Pörssiyhtiönä konsernin on
noudatettava monia eri säännöksiä. Lisäksi on tärkeää varmistaa, että keskeiset
operatiiviset ja raportointitavoitteet täyttyvät. Outokumpu on kehittänyt sisäisen
valvontajärjestelmän ja toteuttaa sitä koko yhtiössä. Sisäisen valvontajärjestelmän
päätarkoituksena on antaa johdolle ja hallitukselle kohtuullinen varmuus konsernin
toimintaan, raportointiin ja lakien- ja säännöstenmukaisuuteen liittyvien tavoitteiden
saavuttamisesta.
Outokumpu soveltaa sisäisessä valvontajärjestelmässä COSO:n sisäisen valvonnan
viitekehystä (2013). Outokummun sisäinen valvontajärjestelmä pohjautuu sisäisen
valvonnan politiikkaan ja siihen liittyviin ohjeisiin, yhteisiin tapoihin toimia, selkeästi
määriteltyihin rooleihin ja vastuualueisiin sekä digitaalisella alustalla toimiville prosesseille.
Yhtiön hallituksen hyväksymässä riskienhallintapolitiikassa määritellään konsernin
riskienhallinnan tavoitteet, lähestymistavat ja vastuualueet. Riskienhallintaprosessi koostuu
seuraavista viidestä vaiheesta: 1) riskien tunnistaminen, 2) riskien arviointi, 3) riskien
pienentäminen, 4) valvontatoimet ja 5) riskien raportointi. Lue lisää riskeistä ja mahdollisuuksista vuosikertomuksesta.
Seuraavassa kappaleessa on kuvattu tarkemmin valvontatoiminnan
prosessia.
Taloudellisen raportoinnin sisäinen valvonta
Tässä osiossa kerrotaan, miten taloudellisen raportoinnin sisäinen valvonta on järjestetty Outokummussa. Outokummun tavoitteena on varmistaa, että konsernissa noudatetaan yhtenäisiä talouden prosesseja ja raportointikäytäntöjä ja että yhtiössä on olemassa tehokkaat taloudellisen raportoinnin valvontatoimet. Outokummun sisäisen valvonnan politiikassa määritellään sisäisen valvontajärjestelmän tärkeimmät roolit, vastuualueet, periaatteet ja tavoitteet. Hallitus on viime kädessä vastuussa sisäisen valvontajärjestelmän valvonnasta, ja toimitusjohtaja muiden ylimmän johdon jäsenten tukemana, on vastuussa tehokkaan sisäisen valvontajärjestelmän toteutuksesta ja ylläpidosta. Sisäisen valvonnan toiminto tukee ja kehittää sisäisen valvonnan prosesseja ja on vastuussa valvontatoimien testaamisesta sekä sisäisen valvontajärjestelmän seurannasta. Järjestelmän osat ovat valvontaympäristö, riskien arviointi, valvontatoimet, viestintä ja tiedotus sekä seuranta.
Outokummun taloudellisessa raportoinnissa noudatetaan EU:n hyväksymiä kansainvälisiä tilinpäätösstandardeja (IFRS). Outokummun laskentaperiaatteet ovat yhtiön soveltamisohjeistus IFRS:stä. Outokumpu noudattaa taloudellisessa raportoinnissaan myös Finanssivalvonnan, Nasdaq Helsingin ja Euroopan arvopaperimarkkinaviranomaisen (ESMA) sääntöjä ja määräyksiä. Outokummun taloudellisen raportoinnin sisäisen valvonnan tavoitteena on antaa kohtuullinen varmuus siitä, että taloudellisessa raportoinnissa ja tilinpäätöksen laatimisessa noudatetaan sovellettavia lakeja, säädöksiä ja sisäisiä vaatimuksia.
Valvontaympäristö
Outokummun valvontaympäristö perustuu politiikkoihin, standardeihin, prosesseihin ja rakenteisiin, jotka toimivat sisäisen valvontajärjestelmän perustana koko organisaatiossa ja määrittävät Outokummun toimintatavat. Outokummun suorituksen johtamisen prosessi sekä riski- ja sisäisen valvonnan prosessi ovat keskeisiä johdon tehtäviä, joilla on tärkeä asema tehokkaan valvontaympäristön toteuttamisessa. Suunnittelu ja tavoitteiden asettaminen lakien- ja säännöstenmukaisuuden, raportoinnin ja operatiivisen toiminnan osalta, mukaan lukien taloudelliset tavoitteet, tehdään koko konsernissa Outokummun liiketoiminnan tavoitteiden mukaisesti. Johto seuraa tavoitteiden saavuttamista. Riskejä ja uhkia käsitellään säännöllisen raportoinnin ja seurantakokousten avulla.
Sisäinen valvonnan kannalta keskeiset politiikat
- IT-politiikka määrittelee rajoitukset ja käytännöt, joita käyttäjän on sitouduttava noudattamaan päästäkseen käyttämään Outokummun verkkoa, internetiä ja muita resursseja.
- Hyväksymisperiaatteet määrittävät Outokumpu-konsernin keskeiset valtuutustasot ja -rajat. Sovelletaan Outokummun liiketoiminta-alueiden ja konsernitoimintojen tekemien sopimusten ja muiden sitoumusten sisäiseen hyväksyntään.
- Toimintaohje (Code of Conduct) määrittelee eettiset periaatteet ja antaa yhteisiä toimintatapoja koskevia ohjeita.
- Identiteetti- ja pääsynhallintapolitiikka mahdollistaa oikeiden henkilöiden pääsyn oikeisiin resursseihin, oikeaan aikaan ja oikeista syistä.
- Sisäisen tarkastuksen työjärjestys kuvaa Outokumpu-konsernissa noudatettavat sisäisen tarkastuksen tehtävään liittyvät perusperiaatteet ja arvot.
- Sisäisen valvonnan politiikka määrittelee Outokummun sisäisen valvontajärjestelmän keskeiset roolit, vastuut, periaatteet ja tavoitteet.
- Outokummun laskentaperiaatteet (OAP) määrittävät laskentaperiaatteet ja tiedonantovaatimukset, joita kaikkien juridisten yhtiöiden ja raportointiyksiköiden on noudatettava raportoidessaan taloudellisia tietojaan konsernille.
- Riskienhallintapolitiikka kuvaa Outokumpu-konsernin noudattamat riskienhallintaperiaatteet ja tärkeimmät säännöt.
- Rahoituspolitiikka määrittelee rahoitustoiminnon tavoitteet ja pääperiaatteet sekä rahoitukseen liittyvien tehtävien ja vastuiden jakautumisen Outokumpu-konsernissa.
Riskien arviointi
Riskien arviointi on dynaaminen ja toistuva prosessi, jossa tunnistetaan ja arvioidaan riskejä ennalta määritettyjen tavoitteiden saavuttamiseksi. Sen muodostaman perustan avulla määritetään, miten riskejä hallitaan. Taloudelliseen raportointiin liittyviä riskejä hallinnoidaan Outokummun riskienhallintapolitiikan mukaisesti. Taloudelliseen raportointiin liittyvät riskit tunnistetaan ja arvioidaan riskityöpajoissa tai vastaavissa keskusteluissa, joissa käsitellään taloudellisen raportointiprosessin merkittävimpiä riskejä
Valvontatoimet
Valvonnan tavoitteena on estää, havaita ja korjata mahdolliset virheet ja poikkeamat. Valvontatoimet sisältävät esimerkiksi yhteensopimattomien tehtäväyhdistelmien erottamisen toisistaan tärkeimmissä toiminnanohjausjärjestelmissä. Valvontatoimia toteutetaan kaikilla organisaatiotasoilla liiketoimintaprosessien eri vaiheissa, ja niissä otetaan huomioon keskeiset teknologiat, kuten toiminnanohjausjärjestelmät. Taloudellisen raportoinnin valvonta käsittää erilaisia toimia, kuten konsernijohdon ja liiketoimintaalueiden johdon suorittamat taloudellisten raporttien tarkastukset, tilien täsmäytykset, raportoitujen lukujen loogisuusanalyysit, ennusteiden ja raportoitujen lukujen vertailuanalyysit ja konsernin taloudellisen raportointiprosessin analyysit. Keskeinen tekijä on kuukausittaisen suoriutumisen seuraaminen suhteessa asetettuihin taloudellisiin ja operatiivisiin tavoitteisiin.
Valvontatoimintojen kohokohdat
- Sisäisen valvonnan kattavuutta vahvistettiin vuonna 2024 erityisesti kyberturvallisuudessa, yleisessä IT-valvonnassa ja kirjanpidon alueella. Lisäksi varastonhallinnan prosessin kehittämistä ja siihen liittyvien valvontatoimien toteutusta digitaaliselle alustalle jatkettiin.
- Konsernin sisäisen valvonnan toiminto vahvisti edelleen valvontatoimien testausta, jotta testaustoimissa saavutetaan riittävä kattavuus. Tällä hetkellä noin neljäkymmentä prosenttia keskeisimmistä valvontatoimenpiteistä testataan. Testauksen tulokset annetaan harkittaviksi kunkin valvontatoiminnon omistajille.
- Lisäksi tehtävien eriyttämisen hallinnan kehittäminen jatkui vuonna 2024, raportoinnin parantamisella ja riskien lieventämisellä, minkä ansiosta riskitaso aleni erityisesti SAP S/4HANA -ympäristössä.
- SAP S/4HANA -järjestelmän ja muiden siihen liittyvien IT-järjestelmien käyttöönotossa valmistauduttiin seuraavaan vaiheeseen.
Viestintä ja tiedotus
Konserninlaajuiset politiikat ja periaatteet ovat kaikkien Outokummun työntekijöiden saatavissa. Taloudelliseen raportointiin liittyvät ohjeet annetaan tiedoksi kaikille asianomaisille. Tärkeimmät viestintäkanavat ovat säännölliset controller-kokoukset, Outokummun intranet sekä digitaaliset alustat ja tietokannat. Outokummun johdolle esitellään muun muassa sisäisiin valvontatoimintoihin liittyviä asioita. Lisäksi säännöllisissä talousjohdon kokouksissa käsitellään talouteen liittyviä asioita, kuten taloudellista raportointia.
Seuranta
Organisaatio arvioi sisäisten valvontatoimien puutteita ja viestii niistä hyvissä ajoin korjaavista toimista vastaaville osapuolille, kuten ylimmälle johdolle ja tarvittaessa hallitukselle. Outokummun konserniyhtiöiden johto sekä talousjohto vastaavat taloudelliseen raportointiin liittyvän valvonnan seurannasta. Yhtiön sisäisen valvonnan toiminto kehittää ja seuraa sisäisen valvonnan prosesseja ja valvontajärjestelmää sekä suorittaa valvontatoimien testausta. Sisäinen tarkastus arvioi konsernin valvontaympäristön asianmukaisuutta. Valvonnan arviointiin osallistuvat myös riskienhallintatoiminto, compliance-toiminto ja Outokummun tilintarkastajat. Varmentamiseen liittyvät havainnot sekä sisäisen valvontajärjestelmän maturiteetti raportoidaan säännöllisesti tarkastusvaliokunnalle ja ylimmälle johdolle.
Sisäinen tarkastus
Sisäisen tarkastuksen tehtävänä on toimia itsenäisenä ja puolueettomana varmennus-, valvonta- ja konsultointitoimintona, jonka tarkoituksena on tuottaa lisäarvoa, parantaa toimintoja sekä seurata ja tukea organisaatiota tavoitteiden saavuttamisessa.
Tarkasti ja järjestelmällisesti toimiva sisäinen tarkastus arvioi, ovatko hallituksen ja Outokummun johtoryhmän suunnittelemat ja edustamat hallinnon sekä lakien- ja säännöstenmukaisuuden prosessit, sisäinen valvontajärjestelmä sekä riskienhallinta ja sisäisen valvonnan prosessi vaikuttavia ja tehokkaita.
Sisäinen tarkastus, jolla on kolmannen linjan tehtävät riskienhallinnassa, tekee tarkastuksia hallituksen tarkastusvaliokunnan hyväksymän tarkastussuunnitelman mukaisesti. Sisäinen tarkastus seuraa yhdessä compliance-toiminnon kanssa konsernin periaatteiden, politiikkojen ja ohjeiden noudattamista sekä tutkii vilpillisiä ja määräysten vastaisia menettelyjä ja toimia.
Keskeiset toimet vuonna 2024
- Sisäinen tarkastus teki seitsemän tarkastusta vuoden tarkastussuunnitelman mukaisesti. Tarkastusten tulokset sekä niihin liittyvien jatkotoimien edistyminen raportoidaan asianomaiselle johdolle, hallituksen tarkastusvaliokunnalle ja tilintarkastajille.
- Vuonna kirjattiin 35 väärinkäytöksiä koskevaa ilmoitusta (2023: 48), joista moni johtaa lopulta toimenpidesuosituksiin.
Vuodelle 2025 suunnitellut keskeiset toimet
- Vuodeksi on suunniteltu 7–9 tiettyyn toimipaikkaan tai teemaan liittyvää tarkastusta.
Eettiset toimintatavat sekä lakien ja säännösten noudattaminen
Outokumpu on sitoutunut tiukasti korkeimpiin eettisiin toimintaperiaatteisiin ja noudattaa toimintamaissaan sovellettavia lakeja ja säännöksiä sekä tekemiään sopimuksia ja sitoumuksia. Nämä eettiset toimintaperiaatteet on esitetty Outokummun toimintaohjeessa (Code of Conduct). Toimintaohjeessa annetaan myös yhteisiä työskentelytapoja koskevia ohjeita, joiden avulla pyritään varmistamaan, että kaikki työntekijät noudattavat Outokummun eettisiä toimintaperiaatteita. Outokumpu myös edellyttää, että sen liikekumppanit noudattavat vastaavia eettisiä toimintaperiaatteita kuin Outokumpu.
Outokummun lakiasiat- ja compliance-toiminto vastaa Outokummun konserninlaajuisen eettisten toimintatapojen ja lakien ja säännösten (ethics and compliance, E&C) noudattamista koskevan ohjelman hallinnasta ja jatkuvasta kehittämisestä. Tästä eettisiä toimintatapoja ja lain ja säännösten noudattamista koskevasta ohjelmasta kerrotaan tarkemmin kestävyysraportissa hallituksen toimintakertomuksessa. Lakiasiat- ja compliance-toiminto raportoi toimitusjohtajalle. Lisäksi se raportoi suoraan hallituksen tarkastusvaliokunnalle eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyvissä asioissa.
Eettisiin toimintatapoihin ja lakien ja säännösten noudattamiseen liittyviä asioita käsitellään myös säännöllisesti sisäisessä E&C-ohjausryhmässä, johon kuuluvat sisäisen tarkastuksen ja sisäisen valvonnan johtaja, E&C-toiminnosta vastaava johtaja sekä tiettyjä Outokummun johtoryhmän jäseniä. E&C-ohjausryhmä kokoontui vuoden 2024 aikana neljä kertaa. Lisäksi E&C-yhteyshenkilöiden maailmanlaajuinen verkosto ja erilaiset tietosuojaa koskevat hallintoelimet tukevat eettisiä toimintatapoja ja lakien ja säännösten noudattamista koskevan ohjelman toimeenpanoa liiketoiminta-alueilla, -linjoilla ja konsernitoiminnoissa.