Intern kontroll och styrning

Allmänt

Storskogen har inrättat ett ramverk för intern kontroll som syftar till att uppnå en effektiv organisation som når de målsättningar som har satts upp av styrelsen. Detta ramverk innefattar ett arbete med att säkerställa att Storskogens verksamhet bedrivs korrekt och effektivt, att lagar och regler efterlevs samt att den finansiella rapporteringen är korrekt, tillförlitlig och i enlighet med tillämpliga lagar och regler. Inom Koncernen ska strukturen för den interna kontrollen baseras på det s.k. COSO-ramverket (Committee of Sponsoring Organizations of the Treadway Commission). Baserat på COSO tillämpar Storskogen följande byggstenar för att uppnå god intern kontroll.

Kontrollmiljö

Den interna kontrollen bygger på ansvarsfördelningar och arbetsfördelningar genom bl.a. styrelsens arbetsordning, instruktioner för styrelsens utskott, den verkställande direktören och den finansiella rapporteringen samt uppförandekoden och policyer i Koncernen. Efterlevnaden av dessa följs upp och utvärderas kontinuerligt av ansvarig person. I den övergripande kontrollmiljön ingår även att en koncernövergripande riskutvärdering ska utföras där risker identifieras, utvärderas och hanteras.

Riskbedömning

Storskogens riskbedömning syftar till att identifiera och utvärdera risker för väsentliga fel i Koncernens finansiella rapportering och andra koncernövergripande risker. Riskbedömningen ligger bl.a. till grund för arbetet med att säkerställa att den finansiella rapporteringen är tillförlitlig och hur riskerna i rapporteringen ska hanteras genom olika kontrollstrukturer.

Kontrollaktiviteter

Till varje identifierad risk på koncernövergripande nivå och avseende Koncernens finansiella rapportering ska kontroller kopplas till dess att risken anses eliminerad alternativt reducerad till en acceptabel nivå. Framtagna åtgärder respektive dokumenterade processkartor och risk-/kontrollmatriser är exempel på hur kontrollaktiviteter hanteras inom Koncernen.

Storskogen har även infört rutiner för kartläggning och implementering av viktiga internkontroller i samband med bolagsförvärv.

Information och kommunikation

Relevant information ska kommuniceras på rätt sätt, till rätt mottagare och vid rätt tidpunkt. Att kommunicera betydelsefull information, både uppåt och nedåt i en organisation samt till externa parter är en viktig del av god intern kontroll. Koncernledningens möten ska användas som ett forum för kommunikation och informationsspridning kopplat till riskhantering i Koncernen. Det åligger även Koncernens ledningsgrupp att säkerställa att processansvariga kopplade till den finansiella rapporteringen har tillräcklig kunskap om väsentliga risker samt relaterade kontrollaktiviteter i respektive process.

För att säkerställa hög kvalitet på både intern och extern information, samt efterlevnad av lagar, regler och avtal, har Storskogens styrelse antagit en insiderpolicy samt en kommunikationspolicy. Dessa styr Storskogens hantering och kommunikation av insiderinformation och annan information. Vidare har Storskogen etablerat rutiner för hantering av information och begränsning av informationsspridning, bland annat genom inrättandet av en insiderkommitté som ansvarar för frågor relaterade till insiderinformation. Insiderkommittén består av den verkställande direktören, CFO, den IR-ansvariga och chefsjuristen.

Storskogens kommunikation ska vara proaktiv, korrekt, öppen och holistisk. Kommunikationen ska även vara korrekt, relevant och fullständig i enlighet med Nasdaqs Nordic Main Market Rulebook for Issuers of Shares.

Styrning och uppföljning

Koncernledningen ska utvärdera att den koncernövergripande riskutvärderingen och hanteringen samt de specifika kontrollaktiviteter som utförs i respektive väsentlig process kopplade till den finansiella rapporteringen är fortsatt relevanta för att hantera de väsentliga riskerna Storskogen står inför. Kontrollaktiviteter ska dokumenteras så att spårbarhet finns av utförandet.

Uppföljning för att säkerställa effektiviteten i den interna kontrollen görs av styrelsen, revisionsutskottet, den verkställande direktören, koncernledningen, ekonomiavdelningen samt av bolagets dotterföretag.

Systemet för koncernövergripande riskhantering och finansiell rapportering ska följas upp kontinuerligt och syftar till att säkerställa att systemet upprätthålls, att förändringar sker vid behov och att utvärdera förändringar i arbetssätt. Revisionsutskottet ska även granska internkontroll och avrapportera till styrelsen minst en gång per år.