Norva24s ramverk för intern kontroll regleras främst i aktiebolagslagen och svensk kod för bolagstyrning. Genom användning av kontrollaktiviteter som ansvarsfördelning, avstämningar, godkännanden, skydd av tillgångar och kontroll över informationssystem, är Norva24s ramverk för intern kontroll är avsett att främja uppnående av Norva24s mål avseende en effektiv verksamhet, en tillförlitlig och punktlig intern och extern rapportering samt efterlevnad av tillämpliga lagar och regler.
Styrelsen har det övergripande ansvaret för Norva24s interna kontroll. Kontrollen utövas formellt genom skriftliga instruktioner som definierar styrelsens ansvar och ansvarsfördelningen mellan styrelseledamöter, styrelseutskott och VD.
Revisionsutskottet har främst ansvaret för kvaliteten på och övervakningen av Norva24s interna kontroll och riskhantering i frågor gällande regelefterlevnad och finansiell rapportering.
Ramverk för intern kontroll
Norva24s ramverk för intern kontroll omfattar ledning, verksamhet samt support [processer]. Det övergripande målet med Norva24s kontrollsystem är att säkerställa att styrelsen och ledningen är medvetenhet och agerande.
Ramverket för intern kontroll är uppbyggd som en försvarsmodell med syfte att förhindra att Bolaget förbiser risker som kan leda till att Norva24 inte uppnår sina verksamhetsmål. Detta inkluderar en process för riskbedömning. Norva24s ledning ska följa en fastställd process bestående av följande tre steg:
- Identifiering och bedömning av risker
- Krav på intern kontroll
- Individuell utvärdering samt rapportering
Dessa steg ska genomföras på årlig basis. Det första steget i identifiering och bedömning av risker, som initieras årligen av Bolagets VD och genomförs av ledningen, är att Norva24 ska vara medveten om de mest betydelsefulla riskerna som påverkar Bolagets verksamhet. Syftet är att identifiera nya risker och uppdatera Norva24s syn på tidigare identifierade risker. Den interna kontrollen ska, utifrån identifieringen och bedömningen av risker, utformas så att relevanta risker omfattas. De interna kontrollerna ska formuleras som krav med syfte att beskriva lägsta nivå av prestation som krävs för att fastställa ett effektivt kontrollsystem genom hela organisationen. Resultaten ska följas upp av Bolagets CFO och ska presenteras årligen för revisionsutskottet samt styrelsen.
Intern kontroll över finansiell och övrig rapportering
Norva24s interna kontroll över finansiell rapportering är utformad för att främja tillförlitligheten av intern och extern finansiell och icke-finansiell rapportering. Slutligen är detta avsett för att säkerställa punktlig och tillförlitlig rapportering avseende finansiell rapportering, extern icke-finansiell rapportering, intern finansiell rapportering och intern icke-finansiell rapportering. Risker relaterade till finansiell rapportering utvärderas årligen.
Informationsteknik (IT)
Norva24 måste upprätthålla en väl fungerande IT-infrastruktur för att säkerställa kontinuitet och effektivitet i verksamheten och gränssnittet mot kunderna, samt för att upprätthålla finansiell noggrannhet och effektivitet. De allmänna kontroller som Norva24 använder sig av för att uppnå detta omfattar policyer och förfaranden som rör kritiska applikationer och stöder en effektiv funktion av applikationskontroller och är avsedda att säkerställa integriteten hos de data och processer som systemen stöder. De allmänna IT-kontrollerna består av fyra områden:
- Allmänna IT-kontroller på enhetsnivå: Att se till att IT hanteras på ett strukturerat sätt så att stabilitet och integritet i affärsprocesserna och deras stödjande tillämpningar säkerställs.
- Tillgång till program och data: För att säkerställa att endast auktoriserad åtkomst beviljas till system och data efter autentisering av en användares identitet.
- Hantering av förändringar: För att säkerställa att ändringar av kritiska program och tillhörande infrastrukturkomponenter begärs, godkänns, utförs, testas och genomförs.
- Datahantering: Säkerställa att produktionssystemen hanteras fullständigt och korrekt och att problem med hanteringen identifieras och löses fullständigt och korrekt för att upprätthålla integriteten av de finansiella uppgifterna.