Interne kontroller og risikostyring i forbindelse med regnskabsaflæggelsesprocessen - 2019
Bestyrelsen og direktionen har det overordnede ansvar for virksomhedens risikostyring og interne kontrol i forbindelse med regnskabsaflæggelsesprocessen, herunder overholdelsen af relevant lovgivning og anden regulering i relation til regnskabsaflæggelsen (compliance).
Bestyrelsen og direktionen finder, at deres egen holdning til god risikostyring og intern kontrol i forbindelse med regnskabsaflæggelsesprocesser er bærende for virksomhedens holdning og den indskærpes derfor til stadighed.
Virksomhedens risikostyring og interne kontroller i forbindelse med regnskabsaflæggelsesprocessen inkl. bl.a. it og skat er designet med henblik på effektivt at styre forretningen og aktiviteterne snarere end at eliminere risikoen for fejl og mangler i forbindelse med regnskabsaflæggelsen.
Virksomhedens risikostyrings- og interne kontrolsystemer i forbindelse med regnskabsaflæggelsesprocessen kan alene skabe rimelig, men ikke absolut sikkerhed for, at uretmæssig brug af aktiver, tab og/eller væsentlige fejl og mangler i forbindelse med regnskabsaflæggelsen undgås.
Bestyrelsen og direktionen vurderer løbende væsentlige risici og interne kontroller i forbindelse med virksomhedens aktiviteter og deres eventuelle indflydelse på regnskabsaflæggelsesprocessen.
Bestyrelsen vurderer mindst en gang årligt virksomhedens organisationsstruktur og bemandingen på væsentlige områder, herunder specielt områder i forbindelse med regnskabsaflæggelsesprocessen inkl. bl.a. it og skat.
Bestyrelsen og direktionen fastlægger og godkender overordnede retningslinjer, procedurer og kontroller på væsentlige områder i forbindelse med regnskabsaflæggelsesprocessen. Grundlaget herfor er en klar organisationsstruktur, klare rapporteringslinjer, autorisations- og attestationsprocedurer samt personadskillelse (”the four-eye principle”).
Virksomheden har retningslinjer inden for væsentlige områder i forbindelse med regnskabsaflæggelsen - herunder rente og valutadispositioner, skat og it-risiko.
Direktionen overvåger løbende overholdelsen af relevant lovgivning og andre forskrifter og bestemmelser i forbindelse med regnskabsaflæggelsen og rapporterer løbende herom til bestyrelsen.
Bestyrelsen og direktionen foretager mindst årligt en overordnet risikovurdering af risici i forbindelse med regnskabsaflæggelsesprocessen.
Bestyrelsen vedtager på det grundlag retningslinjer for virksomheden, der bl.a. indeholder en beskrivelse af de væsentligste risici i forbindelse med regnskabsaflæggelsesprocessen samt tiltag med henblik på at styre henholdsvis eliminere og/eller reducere de identificerede risici.
Bestyrelsen og direktionen tager som led i risikovurderingen årligt stilling til risikoen for besvigelser og til de foranstaltninger, der skal tages med henblik på at reducere og/eller eliminere risiko for dette. Herunder vurderer bestyrelsen den daglige ledelses mulighed for at tilsidesætte kontroller og for at udøve upassende indflydelse på regnskabsaflæggelsen.
Beslutninger om tiltag med henblik på reduktion og/eller eliminering af risici baseres på en vurdering af væsentlighed sammenholdt med de derved forbundne omkostninger.
Kontrolaktiviteterne tager udgangspunkt i risikovurderingen. Målet med virksomhedens kontrolaktiviteter er at sikre, at de af ledelsen udstukne mål, retningslinjer, manualer, procedurer m.v. opfyldes, samt rettidigt at forebygge, opdage og rette eventuelle fejl, afvigelser, mangler m.v.
Kontrolaktiviteterne omfatter manuelle og fysiske kontroller samt generelle it-kontroller og automatiske applikationskontroller i de anvendte it-systemer m.v.
Der er minimumskrav til forsvarlig sikring af aktiver samt til afstemninger og regnskabsanalytisk gennemgang, herunder løbende vurdering af performance og opfyldelsen af vedtagne mål.
Direktionen har etableret en formel rapporteringsproces, der omfatter budgetrapportering og månedlig rapportering inkl. afvigelsesrapporter med månedlig/kvartalsvis ajourføring af skøn for årets resultater.
Rapporteringen omfatter, ud over resultatopgørelse, balance og pengestrømsopgørelse, tillige noter og supplerende oplysninger. Der indhentes løbende oplysninger til brug for opfyldelsen af eventuelle note-krav samt andre oplysningskrav. Virksomheden har endvidere retningslinjer for regnskabsaflæggelsen og til den eksterne finansielle rapportering i overensstemmelse med lovgivningen og forskrifterne herfor.
Et af målene med de ovennævnte retningslinjer er at sikre, at gældende oplysningsforpligtelser overholdes, samt at de afgivne oplysninger er dækkende, fuldstændige og præcise.
Bestyrelsen lægger vægt på, at der – inden for de rammer, der gælder for børsnoterede selskaber – er en åben kommunikation i virksomheden, samt på, at den enkelte medarbejder kender sin rolle i den interne kontrol i virksomheden.
Virksomhedens væsentligste risici og interne kontroller i forbindelse med regnskabsaflæggelsesprocessen, bestyrelsens holdning hertil og de iværksatte tiltag i forbindelse hermed kommunikeres løbende internt i virksomheden til de berørte medarbejdere.
Bestyrelse og direktion lægger vægt på, at den enkelte medarbejder til stadighed, rettidigt har relevante informationer til rådighed til at kunne udføre opgaverne.
Informationssystemerne indrettes med henblik på, at der under hensyntagen til den for børsnoterede selskaber foreskrevne fortrolighed, løbende på relevant niveau identificeres, opsamles og kommunikeres relevant information, rapporter m.v., som gør det muligt for den enkelte effektivt og pålideligt at udføre opgaverne og at udføre de aftalte kontroller. Målet hermed er, at virksomheden til stadighed kan kontrollere udførelsen af aktiviteterne og rapportere troværdigt med henblik på effektivt at styre virksomheden operationelt, finansielt og i overensstemmelse med gældende lovgivning og forskrifter. Informationssystemet med tilhørende manuelle og systemmæssige rutiner skal gøre det muligt at udføre og dokumentere kontroller effektivt og hensigtsmæssigt.
Endvidere skal informationssystemerne muliggøre, at der rettidigt kommunikeres effektivt og pålideligt op og ned i organisationen samt, hvor relevant, med kunder, leverandører, myndigheder, aktionærer, investorer, finansmarkederne, pressen m.v.
Ethvert risikostyrings- og internt kontrolsystem skal løbende overvåges, kontrolleres og kvalitetssikres for at sikre, at det er effektivt. Overvågningen sker ved regelmæssigt at gennemføre vurderinger og kontroller på alle niveauer i virksomheden. Omfanget og hyppigheden af de periodiske vurderinger afhænger primært af risikovurderingen herfor og effektiviteten af de løbende kontroller.
Eventuelle svagheder, kontrolsvigt, overskridelser af udstukne retningslinjer, rammer m.v. eller andre væsentlige afvigelser rapporteres op i organisationen i overensstemmelse med virksomhedens retningslinjer og instruktionerne herfor. Svagheder, mangler og/eller overskridelser rapporteres til direktionen. Væsentlige forhold rapporteres tillige til bestyrelsen.
Bestyrelsen modtager løbende rapporter fra direktionen om overholdelsen af de udstukne retningslinjer m.v. samt om konstaterede svagheder, mangler og/eller overtrædelser af vedtagne retningslinjer, forretningsgange og interne kontroller.
De generalforsamlingsvalgte revisorer rapporterer i revisionsprotokollen til bestyrelsen væsentlige svagheder i virksomhedens interne kontrolsystemer i forbindelse med regnskabsaflæggelsesprocessen. Mindre væsentlige forhold rapporteres i Management Letters til direktionen.
Bestyrelsen overvåger, at direktionen reagerer effektivt på eventuelle svagheder og/eller mangler, samt at aftalte tiltag i relation til styrkelse af risikostyring og interne kontroller i relation til regnskabsaflæggelsesprocessen implementeres som planlagt. Direktionen følger op på implementeringen af tiltag til afhjælpning af konstaterede svagheder samt på forhold, der er omtalt i Management Letters m.v.