Vuosikertomus 2015

Riskienhallinta

Kokonaisvaltaisen riskienhallinnan päätavoitteena on tukea Postin strategisten tavoitteiden ja muiden avaintavoitteiden saavuttamista suojaamalla niitä yllättäviltä riskeiltä. Kokonaisvaltainen riskienhallinta tukee myös liiketoimintamahdollisuuksien tunnistamista ja hyödyntämistä sekä konsernin yrityskuvaa.

Postin ylin johto on vahvasti sitoutunut kokonaisvaltaiseen riskienhallintaan. Posti Group Oyj:n hallitus hyväksyy riskienhallintapolitiikan ja omistaa sen.

Postin kokonaisvaltaista riskienhallintaa kehitetään COSO:n (The Committee of Sponsoring Organizations of the Treadway Commission) kokonaisvaltaisen riskienhallinnan metodologian ja parhaiden käytäntöjen pohjalta (Enterprise Risk Management - Integrated Framework). Sen lisäksi myös FERMA:n (Federation of European Risk Management Associations) riskienhallintastandardi (A Risk Management Standard) on huomioitu Postin kokonaisvaltaista riskienhallintaa kehitettäessä.

Riskienhallinnan tavoitteet

Kokonaisvaltainen riskienhallinta on osa Postin johtamisjärjestelmää. Se on liitetty konsernin strategiaprosessiin, jossa sen päätavoitteena on osaltaan varmistaa konsernin liiketoimintastrategian toimivuutta erilaisten skenaarioiden ja tapahtumien toteutuessa. Näin kokonaisvaltainen riskienhallinta tukee suoraan Postin liiketoiminnan jatkuvuutta.

Kokonaisvaltainen riskienhallinta on suunniteltu tunnistamaan tapahtumia, jotka toteutuessaan voisivat vaikuttaa konserniin ja sen strategiseen suoriutumiseen. Nämä tapahtumat voivat olla vaikutukseltaan positiivisia tai negatiivisia. Liiketoimintamahdollisuus määritellään tapahtumaksi, joka toteutuessaan vaikuttaa positiivisesti tavoitteiden saavuttamiseen. Riski määritellään tapahtumaksi, joka toteutuessaan vaikuttaa negatiivisesti tavoitteiden saavuttamiseen.

Kokonaisvaltaisen riskienhallinnan perimmäisenä tavoitteena on antaa kohtuullinen varmuus siitä, että yritys saavuttaa strategiset tavoitteensa ja avaintavoitteensa sekä kykenee hyödyntämään liiketoimintamahdollisuutensa. Avaintavoitteiden saavuttamista ei kuitenkaan voida tavoitella millä tahansa hinnalla; yrityksen on verrattava riskikuvaansa riskinottohaluunsa ja riskinkantokykyynsä säännöllisesti varmistaakseen, että ne ovat tasapainossa keskenään. Riskinottohalulla tarkoitetaan sitä, miten suuren riskin yritys on valmis hyväksymään ottaen huomioon sen kyvykkyydet ja eri sidosryhmien odotukset. Riskinkantokyvyllä puolestaan tarkoitetaan sitä, miten suuren riskin yritys kykenee kestämään tilivuodessa.

Koska kokonaisvaltaisella riskienhallinnalla tavoitellaan koko yrityksen kattavaa kuvaa sen liiketoimintamahdollisuuksista ja riskeistä, riskienhallinnalla tulee pyrkiä kattamaan kaiken tyyppiset yrityksen riskit ja se tulee sisällyttää kaikkiin yrityksen tärkeimpiin liiketoimintaprosesseihin, kaikkiin liiketoiminnan osa-alueisiin sekä organisaation kaikille tasoille. Kokonaisvaltaisen riskienhallinnan perimmäisenä tavoitteena on optimoida yrityksen riskien hallinta, liiketoiminnan tulos, kasvu ja pääoman käyttö kokonaisuudessaan.

Roolit ja vastuut

Posti Group Oyj:n hallitus omistaa ja hyväksyy Postin kokonaisvaltaisen riskienhallinnan politiikan. Hallituksen tarkastusvaliokunta valvoo kokonaisvaltaisen riskienhallinnan täytäntöönpanoa ja tehokkuutta. Tarkastusvaliokunta arvioi myös konsernin riskisalkun kahdesti vuodessa. Toimitusjohtaja ja talous- ja rahoitusjohtaja vastaavat siitä, että kokonaisvaltaisen riskienhallinnan prosessit on suunniteltu ja pantu täytäntöön tehokkaasti. Konsernin laajennettu johtoryhmä hyväksyy Postin kokonaisvaltaisen riskienhallinnan lähestymistavan ja arvioi säännöllisesti riskienhallinnan prosessien täytäntöönpanoa ja konsernin riskikuvaa.

Kokonaisvaltainen riskienhallinta on Postin johtamisprosessien olennainen osa. Näin ollen sen keskeisimmästä täytäntöönpanosta vastaa linjaorganisaatio liiketoimintaryhmissä, liiketoimintayksiköissä ja tuotelinjoissa sekä maaorganisaatioissa. Linjajohto vastaa kokonaisvaltaisen riskienhallinnan sisällyttämisestä strategiseen ja operatiiviseen johtamiseen ja liiketoimintaprosesseihin, mukaan lukien kolmansien osapuolten operoimat vastaavat toiminnot. Liiketoimintaryhmät vastaavat esimerkiksi sen määrittelemisestä, millaisista riskeistä ja niiden muutoksista liiketoimintaryhmien alaisten liiketoimintayksiköiden, tuotelinjojen, maaorganisaatioiden ja palveluntarjoajien on raportoitava linjaorganisaatiossa ja/tai matriisissa.

Liiketoimintaryhmillä sekä niille raportoivilla liiketoimintayksiköillä, tuotelinjoilla ja maaorganisaatioilla samoin kuin nimetyillä kriittisillä konsernitoiminnoilla tulee kullakin olla nimetty riskienhallinnan yhteyshenkilö (Risk Champion), jonka tehtävänä on tukea ja kehittää riskienhallintaa omassa organisaatiossaan. Vaatimus koskee myös itsenäisiä liiketoimintayksiköitä.

Kriittisillä konsernitoiminnoilla tässä yhteydessä tarkoitetaan Konsernirahoitusta, Konsernitaloutta, ICT:tä, Viestintää, Lakiasioita, Posti Kiinteistöt Oy:tä, HR:ää, Hankintaa ja Riskienhallintaa. Konsernitoimintojen kriittisyyttä kokonaisvaltaisen riskienhallinnan kannalta arvioidaan säännöllisesti konsernin laajennetussa johtoryhmässä, ja riskienhallinnan organisatoriseen kattavuuteen tehdään tarvittavat muutokset.

Jokainen Postin työntekijä on vastuussa omaan työhönsä liittyvien riskien hallinnasta ja havaitsemiensa keskeisten riskien ilmoittamisesta linjajohdolle.

Konsernin riskienhallintajohtaja vastaa riskienhallintapolitiikan täytäntöönpanon tukemisesta, konsernitasoisen riskien konsolidoinnin koordinoinnista sekä kokonaisvaltaisen riskienhallinnan menetelmien kehittämisestä. Konsernin riskienhallintajohtaja raportoi konsernin lakiasiainjohtajalle, joka raportoi talous- ja rahoitusjohtajalle. Business Audit -toiminto arvioi kokonaisvaltaisen riskienhallinnan kattavuutta ja tukee riskien tunnistamisessa.


Riskienhallintaprosessi

Alla esitetty kuva havainnollistaa riskienhallintaprosessia ja kunkin vaiheen tavoitteita.

Konsernin strategiaprosessin lisäksi kuvattua riskienhallintaprosessia on sovellettava seuraavissa liiketoimintaprosesseissa: yritysjärjestelyt mukaan lukien toimintojen ulkoistaminen, uusien liiketoimintojen, tuotteiden ja palveluiden kehittäminen, suuret pääomainvestoinnit, merkittävät muutokset liiketoimintamallissa ja tuotannossa sekä merkittävät ohjelmat ja projektit.

Kokonaisvaltainen riskienhallinta osana konsernin strategiaprosessia

Kokonaisvaltaisen riskienhallinnan keskeisten toimien aikataulutus on linkitetty muihin strategia- ja liiketoimintasuunnittelun toimiin siten kuin konsernin strategiaprosessissa on kuvattu.

Kokonaisvaltainen riskienhallinta on sisällytettävä jo konsernin strategiaprosessin ensimmäisiin vaiheisiin. Tällöin edellisen vuoden suoriutumista ja liiketoimintaympäristön trendejä ja ilmiöitä analysoidaan sekä strategisia riskejä ja liiketoimintamahdollisuuksia tunnistetaan ja analysoidaan systemaattisesti strategisen ympäristön keskeisten muutosvoimien ymmärtämiseksi.

Konsernitasolla toteutetaan edellä kuvattu yksityiskohtaisempi riskienhallintaprosessi osana strategiatyötä. Erityisesti on huolehdittava kokonaisvaltaisesta riskianalyysistä ja siihen liittyvien havaintojen viestinnästä liiketoimintaryhmien ja konsernitoimintojen välillä, jotta voidaan varmistua, että riskit on ymmärretty samalla tavoin ja että niitä hallitaan oikealla tavalla riskin omistajan toimesta.

Kokonaisvaltaista riskienhallintaa tarvitaan myös tukemaan strategian tehokasta täytäntöönpanoa. Tästä syystä liiketoimintayksiköiltä, tuotelinjoilta ja maaorganisaatiolta sekä konsernitoiminnoilta edellytetään konsernin strategiaprosessissa määritellyllä tavalla strategioiden ja/tai vuosisuunnitelmien laatimista mukaan lukien liiketoimintamahdollisuuksien ja riskien tunnistaminen, analysointi ja hallintatoimien suunnittelu. Tämän suunnittelun on perustuttava konsernin ja liiketoimintaryhmien strategioihin. Tässä prosessissa konsernin ja liiketoimintaryhmien strategiset tavoitteet ja riskit integroidaan seuraavaa vuotta koskevaan vuosisuunnitteluun ja tavoitteen asetantaan.

Riskejä ja niiden kontrolleja monitoroidaan ja ne raportoidaan säännöllisesti kaikilla konsernin organisaatiotasoilla.