Riskienhallinnan viitekehys ja periaatteet
Finnair toimii maailmanlaajuisessa erittäin kilpaillussa ympäristössä, joka on herkkä suhdannevaihteluille. Strategian toteuttamisessa Finnairiin ja sen toimintaan kohdistuu monenlaisia
riskejä ja mahdollisuuksia.
Riskienhallinta on erottamaton osa tehokkaita ja tulosta tuottavia johtamiskäytänteitä sen varmistamiseksi, että Finnair onnistuu saavuttamaan liiketoiminnalliset tavoitteensa. Kaikkeen päätöksentekoon liittyy epävarmuustekijöitä (mahdollisuuksia tai uhkia), jotka näin ollen ovat erottamaton osa päivittäistä liiketoiminnan johtamista.
Finnairin riskienhallinnan viitekehys on määritetty ja vakiinnutettu, jotta asetettuihin tavoitteisiin liittyvien riskien ja epävarmuuksien tunnistaminen, arvioiminen sekä hallinta varmistetaan. Viitekehys on suunniteltu siten, että se kattaa riskinäkymän yhtiön laajuisesti. Riskienhallinnan periaatteet voidaan tiivistää seuraavasti:
• Riskienhallinta ulottuu paitsi sisäiseen valvontaan niin myös strategian määrittämiseen, hallintoon ja suorituksen mittaamiseen
• Riskit hallitaan erottamattomana osana strategista ja operatiivista suunnittelua, päivittäistä päätöksentekoa ja operatiivisia prosesseja
• Hallinnon ensisijainen periaate on noudattaa kolmen puolustuslinjan mallia, jotta varmistetaan tehtävien eriyttäminen riskienhallinnan sekä tämän toiminnan valvomisen välillä
• Finnairin riskienhallinnan ja sisäisen valvonnan järjestelmien tehokkuutta arvioidaan järjestelmällisesti.
Riskienhallinnan politiikka ja prosessi
Riskienhallinnan viitekehys ja periaatteet on määritelty hallituksen hyväksymässä sisäisen valvonnan ja riskienhallinnan politiikassa (the Finnair Internal Control and Risk Management Policy). Politiikkaa täydentävät yksityiskohtaisemmat eri riskialueita koskevat politiikat. Esimerkkejä muista riskipolitiikoista ovat muun muassa varainhallinnan politiikka, hankintapolitiikka, tietoturvapolitikka, tietosuojapolitiikka ja kilpailupolitiikka sekä talouspakotepolitiikka.
Finnairin riskienhallinnan viitekehys ja periaatteet huomioivat kansainvälisesti tunnustetut riskienhallinnan parhaat käytännöt (COSO ERM 2017-viitekehys ja ISO 31000:2009 -riskienhallintastandardi).
Riskien tunnistamiseen ja arviointiin kuuluvat seuraavat vaiheet:
• tavoitteiden saavuttamiseen vaikuttavien ulkoisten ja sisäisen tapahtumien tunnistaminen
• riskien ja mahdollisuuksien eriyttäminen
• tunnistettujen riskien analysointi
• riskien integrointi (konsolidointi)
• riskien arviointi ja priorisointi niiden vaikutuksen ja todennäköisyyden perusteella
Riskienhallinnan ohjausmalli
Ensimmäinen puolustuslinja
Finnairin riskienhallintajärjestelmä varmistaa, että johdolla on käytössään prosessi, jonka avulla tavoitteisiin liittyvät epävarmuustekijät analysoidaan ja hallitaan Finnairin riskinkantokyvyn rajoissa.
Toinen puolustuslinja
Risk & Compliance -valvontatoiminto avustaa asiantuntemuksellaan riskien arvioinnissa ja riskienhallinnassa. Risk & Compliance -toiminnon vastuulla on riskienhallinnan ja sisäisen valvonnan viitekehysten kehittäminen ja ylläpitäminen sekä niissä määriteltyjen politiikkojen, sääntöjen, menettelytapojen ja avainkontrollien toimeenpanon seuranta. Risk & Compliance -toiminto raportoi hallituksen tarkastusvaliokunnalle.
Finnairin lentotoimintaluvan ja sovellettavien ilmailumääräysten vaatiman lakisääteisen turvallisuuden johtamisjärjestelmän vastuut ja valvonta määräytyvät ilmailuviranomaisen määräysten mukaisesti. Safety & Compliance -toiminto vastaa turvallisuuden johtamisjärjestelmän valvonnasta.
Kolmas puolustuslinja
Sisäinen tarkastus suorittaa tarkastuksia ja tuottaa yhtiön hallitukselle riippumatonta arviointia yhtiön sisäisen valvonnan ja riskienhallinnan järjestelmien tehokkuudesta ja kypsyydestä.