetettuun tavoitteeseen voi olla negatiivinen, mutta myös positiivinen – riski on siis epävarmuutta ja viittaa sekä uhkiin että mahdollisuuksiin. Riskit ja mahdollisuudet ovat liiketoiminnan erottamaton osa, ja usein tuloksellisuus edellyttää harkittua riskinottoa ja rohkeaa mahdollisuuksiin tarttumista. Vaikka haitallisilta riskeiltä ei voida kokonaan välttyä, niiden toteutumisen todennäköisyyttä ja vaikutusta voidaan pienentää ja realisoitumiseen on mahdollista varautua. Tällöin riskienhallinta on osa normaalia, päivittäistä liiketoimintaa.
Käytännössä riskienhallinta tarkoittaa johtamisjärjestelmään sisällytettyjä menettelytapoja, joilla tunnistetaan ja arvioidaan konsernin toimintaan liittyvää epävarmuutta ja varaudutaan riskeihin sekä tartutaan mahdollisuuksiin. Riskienhallinta on yhtiön toimintaedellytysten turvaamisen ja toiminnan tuloksellisuuden kannalta ehdottoman tärkeää. Se on osa sisäistä valvontaa, jolloin sisäisen valvonnan toteutuminen edistää myös riskienhallinnan toteutumista. Riskienhallintaa ei ole tarkoituksenmukaista erottaa sisäisestä valvonnasta, sillä lopulta sisäisen valvonnan menettelytavat ovat riskien ennaltaehkäisyä.
Yhtiön riskienhallinta perustuu yhtiön arvoihin sekä liiketoiminnan strategisiin ja taloudellisiin tavoitteisiin. Yhtiön keskeisiä strategisia tavoitteita ovat toiminnan sosiaalinen, taloudellinen ja ympäristövastuu. Vastuullisuuden toteutumista seurataan säännöllisesti ja vastuullisuustavoitteita seurataan avainmittareiden avulla. Yhtiön vastuullisuustyötä kuvataan vuosittain vuosikertomuksen yhteydessä julkaistavassa vastuuraportissa.
Riskienhallintaprosessi
Riskienhallintaprosessien tavoitteena on tukea yhtiön strategiassa määritettyjen tavoitteiden toteutumista, turvata yhtiön taloudellista kehitystä ja liiketoiminnan jatkuvuutta sekä ylläpitää ja kehittää kattavaa ja käytännönläheistä järjestelmää riskienhallinnalle ja raportoinnille. Riskienhallinnan painopiste on ennaltaehkäisyssä: prosessien tarkoituksena on tunnistaa ja arvioida oleelliset riskit ja estää niiden realisoituminen.
Päätökset tarvittavista toimenpiteistä tehdään todennäköisyyksiin perustuvien arviointien pohjalta. Ensisijaisia riskinhallintakeinoja ovat riskin välttäminen, pienentäminen, siirtäminen ja kontrollointi sekä hallittu hyväksyminen. Riskienhallintaprosessiin kuulu myös riskien jatkuva arviointi ja seuranta.
Riskienhallinnassa keskeistä on
- realistisuus – riskejä on arvioitava realistisesti
- oikea-aikaisuus – riskit on pyrittävä tunnistamaan ajoissa
- tietoisuus – henkilöstöllä tulee olla tieto riskienhallinnan periaatteista, jotta he voivat toimia ohjeiden mukaisesti ja ennen kaikkea reagoida tarvittaessa tilanteen vaatimalla tavalla
- kokonaisvaltaisuus – riskienhallinta on osa kaikkea toimintaa, mutta erityisesasemassa se on yhtiön toiminnan kannalta elintärkeissä prosesseissa
Erilaisten riskien hallintaprosessien erityispiirteet vaihtelevat riskin luonteen mukaan. Riskit jaetaan neljään kategoriaan: strategisiin riskeihin, operatiivisiin riskeihin, rahoitusriskeihin ja vahinkoriskeihin. Strategisella riskillä tarkoitetaan liiketoiminnan luonteeseen, strategian valintaan sekä strategian toteuttamiseen liittyvää riskiä, joka toteutuessaan voi merkittävästi heikentää yhtiön toimintaedellytyksiä. Strategiset riskit liittyvät esimerkiksi vallitsevaan kilpailutilanteeseen ja yritysten toiminnan sääntelyyn, ja ne voivat realisoitua esimerkiksi merkittävien investointien yhteydessä. Yhtiö on nostanut uudistetussa riskienhallintaprosessissaan vahvemmin esille ympäristöön, sosiaaliseen ja taloudelliseen vastuullisuuteen liittyviä riskejä ja mahdollisuuksia niin strategisten, operatiivisten kuin rahoitus- ja vahinkoriskien näkökulmasta.
Operatiiviset riskit liittyvät yhtiön sisäisiin prosesseihin, kuten johtamiseen, henkilöstöön ja liiketoimintaverkostoon. Operatiiviset riskit voivat toteutuessaan heikentää toiminnan tehokkuutta ja sitä kautta myös yhtiön tulosta ja kannattavuutta.
Rahoitusriskeihin kuuluvat valuutta-, korko-, luotto- ja maksuvalmiusriski sekä pääoman hallinta. Rahoitusriskien hallinnan tavoite on suojata konsernin tuloskehitystä, kassavirtoja, omaa pääomaa ja maksuvalmiutta rahoitusmarkkinoiden epäsuotuisilta vaihteluilta. Rahoitusriskien hallinta on keskitetty emoyhtiön rahoitustoimintoon. Hallitus vahvistaa yhtiön rahoitusriskien hallintapolitiikan ja yhtiön talousjohtaja vastaa sen käytännön toteutuksesta yhdessä rahoitustoiminnon kanssa.
Vahinkoriskit ovat arjessa läsnä konkreettisemmin kuin muut yhtiön toimintaa uhkaavat riskit. Vahinkoriskien hallinnassa ja välttämisessä ensimmäinen pääpainopiste on riskien tunnistamisessa. Tunnistettuja vahinkoriskejä ovat muun muassa työterveys- ja työturvallisuusriskit, ympäristöriskit sekä omaisuuteen kohdistuvat vahingot. Toinen pääpainopiste on ennaltaehkäisyssä: vahinkoriskeihin on varauduttu kattavalla vakuutusohjelmalla. Lisäksi vahinkoja pyritään ennaltaehkäisemään turvallisuuspolitiikalla ja -ohjeistuksella sekä turvallisilla työmenetelmillä ja työvälineillä. Yhtiö reagoi herkästi syntyneisiin vaaratilanteisiin, ja viime aikoina henkilöstön huomiota on kiinnitetty entistä enemmän työturvallisuusasioihin. Kaikki tapaturmat ja läheltä piti -tilanteet kirjataan seurantajärjestelmään ja vaaratilanteiden ehkäisemiseksi tehdään tarvittavat toimenpiteet. Tavoitteena on tapaturmaton työympäristö. Vahinkoriskejä arvioidaan säännöllisesti koko henkilöstön tasolla.
Organisointi ja vastuunjako
Päävastuu riskienhallinnan järjestämisestä kuuluu yhtiön johdolle. Hallitus määrittelee ja vahvistaa riskienhallintapolitiikan ja riskienhallintaperiaatteet, minkä lisäksi se arvioi prosessien toteutumista ja tehokkuutta. Vastuu ei kuitenkaan rajoitu ainoastaan ylimpään johtoon: Jokaisella konsernin palveluksessa olevalla henkilöllä on velvollisuus osaltaan ennakoida riskejä ja ehkäistä niiden realisoitumista. Riskienhallinta yksilötasolla toteutuu esimerkiksi raportoimalla havaituista riskeistä esihenkilölle.
Riskienhallintaprosessiin sisältyy toiminto- ja yksikkökohtaisten riskien järjestelmällinen kartoittaminen, niiden arviointi sekä riskien peilaaminen yhtiön riskienhallintasuunnitelmaan. Riskienhallintaa toteutetaan ja seurataan järjestelmällisesti osana päivittäistä liiketoimintaa. Yhtiö pyrkii tehostamaan riskienhallintaa lisäämällä tietoisuutta sen merkityksestä ja tukemalla toimintojen välisiä riskienhallintahankkeita.
Toimielin, vastuutaho |
Tehtävä |
Hallitus |
Päättää riskienhallinnan tavoitteista ja periaatteista sekä vahvistaa yhtiön riskienhallintapolitiikan. Valvoo riskienhallinnan toteuttamista. |
Toimitusjohtaja |
Vastaa riskienhallinnan toteuttamisen järjestämisestä ja esittelee hallitukselle riskienhallintaan liittyvät asiat. |
Johtoryhmä |
Osallistuu riskienhallintaprosessin kontrolloimiseen ja vastuuttamiseen. Kukin johtoryhmän jäsen vastaa oman liiketoiminta-alueensa riskien tunnistamisesta ja riskienhallinnan toteuttamisesta. |
Talousjohtaja |
Koordinoi riskienhallintaprosessia ja vastaa raportoinnista sekä esittelee johtoryhmälle riskienhallintaan liittyvät asiat. |
Alue- ja tytäryhtiöjohtajat |
Alueet ja tytäryhtiöt toteuttavat itsenäisesti riskienhallintatyötä konsernin riskienhallintapolitiikan ja -ohjeiden mukaisesti. |
Jokainen työntekijä |
Jokainen työntekijä on velvollinen toimimaan riskien ehkäisemiseksi, noudattamaan yhtiön toimintaohjeita sekä raportoimaan havaitsemistaan riskeistä esimiehelleen. |
Sisäinen tarkastus |
Tukee riskienhallintaprosessia arvioinneilla ja varmistuksilla. Fasilitoi prosessia riskien tunnistamisesta sovittujen toimenpiteiden seurantaan. |