Styrelsen ansvarar enligt den svenska aktiebolagslagen och Svensk kod för bolagsstyrning för den interna kontrollen. Denna rapport har upprättats i enlighet med koden och den vägledning som framtagits av FAR SRS och Svenskt Näringsliv och är begränsad till en beskrivning av hur den interna kontrollen avseende den finansiella rapporteringen är organiserad. Rapporten är inte en del av den formella årsredovisningen för 2008 och har inte granskats av Bolagets revisorer.
Ramverk för intern kontroll
I Svenskt Näringslivs/FAR:s vägledning till styrelsens rapport om intern kontroll avseende den finansiella rapporteringen nämns särskilt COSO (Committee of Sponsoring Organizations of the Treadway Commission) som det ramverk som har störst spridning och internationell acceptans och som intar en särställning vad gäller definition av god intern kontroll. Bolaget har därför valt att ta sin utgångspunkt ifrån COSO-metodiken. Där beskrivs den interna kontrollen via en uppdelning på fem komponenter; kontrollmiljö, riskbedömning, kontrollaktiviteter, information och
kommunikation samt uppföljning.
Pågående arbete och planerade initiativ
Bolaget har genomfört en utvärdering på koncernnivå av risken för väsentliga fel i resultat- och balansräkningar och tillhörande noter med beaktande av såväl kvantitativa som kvalitativa riskparametrar. Utifrån den inledande analysen har ett antal väsentliga konton identifierats där arbetet med inventering, analys, dokumentation och utvärdering av bolagets kontroller, för att minimera risken för väsentliga fel, påbörjats. I sammanhanget sker en översyn av roller och ansvar relaterat till intern kontroll över den finansiella rapporteringen. Bolaget har under 2008 fortsatt arbetet med att utarbeta ändamålsenliga generella IT-kontroller såsom behörighetsstrukturer, rutiner för ändringar i system, backuprutiner och allmän IT-säkerhet. Bolaget har även genomfört uppföljning av att existerande interna kontroller fungerar såsom avsett. Utvärderingarna har utgjort grund för styrelsens bedömning om ändamålsenligheten i den interna kontrollen avseende finansiell rapportering. Ansvaret för att skapa processer med hög grad av intern kontroll ligger ytterst på styrelsen och rent operativt på respektive dotterbolagschef med en samordning från moderbolaget som leder arbetet. Den följande beskrivningen av hur den interna kontrollen för närvarande är organiserad avseende den finansiella rapporteringen följer den struktur som nämns i Svenskt Näringslivs/FAR:s vägledning.
Kontrollmiljö
Ett effektivt styrelsearbete är grunden för god intern kontroll. Bolagets styrelse har etablerat en arbetsordning med detta syfte. En viktig del i styrelsens arbete är att besluta om det ramverk för intern kontroll som ska tillämpas inom koncernen samt att utarbeta och godkänna ett antal grundläggande policies, riktlinjer och ramverk relaterade till finansiell rapportering. Styrande dokument finns upprättade i form av nyss nämnda arbetsordning för styrelsen och dess utskott samt instruktion för den verkställande direktören. Därutöver finns ytterligare instruktioner såsom Ekonomihandbok med instruktioner för redovisning och rapportering, finanspolicy, instruktioner avseende beslutsnivåer, attestering samt etikpolicy avseende koncernens bolag.
Vidare har styrelsen säkerställt att organisationsstrukturen är logisk och transparent med tydliga roller, ansvar och processer som underlättar en effektiv hantering av verksamhetens risker. Bolagets ledning har det operativa ansvaret för den interna kontrollen. Koncernens CFO har det övergripande operativa ansvaret för den interna kontrollen avseende den finansiella rapporteringen i koncernen och rapporterar till ledningen samt till styrelsen. Ekonomiansvariga i respektive dotterföretag har det övergripande ansvaret för den interna kontrollen över den finansiella rapporteringen inom sin enhet och rapporterar löpande avseende status på den interna kontrollen till CFO för koncernen. Styrelsen och koncernledningen har bedömt att det är betydelsefullt med en snabb och korrekt rapportering och därmed ställt krav på en kompetent ekonomifunktion inom både bokföring och controllerverksamhet. Den sistnämnda säkerställer att samtliga verksamheter utvärderas och effektiviseras.
Styrelsen i Cybercom utgör som helhet revisionsutskott. Det åligger sålunda styrelsen att säkerställa att fastlagda principer för den finansiella rapporteringen och den interna kontrollen efterlevs samt att ändamålsenliga relationer med bolagets revisor upprätthålls. På moderbolaget finns en inrättad funktion avseende internrevision.
Riskbedömning
Bolaget har etablerat processer för ett antal riskhanteringsprocesser som har stor påverkan på bolagets förmåga att säkerställa en korrekt finansiell rapportering samt att de risker som bolaget är utsatt för hanteras inom de ramar som har fastställts av styrelsen. Bolagets ledning arbetar fortlöpande med att analysera verksamhetens affärs- och stödprocesser för effektivisering och riskhantering. En del av detta arbete är att identifiera risker för felaktigheter i den finansiella rapporteringen. Arbetet med att utvärdera intern kontroll utgår ifrån väsentlighet och risk, det vill säga fokusering sker på större resultat- och balansposter. De största balansposterna hanteras av moderbolaget. Cybercoms riskbedömning avseende den finansiella rapporteringen, det vill säga identifiering och utvärdering av de väsentligaste riskerna avseende den finansiella rapporteringen, utgör underlag för hur de skall hanteras. Hantering sker genom att riskerna accepteras, reduceras eller elimineras i enlighet med de krav som ställs av styrelsen, VD och
koncernledningen.
Kontrollaktivitet
Kontrollstrukturer utformas för att hantera de risker som styrelsen bedömer vara väsentliga för den interna kontrollen över den finansiella rapporteringen och som framkommit via bolagets riskanalys. Dessa kontrollstrukturer består dels av en organisation med tydliga roller som möjliggör en effektiv, och ur ett internkontrollperspektiv lämplig, ansvarsfördelning, dels av specifika kontrollaktiviteter som syftar till att upptäcka eller att i tid förebygga risker för väsentliga fel i den finansiella rapporteringen. Pågående arbete har resulterat i att viktiga kontrollaktiviteter är dokumenterade och kopplade till de inneboende risker som de är avsedda att minimera för varje väsentligt konto i resultat- och balansräkningarn samt relevanta notuppgifter i bolagets årsredovisning.
Exempel på kontrollaktiviteter är bland annat tydliga beslutsprocesser och beslutsordningar för väsentliga beslut (till exempel investeringar, avtal, godkännande av redovisningstransaktioner etcetera), resultatanalyser och andra analytiska uppföljningar, avstämningar och automatiska kontroller i IT-system.
Verksamhetens art gör att varje större extern affär dokumenteras och följs noggrant vilket underlättas av att ekonomifunktionen har en djup insikt i processerna. I detta kontrollarbete ingår därutöver ledningens genomgång av den månatliga finansiella informationen.
Information och kommunikation
Cybercom har upprättat informations- och kommunikationsvägar som syftar till att säkerställa att alla berörda får del av den information de behöver för att fullständighet och riktighet i den finansiella rapporteringen främjas.
Detta sker genom att styrande dokument i form av policies, riktlinjer och manualer, till den del de avser den finansiella rapporteringen, hålls löpande uppdaterade och kommuniceras via relevanta kanaler, såsom intranät och interna möten. Intern rapportering avseende hur väl den interna kontrollen fungerar kommer att implementeras inom hela koncernen. Verifiering av att kontroller fungerar såsom avsett har påbörjats. För kommunikation med externa parter finns en policy för hur denna kommunikation bör ske. Syftet med policyn är att säkerställa att alla informationsskyldigheter efterlevs på ett korrekt och fullständigt sätt.
Uppföljning
Styrelsen utvärderar kontinuerligt den information som bolagsledningen och revisionsutskottet lämnar. Av särskild betydelse för uppföljningen av den interna kontrollen är revisionsutskottets arbete med att följa upp effektiviteten i bolagsledningens arbete på detta område. Arbetet innefattar bland annat att säkerställa att åtgärder vidtas rörande de brister och förslag till åtgärder som framkommit vid den interna och externa revisionen. Uppföljningen av den interna kontrollen kommer att inkludera granskningar av hur väl policies och riktlinjer efterlevs samt utvärdera effektiviteten i väsentliga kontrollaktiviteter kopplade till risker för väsentliga fel i den finansiella rapporteringen. Vidare har styrelsen och revisionsutskottet en årlig process i syfte att tillse att åtgärder vidtas utifrån rapporteringen från externrevisionen.
Bolaget har som tidigare nämnts valt att inrätta en funktion avseende internrevision. Cybercoms internrevisor besöker de olika koncernbolagen och genomför härvid sin granskning. Utfallet av revisionen kommuniceras med dotterföretaget samt koncernens CFO.
Stockholm den 14 april 2009
Styrelsen i Cybercom