Internkontroll över finansiell rappportering

Detta avsnitt har upprättats i enlighet med Koden och årsredovisningslagen och beskriver Bolagets interna kontroll och riskhantering avseende den finansiella rapporteringen. Syftet är att ge aktieägare och övriga intressenter en förståelse för hur den interna kontrollen över finansiell rapportering är organiserad i Bolaget.

Styrelsen ansvarar för att ICA Gruppen har god intern kontroll och rutiner som säkerställer att fastställda principer för finansiell rapportering och intern kontroll efterlevs. Styrelsen ansvarar också för att den finansiella rapporteringen följer aktiebolagslagen, tillämpliga redovisningsstandarder och övriga krav som ställs på börsnoterade bolag.

Inledning

Inom ICA Gruppen finns det en särskild funktion för intern kontroll (Intern kontroll) som har till uppdrag att stödja och bidra till tillförlitlig intern kontroll och effektiva processer avseende den finansiella rapporteringen samt utvärdera och medverka till efterlevnad av interna policyer och riktlinjer.

ICA Gruppens arbete med intern kontroll har sin grund i internkontrollprinciperna framtagna av Committee of Sponsoring Organizations of the Tradeway Commission (COSO). Dessa principer har fem grundläggande element: 1. Kontrollmiljö, 2. Riskbedömning, 3. Kontrollaktiviteter, 4. Information/kommunikation och 5. Uppföljning.

Med beaktande av de av styrelsen fastställda riktlinjerna och policyerna har ledningen och Intern kontroll delat upp ansvaret för att säkerställa god intern kontroll över den finansiella rapporteringen mellan varandra enligt följande:

Ansvarsfördelning över intern kontroll över finansiell rapportering 
    Ledningen (alla ledningsnivåer)   Intern kontroll
Policyer/Processer   Etablerar, kommunicerar och implementerar policyer och rutiner. Upprätthåller uppdaterade processbeskrivningar. Definierar, implementerar och upprätthåller nyckelkontroller (uppdaterar vid behov) för alla processer.   Stödjer implementeringen av processer för uppföljning av efterlevnad av policyer och rutiner inom finansiell rapportering. Bistår med att uppdatera processbeskrivningar och definiera nyckelkontroller.
Identifiering av brister   Identifierar potentiella brister i processer eller efterlevnaden av policyer.    Underlättar och utmanar identifieringen av potentiella brister i processer eller efterlevnad av policyer inom finansiell rapportering. Gör processkartläggning, hjälper till med att identifiera kontrollbrister samt möjligheterna att förbättra/effektivisera processer. 
Analys   Analyserar sannolikheten och potentiell påverkan av identifierade brister.    Underlättar och utmanar analysen. Bistår med kompetens om hur de identifierade bristerna kan påverka Bolaget.
Utvärdering   Fastställer och utvärderar vilka potentiella brister som ska åtgärdas/adresseras.    Underlättar och utmanar utvärderingen. Bestämmer om identifierade brister ska följas upp i självutvärderingsprocessen. 
Hantering   Implementerar nyckelkontroller för att adressera potentiella brister. Övervakning av kontrollkomponenter i den dagliga verksamheten, inklusive regelbundna övervakningsaktiviteter, analyser och avstämningar.    Definierar minimikrav för intern kontroll och nyckelkontroller för centraliserad uppföljning/övervakning. Initierar och/eller stödjer processförbättringsaktiviteter/projekt. 
Rapportering   Ansvarar för självutvärdering av efterlevnad av de definierade nyckelkontrollerna. Rapporterar självutvärderingsresultat till Intern kontroll. Etablerar åtgärdsplaner för samtliga rapporterade brister.    Bistår med verktyg för övervakning av intern kontroll och efterlevnad. Konsoliderar resultat från inrapporterade självutvärderingar och presenterar dessa för koncernledningen utifrån bristernas bedömda påverkan. 
Övervakning   Ansvarar för implementering/uppföljning av definierade åtgärdsaktiviteter och utvärderar dess effektivitet.    Ansvarar för uppföljning av tidigare definierade och inrapporterade åtgärdsplaner. 

1. Kontrollmiljö

En god kontrollmiljö utgör grunden för effektiviteten i ett bolags interna kontrollsystem. Den bygger på en organisation där det finns tydliga beslutsvägar och där befogenheter och ansvar har fördelats genom riktlinjer samt en företagskultur med gemensamma värderingar. Dessutom påverkas kontrollmiljön av den enskilda medarbetarens medvetenhet om sin roll i upprätthållandet av god intern kontroll.

I styrelsens arbetsordning och instruktionen till Vd säkerställs en tydlig roll- och ansvarsfördelning, som syftar till en effektiv kontroll och hantering av verksamhetens risker. Styrelsen har också fastlagt ett antal grundläggande riktlinjer och policyer som har betydelse för att upprätthålla en effektiv kontroll, till exempel delegationsordning, finanspolicy, garantipolicy, hållbarhetspolicy och kommunikationspolicy.

2. Riskbedömning

Revisionsutskottet ansvarar för att väsentliga risker för fel i den finansiella rapporteringen identifieras och hanteras. Inom ICA Gruppen förs en kontinuerlig dialog med respektive verksamhetsbolag för att säkerställa en god internkontroll och medvetandegöra verksamhetens risker. Genom självskattningar och processkartläggningar identifieras brister och potentiella källor till fel i den finansiella rapporteringen med stöd av Intern kontroll. Därtill analyseras och hanteras samtliga risker som bedöms kunna ha en negativ påverkan på ICA Gruppens måluppfyllelse inom ramen för koncernens riskhanteringsprocess, Enterprise Risk Management (ERM). Väsentliga risker rapporteras minst två gånger per år till ledningen och årligen till styrelsen.

3. Kontrollaktiviteter

Styrelsen bedömer att det finns en god förståelse bland medarbetarna för behovet av god kontroll över den finansiella rapporteringen. ICA Gruppens interna kontrollstruktur baseras på återkommande rapportering till styrelsen samt fastställda policyer och riktlinjer. ICA Gruppen lägger särskild vikt vid kontroller för att förebygga, upptäcka och korrigera brister i de resultat- och balansräkningsposter som kan vara förknippade med förhöjd risk.

Bolaget arbetar i huvudsak med tre typer av kontroller:

  • Koncernövergripande kontroller relaterade till den övergripande kontrollmiljön. Kontrollkraven berör koncernpolicyer, behörigheter/accesser till affärskritiska system och applikationer, (delegationsordning, attestinstruktioner, etc).
  • Nyckelkontroller framtagna per verksamhetsbolag utifrån respektive bolags organisation och risker. Nyckelkontrollerna syftar till att kontrollera specifika risker förknippade med ett konto, en transaktion och/eller process.
  • IT-kontroller täcker IT-processer och applikationer som är kritiska ur ett finansiellt eller affärsmässigt perspektiv. Kontrollkraven berör säkerhet, underhåll och utveckling av applikationer och IT-infrastruktur.

4. Information/kommunikation

Effektiv och korrekt informationsspridning, både internt och externt, är viktigt för att säkerställa fullständig och korrekt finansiell rapportering i rätt tid. Policyer, rutiner, handböcker och annat av betydelse för den finansiella rapporteringen uppdateras och kommuniceras löpande till berörda medarbetare. Koncernens ekonomifunktion har ett direkt operativt ansvar för den löpande finansiella redovisningen och för likformig tillämpning av koncernens riktlinjer, principer och instruktioner för den finansiella rapporteringen. Dotterbolag och operativa enheter lämnar regelbundet finansiella rapporter och rapporter om den operativa verksamheten till koncernledningen som i sin tur rapporterar till styrelsen.

Kommunikationspolicyn och tillhörande riktlinjer säkerställer att den externa kommunikationen är korrekt och lever upp till de krav som ställs på bolag noterade på NASDAQ OMX Stockholm. Finansiell information lämnas regelbundet genom årsredovisning, delårsrapporter, pressmeddelanden och tillkännagivanden på Bolagets hemsida.

5. Uppföljning

Styrelsen utvärderar kontinuerligt den information som ledningsgruppen och revisionsutskottet lämnar. Revisionsutskottets uppföljning av effektiviteten i den interna kontrollen är särskilt viktig. Denna uppföljning säkerställer bland annat att åtgärder vidtas för att komma till rätta med eventuella brister, samt att de förslag till åtgärder som framkommit vid den interna och externa revisionen beaktas. Därutöver genomför koncernledningen, Internrevision och Intern kontroll granskning och uppföljning i enlighet med vad som beskrivits ovan.