Ramverk för hantering av verksamhetsrisker (ERM)

Att vara verksam på en rad olika geografiska produkt- och tjänstemarknader i den starkt konkurrensutsatta och reglerade telekombranschen medför att Telia Company exponeras för ett antal risker och osäkerhetsfaktorer. Telia Company har definierat begreppet risk som allt som kan ge en väsentlig negativ effekt på uppnåendet av Telia Company:s mål. Risker kan vara hot, osäkerhetsfaktorer eller förlorade möjligheter som hör samman med Telia Company:s nuvarande eller framtida verksamheter eller aktiviteter. Risker och osäkerhetsfaktorer relaterade till verksamhet och hållbarhet samt till aktieägarfrågor beskrivs i Risker och osäkerheter och finansiella risker i not K26 i koncernredovisningen.

Tre försvarslinjer – integrerad styrning, ­riskhantering och efterlevnad

Telia Company:s riskhantering kan beskrivas som ett trelinjers försvar som utgör en integrerad del av koncernens operativa verksamhet, affärsplaneringsprocess och övervakning av verksamhetsresultat. Risker som kan utgöra ett hot mot uppnåendet av affärsmål identifieras och utvärderas, och åtgärder vidtas för att begränsa och övervaka de identifierade riskerna. Syftet är att inte endast fokusera på riskerna ur ett negativt perspektiv utan också att bekräfta att framgångsrik riskhantering är nödvändig för strategi­genomförande och hållbar tillväxt.

RISKHANTERING I VERKSAMHETEN - FÖRSVARSLINJER

Roller och ansvar i försvarslinjerna inbegriper:

  • Första linjens försvar: Linjeorganisationen äger sina operativa risker och har respektive utkrävs ansvar för riskbedömning, riskkontroll och risklindring samt för interna kontrollaktiviteter och tillförsäkran
  • Andra linjens försvar: Omfattar funktionen för hantering av verksamhetsrisker (ERM) på koncernnivå, koncernriskområdeskoordinatorer, internkontrollfunktionen inom koncernfinans, koncernenheten för etik och efterlevnad samt möten för hantering av styrning, risk, etik och efterlevnad (GREC)
  • Tredje linjens försvar: Koncernens internrevisionsenhet ger oberoende tillförsäkran avseende riskhanterings-processen och internkontrollmiljön. Utomstående parter, som externrevisorerna och regulatoriska myndigheter, ger tillförsäkran med avseende på specifika lagstadgade krav, till exempel information som presenteras i koncernredovisningen eller rapporteras till Finansinspektionen

Riskhanteringsprocessen

Telia Company:s koncerninstruktioner om riskhantering definierar, som en bas för första linjens försvar, roller och ansvar samt huvudbeståndsdelarna i riskhanteringsprocessen, vilka är riskbedömning, riskbemötande och kontinuerlig övervakning.

RISKHANTERING – PROCESSFLÖDE

Målsättningen med den kontinuerliga riskhanterings-processen är att alla risker som kan hjälpa eller hindra uppfyllandet av Telia Company:s mål regelbundet bedöms, åtgärdas och övervakas.

Riskhanteringen ska vara helt integrerad i affärsprocesserna. Riskhanteringsprocedurerna ska vara transparenta, genomförbara och spårbara. Ledningen ska försäkra sig om att en personlig känsla för ansvar och en gemensam syn på och medvetenhet om risk skapas hos medarbetarna samt främja ansvarsutkrävande för risker i det dagliga beslutsfattandet. Riskrapporteringen är integrerad i affärsplaneringsprocessen och risker ska granskas på verksamhetsgenomgångarna och eskaleras genom linjeorganisationen.

Revisionsutskottet och styrelsen erhåller kvartalsvis en samlad riskrapport, samordnad med styrelsens årliga arbetscykel som beskrivs i avsnittet ”Styrelse”. Den samlade rapporten är indelad i fyra riskkategorier:

  • Finansiella risker
  • Operationella och samhälleliga risker
  • Strategiska och uppkommande risker
  • Legala och regulatoriska risker

Inom var och en av dessa kategorier presenteras riskerna antingen som koncernövergripande eller på regionnivå med en:

  • Riskbeskrivning
  • Beskrivning av aktiviteter för att mildra riskerna och status på verkställighet
  • Potentiell finansiell påverkan då det är möjligt
  • Sannolikhetsgradering (låg, medel, hög och mycket hög risk)

Därutöver erhåller revisionsutskottet kvartalsvis en samlad rapport över rättstvister med kortfattade detaljer avseende legala och administrativa processer som är pågående, i vänteläge och hotade. Varje fallbeskrivning innehåller även påstådd nominell och uppskattad finansiell påverkan när så är möjligt samt en sannolikhetsgradering (låg, medel och hög risk).

Ledningen ska aktivt, regelbundet och i rätt tid utvärdera och bedöma risk och efterlevnad för att försäkra sig om att alla medarbetare är medvetna om och vidtar åtgärder för att efterleva gällande krav. Efterlevnad innebär anpassning såväl externa som interna krav så som:

  • Gällande lagstiftning och reglering
  • Kundavtal
  • Internationella standarder och normer
  • Koncernpolicys och koncerninstruktioner

De mest betydelsefulla riskområdena övervakas av riskhanteringsfunktionen inklusive GREC-mötena (se avsnitten ”Koncernfunktion för hantering av verksamhetsrisker” och ”Möten ägnade åt styrning, risk, etik och efterlevnad (GREC)”), internkontrollfunktionen inom koncernfinans (se avsnittet ”Intern kontroll över finansiell rapportering”) samt koncernenheten för etik och efterlevnad (se avsnittet ”Ramverk och program för efterlevnad”).

Funktion för hantering av verksamhetsrisker (ERM) på koncernnivå

Chefen för funktionen för hantering av verksamhetsrisker (ERM), som ingår i koncernfunktionen affärsutveckling, agerar som ägare av den koncerngemensamma ERM-processen för att säkerställa en strukturerad hållning avseende riskhantering, efterlevnad och rapportering inom koncernen. Funktionsansvaret omfattar att:

  • Äga, förvalta, koordinera och övervaka ERM-processen för att säkerställa ett strukturerat förhållningssätt gentemot riskhantering, efterlevnad och rapportering inom koncernen
  • Äga koncernens ramverk för ERM, policys och instruktioner inom hans/hennes ansvarsområde samt att övervaka efterlevnad och stödja implementering inom koncernen
  • Övervaka den operationella effektiviteten av ERM-processen inom koncernen och föreslå förbättringsåtgärder
  • Övervaka risknivåer såväl som karaktären av specifika riskområden inom koncernen. Som en del av detta ansvarsområde kommer chefen för funktionen för hantering av verksamhetsrisker inhämta och sammanställa rapporter från respektive land och koncernfunktion för att kunna ge VD och styrelse en konsoliderad samt holistisk bild av koncernens risknivå och enskilda väsentliga risker
  • Organisera och möjliggöra GREC-möten på koncernnivå

Ramverk och program för efterlevnad

Som ytterligare ett stöd till första försvarslinjen har Telia Company infört ett ramverk för att möjliggöra ett systematiskt arbete med efterlevnadsfrågor. Efterlevnadsramverket består av åtta element som är grundade på en tydlig inrikt-ning från ledningen. Det är utformat för att följa internationell standard och är baserat på principerna förebygga, upptäcka och undersöka.

Prioriterade riskområden har identifierats baserade på riskbedömningar. De mest betydelsefulla riskerna övervakas av koncernenheten för etik och efterlevnad och hanteras i enlighet med ramverket genom ämnesspecifika efterlevnadsprogram för att säkerställa enhetlighet och uppföljning i införande och rapportering. De för närvarande prioriterade riskområdena avspeglas av följande pågående program:

  • Anti-korruption
  • Yttrandefrihet
  • Kundintegritet
  • Arbetsmiljö, hälsa och säkerhet
  • Ansvarstagande upphandling
  • Miljö

Ytterligare information avseende tillvägagångssätt och arbete inom respektive område återfinns i Hållbarhetsarbete, avsnitten ”Hållbarhet i Telia Company”, ”Anti-korruption”, ”Yttrandefrihet”, ”Kundintegritet” samt ”Arbetsmiljö, hälsa och säkerhet”.

 

GREC-möte (koncernnivå) – deltagare och riskkategorier

 

möten ägnade åt styrning, risk, etik och efterlevnad

 

Möten ägnade åt styrning, risk, etik och efterlevnad (GREC)

GREC-mötenas syfte är att agera som de främsta styrande organen inom risk och efterlevnad och att utvärdera risk­nivåer och föreslå aktiviteter för att mildra riskerna.

Vid GREC-mötena, som hålls minst kvartalsvis, samlas ledningen för att uppdatera, diskutera, besluta och följa upp pågående aktiviteter och satsningar inom de olika riskområdena och fokusområdena inom hållbarhet. Syftet med GREC-mötena är att:

  • Sammanställa riskrapporter från regioner, länder ochfunktioner
  • Bedöma lands-, region- och koncernrisker
  • Granska risknivåer i relation till riskaptit
  • Rekommendera och besluta om riskbegränsande åtgärder
  • Eskalera och rapportera risker samt följa upp riskbegränsande åtgärder
  • Övervaka efterlevnad inom väsentliga riskområden
  • Bygga en riskmedveten företagskultur
  • Övervaka och reagera på bristande efterlevnad av interna och externa krav
  • Säkerställa kommunikation och feed-back till alla relevanta intressenter

GREC-möten hålls på koncern-, region- och landsnivå. På koncernnivå leder koncernchefen GREC-mötena som består av koncernledningen utökad med chefen för CEO Office, chefen för koncernfunktionen för hantering av verksamhetsrisker, chefen för koncernenheten etik och efterlevnad samt chefen för koncernenheten för internrevision. Syfte, agenda och deltagare på lokala GREC-möten speglar mötena på koncernnivå. För region Eurasien hanteras GREC-frågor på koncernnivå av en styrgrupp som leds av koncernchefen och rapporteras till GREC på koncernnivå (se avsnittet ”Koncernchefen och koncernledningen” för ytterligare information).

Whistle blowing-processen

Speak-Up Line

2016 var det andra hela verksamhetsåret för Telia Company:s Speak-Up Line, ett whistle blowing-verktyg som gör det möjligt för medarbetare och andra att anonymt rapportera kränkningar av god redovisningssed, korrekt rapportering eller god intern kontroll liksom bristande efterlevnad av lokal lagstiftning eller brott mot Telia Company:s policys och etiska instruktioner. Telia Company har en koncernövergripande standard för utförande av interna utredningar. Ledstjärnan är säkerställande av att utredningar genomförs på ett objektivt och opartiskt sätt; bedrivs så att fakta snabbt fastställs med ett minimum av störningar för affärsverksamheten eller medarbetares privatliv; samt att säkerställa att sekretess och icke-vedergällning alltid respekteras.

Till läsaren av denna rapport: Om du anser att det finns brister i Telia Company:s finansiella rapportering eller om du misstänker oegentligheter inom Telia Company-koncernen kan du anmäla detta till: www.speakupline.ethicspoint.com

Speak-Up Line 2016

Antal whistle blowing-ärenden under 2016

123

Utredningar inledda av enheten för särskilda utredningar inom koncernenheten etik och efterlevnad

35 (27)

Ärenden rörande personalfrågor (hanteras med koncern­funktionen personal)

19 (42)

Ärenden som skickats för information till andra enheter (t.ex. kund- eller leverantörsklagomål), eller som stängts efter inledande granskning och svar till anmälare (t.ex. ärenden av etisk karaktär)

69 (72)

 

Rapporteringskanal

%

Speak-Up Lineportalen

50

Linjechefer

18

Direktkontakt med ansvariga för etik och efterlevnad på koncernnivå eller lokalt

17

Skickat till Speak-Up Lines e-postadress

12

Telia Company:s högsta ledning

2

Andel rapporter som lämnades anonymt eller av personer som begärt att få vara anonyma 26 (40) procent.

Ursprung för rapporter under 2016 (2015)

%

Region Eurasien

56 (74)

Norden

33 (22)

Andra koncernbolag

11 (4)

Klagomål eller frågor från kunder, intressekonflikter och etiska betänkligheter eller förebråelser gentemot ledning var vanligast bland de rapporterade ärendena, särskilt från region Eurasien. Andra väsentliga frågor rörde olämpliga relationer med tredje part, missbruk av ställning, diskriminering och trakasserier. Flera leverantörer klagade över partiska anbudsresultat. Flera anställda klagade över felaktig uppsägning.

Under 2016 inleddes 24 (13) utredningar på begäran av ledare. Denna ökning betraktas som positiv eftersom den visar att anställda känner sig bekväma med att ta upp ärenden direkt med sina ledare.

När beskyllningar visade sig vara underbyggda fattades i 10 (17) fall disciplinära beslut av koncernens etikforum. Flertalet beslut innebar att medarbetare fick sluta, men i vissa fall utfärdades varningar.

Konsoliderade ärenderapporter presenterades fortlöpande för revisionsutskottet under året. Rapporterna innefattade ärenden av betydelse, utvecklingen för pågående utredningar samt slutliga resultat av utredningar. Samtliga rapporter om avslutade utredningar överlämnades till koncernens etikforum för tillsyn och beslut om disciplinåtgärder.

Nyckeltal avseende interna utredningar

Mål

2016

2015

Andel whistle blowing-ärenden som
avslutas inom åtta veckor

80%

83%

72%

Andel disciplinåtgärder som verkställs
inom fyra veckor efter beslut av
koncernens etikforum

100%

70%

53%