Intern styrning och kontroll

Intern styrning och kontroll omfattar det ramverk av interna styrdokument, processer, rutiner, rapportering, systemstöd och data som satts upp för att säkerställa en sund och effektiv verksamhet, tillförlitlig finansiell rapportering och efterlevnad av tillämpliga externa regler. En mycket viktig del av den interna kontrollen är riskhantering. Riskhantering innebär identifiering, mätning, övervakning, kontroll och rapportering av risker kopplade till verksamheten.

Bolagens styrelser är ytterst ansvariga för respektive bolags interna styrning och kontroll. Som en del i en hantering av detta tillämpar bolagen i Öhman-koncernen principen om tre försvarslinjer.

Första försvarslinjen består av respektive bolags affärsdrivande verksamheter. Första försvarslinjen äger riskerna i affärsverksamheten. Detta innebär ett ansvar för att kontrollera och hantera de risker som uppkommer där. Detta ansvar omfattar såväl VD, andra ledande befattningshavare som övriga anställda.

Andra försvarslinjen utgörs av funktionerna för riskkontroll respektive regelefterlevnad (compliance). Riskkontrollfunktionen är en från affärsverksamheten oberoende funktion med ansvar för att övervaka hanteringen av bolagets risker och att de hålls inom de av styrelsen uppsatta limiterna. Chief Risk Officer (CRO) är ansvarig för funktionen för riskkontroll och rapporterar regelbundet till bolagets VD och styrelse. Funktionen för regelefterlevnad är också en från affärsverksamheten oberoende funktion och ansvarig är Chief Compliance Officer (CCO). Funktionen arbetar med att säkerställa regelefterlevnad i verksamheten genom att regelbundet kontrollera och utvärdera om bolagets åtgärder och rutiner för att agera i enlighet med gällande tillämpliga regelverk är lämpliga och effektiva. Vidare ska funktionen utvärdera om åtgärder som vidtagits för att avhjälpa eventuella brister i regelefterlevnad är tillräckliga. Funktionen ska slutligen ge råd och stöd till styrelse, VD och anställda rörande regelefterlevnad i bolagets tillståndspliktiga verksamhet. Tredje försvarslinjen utgörs av funktionen för internrevision. Funktionen ska vara oberoende från bolagets övriga funktioner och verksamhet och arbetar på styrelsens uppdrag. Funktionen ska, baserat på en revisonsplan fastställd av styrelsen, granska och bedöma om bolagets system, kontrollmekanismer och rutiner är lämpliga och effektiva utifrån regelkrav och den verksamhet som bedrivs. Funktionen ska vidare utfärda rekommendationer baserat på resultatet av granskningarna samt kontrollera att rekommendationerna följs. Funktionen ska regelbundet rapportera till styrelse och vd.