Styrelsens ansvar för intern kontroll regleras i den svenska aktiebolagslagen och i Koden som innehåller krav på årlig extern informationsåtergivning om hur den interna kontrol-len avseende den finansiella rapporteringen är organiserad.
Svenska Spels process för intern kontroll grundar sig på det ramverk som tagits fram av The Committee of Sponsring Organizations of the Treadway Commission (COSO) och som utgörs av komponenterna: Riskbedömning, kontrollmiljö, kontrollstrukturer, information och kommunikation samt uppföljning.
Organisation av intern kontroll och riskhantering Svenska Spels interna kontroll avseende den finansiella rap-porteringen är utformad för att ge tillförlitlighet i den finan-siella rapporteringen och säkerställa att den är upprättad i enlighet med god redovisningssed, tillämpliga lagar och förordningar och redovisningsstandarder.
Den interna kontrollen definieras som den process som utförs av styrelsen, företagsledningen och annan utsedd personal för att få en rimlig försäkran om korrektheten i den finansiella rapporteringen.
Svenska Spel har starkt fokus på riskhantering och intern kontroll. Det finns bland annat en tydlig process för risk-hantering, en etablerad funktion såväl för riskhantering som för internrevision, samt processer för den finansiella rapporte-ringen med definierade internkontrollpunkter.
Processförbättringar sker löpande på ett målmedvetet sätt i syfte att nå en så hög kvalitetsnivå som möjligt för den finansiella rapporteringen. Internkontrollaktiviteter utvärderas och justeras kontinuerligt, medarbetare informeras och ut -bildas i syfte att minimera risker.
Internrevision
Svenska Spel har en funktion för internrevision som rapporte-rar direkt till styrelsens revisionsutskott. Internrevisionen assisterar styrelsen och verkställande direktören med obero-ende och objektiva granskningsuppdrag och konsultativa
tjänster, vilket resulterar i åtgärder och förbättringsprogram.
Funktionen hjälper koncernens övriga enheter att nå sina mål genom att systematiskt utvärdera effektiviteten i processerna för styrning, riskidentifiering och -kontroll. Under året har internrevisionen genomfört ett tiotal granskningar inom bland annat följande rubrikområden: Marknadsföring och sponsring, IT-styrning, provköp och testspel samt kontant-hantering inom Casino Cosmopol.
Kontrollmiljö
Basen för den interna kontrollen utgörs av kontrollmiljön med organisation, beslutsvägar, befogenheter och ansvar som dokumenterats och kommunicerats i styrande doku-ment, samt den värdegrund som styrelsen och koncern-ledningen kommunicerar och verkar utifrån. Styrande doku-ment inom Svenska Spel inkluderar:
• Arbetsordning för styrelse.
• Arbetsordning för revisionsutskott och ersättningsutskott.
• Styrelsens instruktion till verkställande direktören.
• Attestregler med syfte att vägleda alla som deltar i hante-ringen av ekonomiska transaktioner, samt att säkerställa en god kontroll av ekonomiska transaktioner för att förhindra avsiktliga eller oavsiktliga fel.
• Policyer för etik, kontaktfrämjande åtgärder samt represen-tation.
• Finanspolicy. Koncernens ekonomifunktion arbetar efter av styrelsen antagna finansiella ramar avseende finansiell risk-hantering. Finanspolicyn ska revideras årligen och faststäl-las av styrelsen. Målsättningen är att begränsa de finan-siella risker som uppstår i samband med placeringar och valutaexponering.
• Riskhanteringspolicy. Risker på verksamhets- och koncern-nivå identifieras, analyseras och värderas minst årligen, eller vid behov enligt fastlagd riskhanteringsprocess.
• Arbetsrutiner och instruktioner för internkontrollaktiviteter, löpande redovisning och bokslut finns väl dokumenterade på detaljerad nivå.
FÖRVALTNINGSBERÄTTELSE / BoLAGSSTyRNINGSRAppoRT
Dessa styrande dokument utgör tillsammans med lagar och andra externa regelverk det ramverk som bildar grunden för koncernens process för internkontroll och riskhantering.
Styrelsen fastställer de styrande dokumenten årligen.
Det löpande internkontrollarbetet och riskhanteringen sker inom ramen för Svenska Spels definierade chefsansvar.
Ansvaret är delegerat från styrelsen till verkställande direktör och vidare till verksamhetsansvariga chefer.
Riskbedömning och kontrollstrukturer
Svenska Spel arbetar i en kontinuerlig risk management-process med att identifiera, utvärdera och hantera risker i koncernen med det övergripande syftet att säkerställa att bolaget med dotterbolag hanterar riskerna på ett effektivt och systematiskt sätt samt med rätt prioriteringar. Arbetet med riskmanagement ska ha en tydlig förebyggande inrikt-ning för att hot i så god tid som möjligt ska kunna identifieras och utgöra ett informationsunderlag i verksamheternas beslutsprocesser för att säkerställa att verksamheten kan uppnå fastställda mål. Med stöd av koncerngemensamma resurser, processer och verktyg hanteras det löpande arbetet med riskhantering av såväl operativ som finansiell karaktär i koncernens affärs- och verksamhetsområden samt staber.
Respektive chef är ansvarig att driva och utveckla sitt res-pektive ansvarsområde, vilket inkluderar att identifiera möj-ligheter och hot samt att löpande följa upp verksamheten.
Identifierade risker, operationella och finansiella, matchas mot olika kontrollaktiviteter och ansvariga utses. Varje kvartal görs en sammanställning av koncernens risker och rapporte-ring sker till företagsledningen.
Reglerna kring och utfallet av koncernens processer för riskbedömning och riskhantering behandlas årligen av styrel-sen. Styrelsen utvärderar och övervakar risker och kvalitet i den finansiella rapporteringen genom revisionsutskottet.
Revisionsutskottet har fortlöpande och regelbunden kon-takt med koncernens interna och externa revisorer för utvär-dering av risker i den finansiella rapporteringen.
Den största och mest väsentliga risken för koncernens finansiella rapportering är processen för redovisning av de spelrelaterade transaktionerna. Processen är mycket transak-tionsintensiv. De kontrollsystem som finns uppbyggda kring
denna process bedöms ge en bra säkerhet och en god till-förlitlighet i den finansiella rapporteringen. Riskbedömning genomförs årligen för att ge underlag till analys för eventuella förändringsbehov. Under 2010 har bland annat förbättrings-åtgärder skett inom processerna för nyupplägg av spel, avslut av lotterier, samt hantering av produkternas vinstfonder.
Svenska Spels processbeskrivning för den finansiella rap-porteringen innefattar en riskbedömning och vilka kontroll-strukturer som finns etablerade för att hantera riskerna.
En tydlig ansvarsfördelning inom ekonomifunktionen och detaljerade arbetsrutiner finns dokumenterade för den finan-siella rapporteringen. Redovisningsprocessen utvärderas löpande och anpassas så att den överensstämmer med till-lämpliga regelverk i form av god redovisningssed, tiltill-lämpliga lagar och förordningar, samt övriga krav som ställs på koncer-nens finansiella rapportering.
Efterlevnad av policyer, riktlinjer och instruktioner som påverkar den finansiella rapporteringen granskas löpande och avvikelser rapporteras av ansvarig chef.
Löpande uppföljning och kontroll av bolagets verksamhet och ekonomiska ställning sker kontinuerligt på koncernnivå och för respektive ansvarsområde.
Målet för den interna rapporteringen är att det ska finnas en ändamålsenlig, snabb och korrekt uppföljning och rap-portering av hur verksamheten utvecklas gentemot uppsatt verksamhetsplan och budget.
Certifiering
Svenska Spel är certifierade enligt WLA:s (World Lottery Asso-ciation) säkerhetsstandard. I säkerhetsstandarden ingår även att uppfylla kraven avseende ledningssystem för informa-tionssäkerhet i ISO/IEC 27001:2006. Standarden innehåller krav på att säkerställa sekretess, tillgänglighet, riktighet och spårbarhet för all affärskritisk information. Svenska Spel har under året arbetat intensivt med målet inriktat på att erhålla certifiering enligt Payment Card Industry (PCI), vilket är kort-företagen VISA och Master Cards regelverk . PCI-certifieringen är en säkerhets- och kvalitetscertifiering som syftar till att öka datasäkerheten hos samtliga parter som lagrar, processar eller överför kortdata. Svenska Spel räknar med att vara certifierade enligt PCI senast under första kvartalet 2011.
>>
FÖRVALTNINGSBERÄTTELSE / BoLAGSSTyRNINGSRAppoRT
Information och kommunikation
Väsentliga policyer, riktlinjer och instruktioner som har be -tydelse för den finansiella rapporteringen presenteras på Svenska Spels intranät och uppdatering sker löpande efter behov. Samtliga anställda har tillgång till intranätet och direkt berörda medarbetare informeras separat vid eventuella för-ändringar. Medarbetarna ska även i samband med den årliga medarbetardialogen verifiera att de är uppdaterade kring koncernens aktuella policyer och riktlinjer.
Uppföljning
Styrelsen övervakar och utvärderar kontinuerligt den finan-siella information som företagsledningen och revisions-utskottet lämnar vid varje ordinarie styrelsemöte.
Revisionsutskottets arbete innefattar bland annat att säker-ställa att åtgärder vidtas rörande de brister och förslag till åtgärder som framkommit vid interna kontrollaktiviteter och den interna och externa revisionen.
Tillämpningen av koncernens policyer följs upp årligen.
Den enhet som ansvarar för en policy, ansvarar även för att kontrollera att den efterlevs. Uppföljning sker vid företags-ledningens möte i januari genom att den ansvariga enheten skriftligen redovisar efterlevnaden under det gångna året.
Av redovisningen ska det framgå om väsentliga avvikelser har förekommit.
Verkställande direktören ska vid det konstituerande sam-manträdet för styrelsen i Svenska Spel i samband med års-stämman skriftligen redovisa den granskning som gjorts av koncernens policyer under föregående år.
Arbete pågår med att förändra struktur och beslutsgång med mera för koncernens policyer. Inriktningen är att efter beredning i revisionsutskottet i februari ska samtliga policyer fastställas av styrelsen vid det konstituerande sammanträdet i april.
Internkontrollprocessen avseende den finansiella rappor-teringen ska årligen granskas och uppdateras. De detalje-rade instruktionerna uppdateras löpande så snart förändring har skett.