Intern kontroll och styrning

Allmänt

Storskogen har inrättat ett ramverk för intern kontroll som syftar till att uppnå en effektiv organisation som når de målsättningar som har satts upp av styrelsen. Detta ramverk innefattar ett arbete med att säkerställa att Storskogens verksamhet bedrivs korrekt och effektivt, att lagar och regler efterlevs samt att den finansiella rapporteringen är korrekt, tillförlitlig och i enlighet med tillämpliga lagar och regler. Inom Koncernen ska strukturen för den interna kontrollen baseras på det s.k. COSO-ramverket (Committee of Sponsoring Organizations of the Treadway Commission). Baserat på COSO tillämpar Storskogen följande byggstenar för att uppnå god intern kontroll.

Kontrollmiljö

Den interna kontrollen bygger på ansvarsfördelningar och arbetsfördelningar genom bl.a. styrelsens arbetsordning, instruktioner för styrelsens utskott, den verkställande direktören och den finansiella rapporteringen samt uppförandekoden och policyer i Koncernen. Efterlevnaden av dessa följs upp och utvärderas kontinuerligt av ansvarig person. I den övergripande kontrollmiljön ingår även att en koncernövergripande riskutvärdering ska utföras där risker identifieras, utvärderas och hanteras.

Riskbedömning

Storskogens riskbedömning syftar till att identifiera och utvärdera risker för väsentliga fel i Koncernens finansiella rapportering och andra koncernövergripande risker. Riskbedömningen ligger bl.a. till grund för arbetet med att säkerställa att den finansiella rapporteringen är tillförlitlig och hur riskerna i rapporteringen ska hanteras genom olika kontrollstrukturer.

Kontrollaktiviteter

Till varje identifierad risk på koncernövergripande nivå och avseende Koncernens finansiella rapportering ska kontroller kopplas till dess att risken anses eliminerad alternativt reducerad till en acceptabel nivå. Framtagna åtgärder respektive dokumenterade processkartor och risk-/kontrollmatriser är exempel på hur kontrollaktiviteter hanteras inom Koncernen.

Storskogen har även infört rutiner för kartläggning och implementering av viktiga internkontroller i samband med bolagsförvärv.

Information och kommunikation

Relevant information ska kommuniceras på rätt sätt, till rätt mottagare och vid rätt tidpunkt. Att kommunicera betydelsefull information, både uppåt och nedåt i en organisation och till externa parter är en viktig del av god intern kontroll. Koncernledningens möten ska användas som ett forum för kommunikation och informationsspridning kopplat till riskhantering i Koncernen. Det åligger även Koncernens ledningsgrupp att säkerställa att de processansvariga kopplade till den finansiella rapporteringen har tillräcklig kunskap om de väsentliga riskerna samt relaterade kontrollaktiviteter i den specifika processen.

Styrning och uppföljning

Koncernledningen ska utvärdera att den koncernövergripande riskutvärderingen och hanteringen samt de specifika kontrollaktiviteter som utförs i respektive väsentlig process kopplade till den finansiella rapporteringen är fortsatt relevanta för att hantera de väsentliga riskerna Storskogen står inför. Kontrollaktiviteter ska dokumenteras så att spårbarhet finns av utförandet.

Uppföljning för att säkerställa effektiviteten i den interna kontrollen görs av styrelsen, revisionsutskottet, den verkställande direktören, koncernledningen, ekonomiavdelningen samt av bolagets dotterföretag.

Systemet för koncernövergripande riskhantering och finansiell rapportering ska följas upp kontinuerligt och syftar till att säkerställa att systemet upprätthålls, att förändringar sker vid behov och att utvärdera förändringar i arbetssätt. Revisionsutskottet ska även granska internkontroll och avrapportera till styrelsen minst en gång per år.