Systemen för intern kontroll och riskhantering med avseende på finansiell rapportering är utformade för att uppnå rimlig säkerhet gällande tillförlitligheten i den externa finansiella rapporteringen och säkerställa att de finansiella rapporterna är framtagna i överensstämmelse med god redovisningssed, tillämpliga lagar och förordningar samt övriga krav på noterade bolag. De interna kontroll- och riskhanteringsaktiviteterna ingår i Nordeas planerings- och resursallokeringsprocesser. Den interna kontrollen och riskhanteringen med avseende på Nordeas finansiella rapportering beskrivs nedan.
Kontrollmiljön utgörs av Nordeas interna kontroller och har sin utgångspunkt i den kultur och de värderingar som fast-ställts av styrelsen och koncernledningen, samt i organisationsstrukturen med tydliga roller och ansvar.
Huvudprincipen för styrningen av Nordea är iakttagandet av de tre försvarslinjerna, som utgör grunden för en tydlig för-delning av roller och ansvarsområden i organisationen.
Tydliga roller och ansvarsområden är avgörande i styrningen av den interna kontrollen för finansiell rapportering (ICFR). Den första försvarslinjen ansvarar för den löpande riskhanteringen och för efterlevnaden av gällande regelverk. Riskägare i affärsområdena och koncernfunktionerna ansvarar för den fortlöpande riskhanteringen. En central funktion stödjer Group CFO i arbetet med att definiera standarder som tillämpas för relevanta kontroller i hela koncernen. Dessa kontroller införs och upprätthålls i betydelsefulla processer och följs upp kvartalsvis genom utvärdering i den egna verksamheten.
Riskbedömning i fråga om tillförlitlig finansiell rapportering innefattar identifiering och bedömning av riskerna för väsentliga felaktigheter eller brister. Risk i den finansiella rapporteringen definieras som risken för felaktigheter eller brister i den finansiella rapporteringen, den lagstadgade rapporteringen, lämnade upplysningar, skatterapportering och redo-visning av ESG-upplysningar (ESG = environmental, social and governance).
Riskhantering är en integrerad del av affärsverksamheten och huvudansvaret för att utföra riskbedömningar avseende den finansiella rapporteringen ligger hos affärsorganisationen. När riskbedömningar utförs nära affärsverksamheten blir det lättare att identifiera de mest relevanta riskerna. I kvalitetssyfte föreskriver kontrollfunktioner i styrdokument när och hur dessa bedömningar ska utföras. Exempel på riskbe-dömningar är den återkommande utvärderingen av risker och kontroll i den egna verksamheten (Risk and Control Self-Assessment) och den händelsestyrda processen för riskhantering och godkännande vid förändringar (Change Risk Management and Approval).
ICFR är inriktad på områden där det kan finnas risk för väsentliga finansiella felaktigheter, det vill säga där en bedömning gjord av en förnuftig person som förlitat sig på rapporten sannolikt skulle ha ändrats eller påverkats bero-ende på om felet hade funnits kvar eller korrigerats.
Affärsområdena och koncernfunktionerna ansvarar i första hand för hanteringen av risker som är knutna till den egna enhetens verksamhet och finansiella rapporteringsprocesser. Företagsövergripande kontroller innefattar anvisningar och styrande organ som fastställer standarderna för intern kon-troll, till exempel koncernens redovisningshandbok, koncern-instruktioner för finansiell kontroll och riskprotokoll för finansiell rapportering. I koncernens redovisningshandbok finns information om de redovisningsprinciper som ska användas i koncernen och den innehåller detaljerade rapporteringsinstruktioner och upplysningar om de verktyg som behövs för att ta fram de finansiella rapporterna.
Kontrollstrukturen i ICFR har baserats på viktiga finansiella kontroller som har identifierats som primära och som Nordea förlitar sig på för att förebygga, upptäcka eller begränsa höga och kritiska risker i den finansiella rapporteringen. Här ingår kartläggning och bedömning av risker för felaktigheter eller brister i den finansiella rapporteringen i de arbetsflöden som finns i hela processen, från start till slut. Efter beslut om vilka de viktiga finansiella kontrollerna är, fastställs vilka system och/eller applikationer som Nordea är beroende av för den finansiella rapporteringen, inklusive generella IT-kontroller.
Kvalitetssäkringen i ledningsrapporteringsprocessen, där det finansiella resultatet analyseras i detalj, utgör en viktig kontrollmekanism i samband med rapporteringen.
Group Finance säkerställer att koncernens redovisningshand-bok och övriga relevanta anvisningar är uppdaterade och att ändringar delges de ansvariga enheterna. Dessa kompletteras med detaljerade instruktioner och standardrutiner inom respektive enhet.
Ledningen på olika nivåer i organisationen får information om resultatet och bedömningen av de identifierade grundläggande kontrollerna och uppgifter om utfallet av utvärderingen av kontroller i den egna processen.
Nordea använder sig av relevanta experter utanför organisationen för att hålla sig uppdaterad om förändrade förväntningar på rapporteringen och säkerställa att de finansiella rapporteringsmålen uppnås. Nordea deltar aktivt i relevanta nationella och internationella forum, som exempelvis inrättats av finansinspektioner, centralbanker eller sammanslutningar för finansinstitut.
Nordea har infört en process för regelbunden uppföljning av riskmått, inklusive resultat från utvärdering av kontroller i den egna verksamheten, i syfte att säkerställa lämplig uppföljning av kvaliteten i den finansiella rapporteringen. Group CFO rapporterar varje kvartal specifikt om riskmått, resultat från egenutvärderingar och annat som rör hanteringen av risk i den finansiella rapporteringen, till BAC.
En oberoende riskkontrollfunktion i andra försvarslinjen ansvarar för att identifiera, kontrollera och rapportera risker i den finansiella rapporteringen. I tillägg till detta förser GIA styrelsen med en övergripande bedömning av effektiviteten i processerna för styrning, riskhantering och kontroll i hela organisationen, inklusive den finansiella rapporteringen.
Styrelsen, BAC, BRIC, BOSC, Group Risk, Group Compliance och GIA har viktiga uppdrag i fråga om styrningen och uppföljningen av den interna kontrollen av finansiell rapportering i Nordeakoncernen.