Denna rapport har upprättats i enlighet med koden och är begränsad till en beskrivning av hur den interna kontrollen avseende den finansiella rapporteringen är organiserad. Rapporten är inte en del av den formella årsredovisningen för 2007 och har inte granskats av Bolagets revisorer.
ramverk för Intern kontroll
I Svenskt Näringslivs/FAR:s vägledning till styrelsens rapport om intern kontroll avseende den finansiella rapporteringen nämns särskilt COSO (Committee of Sponsoring Organizations of the Treadway Commission1) som det ramverk som har störst spridning och internationell acceptans och som intar en särställning vad gäller definition av god intern kontroll. Bolaget fattade därför under 2005 beslut om att införa COSO:s ramverk för intern kontroll över den finansiella rapporteringen och ramverket har anpassats till bolagets verksamhet och förutsättningar.
PÅgÅende arbete och Planerade InItIatIv
Bolaget har genomfört en riskutvärdering på koncernnivå av risken för väsentliga fel i resultat- och balansräkningar och tillhörande noter med beaktande av såväl kvantitativa som kvalitativa riskparametrar. Utifrån den inledande riskanalysen har ett antal väsentliga konton identifierats där arbetet med inventering, analys, dokumentation och utvärdering av bolagets kontroller, för att minimera risken för väsentliga
fel, fortsatt under 2007.
Under 2007 har tydliga roller och ansvar utarbetats vad gäller intern kontroll över den finansiella rapporteringen. Cloetta Fazer har under 2007 utarbetat ändamålsenliga generella IT-kontroller såsom behörighetsstrukturer, rutiner för ändringar i system, backup-rutiner och allmän IT-säkerhet. Bolaget har även påbörjat en uppföljning av att existerande interna kontroller fungerar såsom avsett. Under 2008 kommer ytterligare oberoende testning och verifiering i kombination med så kallade självutvärderingar att genomföras.
Utvärderingarna kommer att utgöra grund för styrelsens bedömning om ändamålsenligheten i den interna kontrollen avseende finansiell rapportering.
Styrelsen har definierat riktlinjerna för ovanstående arbete som omfattar roller, ansvar och processer som är väsentliga för att upprätthålla en god intern kontroll. Den följande beskrivningen av hur den interna kontrollen för närvarande är organiserad avseende den finansiella rapporteringen
följer den struktur som nämns i svenskt Näringslivs/ FAR:s vägledning.
beskrIvnIng
Kontrollmiljö
Ett effektivt styrelsearbete är grunden för god intern kontroll. Bolagets styrelse har etablerat tydliga arbetsprocesser och arbetsordningar för sitt arbete. En viktig del i styrelsens arbete är att besluta om det ramverk för intern kontroll som skall tillämpas inom koncernen samt att utarbeta
och godkänna ett antal grundläggande policys, riktlinjer och ramverk relaterade till finansiell rapportering. Dessa inkluderar bland annat Ekonomihandbok med instruktioner för redovisning och rapportering, finanspolicy, instruktioner avseende beslutsnivåer, attestering samt etikpolicy.
Vidare har styrelsen säkerställt att organisationsstrukturen är logisk och transparent med tydliga roller, ansvar och processer som underlättar en effektiv hantering av verksamhetens risker.
Revisionsutskottet bereder styrelsens löpande uppföljning av den interna kontrollen. I revisionsutskottets arbete ingår att utvärdera och diskutera väsentliga redovisningstekniska och rapporteringsmässiga frågeställningar.
Revisionsutskottet har under 2007 erhållit rapporter från bolagets ledning om intern kontrollprojektets fortskridande.
Revisionsutskottet har tagit del av och utvärderat rutinerna för redovisning och ekonomisk rapportering samt följt upp och utvärderat de externa revisorernas arbete, kvalifikationer och oberoende. Revisionsutskottet har fyra gånger under 2007 haft genomgångar med och fått rapporter
från bolagets externa revisorer.
Bolagets ledning har det operativa ansvaret för den interna kontrollen. Koncernens CFO har det övergripande operativa ansvaret för den interna kontrollen avseende den finansiella rapporteringen i koncernen och rapporterar till ledningen samt till styrelsen. Ekonomiansvariga i respektive dotterföretag kommer att ha det övergripande ansvaret för den interna kontrollen över den finansiella rapporteringen inom sin enhet och rapportera
löpande avseende status på den interna kontrollen till CFO för koncernen.
Riskbedömning
Såsom nämnts i tidigare avsnitt, genomförs riskanalys för bedömning av risker för fel i den finansiella rapporteringen.
Vidare har bolaget etablerat ett antal riskhanteringsprocesser som har stor påverkan på bolagets förmåga att säkerställa en korrekt finansiell rapportering. Dessa procedurer omfattar huvudsakligen följande områden:
• Riskbedömningar som bland annat syftar till att snabbt identifiera händelser på marknaden eller i verksamheten som kan påverka den finansiella rapporteringen.
• Processer för att fånga upp förändringar i redovisningsregler och rekommendationer som säkerställer att dessa förändringar återspeglas i bolagets finansiella rapportering på ett korrekt sätt.
Kontrollaktiviteter
Kontrollstrukturer utformas för att hantera de risker som styrelsen bedömer vara väsentliga för den interna kontrollen över den finansiella rapporteringen och som framkommit via bolagets riskanalys. Dessa kontrollstrukturer består dels av en organisation med tydliga roller som möjliggör en effektiv, och ur ett internkontrollsperspektiv lämplig, ansvarsfördelning, dels av specifika kontrollaktiviteter som syftar till att upptäcka eller att i tid förebygga risker för väsentliga fel i den finansiella rapporteringen. Pågående arbete har resulterat i att viktiga kontrollaktiviteter är tydligt dokumenterade och kopplade till de inneboende risker som de är avsedda att minimera för varje väsentligt konto i resultat- och balansräkning samt relevanta notuppgifter i bolagets årsredovisning.
Exempel på kontrollaktiviteter är bland annat tydliga beslutprocesser och beslutsordningar för väsentliga beslut (t ex investeringar, avtal, godkännande av redovisningstransaktioner etc), resultatanalyser och andra analytiska uppföljningar, avstämningar, inventeringar och automatiska
kontroller i IT-system.
Information och kommunikation
Bolagets styrande dokument i form av policys, riktlinjer och manualer, till den del de avser den finansiella rapporteringen, hålls löpande uppdaterade och kommuniceras via relevanta kanaler, såsom intranät och interna möten.
Intern rapportering avseende hur väl den interna kontrollen fungerar kommer att implementeras inom hela koncernen samt genomföras löpande från och med 2008. Verifiering av att kontroller fungerar såsom avsett har påbörjats 2007 och kommer fortsättningsvis att göras via självutvärderingar
från processägare i kombination med objektiv testning och rapporteras inom organisationen.
För kommunikation med externa parter finns en tydlig policy som anger riktlinjer för hur denna kommunikation bör ske. Syftet med policyn är att säkerställa att alla informationsskyldigheter efterlevs på ett korrekt och fullständigt sätt.
Uppföljning
Styrelsen utvärderar kontinuerligt den information som bolagsledningen och revisionsutskottet lämnar. Av särskild betydelse för uppföljningen av den interna kontrollen är revisionsutskottets arbete med att följa upp effektiviteten i bolagsledningens arbete på detta område. Arbetet innefattar
bland annat att säkerställa att åtgärder vidtas rörande de brister och förslag till åtgärder som framkommit vid den interna och externa revisionen.
Uppföljningen av den interna kontrollen kommer att inkludera granskningar av hur väl vissa policys och riktlinjer efterlevs samt utvärdera effektiviteten i väsentliga kontrollaktiviteter kopplade till risker för väsentliga fel i den finansiella rapporteringen.
Vidare har styrelsen och revisionsutskottet en årlig process som säkerställer att lämpliga åtgärder vidtas för de brister och rekommendationer till åtgärder som uppkommer från externrevisionens granskningsinsatser.
UtvärderIng av behovet av en särskIld gransknIngsfunktIon
Koncernen har idag inte någon särskild granskningsfunktion (internrevision).
Mot bakgrund av den initierade processen för genomförande av självutvärderingar samt objektiv testning av oberoende part anser styrelsen att det för närvarande inte finns behov av en särskild granskningsfunktion för att utöva en väl fungerande uppföljning av den interna kontrollen.
Styrelsen
Denna rapport har upprättats i enlighet med Svensk kod för bolagsstyrning, avsnitt 3.7.2 och 3.7.3, och är därmed avgränsad till intern kontroll avseende den finansiella rapporteringen. Kollegiet för Svensk Bolagsstyrning utgav i september 2006 tilläggsanvisningar för hur regeln om rapportering avseende intern kontroll över den finansiella rapporteringen skall tillämpas (anvisning nr 1-2006 ). Bolaget skall enligt Kollegiets uttalande rapportera hur den interna kontrollen organiserats men styrelsen behöver inte yttra sig över hur väl den interna kontrollen fungerat och rapporten behöver ej granskas av företagets revisor. I enlighet med uttalandet av Kollegiet för Bolagsstyrning så lämnas på sidorna 106-107 i den tryckta årsredovisningen en beskrivning av hur den interna kontrollen är organiserad utan att styrelsen gör något uttalande om hur väl den interna kontrollen har fungerat under räkenskapsåret. Rapporten har ej granskats av bolagets revisorer.