COSO-ramverket

Karnov har valt att strukturera arbetet med intern kontroll i enlighet med det s.k. COSO-ramverket, vilket innefattar följande moment: kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt övervakning och uppföljning.

Kontrollmiljö

Karnovs kontrollmiljö är baserad på arbetsfördelningen mellan styrelse, styrelseutskotten, verkställande direktören och CFO samt de värderingar som styrelsen och bolagsledningen kommunicerar och arbetar utifrån. För att bibehålla och utveckla en väl fungerande kontrollmiljö, för att efterleva tillämpliga lagar och regler och för att koncernens önskade sätt att bedriva verksamheten ska efterlevas i hela koncernen har styrelsen, som ytterst ansvarigt organ, fastställt ett antal grundläggande styrdokument, policyer, rutiner och instruktioner som är av betydelse för riskhantering och den interna kontrollen. Bland dessa dokument ingår bland annat styrelsens arbetsordning, instruktioner för styrelseutskotten, instruktionen för den verkställande direktören, instruktionen för den ekonomiska rapporteringen, uppförandepolicy, insiderpolicy och kommunikationspolicy.

Riskbedömning

Karnov har inrättat en rutin för riskbedömning som innebär att Karnov årligen genomför en riskanalys och riskbedömning. Enligt denna rutin är risker identifierade och kategoriserade i följande fyra områden:

  • Strategiska risker
  • Operationella risker
  • Efterlevnadsrisker
  • Finansiella risker

Karnovs målsättning med riskanalysen är att identifiera de största riskerna som kan hindra Karnov från att nå sina mål eller genomföra sin strategi. Målsättningen är även att utvärdera dessa risker baserat på sannolikheten att de uppkommer i framtiden samt i vilken mån riskerna skulle kunna påverka Karnovs målsättningar om de skulle inträffa.

Varje enskild risk har en så kallad riskägare. Denna riskägare har mandat och ansvar att säkerställa att åtgärder och kontroller är upprättade och implementerade. Riskägaren är också ansvarig för att bevaka, följa upp och rapportera förändringar i Karnovs riskexponering mot identifierade risker.

Identifierade risker rapporteras årligen av bolagets CFO till revisionsutskottet och styrelsen. Styrelsen utvärderar Karnovs riskhanteringssystem, inklusive riskbedömningar, och skall årligen lämna en redogörelse i vilken de viktigaste delarna av Karnovs interna kontroll och riskhantering granskas i detalj. Syftet med detta förfarande är att säkerställa att väsentliga risker hanteras och att kontroller som motverkar identifierade risker är implementerade.

Kontrollaktiviteter

Karnov har inrättat en riskhanteringsprocess som innefattar ett antal nyckelkontroller av sådant som ska vara etablerat och fungera i riskhanteringsprocesserna. Kontrollkraven är ett viktigt verktyg som möjliggör för styrelsen att leda och utvärdera information från bolagsledningen och ta ansvar för identifierade risker. Karnov fokuserar på att kartlägga och utvärdera de största riskerna relaterade till finansiell rapportering för att säkerställa att Karnovs rapportering är korrekt och tillförlitlig.

Information och kommunikation

Karnovs styrelse har antagit en insiderpolicy och en kommunikationspolicy som reglerar Karnovs hantering och kommunikation av insiderinformation och annan information. Insiderpolicyn är avsedd att minska riskerna för insiderhandel och andra olagliga handlingar samt att underlätta Karnovs efterlevnad av gällande regler avseende hantering av insiderinformation. Vidare har Karnov etablerat rutiner för ändamålsenlig hantering och begränsning av spridning av information. Kommunikationspolicyn beskriver Karnovs övergripande fokus på kommunikationsfrågor. Karnovs kommunikation ska präglas av ett långsiktigt perspektiv och förtroende, tillförlitlighet samt proaktivitet, snabbhet och öppenhet. Kommunikationen ska vara korrekt, relevant och tydlig i enlighet med Nasdaq Stockholms regelverk för emittenter.

Policyer, rutinbeskrivningar och instruktioner distribueras till berörda medarbetare via Karnovs intranät. Anställda i koncernen är skyldiga att följa uppförandepolicyn, insiderpolicyn och kommunikationspolicyn och anställda genomför regelbundet relevanta tester för att säkerställa att de känner till innehållet i relevanta policyer, rutinbeskrivningar och instruktioner.

Övervakning och uppföljning

En självutvärdering av internkontrollens effektivitet ska genomföras årligen av anställd som utsetts som ansvarig av bolagets CFO. Bolagets CFO ska kvartalsvis presentera självutvärderingsrapporten för en s.k. Group Information Security Board innan den läggs fram för styrelsens revisionsutskott. Bolagets CFO är ansvarig för att presentera resultatet för revisionsutskottet och styrelsen. Karnov har en koncernövergripande övervakningsprocess genom vilka enheterna och funktionerna ska följa upp kontrollernas effektivitet och rapportera tillbaka till den anställde som utsetts av bolagets CFO.

Karnov har inte någon granskningsfunktion i form av internrevision. Styrelsen har fastställt att den uppföljning av den interna kontrollen som utförs av styrelsen och företagsledningen utgör en tillräcklig granskningsfunktion med hänsyn till koncernens verksamhet och storlek.