Gå till huvudinnehåll

Policy för riskhantering

Systembolagets syfte är att bidra till att minska alkoholens skadeverkningar och Systembolagets roll är att med ansvar och bästa service sälja alkoholdrycker och ge kunskap om alkohol och hälsa.

Systembolagets policy för riskhantering är det överordnade styrande dokumentet i företagets ramverk för riskhantering. Inom ramverket ingår även kontinuitetshantering och krishantering och interna regler för dessa.

Syftet med policyn är säkerställa en ändamålsenlig riskhantering, intern kontroll och regelefterlevnad samt att bidra till att Systembolaget uppnår uppställda mål och att god hushållning sker med samtliga resurser i verksamheten. Detta innebär att på ett effektivt och ändamålsenligt sätt hantera risker så att företaget med rimlig säkerhet fullgör verksamhetskraven. 

Policyn är styrande och ska tillämpas inom hela Systembolaget samt i all samverkan med företagets intressenter.

Övergripande målsättning

Systembolagets mål för arbetet med riskhantering är att risker för företaget identifieras i ett tidigt skede och hanteras utifrån den grad av påverkan som de kan ha på företaget och vårt uppdrag. Systembolagets riskbenägenhet ska generellt sett vara låg, särskilt gällande fara för säkerhet och hälsa hos medarbetare eller allmänhet, eller gällande företagets existens, uppdrag eller varumärke.   

Vidare ska riskhanteringen i Systembolaget bidra till att verksamheten har relevanta och ändamålsenliga underlag för beslut vid såväl planering, genomförande som uppföljning av mål. Riskhanteringen ska genom detta vara en integrerad del av verksamhetsstyrningen som bidrar till Systembolagets resultat och utveckling.

Ägaren ska känna sig trygg med hur Systembolaget uppfyller sitt uppdrag och hanterar sina risker. 

Ansvar 

Riskhantering är för Systembolaget alla systematiska aktiviteter för att styra och leda verksamheten med avseende på risker. Med risker avses, i enlighet med ISO 31000, ”osäkerheters effekt på mål”, det vill säga sådana osäkerheter som kan påverka Systembolagets förmåga att uppnå sina mål. Detta gäller för samtliga Systembolagets mål och således åligger det samtliga delar av verksamheten att hantera risker.

Styrelsen är ytterst ansvarig för riskhanteringen i Systembolaget och bedriver sitt arbete i enlighet med Systembolagets arbetsordning. Vidare är styrelsen ytterst ansvarig för att avgöra vilken risknivå som är lämplig för företaget. VD och företagsledning är ansvarig för att begränsa och följa upp verksamhetens risker och för att säkerställa att verksamheten bedrivs med god intern styrning och kontroll samt lever upp till den av styrelsen beslutade risknivån. 

Ansvaret för riskhantering skall i övrigt följa principen om de tre försvarslinjerna1

  1. Första försvarslinjen representeras av ledning, chefer, ledare och övriga ansvariga. Dessa ska fortlöpande bedöma risker; planera och implementera riskbehandlingar; övervaka, rapportera och utvärdera risker samt effekten av vidtagna åtgärder. Första försvarslinjen har genom sitt verksamhetsansvar även ansvaret för hantering av risker relaterade till verksamheten.
  2. Andra försvarslinjen representeras av enheten för Risk control. De utvecklar ramverk (processer och arbetssätt), implementerar, kontrollerar och granskar efterlevnad av ramverk samt förbättrar. Andra försvarslinjen samordnas av Systembolagets riskansvarig och bistår första försvarslinjen. Säkerhetschefen ansvarar för Systembolagets ramverk för krishantering
  3. Tredje försvarslinjen är internrevisionen. Internrevisionen granskar på uppdrag av styrelsen effektivitet och ändamålsenlighet av ramverket för riskhantering samt första och andra försvarslinjernas arbete med riskhantering

Det betyder att

Systembolagets arbete med risk-, kris- och kontinuitetshantering ska baseras på internationella standarder och utgå från följande fem principer 

  • Ansvarsprincipen innebär att den som ansvarar för en verksamhet även ansvarar för att hantera risker och kriser i verksamheten, vilket även innebär ett ansvar för att samverka med berörda aktörer.
  • Likhetsprincipen innebär att under risk, störning, avbrott, olycka eller kris ska verksamheten så långt möjligt fungera på samma sätt och på samma plats som under normala förhållanden.
  • Närhetsprincipen innebär att risker och kriser hanteras där osäkerheten finns och där de påverkar eller inträffar, av närmast berörda och ansvariga.
  • Proaktivitetsprincipen innebär ett ansvar att omedelbart agera på potentiella risker även i ett oklart läge. Initiativ till hantering av händelser ska tas i ett så tidigt skede som möjligt.
  • Rimlighetsprincipen innebär risker i verksamheten ska åtgärdas så långt det är rimligt möjligt med tillgängliga insatser till dess att den kvarstående risken är tolerabel.

Årlig omprövning

Samtliga policyer omprövas årligen av styrelsen. Senast reviderad 2017-12-07.