Riskienhallinta

1.3.2023

Taloudelliseen raportointiin liittyvät sisäisen valvonnan ja riskienhallinnan järjestelmät

Kontrollitoiminnot ja kontrolliympäristö

Yhtiön taloushallinnossa on talousjohtajalle raportoiva controller-toiminto, jonka tehtävänä on varmistaa kuukausittain talousraportoinnin oikeellisuus. Talousjohtaja raportoi yhtiön johdolle, hallitukselle sekä hallituksen alaisuudessa toimivalle tarkastusvaliokunnalle yhtiötason sekä eri liiketoimintojen taloudellisesta kehityksestä.

Yrityksessä on käytössä raportointijärjestelmä, jonka avulla yhdistetään erillisyhtiöiden raporteista konsernitilinpäätös. Lisäksi käytössä on kirjalliset toimintaohjeet, joiden perusteella erillisyhtiöiden taloudellinen raportointi toteutetaan. Ohjeiden noudattamista valvoo yhtiön talousjohtaja. Lisäksi liiketoiminnan seurantaa ja varainhoidon valvontaa varten yhtiössä on käytettävissä tarvittavat erilliset raportointijärjestelmät. Konsernin taloushallinto laatii konsernin välitilinpäätökset ja konsernitilinpäätöksen. Taloushallinto hoitaa keskitetysti konsernin varainhankinnan ja -hallinnan ja vastaa rahoitusriskien hallinnasta.

Sisäinen valvonta

Sisäisen valvonnan avulla varmistetaan, että Digia-konsernin talousraportointi on luotettavaa. Digian taloushallinto ohjeistaa liiketoimintaa taloudelliseen raportointiin liittyen. Konsernin liiketoiminta on jaettu vastuualueisiin, joiden johtajat raportoivat toimitusjohtajalle. Raportointi ja valvonta perustuvat vuosittain tehtäviin ja kuukausittain seurattaviin budjetteihin, kuukausittain tehtävään tulosraportointiin ja viimeisimmän ennusteen päivittämiseen ja seurantaan.

Vastuualueiden johtajat raportoivat johtoryhmässä lisäksi vastuualueensa kehittämisasioita, strategia- ja vuosisuunnittelua, liiketoiminnan ja tuloksen seurantaan liittyviä asioita, investointeja, potentiaalisia yritysostokohteita ja vastuualueiden sisäistä organisointia. Vastuualueilla on omat johtoryhmänsä. Digian liiketoiminnan ohjaus ja valvonta tapahtuvat edellä esitetyn johtamisjärjestelmän avulla.

Digialla ei ole erillisesti organisoitua sisäisen tarkastuksen toimintoa. Erillisen sisäisen tarkastuksen toiminnon tarvetta arvioidaan säännöllisin väliajoin. Sisäiselle tarkastukselle kuuluvat tehtävät pystytään yhtiön nykyisessä liiketoiminnan laajuudessa suorittamaan yhtiön lakitoiminnon ja taloushallinnon avulla.

Riskienhallinta ja keskeisimmät riskit

Yhtiön riskienhallintaprosessin tarkoitus on tunnistaa ja hallita riskejä niin, että yhtiön on mahdollista saavuttaa strategiset ja taloudelliset tavoitteensa. Riskienhallinta on jatkuva prosessi, jonka avulla tunnistetaan, listataan ja arvioidaan merkittävimmät riskit, määritellään riskienhallintaan liittyvät vastuuhenkilöt ja arvotetaan riskit erillisen pisteytyksen avulla niin, että riskien vaikutusta sekä riskien keskinäistä merkitystä voidaan verrata. Osana prosessia on myös riskienhallinnallisten toimenpiteiden tunnistaminen, suunnittelu ja toteuttaminen sekä toteutuksen vaikutusten seuranta.

Digian riskienhallinnan keskeisimmät operatiiviseen toimintaan liittyvät ja valvottavat riskit ovat asiakas-, henkilö-, toimitus-, IT-, tietoturva-, tietosuoja-, immateriaalioikeus- ja liikearvoriskit.

Asiakasriskiä hallitaan aktiivisella asiakasrakenteen kehittämisellä ja ennalta ehkäisemällä potentiaalisten riskipositioiden syntymistä.

Henkilöriskejä arvioidaan ja hallitaan aktiivisella avainhenkilöiden kanssa käytävällä tavoite- ja kehityskeskusteluprosessilla. Henkilöstön sitoutuneisuuden kehittämiseksi sisäisen viestinnän tehokkuutta on pyritty parantamaan suunnitelmallisesti säännöllisten henkilöstötilaisuuksien ja johdon näkyvyyden avulla. Olennainen osa henkilöriskejä on osaamisen kehittämiseen ja rekrytointiin liittyvät riskit. Näitä hallitaan systemaattisella henkilöstön osaamisen kehittämisellä ja jatkuvalla rekrytointien ja alihankkijoiden hallinnalla.

Liiketoimintojen keskeisten projektien ja jatkuvien palveluiden sisäisen ja tarvittaessa myös ulkoisen auditoinnin avulla kehitetään konsernin projektien ja palveluiden riskienhallintaa ja varmistetaan menestykselliset asiakastoimitukset. Konsernin sertifioidut laatujärjestelmät evaluoidaan säännöllisesti. Digialla on käytössä ISO 9001 -sertifioitu laadunjohtamisjärjestelmä (Core Process Model), jossa kuvattuja prosesseja hyödynnetään kaikessa toiminnassa tavoitteena tuottaa paras mahdollinen asiakaskokemus. Vastuullisuusriskien hallinnasta kerrotaan lisää vastuullisuusraportissa.

Tietoturva- ja tietosuojariskejä hallinnoidaan auditoinneilla ja jatkuvalla toimintamallien sekä tietoturvaa ja tietosuojaa edistävien käytäntöjen ja prosessien kehittämisellä ja koko henkilöstöä koskevilla koulutuksilla. Vuonna 2020 uusimme sisäisen tietoturva- ja tietosuojakoulutuskokonaisuuden, joka koskee digialaisten lisäksi myös Digian tiloissa työskenteleviä alihankkijoita. Koulutuskokonaisuus on suoritettava uudelleen vuosittain.

Vuoden 2022 aikana saimme kansainvälisen ISO 27001 -tietoturvahallinnan sertifikaatin. ISO 27001 on kansainvälinen tietoturvahallinnan standardi, joka tarjoaa organisaatioille turvallisuudenhallinnan viitekehyksen tietoturvahallinnan toteuttamiseen, ylläpitämiseen ja jatkuvaan parantamiseen. Sertifikaatti myönnetään organisaatioille, joiden toiminta on auditoitu standardin mukaisesti. Sertifikaatti kattaa ensimmäisessä vaiheessa Digian Secure and Scalable Solutions sekä Managed Services -liiketoiminta-alueet, mutta koko Digian turvallisuudenhallinta on päivitetty noudattamaan ISO 27001 -standardia. Sertifioinnin kattavuutta laajennetaan Digialla vuoden 2023 aikana. ISO 27001:n myötä tuotettiin myös uusia lisäkoulutuksia ja lisäksi päivitettiin vuosittaisia pakollisia koulutuksia.

Liiketoimintojen integroimiseen, yhtenäisten toimintamallien ja parhaiden käytäntöjen sekä niiden yhtenäiseen kehittämiseen liittyviä riskejä hallinnoidaan konsernin johtoryhmän toimesta suunnitelmallisesti. Ohjelmistoalan tyypillistä riskiä omien oikeuksien asianmukaisesta suojaamisesta ja toisten oikeudenhaltijoiden oikeuksien loukkaamisesta  hallitaan kattavan sisäisen ohjeistuksen, sopimusten vakioehtojen sekä asianmukaisen seurannan ja analyysien avulla.

IFRS-kirjanpitokäytäntöön liittyen liikearvo ja sen arvonalentumistestaus on aktiivisessa seurannassa osana huolellista ja ennakoivaa riskijohtamiskäytäntöä.

Digia on arvioinut toimintaansa ja liikesuhteisiinsa liittyvät yritysvastuuriskit, ja sillä on riskeihin liittyen käytössä riittävät ja tarkoituksenmukaiset ennakoivan huolellisuuden turvaavat prosessit.

Operatiiviseen toimintaan liittyvien riskien lisäksi yhtiöllä on rahoitukseen liittyviä riskejä. Digia Oyj:n sisäinen ja ulkoinen rahoitus sekä rahoitusriskienhallinta on keskitetty konsernin emoyhtiön rahoitustoimintoon. Konsernin emoyhtiön rahoitustoiminto vastaa konsernin maksuvalmiudesta ja rahoituksen riittävyydestä sekä korkoriskin hallinnoimisesta. Konserni altistuu normaalissa liiketoiminnassaan useille rahoitusriskeille. Konsernin riskienhallinnan tavoite on minimoida rahoitusmarkkinoiden muutosten haitalliset vaikutukset konsernin tulokseen. Pääasialliset rahoitusriskit ovat korkoriski, luottoriski ja varainhankintariski. Riskienhallinnan yleiset periaatteet hyväksyy hallitus ja niiden käytännön toteutuksesta vastaa konsernin taloushallinto yhdessä liiketoimintaryhmien kanssa.

Lisätietoa riskienhallinnasta löydät vuosikertomuksesta >>