Ramverk för hantering av verksamhetsrisker (ERM)

Att vara verksam på en rad olika geografiska produkt- och tjänstemarknader i den starkt konkurrensutsatta och reglerade telekombranschen medför att Telia Company exponeras för ett antal risker och osäkerhetsfaktorer. Telia Company har definierat begreppet risk som allt som kan ge en väsentlig negativ effekt på uppnåendet av Telia Company:s mål. Risker kan vara hot, osäkerhetsfaktorer eller förlorade möjligheter som hör samman med nuvarande eller framtida verksamheter eller aktiviteter. Risker och osäkerhetsfaktorer relaterade till verksamhet och hållbarhet samt till aktieägarfrågor beskrivs i Risker och osäkerheter och finansiella risker i not K26 i koncernredovisningen.

Tre försvarslinjer – integrerad styrning, riskhantering och efterlevnad

Telia Company:s riskhantering kan beskrivas som ett trelinjers försvar som utgör en integrerad del av koncernens operativa verksamhet, affärsplaneringsprocess och övervakning av verksamhetsresultat. Risker identifieras och utvärderas, och åtgärder vidtas för att begränsa och övervaka riskerna.

Riskhantering i verksamheten – försvarslinjer

Risker och osäkerhetsfaktorer

 

Roller och ansvar i försvarslinjerna inbegriper:

  • Första linjens försvar: Linjeorganisationen äger sina operativa risker och utkrävs ansvar för riskbedömning, riskkontroll och risklindring samt för interna kontrollaktiviteter och tillförsäkran.
  • Andra linjens försvar: Omfattar funktionen för hantering av verksamhetsrisker (ERM) på koncernnivå, koncernriskområdeskoordinatorer, internkontrollfunktionen inom koncernfinans, koncernenheten för etik och efterlevnad inom CEO Office; Strategy & Combined Assurance samt möten för hantering av styrning, risk, etik och efterlevnad (GREC).
  • Tredje linjens försvar: Koncernens internrevisionsenhet ger oberoende tillförsäkran avseende riskhanterings-processen och internkontrollmiljön. Utomstående parter, som externrevisorerna och regulatoriska myndigheter, ger tillförsäkran med avseende på specifika lagstadgade krav, till exempel information som presenteras i koncernredovisningen eller rapporteras till Finansinspektionen.

Riskhanteringsprocessen

RISKHANTERING – PROCESSFLÖDE

Målsättningen med den kontinuerliga riskhanteringsprocessen är att alla risker som kan hjälpa eller hindra uppfyllandet av Telia Company:s mål regelbundet bedöms, åtgärdas och övervakas. Riskhanteringen ska vara helt integrerad i affärsprocesserna. Riskhanteringsprocedurerna ska vara transparenta, genomförbara och spårbara. Ledningen ska försäkra sig om att en personlig känsla för ansvar och en gemensam syn på och medvetenhet om risk skapas hos medarbetarna samt främja ansvarsutkrävande för risker i det dagliga beslutsfattandet. Riskrapporteringen är integrerad i affärsplaneringsprocessen och risker ska granskas på verksamhetsgenomgångarna och eskaleras genom linjeorganisationen.

Revisions- och responsible businessutskottet och styrelsen erhåller kvartalsvis en samlad riskrapport, samordnad med styrelsens årliga arbetscykel. Den samlade rapporten är indelad i fyra riskkategorier:

  • Finansiella risker
  • Operativa och samhällsrisker
  • Strategiska och tillväxtrisker
  • Legala och regulatoriska risker

Inom var och en av dessa kategorier presenteras riskerna antingen som koncernövergripande eller på landsnivå.

Därutöver erhåller revisions- och responsible businessutskottet kvartalsvis en samlad rapport över rättstvister med kortfattade detaljer avseende legala och administrativa processer som är pågående, i vänteläge och hotade. Varje fallbeskrivning innehåller även påstådd nominell och uppskattad finansiell påverkan när så är möjligt samt en sannolikhetsgradering.

Ledningen ska aktivt, regelbundet och i rätt tid utvärdera och bedöma risk och efterlevnad för att försäkra sig om att alla medarbetare är medvetna om och vidtar åtgärder för att efterleva gällande krav. Efterlevnad innebär anpassning till såväl externa som interna krav så som:

  • Gällande lagstiftning och reglering
  • Kundavtal
  • Internationella standarder och normer
  • Koncernpolicyer och koncerninstruktioner

De mest betydelsefulla riskområdena övervakas av riskhanteringsfunktionen (ERM) inklusive GREC-mötena, internkontrollfunktionen inom koncernfinans samt koncernenheten för etik och efterlevnad.

Funktion för hantering av verksamhetsrisker (ERM) på koncernnivå

Chefen för funktionen för hantering av verksamhetsrisker (ERM), som ingår i koncernfunktionen CEO Office; Strategy & Combined Assurance, agerar som ägare av den koncerngemensamma ERM-processen för att säkerställa en strukturerad hållning avseende riskhantering, efterlevnad och rapportering inom koncernen. Funktionsansvaret omfattar att:

  • Äga, förvalta, koordinera och övervaka ERM-processen för att säkerställa ett strukturerat förhållningssätt gentemot riskhantering, efterlevnad och rapportering inom koncernen
  • Äga koncernens ramverk för ERM, policyer och instruktioner inom hans/hennes ansvarsområde samt att övervaka efterlevnad och stödja implementering inom koncernen
  • Övervaka den operationella effektiviteten av ERM-processen inom koncernen och föreslå förbättringsåtgärder
  • Övervaka risknivåer såväl som karaktären av specifika riskområden inom koncernen. Som en del av detta ansvarsområde kommer chefen för funktionen för hantering av verksamhetsrisker inhämta och sammanställa rapporter från respektive land och koncernfunktion för att kunna ge VD och styrelse en konsoliderad samt holistisk bild av koncernens risknivå och enskilda väsentliga risker
  • Organisera och möjliggöra GREC-möten på koncernnivå
  • Granskning av koncernpolicyer och instruktioner

Ramverk och program för efterlevnad

Som ytterligare ett stöd till första försvarslinjen har Telia Company infört ett ramverk för att möjliggöra ett systematiskt arbete med efterlevnadsfrågor. Efterlevnadsramverket består av åtta element som är grundade på en tydlig inriktning från ledningen. Det är utformat för att följa internationell standard och är baserat på principerna förebygga, upptäcka och undersöka.

RAMVERK FÖR RISKHANTERING

 

Prioriterade riskområden inom hållbarhetsområdet har identifierats baserade på riskbedömningar. De mest betydelsefulla riskerna övervakas av koncernenheten för etik och efterlevnad inom CEO Office; Strategy & Combined Assurance och hanteras i enlighet med ramverket genom ämnesspecifika efterlevnadsprogram för att säkerställa enhetlighet och uppföljning i införande och rapportering. De för närvarande prioriterade riskområdena avspeglas av följande pågående program:

  • Anti-korruption
  • Yttrandefrihet och övervakningsintegritet
  • Kundintegritet
  • Barnens rätt
  • Ansvarsfulla inköp
  • Miljöansvar
  • Arbetsmiljö, hälsa och säkerhet

Ytterligare information avseende tillvägagångssätt och arbete inom respektive område återfinns i ”Ansvarsfullt företagande”.

Möten ägnade åt styrning, risk, etik och efterlevnad (GREC)

GREC-mötenas syfte är att agera som de främsta styrande organen inom risk och efterlevnad och att utvärdera risknivåer och föreslå aktiviteter för att mildra riskerna.

Vid GREC-mötena, som hålls minst kvartalsvis, samlas ledningen för att uppdatera, diskutera, besluta och följa upp pågående aktiviteter och satsningar inom de olika riskområdena och fokusområdena inom hållbarhet. Syftet med GREC-mötena är att:

  • Sammanställa riskrapporter från länder/funktioner
  • Bedöma lands - och koncernrisker
  • Granska risknivåer i relation till riskaptit
  • Rekommendera och besluta om riskbegränsande åtgärder
  • Eskalera och rapportera risker samt följa upp risk­begränsande åtgärder
  • Övervaka efterlevnad inom väsentliga riskområden
  • Bygga en riskmedveten företagskultur
  • Övervaka och reagera på bristande efterlevnad av interna och externa krav, inklusive vad som framkommit vid revision
  • Säkerställa kommunikation och feedback till alla relevanta intressenter

GREC-möten hålls på koncern- och landsnivå såväl som inom utvalda koncernfunktioner och dotterbolag. På koncernnivå leder koncernchefen GREC-mötena som består av koncernledningen utökad med chefen för koncernfunktionen för hantering av verksamhetsrisker, chefen för region Eurasien, chefen för koncernenheten etik och efterlevnad samt chefen för koncernenheten för internrevision. Syfte, agenda och deltagare på lokala GREC-möten speglar mötena på koncernnivå.

Whistle blowing-processen

Speak-Up Line

2017 var det tredje hela verksamhetsåret för Telia Company:s Speak-Up Line, ett whistle blowing-verktyg som gör det möjligt för medarbetare och andra att anonymt rapportera kränkningar av god redovisningssed, korrekt rapportering eller god intern kontroll liksom bristande efterlevnad av lokal lagstiftning eller brott mot Telia Company:s affärsetiska uppförandekod, koncernpolicyer och instruktioner. Telia Company har en koncernövergripande standard för utförande av interna utredningar. Ledstjärnan är säkerställande av att utredningar genomförs på ett objektivt och opartiskt sätt; bedrivs så att fakta snabbt fastställs med ett minimum av störningar för affärsverksamheten eller medarbetares privatliv; samt att säkerställa att sekretess och icke-vedergällning alltid respekteras.

Till läsaren av denna rapport: Om du anser att det finns brister i Telia Company:s finansiella rapportering eller om du misstänker oegentligheter inom Telia Company-koncernen kan du anmäla detta till: www.speakupline.ethicspoint.com

Speak-Up Line 2017

Under 2017 inkom 179 whistle blowing-rapporter (123 under 2016). Rapporterna hänförde sig huvudsakligen till etiska betänkligheter eller förebråelser gentemot ledning, intressekonflikt samt klagomål eller frågor från kunder.

Majoriteten av rapporterna mottogs genom Speak-up Lineportalen, genom direkt kontakt ansvarig för etik och efterlevnad på koncernivå eller lokalt eller genom linjechef. Majoriteten av rapporterna kom från Sverige, Kazakstan och Uzbekistan.

Under 2017 inleddes 51 (35 under 2016) utredningar av enheten för särskilda utredningar inom etik och efterlevnadsfunktionen. Under denna period fattades 10 beslut om disciplinära åtgärder av koncernledningen. Detta inkluderade varning av anställda och chefer. Under 2017 initierades 11 (24) utredningar på begäran av ledare.

Konsoliderade ärenderapporter presenterades fort­löpande för revisions- och responsible businessutskottet under året. Rapporterna innefattade ärenden av betydelse, utvecklingen för pågående utredningar samt slutliga resultat av utredningar.

Antal whistle blowing-ärenden under 2017 (2016)

Utredningar inledda av enheten för särskilda utredningar

51 (35)

Ärenden rörande personalfrågor (hanteras gemensamt 
med koncernfunktionen personal)

51 (19)

Ärenden som skickats för information till andra enheter 
(t ex kund- eller leverantörsklagomål) eller som stängts 
efter inledande granskning och svar till anmälaren 
(t ex ärenden av etisk karaktär)

77 (69)

Totalt

179 (123)

Rapporteringskanaler 2017 (2016)

%

Speak-Up Lineportalen

67 (50)

Skickat till Speak-Up Lines e-postadress

15 (12)

Direktkontakt med ansvarig för etik och 
efterlevnad på koncernnivå och lokalt

9 (17)

Linjechefer

4 (18)

Telia Company:s högsta ledning

4 (2)

Ursprung för rapporter under 2017 (2016)

%

Norden

44 (33)

Region Eurasien

42 (56)

Andra koncernbolag

14 (11)

Interna utredningar nyckeltal

Mål

2017

2016

Whistle blowing-ärenden avslutade inom åtta veckor

80%

72%

83%