Styrelsens rapport om intern kontroll

Styrelsen ansvarar för MEKOs interna kontroll vars övergripande syfte är att skydda ägarnas investering och bolagets tillgångar. Revisionskommittén har ett särskilt ansvar att övervaka effektiviteten i riskhantering och internkontroll avseende den finansiella rapporteringen.

Under 2019 etablerades en andra linjens funktion med ansvar för att utveckla och följa upp koncernens internkontrollarbete, med avrapporteringsansvar mot styrelsen och revisionsutskottet. Internkontroll över finansiell rapportering inkluderas som en del av övergripande intern styrning och kontroll och utgör en central del i koncernens bolagsstyrning. Enligt allmänt accepterade ramverk som etablerats för detta ändamål, däribland COSO, beskrivs den interna kontrollen vanligen ur fem olika aspekter, vilka beskrivs nedan.

Kontrollmiljö
Kontrollmiljön utgör basen för intern styrning och kontroll. En viktig del av kontrollmiljön är att beslutsvägar, befogenheter och ansvar samt kompetenskrav är tydligt definierade och kommunicerade mellan olika nivåer i organisationen samt att styrande dokument i form av interna policyer, handböcker, riktlinjer och manualer finns, anpassas till verksamhetsförändringar och uppdateras regelbundet. Som ett led i att stärka den interna kontrollen har koncernen en ekonomihandbok som ger en överskådlig bild av befintliga policyer, regelverk samt rutiner inom ekonomiområdet. Handboken uppdateras ­årligen. Vidare finns för implementation 2021 ett övergripande bolagsstyrningsdokument som skall ge framför allt nyanställda chefer, men även befintliga, en samlad överblick över de krav som ställs på en chef. Dokumentet klargör t.ex. organisation och beslutsvägar, mål, värderingar och övergripande strategier, formella styrningsverktyg samt samtliga koncernpolicyer utöver angivna i ekonomihandboken.

Riskbedömning
Riskbedömning och riskhantering innebär att ledningen är medveten om och själv har bedömt risker och hot i verksamheten. Koncernen gör regelbundet en kartläggning av koncernens risker. Bland identifierade risker finns ett antal poster i de finansiella rapporterna samt administrativa flöden och processer där risken för fel är förhöjd. Företaget arbetar kontinuerligt med att minska dessa risker genom att förstärka kontrollerna.

Kontrollaktiviteter
Kontrollaktiviteter är de åtgärder och rutiner som ledningen ut­­format för att förebygga uppkomsten av fel respektive upptäcka och åtgärda fel. Risker för fel i den finansiella rapporteringen reduceras genom en god intern kontroll över den finansiella rapporteringen med särskilt fokus mot väsentliga områden definierade av ledningen och styrelsen. Inom koncernen finns specifika kontrollaktiviteter som syftar till att upptäcka eller att i tid förebygga risker för fel i rapporteringen. Under året har arbetet med att stärka koncernens internkontrollramverk fortskridit där ramverket för lagerhantering på centrallager har formaliserats ytterligare och implementerats. ­Ramverket för lagerhantering på lokallager har därtill utarbetats för att fullt ut implementeras under 2021. Vidare har arbetet med ett ramverk för allmänna IT-kontroller (ITGC) påbörjats under året, där implementering kommer att initieras under 2021.

Internrevision
Internrevision är en oberoende funktion som ger trygghet för styrelse och ledning. Internrevisionen genomlyser olika processer och rutiner, ger styrelse och ledning en balanserad bild av nuläget och föreslår förbättringsåtgärder. Detta sker genom att utvärdera och föreslå förbättringar inom områden såsom riskhantering, efterlevnad av policyer och effektiviteten i den interna kontrollen för finansiell rapportering. Funktionen arbetar över hela koncernen. Rapportering av resultatet av de granskningar som genomförts sker till revisionsutskottet, koncernchef och CFO samt information till ledningarna inom respektive affärsområde och övriga enheter där så är relevant. MEKO har under ett antal år anlitat revisionsbyrån Deloitte att utföra internrevisionen inom koncernen, som även under 2020 utförde en revision av implementationen av affärssystemet AX som rullats ut på enheter inom Mekonomen Sverige. Under 2020 beslöt styrelsen att välja EY som ny partner för internrevision. De har under hösten genomfört en ­revision av det under året igångsatta arbetet med att fastställa ett nytt kontrollramverk och styrningsmodell för cybersäkerhet. Koncernens Head of Risk and Internal Audit ansvarar för internrevision, som i den funktionen rapporterar till ordförande i revisionsutskottet.

Information och kommunikation
För att enskilda arbetsuppgifter skall kunna utföras på ett tillfredsställande sätt krävs att medarbetare har tillgång till relevant och aktuell information. Policyer och riktlinjer är särskilt viktiga för en korrekt redovisning, rapportering och informationsgivning. Inom MEKO uppdateras riktlinjer avseende den finansiella processen vid behov. Det sker främst inom respektive koncernfunktion ut mot de olika verksamheterna genom att respektive affärsområde tillgängliggör riktlinjerna på intranät, men också i samband med regelbundna CFO möten där även representanter från koncernekonomi medverkar. Genomgång av policyer sker årligen eller vid väsentlig förändring. Extern kommunikation regleras genom koncernens kommunikationspolicy.

Uppföljning
Den sista komponenten i ramverket avser uppföljning av den interna styrningen och kontrollens utformning och effektivitet. Styrelsen utvärderar den information som koncernledningen och revisorerna lämnar. I samband med detta är revisionsutskottet ansvariga för beredningen av styrelsens arbete med att kvalitetssäkra koncernens finansiella rapportering. Vd och koncernchef och CFO har månatliga genomgångar med respektive verksamhetschef angående den finansiella ställningen. Koncernekonomi har också ett nära samarbete med koncernbolagens ekonomichefer och controllers avseende bokslut och rapportering. Uppföljning och återkoppling kring eventuella avvikelser som uppkommer i de interna kontrollerna är en central del i internkontrollarbetet då detta är ett effektivt sätt för bolaget att säkerställa att fel korrigeras och att kontrollen stärks ytterligare. Under året har samtliga affärsområden redovisat en självskattning av sin verksamhets internkontrollramverk för centrallagerhantering. I de fall brister har identifierats har affärsområdena redovisat en åtgärdsplan. I arbetet deltog CFO, koncernredovisningschef och internrevisionschef för koncernen samt CFO för respektive affärsområde. Vidare har ett arbete genomförts med att mer grundligt dokumentera och validera räkenskapsbedömningar för att uppfylla externrevisorernas krav baserad på den nya revisionsstandarden ISA 540R. En mer formaliserad process kring rapportering av genomförda självskattningar av interna kontroller och värdering av effektiviteten i dessa kontroller är under utveckling.

Intern kontroll

MEKOs process för intern kontroll är utformad för att hantera och minimera risken för felaktigheter i den finansiella rapporteringen