Intern kontroll och riskhantering

Systemen för intern kontroll och riskhantering avseende finansiell rapportering är utformade för att uppnå rimlig säkerhet avseende tillförlitligheten i den externa finansiella rapporteringen och säkerställa att de finansiella rapporterna är framtagna i överensstämmelse med god redovisningssed, tillämpliga lagar och förordningar samt övriga krav på noterade bolag. De interna kontroll- och riskhanteringsaktiviteterna ingår i Nordeas planerings- och resursallokeringsprocesser. Intern kontroll och riskhantering avseende den finansiella rapporteringen i Nordea kan beskrivas i enlighet med COSO-ramverket såsom framgår nedan.

Kontrollmiljö Riskbedömning Kontrollaktiviteter Info & Kommunikation Uppföljning Kontrollmiljö

Kontrollmiljö

Kontrollmiljön utgör basen för Nordeas interna kontroll och omfattar huvudsakligen den kultur och de värderingar som etableras av styrelsen och koncernledningen samt den organisatoriska strukturen med tydliga roller och ansvar.

En tydlig och transparent organisationsstruktur är viktig för kontrollmiljön. Nordeas affärsstruktur syftar till att stödja den övergripande strategin, för att säkerställa en stark affärsutveckling och uppfylla skärpta krav på kapital och likviditet. Verksamheten liksom organisationen är under ständig utveckling. 

Huvudprincipen för styrningen av Nordea är iakttagandet av de tre försvarslinjerna, som utgör grunden för en tydlig fördelning av roller och ansvarsområden i organisationen. Genom de tre försvarslinjerna säkerställs att uppdelningen av arbetsuppgifter definieras och fastställs mellan funktionerna för riskhantering och riskkontroll. Enligt koncerndirektivet om intern styrning (Group Board Directive on internal Governance) avser första försvarslinjen alla enheter och medarbetare som varken tillhör andra eller tredje försvarslinjen. Första försvarslinjen ansvarar för den dagliga riskhanteringen och för efterlevnad av gällande regler. Andra försvarslinjen utgörs av Group Risk and Compliance som är en oberoende kontrollfunktion. Tredje försvarslinjen utgörs av Group Internal Audit som är en oberoende funktion för internrevision. 

Tydliga roller och ansvarsområden är avgörande i styrningen av den interna kontrollen över den finansiella rapporteringen då riskägare i affärsområdena och Group Finance & Treasury är ansvariga för riskhanteringen. En riskhanteringsfunktion stödjer koncernfinanschefen när det gäller att, i linje med ramverket för risker, vidmakthålla koncernomfattande kontroller (i Nordea definierade som Accounting Key Control (AKC)), däribland riskkontrollen och riskidentifieringsprocessen som i hög grad baseras på befintliga affärs- och bokslutsprocesser. En självständig funktion för riskkontroll som ansvarar för att identifiera, kontrollera och rapportera risker avseende den finansiella rapporteringen har inrättats. I tillägg till detta förser funktionen för internrevision styrelsen med en övergripande bedömning av effektiviteten i processerna för styrning, riskhantering och kontroll.

Källa: Nordea Bank Abp:s årsredovisning 2018     
Uppdaterad: Februari 2019
Riskbedömning

Riskbedömning

Styrelsen har det yttersta ansvaret för att begränsa och övervaka Nordeas riskexponering. Riskhantering är en integrerad del av affärsverksamheten och huvudansvaret för att utföra riskbedömningar avseende den finansiella rapporteringen ligger hos affärsområdena. När riskbedömningar utförs nära affärsverksamheten blir det lättare att identifiera de mest relevanta riskerna. I kvalitetssyfte föreskriver kontrollfunktioner i styrdokument när och hur dessa bedömningar ska utföras. Exempel på riskbedömningar är den återkommande utvärderingen av risker och kontroll i den egna verksamheten (Risk and Control Self Assessments) och den händelsestyrda processen för riskhantering och godkännande vid förändringar (Change Risk Management and Approval).

Riskbedömning i fråga om tillförlitlig finansiell rapportering innefattar identifiering och analys av riskerna för väsentliga felaktigheter. Riskkontrollen för den finansiella rapporteringen i Nordea fokuserar på risker och processer som kan leda till väsentliga felaktigheter, dvs. felaktigheter som i hög grad skulle påverka Nordea negativt om de inträffade. Accounting Key Control (AKC) omfattar därför områden där det finns risk för väsentliga finansiella felaktigheter, dvs. där en bedömning gjord av en förnuftig person som förlitat sig på rapporten sannolikt skulle ha ändrats eller påverkats om felet hade inkluderats eller korrigerats. Genom strukturerade rutiner för riskbedömning fastställs hos vilka avdelningar, platser och/eller processer det finns risk för väsentliga felaktigheter, och vilka som därför behöver övervakas enligt ramverket för AKC för att i rimligaste mån säkerställa en tillförlitlig extern finansiell rapportering.

Källa: Nordea Bank Abp:s årsredovisning 2018       
Uppdaterad: Februari 2019
Kontrollaktiviteter

Kontrollaktiviteter

Det är i första hand respektive enhetschef som ansvarar för hanteringen av risker som är knutna till den egna enhetens verksamhet och finansiella rapporteringsprocesser. Som stöd finns bland annat koncernens redovisningshandbok, principer för finansiell kontroll och flera olika kontrollorgan, som till exempel Group Valuation Committee. Koncernens redovisningshandbok innehåller bland annat ett standardiserat rapporteringspaket som används av alla enheter för att säkerställa en konsekvent tillämpning av Nordeas principer och en samordnad finansiell rapportering. Till Nordeas grundläggande interna kontrollprinciper hör uppdelning av arbetsuppgifter och dualitetsprincipen i samband med godkännande av bland annat transaktioner och bemyndiganden. 

Kontrollstrukturen i Accounting Key Controls (AKC) baseras på en analys av riskerna i processen varpå specifika kontroller kopplas till dessa risker på transaktionsnivå. Efter beslut om vilka kontroller på transaktionsnivå som ska göras, avgör man vilka system och/eller applikationer som kan komma i fråga för AKC:er där särskilda generella IT-kontroller är reglerade. Analysen syftar till att identifiera de viktiga system i vilka data, som inte upptäcks i kontrollerna på transaktionsnivå, riskerar att korrumperas.

Kvalitetssäkringen enligt ledningsrapporteringsprocessen, där det finansiella resultatet analyseras i detalj, utgör en av de viktigaste kontrollmekanismerna i samband med rapporteringen. Avstämningar är en annan viktig form av kontroller, där Nordea fortlöpande arbetar för att ytterligare förbättra kvaliteten.

Källa: Nordea Bank Abp:s årsredovisning 2018     
Uppdaterad: Februari 2019
Info & Kommunikation

Information och kommunikation

Group Finance & Treasury säkerställer att koncernens redovisningshandbok och principer för finansiell kontroll är uppdaterade och att ändringar delges de ansvariga enheterna. Dessa styrdokument bryts sedan ned till riktlinjer och standardiserade arbetsrutiner inom respektive enhet. Rapporteringsspecialister inom Group Finance & Treasury ser till att redovisningspersonal och controllers hålls löpande informerade om gällande och uppdaterade regler och förordningar av betydelse för Nordea. 

De nyckelkriterier som tillämpas när finansiell information kommuniceras med marknaden är ”korrekt, relevant, konsekvent, tillförlitlig och i tid”. Informationen ska tillkännages på ett sådant sätt att den görs tillgänglig för allmänheten på ett snabbt och icke-diskriminerande sätt.

Nordea interagerar med relevanta experter för att säkerställa uppnåendet av de finansiella rapporteringsmålen. Nordea deltar aktivt i relevanta nationella forum, som till exempel forum inrättade av finansinspektioner, centralbanker eller sammanslutningar för finansiella institut.

Rapporteringsprocedurerna för Accounting Key Control (AKC) förser ledningen på olika nivåer i organisationen med information med anknytning till utförande och bedömning av identifierade AKC:er i form av processägarrapporter och managementrapporter med en sammanfattande bedömning av resultatet och eventuella högriskområden.

Källa: Nordea Bank Abp:s årsredovisning 2018      
Uppdaterad: Februari 2019
Uppföljning

Uppföljning

Nordea har fastställt en process för att säkerställa en god uppföljning av kvaliteten i den finansiella rapporteringen och uppföljning av eventuella brister. Denna interaktiva process är inriktad på att täcka in alla COSO-komponenter i ramverket och beskrivs i den länkade bilden.

Utvärderingen av risker och kontroller i den egna verksamheten, som genomförs i varje affärsområde och koncernfunktion. Den omfattar även identifiering och utvärdering av risker och kontrollåtgärder inom den finansiella rapporteringen.  

Group Finance & Treasury har även infört kvartalsvis rapportering till koncernfinanschefen med avseende på den interna kontrollen över den finansiella rapporteringen. Den omfattar riskhantering och högriskområden. Den oberoende riskkontrollfunktionen inom Group Risk and Compliance förser kvartalsvis revisionskommittén och koncernchefen i koncernledningen med en särskild rapport avseende finansiella rapporteringsrisker. 

Styrelsen, revisionskommittén, riskkommittén, drift- och regelefterlevnadskommittén samt internrevisionen har viktiga uppdrag vad gäller tillsynen och uppföljningen av den interna kontrollen avseende den finansiella rapporteringen i Nordeakoncernen.

Källa: Nordea Bank Abp:s årsredovisning 2018       
Uppdaterad: Februari 2019