Riskienhallinnan pääpiirteet
Riskienhallinnan periaatteet
Meillä on järjestelmällinen ja strukturoitu lähestymistapa riskienhallintaan. Se kattaa strategiset, operatiiviset, taloudelliset, compliance- ja vahinkoriskit. Nokian hallituksen tarkastusvaliokunnan hyväksymässä riskienhallintapolitiikassa kuvatut periaatteet edellyttävät, että riskienhallinta ja sen osatekijät sisällytetään osaksi Nokian avainprosesseja:
- Riskienhallinta on olennainen osa Nokian tavoiteasetantaa ja päätöksentekoa
Keskeisimpien riskien ja mahdollisuuksien tunnistaminen tapahtuu pääasiassa liiketoiminnan tavoitteita vasten joko liiketoiminnoissa tai olennaisena osana strategista ja taloudellista suunnittelua. Niitä tarkastellaan osana johdon ja taloudellisen suorituskyvyn tiedonkulkua. Riskienhallintakonseptimme perustuu niiden keskeisimpien riskien hallintaan, jotka voisivat estää meitä saavuttamasta tavoitteitamme sen sijaan, että pyrkisimme eliminoimaan kaikki riskit.
- Riskienhallinta on olennainen osa Nokian hallinto- ja ohjausjärjestelmää
Riskienhallinta ulottuu koko Nokiaan ja on kiinteä osa Nokian hallinto- ja ohjausjärjestelmää. Hallitus ja johtoryhmä ovat sitoutuneita tehokkaaseen riskienhallintaan keskeisenä johtamisen osa-alueena, joka tukee Nokian strategisten, taktisten ja operatiivisten liiketoiminnan tavoitteiden saavuttamista sekä liiketoiminnan tuloksen johtamista.
- Riskiomistajuus kulkee käsikädessä liiketoimintavastuun kanssa
Nokian riskienhallinta on linjassa Nokian hallintojärjestelmän kanssa, jossa Nokian liiketoimintaryhmät ovat vastuussa hyväksyttyjen suunnitelmien ja tavoitteiden saavuttamisesta. Vastuu riskienhallinnasta on kunkin yksikön tai liiketoimintaryhmän vetäjällä oman vastuualueensa puitteissa, ja vetäjät ovat siten vastuussa keskeisten riskien tunnistamisesta ja hallinnasta sekä mahdollisuuksiin tarttumisesta.
- Riskienhallinta edellyttää jatkuvaa kehitystyötä
Nokian riskienhallinta kehittyy jatkuvasti. Nokian talous- ja rahoitusjohtaja, joka toimii myös riskijohtajana, ohjaa ja tukee riskienhallintaan liittyvien käytäntöjen ja kehityshankkeiden edistymistä. Riskienhallintapolitiikassa määriteltyjen periaatteiden lisäksi riskienhallinnan eri osa-alueita toteutetaan myös muiden keskeisten toimintaohjeiden kautta.
Kyberturvallisuusriskien hallinta
Nokia, sen yhteistyö- ja sopimuskumppanit sekä alihankkijat kohtaavat kyberturvallisuusuhkia, kuten kiristyshaittaohjelmia, viruksia, matoja ja muita haitallisia ohjelmistoja, luvattomia muutoksia tai laitonta toimintaa, jotka voivat aiheuttaa mahdollisia turvallisuusriskejä ja muuta haittaa Nokialle, sen asiakkaille tai kuluttajille ja muille loppukäyttäjille Nokian tuotteita ja palveluita käytettäessä. IT:n dynaaminen luonne tekee näiden riskien täysimittaisesta lieventämisestä haastavaa. Yhteisyrityksemme ja konserniyhtiömme voivat olla rajallisesti kykeneviä valvomaan tällaisia uhkia.
Kyberturvallisuuteen liittyvä tietoturvapoikkeama voi johtaa pitkään ja kalliiseen tapahtuman selvitykseen, hyökkäyksen tai tietoturvaloukkauksen korjaamiseen, oikeudellisiin toimiin ja meille määrättyihin sakkomaksuihin sekä kielteisiin vaikutuksiin maineeseemme ja brändiarvoomme. Huolimatta jatkuvista investoinneista, kyberhyökkäysten ehkäiseminen, havaitseminen ja eristäminen on haastavaa. Lisäksi tietojärjestelmien suojaustoimenpiteiden kustannukset ja seuraukset toiminnoille voivat olla merkittäviä, erityisesti jos ne määrätään kansallisten viranomaisten toimesta. Emme välttämättä onnistu toteuttamaan tällaisia toimenpiteitä asianmukaisessa ajassa, mikä voi johtaa liiketoiminnan keskeytyksiin ja kalliimpaan, enemmän aikaa vievään ja resurssi-intensiivisempään toteutukseen. Tällaisiin tapahtumiin vastaamiseen ja niiden julkistamiseen liittyvä sääntelykehys on muutosvaiheessa. Emme välttämättä kykene noudattamaan täytäntöön pantavia säädöksiä tai tällainen noudattaminen voi negatiivisesti vaikuttaa kykyymme käsitellä itse tapahtumaa.
Kohtaamme useita kyberturvallisuusriskejä liiketoiminnassamme. Vaikka tällaiset riskit eivät toistaiseksi ole vaikuttaneet merkittävästi meihin, mukaan lukien liiketoimintastrategiamme, liiketoiminnan tulokset tai taloudellinen tilanteemme, olemme ajoittain kokeneet uhkia ja tietoturvaloukkauksia, kuten haittaohjelmia ja tietokonevirushyökkäyksiä. Jatkamme näiden haasteiden käsittelemistä, mutta ei ole takeita siitä, ettei hyökkäyksiä olisi jatkossakin.
Nokialla on vankat kyberturvallisuusprosessit sisällytettynä sen kokonaisvaltaiseen turvallisuusriskien hallintajärjestelmään. Olemme toteuttaneet vankan tietoturvaohjelman, joka kattaa kyberturvallisuusriskien hallinnan, kolmannen osapuolen tietoturvariskien hallinnan, tietoturvapoikkeamien hallinnan ja häiriöistä palautumisen prosessit.
Tietoturvajohtajalla on valtuudet perustaa Nokian tietoturvaohjelma ja valvoa sitä, ja hän pitää Nokian johdon ajan tasalla ohjelman tuloksista ja korostaa tietoturvariskejä, jotka voivat vaikuttaa Nokian liiketoimintaan ja asiakkaisiin. Nokian johto antaa ohjausta ja tukea ja vastaa ohjelman toteuttamisesta omilla toimialueillaan. Keskeisistä periaatteista kerrotaan Nokian tietoturvapolitiikassa, jota sovelletaan myös kolmansiin osapuoliin ja yhteistyökumppaneihin. Sitä tukevat aihekohtaiset vakiotoimintamenettelyt ja ‑ohjeet.
Nokian korkeat turvallisuustavoitteet näkyvät toimittajien valintaprosesseissa, sopimuksissa ja toimittajien (uudelleen)arvioinneissa varmistaen asianmukaisen turvallisuuden toimitusketjussa ja kolmansien osapuolten kanssa. Olemme sitoutuneet noudattamaan sovellettavia lakeja, määräyksiä, sopimusvelvoitteita ja alan johtavia käytäntöjä, kuten ISO 27001, NIST SP 800 ‑sarja, Cloud Security Alliance Control Matrix ja Information Security Forum.
Nokian kyberturvallisuuspoikkeamat käsitellään tietoturvapoikkeamien hallintaprosessissa, joka kattaa kaikki poikkeamiin reagoimisen vaiheet, mukaan lukien valmistautuminen, tunnistaminen, rajoittaminen, hävittäminen, palauttaminen ja jälkianalysointi. Jokainen vahvistettu kyberturvallisuuteen liittyvä poikkeama arvioidaan luokitusjärjestelmän avulla (vaikutus kohteen luottamuksellisuuteen, eheyteen ja saatavuuteen, kiireellisyys ja tietoturvapoikkeaman prioriteetti). Merkittäviä kyberturvallisuuspoikkeamia nostaa esiin ja hallinnoi monialainen johtotason ryhmä, joka vastaa tarvittavien päätösten tekemisestä ja priorisoi toimet, joilla voidaan minimoida tietoturvapoikkeaman vaikutukset Nokiaan ja asiakkaisiin. Talous- ja rahoitusjohtajan organisaation sekä laki- ja compliance-tiimien jäsenet vastaavat tietoturvapoikkeamien olennaisuuden määrittämisestä ja nopeasta ilmoittamisesta hallituksen tarkastusvaliokunnalle. Nokian kyberturvallisuudesta vastaava johtotason ryhmä arvioi ja hallitsee kyberturvallisuusuhkia. Ryhmän jäsenillä on koulutusta ja kokemusta turvallisuusriskien hallinnasta, turvallisuuden hallinnoinnista, kyberresilienssistä, tietoturvapoikkeamien hallinnasta, tietotekniikasta, kyberturvallisuuden oikeudellisista ja compliance-vaatimuksista sekä tiedonannoista. Yleiskatsaus hallituksen jäsenten koulutuksesta ja kokemuksesta sekä arviomme heidän kokemuksestaan ja taidoistaan liittyen kyberturvallisuuteen, ks. ”Nokian pääasialliset hallintoelimet–Hallitus”.
Taloudelliseen raportointiprosessiin liittyvien sisäisen valvonnan järjestelmien pääpiirteet
Johto on vastuussa riittävien sisäisten valvontaprosessien luomisesta ja ylläpitämisestä yhtiön taloudelliseen raportointiin liittyen. Taloudellisen raportoinnin sisäisen valvontamme tarkoituksena on antaa johdolle ja hallitukselle riittävä varmuus siitä, että taloudellinen raportointi tapahtuu luotettavasti ja että julkistettavat tilinpäätökset laaditaan ja esitetään asianmukaisesti. Johto arvioi vuosittain Nokian taloudellisen raportoinnin sisäisen valvonnan tehokkuutta Committee of Sponsoring Organizations -viitekehyksen (COSO-viitekehys, 2013) ja Control Objectives for Information and related technology -viitekehyksen (COBIT-viitekehys) mukaisesti. Arviointi suoritetaan ylhäältä alas suuntautuvana tilinpäätöksen riskiarviointina, joka sisältää merkittävät tilit, prosessit ja toimialueet, yhtiötason kontrollit ja tietojärjestelmien kontrollit. Arvioinnin osana johto on dokumentoinut:
- Yhtiötason kontrollit, jotka luovat toiminnalliset puitteet ja sisältävät Nokian arvot sekä Code of Conduct -ohjeen. Ne luovat pohjan päätöksenteolle ja työtavoille. Valikoidut seikat toiminta- ja hallinnointiperiaatteistamme dokumentoidaan erikseen yhtiötason kontrolleina.
- Merkittävät prosessit (i) antamaan kokonaiskuvan kaikista taloudellisista toiminnoista, (ii) tunnistamaan tärkeimmät kontrollikohteet, (iii) tunnistamaan mukana olevat toimijat, (iv) varmistamaan tärkeimpien tilien ja tilinpäätöksessä olevien väittämien kattaminen ja (v) mahdollistamaan sisäisen valvonta Nokiassa.
- Kontrollikäytännöt, jotka koostuvat ohjeista ja käytännöistä, joilla pyritään varmistamaan johdon ohjeiden toteutuminen ja niihin liittyvien dokumenttien säilyttäminen käytäntöjemme ja paikallisen lainsäädännön vaatimusten mukaisesti.
- Tietojärjestelmien kontrollit, joilla pyritään varmistamaan, että yhtiöllä on käytössään riittävät tietotekniikkaan liittyvät kontrollit, kuten muutosten hallinnointi, tietojärjestelmien kehittäminen ja toiminta sekä järjestelmiin pääsy ja käyttöoikeudet.
Lisäksi johto on:
- arvioinut kontrollien rakenteen ja kattavuuden pienentääkseen taloudellisen raportoinnin riskejä;
- testannut tärkeimpien kontrollien toiminnan; ja
- arvioinut kaikki havaitut taloudellisen raportoinnin sisäisen valvonnan puutteet vuoden aikana ja vuoden lopussa.
Menneenä vuonna Nokia on toteuttanut yllä kuvatut menettelyt ja on raportoinut arvioinnista johdolle ja hallituksen tarkastusvaliokunnalle vuosineljänneksittäin.
Sisäisen tarkastuksen organisaatio
Meillä on sisäisen tarkastuksen toiminto, joka itsenäisesti tarkastaa ja arvioi sisäisen valvontamme riittävyyttä ja tehokkuutta. Sisäinen tarkastus raportoi hallituksen tarkastusvaliokunnalle. Sisäisen tarkastuksen johtaja voi olla suoraan yhteydessä tarkastusvaliokuntaan ilman johdon myötävaikutusta. Sisäisen tarkastuksen henkilöstöresursointi ja vuosittainen budjetti hyväksytetään tarkastusvaliokunnassa. Sisäinen tarkastus saa kaiken toimivaltansa hallitukselta. Sisäinen tarkastus mukailee liiketoimintaa liiketoimintaryhmittäin ja toiminnoittain.
Sisäiselle tarkastukselle laaditaan yhdessä johdon kanssa vuosittain suunnitelma, jossa otetaan huomioon muiden muassa keskeiset liiketoimintariskit ja ulkoiset tekijät. Suunnitelman hyväksyy tarkastusvaliokunta. Tarkastuksia tehdään liiketoimintaryhmittäin ja toiminnoittain. Jokaisen tarkastuksen tulokset raportoidaan johdolle tuoden esiin havaitut ongelmat, mahdolliset taloudelliset vaikutukset sekä toteutettavat korjaavat toimenpiteet. Sisäinen tarkastus ilmoittaa neljännesvuosittain tarkastusvaliokunnalle sisäisen tarkastuksen suunnitelman toteuttamisen etenemisestä, mukaan lukien valmistuneiden tarkastusten tulokset. Riskeihin liittyvät muutokset liiketoimintaympäristössä ja niiden vaikutukset sisäisen tarkastuksen suunnitelmaan esitellään ja hyväksytetään tarkastusvaliokunnassa neljännesvuosittain.
Sisäinen tarkastus toimii tiiviissä yhteistyössä sisäisen valvonnan sekä liiketoimintaetiikka ja compliance -yksiköidemme kanssa, jotta eri kanavien kautta esiin tuotuja taloudellisia ja compliance-liitännäisiä ongelmakohtia voidaan tarkastella, ja tarvittaessa sisäinen tarkastus toimii yhteistyössä Enterprise Risk Management -toimintomme kanssa varmistaakseen, että tärkeimmät riskialueet arvioidaan tarkastuksen avulla.