Den interna kontrollmiljön påverkas av styrelsen, bolagsledningen och bolagets personal och utformas för att ge en rimlig försäkran om att bolagets mål uppnås inom följande kategorier.
- Att bolaget har en ändamålsenlig och effektiv organisation för verksamheten.
- Att bolaget har en tillförlitlig finansiell rapportering.
- Att bolaget följer tillämpliga lagar och förordningar.
Bolaget använder i sitt arbete det etablerade ramverket ”COSO” (Internal Control – Integrated Framework).
Kontrollmiljö
Fabege har en geografiskt samlad organisation och en homogen operativ verksamhet, men den legala strukturen är komplex. Verksamheten är kapitalintensiv med beloppsmässigt stora flöden inom hyresintäkter, utgifter för projektinvesteringar, köp/försäljning av fastigheter samt finansiella kostnader.
Styrelsen har det övergripande ansvaret för att säkerställa god intern kontroll och effektiv riskhantering. För att kunna bedriva sitt arbete på ett ändamålsenligt och effektivt sätt har styrelsen beslutat om en arbetsordning. Styrelsens arbetsordning syftar till att åstadkomma en tydlig ansvarsfördelning mellan styrelsen (inklusive utskott) och verkställande direktören (samt koncernledning) för att bland annat åstadkomma en effektiv hantering av risker i såväl verksamhet som finansiell rapportering. Arbetsordningen uppdateras årligen. Styrelsen genomförde under 2023 sin årliga översyn och fastställde styrelsens arbetsordning, arbetsordningarna för revisionsutskottet respektive ersättningsutskottet samt bolagets uppförandekod. Bolagsledningen ansvarar för att utforma och dokumentera samt upprätthålla och pröva de system/ processer liksom interna kontroller som behövs för att hantera väsentliga risker i redovisningen av den löpande verksamheten. Verkställande direktör och koncernledning samt de personer som i sin funktion leder respektive definierad kritisk process, funktion eller område har tillsammans det operativa ansvaret för den interna kontrollen.
Policies och riktlinjer styr verksamheten och den finansiella rapporteringen. Inom bolaget finns policies för exempelvis finans, miljö, jämställdhet, kommunikation, insiderhantering och skattehantering. Vidare finns redovisningsprinciper och bokslutsinstruktioner samt instruktioner för attest och utanordning samt för upphandling av revisionsnära tjänster. Bolagets policies ses över löpande och uppdateras vid behov. Samtliga policies har föredragits och beslutats i koncernledningen. Information om beslutade policies har också förts vidare ut i organisationen. Därutöver finns mer detaljerade riktlinjer och instruktioner som löpande ses över och uppdateras. I mars avrapporterade Fabege sin årliga ”Communication on progress” till FN:s Global Compact. Arbetet med utveckling av bolagets hållbarhetsrapportering fortgår löpande. Hållbarhetsrapporten presenteras i ett särskilt avsnitt i årsredovisningen, se sidorna 21–42.
Riskbedömning
Med utgångspunkt i kontrollmiljön, väsentliga resultat och balansposter samt väsentliga verksamhetsprocesser definieras såväl risker som kritiska processer, funktioner och områden. Följande riskområden har definierats som kritiska för oss:
- Riskområde Förvaltning: Processer för nyuthyrning, omförhandling och hyresdebitering. Kundrelation och kundnöjdhet, förändrade kundbehov, risk för hyresförluster.
- Riskområde Teknisk drift: Teknisk arbetsmiljö och fysisk byggnad.
- Riskområde Fastighetsutveckling och projekt: Planprocess och projekt, genomförande, upphandling/inköp.
- Riskområde Värdering och Transaktion.
- Riskområde Ekonomi och Finans: Likviditetsrisk, ränterisk, finansiell information, skatter.
- Riskområde Kommunikation: Informationshantering, varumärke, etik.
- Riskområde Medarbetare: Resursbrist, personberoende.
- Riskområde Klimat och hållbarhet: klimatförändringar, utsläpp.
- Riskområde Cybersäkerhet och IT: Digitalisering, intrång, GDPR
Koncernledning genomför årligen en genomgång och utvärdering av riskområden i syfte att identifiera och hantera risker. Detta görs i samråd med styrelse och revisionsutskott inför avstämning med revisorer. Fabeges interna processer och rutiner ger gott stöd för löpande hantering av risker.
Kontrollaktiviteter
De kritiska processerna, funktionerna och områdena beskrivs och dokumenteras med avseende på ansvarsfördelning, risker och kontroller. Instruktioner, rutiner och manualer upprättas, uppdateras och kommuniceras till berörda medarbetare för att säkerställa att de har aktuell kunskap och adekvata redskap. med ett standardiserat rapportpaket. De operativt verksamhetsansvariga kommenterar/godkänner rapporteringen. Genomgång och uppföljning med verksamhetsansvariga sker löpande under året. Uppföljning av utfall stäms av mot budget och prognoser som uppdateras två gånger under året. En central funktion upprättar koncernredovisning samt finansiell rapportering i nära samarbete med controllerfunktionen, de operativa enheterna samt finansfunktionen. I det arbetet finns inbyggda kontrollaktiviteter genom avstämning med fristående system/specifikationer av utfall för resultat- och balansposter. Bolagets operativa rapportering står under ständig utveckling och förbättring i såväl innehåll som systemstöd och tillgänglighet för verksamhetsansvariga.
Information och kommunikation
Bolagsledningen har ansvar för att informera berörda medarbetare om deras ansvar för att upprätthålla god intern kontroll. Via intranät, informationsmöten och löpande informationsbrev hålls medarbetare uppdaterade om styrande policies och riktlinjer och hur verksamheten löper på. VD och vice VD tillika Ekonomi - och finanschef ansvarar tillsammans med IR-ansvarig för den externa finansiella kommunikationen.
IR-arbetet bedrivs efter principer om löpande och korrekt informationsgivning i enlighet med Nasdaq Stockholms regelverk för emittenter. Ambitionen är att skapa förståelse och förtroende för verksamheten hos investerare, analytiker och andra intressenter. Arbetet med att förbättra och ytterligare tydliggöra informationsgivningen till marknaden är pågår löpande. Kommunikations - och marknadsavdelningen ansvarar för övrig extern och intern information. I oktober genomfördes en medarbetarenkät enligt metoden Great Place to Work (GPTW). Fabege är certifierat i enlighet med GPTW med ett Trust Index om 88.
Uppföljning
Internkontrollsystemet behöver förändras och anpassas till förändrade förutsättningar över tiden. Detta ska bevakas och uppmärksammas löpande via ledningsarbetet på olika nivåer i bolaget, både genom övervakning av den ansvariga för respektive definierad kritisk process, funktion och område och genom löpande utvärdering av internkontroll-systemet. Utöver finansiell rapportering till styrelsen utarbetas, med högre frekvens, mer detaljerade rapporter till ledningen för den inre styrningen och kontrollen. Ledningen rapporterar regelbundet till styrelsen i enlighet med instruktionerna för den ekonomiska rapporteringen, vars syfte är att ge information som är relevant, tillräcklig, aktuell och ändamålsenlig.
Till styrelsen rapporterar även revisionsutskottet, som utgör styrelsens förlängda arm i arbetet att övervaka den finansiella rapporteringens utformning och tillförlitlighet. Revisionsutskottet har, förutom att ta del av den finansiella rapporteringens innehåll och metoder för dess framtagning, även tagit del av hur den mer detaljerade och frekventa internrapporteringen används vid utvärdering och ledning av verksamhetens delar. Revisionsutskottet genomför också en löpande genomgång och utvärdering av intern kontroll avseende bolagets kritiska processer. Revisionsutskottet tar regelbundet del av de externa revisorernas granskning av redovisning och interna kontroll. Bolagets revisorer granskar den finansiella rapporteringen avseende helårsbokslutet samt utför en översiktlig granskning av en delårsrapport.
Styrelsen utvärderar regelbundet den information som ledningen och revisionsutskottet lämnar. Av särskild betydelse är revisionsutskottets uppdrag att övervaka ledningens arbete med att utveckla den interna kontrollen och att åtgärder vidtas rörande de förslag och eventuella brister som framkommit vid styrelsens, revisionsutskottets eller i de externa revisorernas granskning. Styrelsen har genom revisionsutskottet informerat sig om riskområden, riskhantering, finansiell rapportering och intern kontroll och diskuterat risker för fel i den finansiella rapporteringen efter samråd med de externa revisorerna. Revisionsutskottet har under 2023 i sitt arbete med att granska och utvärdera intern kontroll i väsentliga processer inte funnit anledning att göra styrelsen uppmärksam på några väsentliga brister vare sig i den interna kontrollen eller i den finansiella rapporteringen.
Internrevision
Som komplement till den externa revisionen, arbetar Fabege med självutvärdering av väsentliga processer. Till följd av detta och i beaktande av verksamhetens homogena och geografiskt begränsade karaktär liksom organisationens utformning har styrelsen inte funnit anledning att inrätta en internrevisionsenhet. Styrelsen har bedömt att den övervakning och granskning som redovisas ovan är tillräcklig för att, tillsammans med den externa revisionen, upprätthålla en effektiv intern kontroll avseende den finansiella rapporteringen.