Johdanto
Tässä politiikassa kuvataan Kesko-konsernin riskienhallinnan päämäärät ja periaatteet, organisointi ja vastuut sekä toimintatavat. Politiikan läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta riskienhallinnan eri osa-alueille.
Riskienhallintapolitiikka pohjautuu COSO ERM –viitekehykseen, SFS-ISO 31000 -standardiin ”Riskienhallinta. Periaatteet ja ohjeet” ja Suomen listayhtiöiden hallinnointikoodiin (Corporate Governance).
Riskienhallinta, sisäinen valvonta, vastuulliset toimintatavat ja Keskon arvot ovat keskeinen osa Keskossa noudatettavaa hyvää hallinnointia (Corporate Governance).
Riskienhallinnan päämäärät
Riskienhallinnan päämääränä on varmistaa Kesko-konsernissa asiakaslupausten täyttämistä, tuloskehitystä, osingonmaksukykyä, osakasarvoa, vastuullisten toimintatapojen toteutumista ja liiketoiminnan jatkuvuutta. Päämäärä saavutetaan, kun konsernissa on
- tieto tavoitteisiin ja toimintaan kohdistuvista epävarmuustekijöistä, riskeistä ja mahdollisuuksista
- yhdenmukaiset ja tehokkaat menetelmät tunnistaa, arvioida ja hallita riskejä sekä niiden seurauksia
- systemaattinen riskiraportointijärjestelmä
- määritelty riskinottohalu suhteessa riskinkantokykyyn
- riskinotto tasapainossa tavoiteltuihin hyötyihin nähden.
Riskienhallinnan periaatteet
Riskienhallinta on systemaattista toimintaa, jonka tarkoituksena on taata koko konsernin kattava ja tarkoituksenmukainen riskien tunnistaminen, arviointi, hallinta sekä valvonta. Se on olennainen osa Keskon suunnittelu- ja johtamisprosessia, päätöksentekoa, päivittäistä johtamista ja toimintaa sekä valvonta- ja raportointimenettelyjä.
Kesko-konsernissa riskejä arvioidaan ja hallitaan liiketoimintalähtöisesti ja kokonaisvaltaisesti. Tämä tarkoittaa sitä, että keskeisiä riskejä tunnistetaan, arvioidaan, hallitaan, seurataan ja raportoidaan järjestelmällisesti osana liiketoimintaa konserni-, toimiala-, yhtiö- ja yksikkötasoilla kaikissa toimintamaissa.
Keskon riskienhallinta on myös osa kaupan arvoketjun riskienhallintaa, jota toteutetaan yhdessä K-kauppiaiden, tavarantoimittajien ja palveluntoimittajien kanssa.
Kesko-konsernissa riskienhallintaa toteutetaan seuraavin periaattein:
- Asetamme tavoitteemme liiketoimintamahdollisuudet ja riskit huomioiden.
- Otamme tietoisia ja arvioituja riskejä strategiavalinnoissa päätetyissä rajoissa esim. liiketoiminnan laajentamisessa, markkina-aseman vahvistamisessa sekä uuden liiketoiminnan luomisessa.
- Riskejä arvioidessamme otamme huomioon taloudellisten näkökohtien lisäksi myös vaikutukset ihmisiin, ympäristöön ja maineeseen.
- Vältämme tai pienennämme operatiivisia ja vahinkoriskejä.
- Huolehdimme turvallisesta asioinnista ja tuotteista asiakkaillemme.
- Luomme työntekijöille turvallisen työympäristön.
- Minimoimme rikosten tai väärinkäytösten mahdollisuudet.
- Varmistamme jatkuvuuden turvaamiseksi kriittiset toiminnot ja niiden tarvitsemat resurssit.
- Varaudumme riskien realisoitumiseen kriisi-, jatkuvuus- ja toipumissuunnitelmin, suunnitelmien harjoittelulla sekä riittävällä vakuutusturvalla.
- Pidämme riskienhallintaan käytettävät kustannukset ja resurssit oikeassa suhteessa saavutettavissa oleviin hyötyihin nähden.
- Tiedotamme riskeistä ja riskienhallinnasta sidosryhmille Keskon corporate governance -periaatteiden mukaisesti.
Riskin määrittely ja riskien luokittelu
Riski tarkoittaa tapahtumaa tai olosuhdetta, joka voi vaikeuttaa tai estää Keskon tavoitteiden saavuttamista tai jonka vuoksi liiketoimintamahdollisuuksia voi jäädä hyödyntämättä.
Riskit luokitellaan Keskossa
- strategisiin,
- operatiivisiin ja
- rahoitusriskeihin.
Strategisella riskillä tarkoitetaan epävarmuutta, joka liittyy lähinnä muutoksiin toimintaympäristössä ja Keskon kykyyn hyödyntää näitä muutoksia tai varautua niihin. Nämä muutokset voivat liittyä esim. yleiseen taloustilanteeseen, asiakkaiden kulutuskäyttäytymiseen, kilpailijoihin, lainsäädäntöön, teknologian kehitykseen, jne. Strategisia riskejä ja mahdollisuuksia arvioitaessa on tavoitteena löytää ne liiketoimintamahdollisuudet, joita hyödyntämällä saavutetaan tavoitteet hallittavilla riskeillä, ja toisaalta välttää niitä, joihin liittyy kohtuuttoman suuria riskejä. Tunnistamatta tai hyödyntämättä jäänyt mahdollisuus on myös riski.
Operatiivisella riskillä tarkoitetaan olosuhdetta tai tapahtumaa, joka voi estää tai vaikeuttaa tavoitteiden saavuttamista tai aiheuttaa vahinkoa ihmisille, omaisuudelle, liiketoiminnalle, tiedoille tai ympäristölle. Operatiivisia riskejä pyritään välttämään tai pienentämään, kuitenkin niin että kontrollien kustannukset ovat järkevässä suhteessa riskin suuruuteen.
Rahoitusriskeillä tarkoitetaan riskejä, jotka liittyvät Keskon rahoitusasemaan. Näitä ovat mm. rahoituksen saatavuuteen ja hintaan, valuuttakurssimuutoksiin, asiakasluototukseen sekä vastapuoliin ja sijoitustoimintaan liittyvät riskit. Rahoitusriskien hallinnassa noudatetaan Keskon hallituksen vahvistamaa konsernin rahoituspolitiikkaa.
Riskit luokitellaan myös arvioinnin aikajänteen perusteella. Lähiajan riskejä arvioitaessa aikajänne on sama kuin osavuosikatsauksen ennustejakso eli noin vuosi. Lähiajan riskit arvioidaan ja käsitellään rullaavan suunnittelun yhteydessä. Strategiaprosessin yhteydessä riskiarvioinnin aikajänteenä on strategiajakso ja näitä riskejä kutsutaan strategisiksi riskeiksi.
Riskejä arvioitaessa otetaan huomioon myös muut kuin taloudelliset vaikutukset. Maineriski syntyy, jos Keskon toiminta on ristiriidassa eri sidosryhmien, kuten asiakkaiden tai osakkeenomistajien odotusten, kanssa. Maineriskien ennalta ehkäisyssä on keskeistä Keskon vastuullisten toimintatapojen noudattaminen. Maineriskejä hallitaan erityisesti oikea-aikaisella ja riittävällä viestinnällä.
Riskinottohalu ja riskinkantokyky
Riskinottohalu on se riskin määrä, jonka Kesko tiettynä aikana on valmis ottamaan pyrkiessään asettamiinsa tavoitteisiin. Riskinkantokyky on se taloudellisten resurssien määrä (esim. tulos, kassavirta, omavaraisuusaste), jota vastaan riskiä voidaan ottaa.
Keskon hallituksen määrittelemä riskinottohalu ohjaa riskinottoa koko konsernissa. Riskinottoa suhteessa riskinkantokykyyn seurataan säännöllisesti. Sitä arvioidaan erityisesti strategiakäsittelyn yhteydessä sekä päätettäessä konsernin kannalta merkittävistä liiketoimintahankkeista tai investoinneista. Arvioinnissa käytetään mm. liiketoiminnan kassavirtaa ja konsernin vakavaraisuutta kuvaavia tunnuslukuja.
VASTUUT RISKIENHALLINNASSA
Vastuu riskienhallinnan toteuttamisesta on liiketoiminta- ja konsernijohdolla. Jokaisen keskolaisen pitää tuntea ja hallita oman vastuualueensa riskit. Riskienhallinnan asiantuntijaorganisaatio ohjaa ja kehittää konsernin riskienhallintaa sekä tukee liiketoimintaa riskienhallinnan toteuttamisessa ja riskiraportoinnissa.
Konsernin eri yksiköiden ja toimintojen roolit riskienhallinnassa
RISKIENHALLINTAPROSESSI KESKOSSA
Riskien tunnistaminen, arviointi ja hallintatoimenpiteet
Tässä kuvattu riskienhallinnan toimintamallia käytetään Keskon tavoitteita uhkaavien riskien tunnistamiseen ja hallintaan. Liiketoimintatavoitteet ja -mahdollisuudet sekä määritelty riskinottohalu ovat lähtökohtia riskien tunnistamisessa. Riskit priorisoidaan riskin merkityksen mukaisesti arvioimalla riskin toteutumisen vaikutuksia, todennäköisyyttä ja riskin hallinnan tasoa. Kaikkia riskejä ei voi tai ei kannata hallita. Toteutumisen vaikutusta arvioitaessa otetaan huomioon taloudellisten vaikutusten lisäksi myös mm. vaikutukset maineelle, ihmisten hyvinvoinnille ja ympäristölle. Riskiarvioinneissa käytetään konsernissa yhdenmukaisia työkaluja.
Riskienhallintatoimenpiteille nimetään vastuuhenkilöt, joka vastaavat toimenpiteiden suunnittelusta, toteutuksesta ja seurannasta. Määritellyt toimenpiteet liitetään toimintasuunnitelmiin ja seurantoihin.
Riskienhallintatoimenpiteet kohdistetaan merkittävimpiin riskeihin kustannustehokkailla ja tarkoituksenmukaisilla toimenpidevaihtoehdoilla, joita ovat
- riskin pienentäminen, jakaminen tai siirtäminen esimerkiksi toimintaa muuttamalla, valvontaa parantamalla, vakuuttamalla tai sopimusteitse
- riskin poistaminen esimerkiksi luopumalla liian riskipitoisesta toiminnasta
- varautuminen riskin toteutumiseen mm. toipumissuunnitelmin
- riskin hyväksyminen ilman erityisiä riskienhallintatoimenpiteitä.
Hallintatoimenpiteiden toteutumisen seuranta
Toimialojen ja konserniyksiköiden johto seuraa säännöllisesti riskienhallinnan toteutumista ja raportoivat riskeistä sekä riskien hallintatoimenpiteiden edistymisestä. Toimenpiteiden riittävyyttä ja vaikuttavuutta arvioidaan osana liiketoiminnan seurantaa. Tarvittaessa ryhdytään korjaaviin toimenpiteisiin.
Riskienhallinnan ohjaus ja tuki
Konsernin riskienhallintatoiminto ohjaa, kehittää ja valvoo riskienhallintaprosessia koko konsernissa. Keskeisiä yhteistyökumppaneita ovat toimialojen riskienhallintavastaavat ja konsernitoiminnot. Konsernin riskienhallintatoiminto vastaa konsernin riskienhallinnan ohjeistuksesta ja yhtenäisten työkalujen kehittämisestä ja käyttöönotosta sekä riskienhallintaprosessin valvonnasta. Se vastaa myös riskiraportoinnin valmistelusta hallitukselle ja tarkastusvaliokunnalle.
RISKIRAPORTOINTI
Riskeistä ja hallintatoimenpiteistä raportoidaan Keskon raportointivastuiden mukaisesti. Toimialat raportoivat riskit ja niissä tapahtuneet muutokset konsernin riskienhallintaan neljännesvuosittain. Riskit käsitellään riskiraportointiryhmässä, jossa on toimialojen ja konsernitoimintojen edustus. Tämän jälkeen konsernin riskienhallinta laatii konsernin riskikartan merkittävimmistä riskeistä ja niiden hallinnasta.
Konsernin riskikartta, merkittävimmät riskit ja epävarmuustekijät sekä niiden olennaiset muutokset ja hallintatoimenpiteet raportoidaan Keskon hallituksen tarkastusvaliokunnalle osavuosikatsausten ja tilinpäätöksen käsittelyn yhteydessä. Tarkastusvaliokunnan puheenjohtaja raportoi riskienhallinnasta hallitukselle osana tarkastusvaliokuntaraporttia. Keskon hallitus käsittelee merkittävimmät riskit, toimenpiteet niiden hallitsemiseksi sekä arvioi riskienhallinnan tehokkuutta ja toimivuutta. Merkittävimmistä riskeistä ja epävarmuustekijöistä hallitus raportoi markkinoille tilinpäätöksessä ja olennaisista muutoksista osavuosikatsauksissa.