Styrelsen ansvarar för att fastställa och övervaka ett tillräckligt och effektivt ramverk för intern kontroll som omfattar hela koncernen. Ramverket fastställer koncernstyrelsens och högsta ledningens ansvar när det gäller intern kontroll, alla koncernfunktioner och affärsområden, inklusive verksamhet genom uppdragsavtal och distributionskanaler. Enligt ramverket är det respektive affärsområde, koncernfunktion och enhet som ansvarar för att hantera riskerna i den egna verksamheten och ha kontroller som säkerställer att Nordea lever upp till interna och externa krav. Som en del av ramverket för intern kontroll har Nordea inrättat kontrollfunktioner på koncernnivå, som i lämplig och tillräcklig utsträckning har de befogenheter, den betydelse och den tillgång till styrelsen som de behöver för att utföra sitt uppdrag. Här ingår även ramverket för riskhantering.
Ramverket för intern kontroll säkerställer yttre och inre effektivitet i verksamheten, fullgod identifiering, mätning och begränsning av risker, en aktsam affärsverksamhet, sunda administrations- och redovisningsrutiner, tillförlitlighet i finansiell och icke-finansiell information (både intern och extern) samt efterlevnad av gällande lagar, förordningar, myndighetskrav och koncernens interna regler.
Internkontrollen utförs av de styrande organen, riskhanteringsfunktionerna, ledningen och annan personal i Nordea. Internkontrollen har fem huvudkomponenter: kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt uppföljning. Den har utformats så att det i hela organisationen ska finnas förutsättningar att bidra till den interna kontrollens effektivitet och höga kvalitet genom bland annat tydliga definitioner, fördelning av roller och ansvarsområden samt gemensamma verktyg och rutiner. Roller och ansvarsområden avseende intern kontroll och riskhantering är uppdelade i tre försvarslinjer.
Enligt koncerndirektivet om intern styrning (Group Board Directive on Internal Governance) avser den första försvarslinjen alla enheter och medarbetare som inte ingår i varken den andra eller tredje försvarslinjen.
I första försvarslinjen är det affärsorganisationen och koncernfunktionerna som är riskägare och därmed ansvarar för att verksamheten sköts inom ramen för fastställd riskexponering och risktolerans och i enlighet med ramverket för intern kontroll.
Den andra försvarslinjen utgörs av Group Risk, som ansvarar för att underhålla och övervaka införandet av ramverket för riskhantering som en grundläggande del i ramverket för intern kontroll, och av Group Compliance, som ansvarar för att underhålla och övervaka införandet av ramverket för hantering av regelefterlevnadsrisk. För att säkerställa effektiv riskhantering har den andra försvarslinjen tillgång till alla affärsgrenar och andra interna enheter som kan generera risk, liksom till relevanta dotterföretag och filialer samt verksamhet som utförs på uppdragsavtal.
Group Internal Audit, som är den tredje försvarslinjen, genomför revisioner och förser styrelsen med en bedömning av bolagsstyrningens effektivitet överlag och av ramverken för risk och kontroll, tillsammans med en analys av teman och trender som framkommit under arbetet med internrevisionen och deras inverkan på organisationens riskprofil.
Group Internal Audit (GIA) är en oberoende funktion för internrevision som arbetar på uppdrag av styrelsen. Revisionskommittén (BAC) ansvarar för anvisningar för och utvärdering av GIA inom Nordeakoncernen. Koncernrevisionschefen (CAE) har det övergripande ansvaret för GIA. Koncernrevisionschefen rapporterar funktionellt till styrelsen och BAC, och administrativt till bolagets vd och koncernchef. Styrelsen godkänner utnämning och uppsägning av koncernrevisions-chefen samt beslutar, på förslag från Ersättnings- och personalkommittén, om lön och andra anställningsvillkor för koncernrevisionschefen.
GIA:s uppdrag är att bistå styrelsen och koncernledningen när det gäller att skydda organisationens tillgångar, anseende och hållbarhet. GIA gör detta genom att bedöma om samtliga väsentliga risker är identifierade och tillfredsställande rapporterade av ledning och riskfunktioner till styrelsen, styrelse-kommittéerna och koncernledningen, genom att bedöma om samtliga väsentliga risker är tillräckligt kontrollerade och genom att utmana koncernledningen att förbättra effektiviteten i bolagsstyrningen, riskhanteringen och internkontrollen. GIA bedriver ingen rådgivning annat än på BAC:s begäran.
All verksamhet och alla enheter inom koncernen faller inom GIA:s behörighetsområde. GIA avgör genom riskbaserade beslut vad inom behörighetsområdet som bör omfattas av den revisionsplan som godkänns av styrelsen.
GIA ska självständigt fastställa internrevisionens omfattning, hur arbetet ska genomföras och hur resultatet ska presenteras. Det innebär exempelvis att GIA, genom koncernrevisionschefen, utan godkännande kan informera tillsynsmyndigheterna om vilka frågor som helst. Koncernrevisionschefen har obegränsad tillgång till bolagets vd och koncernchef och till ordföranden i revisionskommittén och ska träffa ordföranden i BAC regelbundet under året, även i koncernledningens frånvaro. GIA har behörighet att genomföra alla typer av undersökningar och erhålla all information som behövs för utförandet av sina uppgifter. GIA har därmed rätt till åtkomst till organisationens samtliga arkiv, system, lokaler och medarbetare närhelst de så begär. GIA har rätt att delta i möten och observera arbetet i styrelsens kommittéer, koncernledningen, Nordeakoncernens övergripande kommittéer och instanser samt andra viktiga beslutsinstanser när det är relevant och nödvändigt.
Enligt bolagsordningen ska bolagets revisor vara en revisions-firma med en huvudansvarig revisor som är auktoriserad revi-sor. Revisorns mandatperiod löper fram till och med nästkom-mande ordinarie bolagsstämma. Bolagets nuvarande revisor är PricewaterhouseCoopers Oy. Jukka Paunonen, CGR (av Centralhandelskammaren godkänd revisor), har varit huvud-ansvarig revisor sedan den ordinarie bolagsstämman 2022.