Varma

Riskienhallinta

Riskienhallinta osana sisäistä valvontaa

Sisäinen valvonta on prosessi, jonka avulla pyritään varmistamaan

  • asetettujen päämäärien ja tavoitteiden saavuttaminen,
  • voimavarojen taloudellinen ja tehokas käyttö,
  • toimintaan liittyvien riskien riittävä hallinta,
  • taloudellisen ja muun johtamisinformaation luotettavuus ja oikeellisuus,
  • lakien, määräysten ja ohjeiden noudattaminen,
  • hallintoelinten päätösten, sisäisten suunnitelmien, sääntöjen ja menettelytapojen noudattaminen
  • toiminnan, tietojen sekä omaisuuden turvaaminen, sekä
  • riittävien ja asianmukaisesti järjestettyjen manuaalisten ja tietoteknisten järjestelmien olemassaolo toiminnan tueksi.

Riskienhallinta on osa sisäistä valvontaa ja sillä tarkoitetaan liiketoiminnasta aiheutuvien ja siihen olennaisesti liittyvien riskien tunnistamista, arviointia, rajoittamista ja valvontaa. Sisäisellä valvonnalla yhtiön johto pyrkii varmistamaan tehokkaan, taloudellisen ja luotettavan toiminnan.

Varmaa johdetaan ammattitaitoisesti terveiden ja varovaisten liikeperiaatteiden mukaisesti. Yhtiöllä on keskeisten toimintojen osalta kirjallisesti määriteltyjä toimintatapoja sekä määrällisiä ja laadullisia tavoitteita. Varman riskienhallinta järjestetään ottaen huomioon hallituksen päätökset sisäisen valvonnan sisällöstä ja organisoinnista, sisäisen valvonnan osa-alueiden ja periaatteiden toteuttamisesta sekä yhteisistä suuntaviivoista konsernin sisäiselle valvonnalle.

Hallituksella on työjärjestys, jossa on määritelty hallituksen keskeiset tehtävät ja toimintaperiaatteet. Osana yhtiön sisäistä valvontaa hallitus käsittelee mm. yhtiön strategiaa, organisaation kehittämiseen ja johtamiseen liittyviä peruslinjauksia, riskejä, taloudellista raportointia, taloudellisia suunnitelmia (budjetteja), sijoitustoimintaa, eläkevakuutustoimintaa, toimintasuunnitelmia sekä keskeisiä kehitysprojekteja.

Riskienhallinnan organisointi, vastuut, valvonta ja raportointi

Hallintoneuvoston tehtävänä on valvoa hallituksen ja toimitusjohtajan hoitamaa Varman hallintoa.

Hallitus hyväksyy vuosittain koko toiminnan kattavan riskienhallintasuunnitelman ja valmiussuunnitelman ja arvioi, onko sisäinen valvonta asianmukaisesti järjestetty yhtiössä. Hallituksen tarkastusvaliokunta valvoo taloudellista ja muuta raportointia sekä sisäisen valvonnan tilaa muun muassa seuraamalla sisäisen ja ulkoisen tarkastuksen työn etenemistä sekä käymällä läpi erilaisia valvontaraportteja. Toimitusjohtaja valvoo yhtiön riskejä hallituksen vahvistamien riskienhallinta-, sijoitus- ja valmiussuunnitelmien periaatteita noudattaen.

Johtoryhmä seuraa yhtiön sisäistä valvontaa ja riskienhallintaa sekä ylläpitää ja kehittää riskienhallinnan sekä valmiussuunnittelun periaatteita.

Hallitukselle raportoidaan riskeistä neljännesvuosittain.

Yhtiön tilintarkastaja sekä sisäisen tarkastuksen johtaja osallistuvat tarkastusvaliokunnan kokouksiin.

Esimiehet vastaavat sisäisen valvonnan, riskienhallinnan, oikeudellisen compliance-toiminnan ja hyvän hallinnon järjestämisestä vastuualueellaan, jolloin sisäinen valvonta on osa normaalia toimintaa. Hallituksen hyväksymiä suunnitelmia ja periaatteita täydentävät yksityiskohtaiset liiketoimintokohtaiset suunnitelmat ja ohjeet. Jokaisen toiminnon vastuulla on riskinoton rajojen ja käytettävien mittareiden määrittäminen sekä niiden seuranta. Jokainen toiminto vastaa toimintasuunnitelmien ja budjettien toteuttamisesta, toiminnan tehokkuudesta, ulkoistettujen toimintojen valvonnasta ja häiriötilanteisiin varautumisesta. Tietohallinto toimii asiantuntijana liiketoimintojen vastuulla olevien järjestelmien kehittämisessä, ylläpidossa, projektihallinnassa, infrastruktuurissa ja riskienhallinnassa. Tietoturvallisuuden hallinnoinnin tavoitteet, vastuut ja keinot on määritelty tietohallinnon johtoryhmän hyväksymässä tietoturvapolitiikassa. Tietohallinto ylläpitää omaa, tietotekniikan häiriötilanteisiin liittyvää toipumissuunnitelmaa.

Sijoituspäätöksiä valmisteleva ja toteuttava toiminto (sijoitustoiminto) sekä valvova ja raportoiva toiminto (taloushallinto ja aktuaaritoimi) on eriytetty toisistaan. Sijoitustoiminnan päätösvaltuudet ja sijoitusten erilaiset enimmäisrajat esitetään erillisinä riskirajoina sijoitussuunnitelmassa. Sijoitustoiminnasta riippumattoman riskienvalvonnan vastuulla on hallituksen asettamien rajojen mukainen limiittityyppinen sijoitusriskien seuranta mukaan lukien rahoitus- ja riskiteoreettinen sijoitusriskien arviointi sekä tulosraportointi. Taloushallinto osallistuu sijoitussuunnitelman muutoksien läpikäyntiin, uusien sijoitustuotteiden käyttöönottoprosessiin ja tarkastaa pääsääntöisesti pistokokein vakavaraisuusluokittelua sekä instrumenttien hinnoittelua.

Talousjohtaja vastaa riippumattomasta sijoituspositioiden ja -riskien seurannasta. Taloushallinto raportoi hallitukselle kuukausittain sijoitusriskien hallintaan liittyvistä havainnoista. Merkittävistä havainnoista raportoidaan viipymättä johdolle.

Kuukausittaisessa aktuaaritoimen sijoitusriskienhallintapäällikön laatimassa raportissa seurataan sijoitusriskejä ja niiden mahdollisen realisoitumisen vaikutuksia Varman riskinkantokykyyn. Aktuaaritoimi tekee myös selvityksiä hallitukselle Varman riskitasosta suhteessa työeläkejärjestelmän riskitasoon.

Sijoituskannan hoidon ja sijoitusten operatiivisen riskienhallinnan järjestäminen on sijoitusjohdon vastuulla. Sijoitustoiminnon riskienhallintatoiminto seuraa ja raportoi päivittäin sijoitussalkun position kehitystä suhteessa sijoitussuunnitelmassa määriteltyihin riskirajoihin sekä perusallokaatioon. Päätösvaltuuksien ja allokaation noudattamista sekä sijoitustoimeksiantoja seurataan sijoitustoiminnossa päivittäin.

Taloushallinnossa koordinoidaan liiketoimintojen operatiivisten riskien tunnistamista ja hallintakeinoja. Taloushallinto laatii yhteenvedon liiketoiminnoissa laadittavista riskikartoituksista. Talousjohtaja vastaa operatiivisten riskien valvonnasta.

Compliance officer raportoi Varman sisäpiiriohjeen noudattamisesta hallitukselle. Väärinkäytösriskien hallitsemiseksi korostetaan eettisten toimintaperiaatteiden jatkuvaa huomioon ottamista ja väärinkäytösriskeiltä suojautumiseksi on käytössä erilaisia kontrolleja. Vastuu väärinkäytösriskien hallinnasta on kussakin liiketoiminnossa. Varmalla on erillinen ohjeistus rahanpesun ja terrorismin estämistä varten.

Varma noudattaa soveltuvin osin Suomen listayhtiöiden hallinnointikoodia.

Tavoitteet ja riskienhallinnan yleiset periaatteet

Riskienhallinnan tavoitteena on eläkkeensaajien ja vakuutuksenottajien oikeuksien turvaaminen. Yhtiön toimintaan liittyviä riskejä tunnistetaan, arvioidaan, rajoitetaan ja valvotaan pitkäjänteisellä tavalla. Riskienhallinnalla varmistetaan, etteivät riskit toteutuessaan aiheuta olennaisia taloudellisia tappioita, vaaranna yhtiön asiakas- tai muuta palvelutoimintaa, toiminnan jatkuvuutta, yhtiön toiminnallisten tavoitteiden saavuttamista tai yhtiöön kohdistuvaa luottamusta. Yhtiössä ja sen yhteistyötahojen kanssa sovelletaan tehokkaita ja toimintavarmoja prosesseja.

Riskien hallitsemiseksi korostetaan muun muassa päätösten huolellista valmistelua, asiantuntijoiden käyttöä, riskien vakuuttamista, toimenkuvia ja hyväksymisrutiineja, toimintojen ja tehtävien hajauttamista, fyysisiä kontrolleja, tietoteknisiä suojauksia ja kontrolleja, henkilöstön kouluttamista, suunnitteluprosessia, erilaisten varajärjestelyjen olemassaoloa, tarpeellisen tiedon jakamista sekä luottamuksellisen tiedon rajoittamista vain sitä tarvitsevien käyttöön. Tehtävien, päätösvallan ja vastuun jaolla kukaan ei yksin saa hoitaa toimenpidettä läpi käsittelyketjun, jolloin vaaralliset työyhdistelmät on eriytetty. Tapahtumiin kohdistetaan riippumattomia valvonta- ja hyväksymismekanismeja. Henkilökunta ei saa osallistua itseään ja lähipiiriään koskevan asian valmisteluun tai päätöksentekoon. Tietojärjestelmille on määritelty omistajat linjaorganisaatiosta ja tietojärjestelmien toimivuutta seurataan liiketoiminnoissa ja tietohallinnon johtoryhmässä.

Ulkoistamisen ehdoista sovittaessa otetaan huomioon Varman vastuu ulkoistetuista toiminnoista kuten esimerkiksi säännösten noudattaminen, liiketoiminnan jatkuvuus sekä häiriöttömyys ja valmiussuunnittelu. Ulkoistetuista tehtävistä vastuussa olevan toiminnon tulee ottaa huomioon selkeät sopimukset ja prosessit, ulkoistetun toiminnan valvonta, ja ulkoistukseen liittyvät riskit.

Varma noudattaa hyvän vakuutustavan mukaisia periaatteita. Vakuutuksenottajia käsitellään tasapuolisesti. Liiketoimet vakuutuksenottajien kanssa tehdään markkinaehdoin. Erityistä huomiota kiinnitetään liiketoimiin, jotka koskevat vakuutuksenottajan toiminnan rahoittamista, kiinteistö- ja muita kauppoja sekä vuokrasopimuksia.

Hallituksen laatima selvitys hallinto- ja ohjausjärjestelmästä sekä palkka- ja palkkioselvitys julkaistaan Varman verkkosivuilla.

Varman varautuminen häiriötiloihin ja poikkeusoloihin

Työeläkeyhtiöillä on lakisääteinen velvollisuus varmistaa tehtäviensä mahdollisimman häiriötön hoitaminen myös poikkeusoloissa. Kansallisen turvallisuusstrategian mukaan muun muassa eläke- ja arvo-osuusjärjestelmät on määritelty turvattavien toimintojen joukkoon.

Eläkkeiden maksamiseen ja rahoittamiseen liittyviä keskeisiä uhkamalleja ja niihin sisältyviä erityistilanteita ovat muun muassa verkottuneen toimintatavan edellyttämän infrastruktuurin, väestön terveyden ja toimeentuloturvan tai taloudellisen toimintakyvyn vakava häiriintyminen. Eläketurvan hajautetusta hoitamisesta johtuen työeläkejärjestelmässä on paljon yhteistyötä, mihin liittyy keskinäisen riippuvuuden ja haavoittuvuuden lisääntymistä. Tietotekniikka- ja pankkipalvelujen kansainvälistyminen asettaa haasteita valmiustoiminnalle.

Valmiustoiminnalla turvataan kriittiset toiminnot poikkeusoloissa ja normaaliolojen vakavissa häiriötilanteissa. Varman tavoitteena on myös poikkeusoloissa tai niiden uhatessa täyttää lakeihin ja sopimuksiin perustuvat velvoitteensa mahdollisimman kattavasti ja pitkään. Ensisijaisesti turvataan kansalaisten toimeentuloturvaan liittyvät palvelut yhteistyössä muiden toimijoiden, pankkien, viranomaisten ja huoltovarmuusorganisaation kanssa.

Varmalla on tietotekniikan häiriötilanteisiin liittyvä toipumissuunnitelma ja hallituksen hyväksymä valmiussuunnitelma, jota täydentävät toimintojen laatimat yksityiskohtaiset suunnitelmat. Varautumista koordinoi valmiusryhmä, johon kuuluvat keskeisten toimintojen esimiehet.

Valmiusryhmä vastaa valmiussuunnitelman valmistelusta ja sen jäsenet häiriötilanteisiin ja valmiussuunnitelmaan liittyvien muiden suunnitelmien (mm. toipumissuunnitelma, turvallisuus- ja pelastussuunnitelma, suojaväistösuunnitelma) ja ohjeiden laatimisesta ja ylläpidosta, häiriötilanteiden hoidosta, varautumistoimenpiteistä, varajärjestelmien rakentamisesta, ylläpidosta ja niiden testaamisesta sekä toimialan harjoitusten kokemusten huomioon ottamisesta yhtiön toiminnassa. Valmiusryhmän jäsenet huolehtivat oman vastuualueensa osalta poikkeusolojen toiminnan suunnittelusta, varajärjestelmien rakentamisesta ja niiden testaamisesta, ajantasaisten tietojen käyttöön saamisesta ja tietojen säilymisen varmistamisesta.

Poikkeusoloissa merkittäviä riskejä ovat muun muassa

  1. eläkkeiden maksaminen vaarantuu;
  2. eläkkeiden rahoitus ja likviditeetin hallinta vaikeutuu;
  3. poikkeusolojen prosessien käyttöönotto ei tapahdu riittävän nopeasti;
  4. pankkien järjestelmät, sijoitusten kaupankäyntijärjestelmät tai muu yhteiskunnan infrastruktuuri eivät toimi;
  5. työeläkealan järjestelmät, tietoliikenneyhteydet tai koordinaatio alan sisällä eivät toimi;
  6. omalla vastuulla olevien sovellusten tai verkon toimimattomuus, palvelutuotannon pysähtyminen;
  7. vastapuoliriskit ja sopimusten pätemättömyys poikkeusoloissa; sekä
  8. kriisin alkuhetken tietojen käyttöön saamiseen liittyvät riskit

Varma osallistuu toimintaharjoituksiin yhdessä muiden eläkelaitosten, vakuutusyhtiöiden, pankkien ja finanssialan toimijoiden kanssa.

Sisäinen tarkastus

Sisäinen tarkastus toimii sisäisen tarkastuksen ammattistandardeissa määriteltyjen periaatteiden mukaisesti. Sisäinen tarkastus on riippumatonta ja objektiivista arviointi-, varmistus- ja konsultointitoimintaa, jonka tarkoitus on tukea organisaation tavoitteiden saavuttamista tuottamalla riskienhallinnan ja muun sisäisen valvonnan tilaa koskevia arvioita ja kehitysehdotuksia. Sisäisen tarkastuksen organisaatioasema, tehtäväalueet, vastuu ja toimivalta on määritelty hallituksen hyväksymässä toimintaohjeessa. Tarkastuskohteet määritellään vuosittain laadittavassa tarkastussuunnitelmassa, joka johtoryhmän ja tarkastusvaliokunnan käsittelyn jälkeen hyväksytään hallituksessa. Tarkastushavainnot raportoidaan yhtiön johdolle, tarkastusvaliokunnalle ja hallitukselle. Sisäinen tarkastus on organisoitu toimitusjohtajan alaisuuteen.

Viranomaisvalvonta

Lakien ja asetusten ohella Finanssivalvonnan määräykset ja ohjeet sääntelevät Varman toimintaa. Finanssivalvonnalle toimitetaan säännöllisesti sekä pyydettäessä viranomaisen haluamia tietoja ja selvityksiä. Valvontaviranomainen suorittaa tehtävänsä mukaisia tarkastuksia muun muassa hallintoon, vakavaraisuuteen, sijoitustoimintaan ja operatiivisiin riskeihin liittyen.