Intern kontroll, riskhantering och uppföljning

Read this in English

Kontrollmiljö

Den interna kontrollen, såväl för den finansiella rapporteringen som generellt, baseras på den övergripande kontrollmiljö som styrelsen och ledningen etablerat och inkluderar bland annat den kultur och de värderingar som styrelse och ledning kommunicerar och verkar utifrån. Viktiga komponenter är organisationsstruktur, ledningsfilosofi och ledningsstil samt ansvar och befogenheter som är klart definierade och kommunicerade till samtliga nivåer i organisationen.

Styrelsen uppdaterar och fastställer årligen styrelsens arbetsordning, instruktion för vd, attest- och firmateckningspolicy och finanspolicy samt gör en översyn över koncernens övriga policydokument. Det finns en arbetsordning för de lokala styrelserna samt instruktioner för de lokala vd:arna i alla koncernens bolag, och denna bygger på samma principer som dem som gäller för styrelsen för Sweco AB. Sweco har vidare policyer gällande ekonomi, regelefterlevnad, kommunikation, informationssäkerhet, krishantering, skydd av personuppgifter, HR samt kvalitet och miljö. Dessa policyer bildar grund för god intern kontroll.

Swecos attest- och firmateckningspolicy reglerar klart vilka befogenheter som finns på varje nivå, från den enskilde konsulten till styrelsen för Sweco AB. Områden som regleras är exempelvis avgivande av anbud, investeringar, hyres- och leasingavtal, omkostnader och garantier.

Revisionskommittén övervakar att de interna kontrollerna som tar sikte på ekonomirapportering, hållbarhetsrapportering och rapportering till styrelsen fungerar på lämpligt sätt. Den interna kontrollen revideras årligen. Resultatet redovisas för revisionskommittén.

Riskhantering

Målsättningen med Swecos riskhantering är att säkerställa koncernens långsiktiga resultatutveckling och att Swecos affärsverksamhet i de olika affärsenheterna uppnår sina mål.

Bolagets styrelse och högsta ledning är ytterst ansvariga för riskhanteringen. Swecos riskhantering omfattar alla affärsområden, bolag/divisioner och processer i koncernen. Varje enskild chef är ansvarig för riskhanteringsåtgärderna i sitt område.

Swecos mål, som uttrycks i dess affärsplan och strategi, utgör grunden för riskhanteringen. Riskhanteringen baserar sig på en riskidentifikation som sker inom koncernen. Identifikationen av företagets risker syftar till att identifiera de mest väsentliga riskerna som koncernen exponeras för, sannolikheten att dessa inträffar och den påverkan denna har på Swecos mål. På samma sätt utvärderas effektiviteten av interna kontrollen och riskhantering. Resultaten av den allmänna riskanalysen har samlats i en risksammanställning som visar Swecos skattning av företagets utsatthet för risker.

En rapport över riskhantering och internkontroll inom koncernen har behandlats i styrelsen, revisionskommittén och av koncernens ledningsgrupp. Riskhantering är en stående punkt på dagordningen vid affärsområdesledningsmöten.

Uppföljning

Varje affärsområde har en finansdirektör som ansvarar för att säkerställa efterlevnaden av policyer och rutiner avseende den finansiella rapporteringen. Affärsområdets finansdirektör ansvarar också för riktigheten och fullständigheten i rapporterad finansiell information. Ett ramverk för intern kontroll är infört och är validerat för att följa upp effektiviteten av väsentlig intern kontroll gällande bolagets finansiella rapportering såväl som övriga nyckelområden.

Koncernens ledningssystem innehåller en rad funktioner för ekonomisk styrning, kontroll och uppföljning. Rapportsystem för uppföljning av projekt finns där projektledare löpande granskar sina projekt och följer månadsresultat och nyckeltal. Detta kan även granskas på grupp-, region-, divisions- och affärsområdesnivå. Relevanta nyckeltal för verksamheten kan följas upp veckovis på samtliga nivåer. Varje månad sker en konsolidering av hela koncernen, där utfall följs upp mot budgetar och interna prognoser.

För den externa kommunikationen finns en informations policy som anger ansvarsfördelning och regler för kommunikation med externa parter.

Uppförandekod och regelverk

Swecos Uppförandekod beskriver Swecos och de anställdas grund­ läggande syn på ett ansvarsfullt agerande hos såväl Sweco som hos Swecos affärspartners. Uppförandekoden utgör Swecos kvalitets­, miljö­ och arbetsmiljöpolicy samt policy för mänskliga rättig heter och definierar vårt samhällsansvar. Koden omfattar områdena affärsetik, medarbetarutveckling, mänskliga rättigheter, jämställdhet och mång­fald samt hälsa och säkerhet på arbetsplatsen. Därtill har Sweco ett Business Partner Program som verkar för att befintliga och blivande affärspartners följer Swecos krav på etiskt agerande. Sweco har även koncerngemensamma policyer som innehåller mer detaljerade beskrivningar om hur Swecos medarbetare ska förhålla sig till bland annat affärsetik, dataskydd, informationssäkerhet och kommunika­tion. För att motverka korruption har Sweco även koncerngemen­ samma policyer om antikorruption, gåvor, representation och spons­ring. Lokala föreskrifter anger ansvarsområdena mer ingående.

Sweco följer gällande lagar, förordningar och föreskrifter som rör verksamheten i de länder där koncernen verkar. I vissa fall går Swecos standarder och krav längre än de legala kraven. Vi är fast beslutna att bedriva vår verksamhet på ett sätt som är förenligt med principerna i FNs Allmänna förklaringen om mänskliga rättigheter. Sweco följer också den Code of Ethics som har utarbetats av konsult­ företagens internationella branschorganisation (FIDIC). Vidare arbe­tar Sweco, som undertecknare av principerna i FN:s initiativ Global Compact, aktivt för att upprätthålla dess principer.

Sweco rapporterar hållbarhetsarbetet enligt reglerna i årsredovis­ningslagen som utgår från EU­direktivet om icke­finansiell rapporte­ring. Därtill förbereder Sweco hållbarhetsrapporteringen enligt EU:s direktiv om företagens hållbarhetsrapportering.

Regelefterlevnad

Efterlevnad av policyer är en fråga för såväl koncernledningen som för chefer på alla nivåer i koncernen och varje individuell medarbetare. Alla chefer är ansvariga för att säkerställa att deras medarbetare har tillgång till det de behöver för att kunna följa Swecos policyer och riktlinjer. Alla medarbetare är skyldiga att bekanta sig med, acceptera och följa innehållet i Swecos policyer och riktlinjer, samt att verka för att externa affärspartners också tillämpar principerna. Medarbetare som misstänker att det förekommer affärsetiska oegentligheter eller överträdelse mot mänskliga rättigheter har en skyldighet att rappor­tera detta, antingen till sin chef, sin chefs chef, HR-­avdelningen, bolagsjurist eller annan utsedd kontaktperson; samt i fall där anony­mitet är påkallad, genom Swecos externa visselblåsarkanal, Sweco Ethics Line. VD och koncernchef har det yttersta ansvaret för att se till att policyerna följs upp, exempelvis genom interna och externa revisioner, enkäter, intern statistik och linjechefsgranskningar.

Varje affärsområde är ansvarigt för implementering och uppföljning av såväl Uppförandekoden som övriga styrdokument. Efterlevnaden följs upp genom exempelvis utvecklingssamtal med medarbetare, medarbetarundersökningar samt interna och externa revisioner. Policyramverket ses över årligen för att säkerställa efterlevnaden med regulatoriska krav och utvecklingen i organisationen och omvärlden.

Internrevision

Sweco har en dedikerad funktion för internrevision vars roller och ansvarsområden definieras i revisionsbeskrivningen. Vid årsskiftet består koncernens internrevisionsfunktion av en ansvarig för intern­ revisionen, tre koncerninterna revisorer samt en pool affärsrevisorer. Affärsrevisorerna är erfarna controllers som annars arbetar i ett affärsområde men som deltar i individuella revisioner som del av deras ledarskapsutveckling.

Det interna revisionsarbetet regleras av den årliga riskbaserade revisionsplanen, som godkänns av revisionskommittén, och detaljerade revisionsuppdrag definieras kvartalsvis.

Revisioner genomfördes för flera affärsområden under 2024, huvudsakligen med inriktning på:

  • projekthantering (finansiell)
  • intäktsredovisning
  • projektstyrning
  • efterlevnad av affärsetiska riktlinjer och GDPR-riktlinjer

En sammanfattning av resultaten av revisionen rapporteras till revisionskommittén varje kvartal. Läs mer om Swecos risker och riskhantering i Swecos senaste års- och hållbarhetsredovisning.