Styrelsens rapport om intern kontroll ska enligt Svensk kod för bolagsstyrning beskriva hur den interna kontrollen är organiserad inom bolaget och avgränsas till en beskrivning av intern kontroll avseende den finansiella rapporteringen. Styrelsens rapport om intern kontroll har inte granskats av bolagets revisorer.

Kontrollmiljö

En god intern kontroll grundas i en utformad och strukturerad kontrollmiljö. Nordnets ambition är att bolagets kontrollmiljö ska genomsyras av företagets etiska värderingar och företags­kultur. De etiska riktlinjerna fastställs av styrelsen och kommu­niceras till alla medarbetare, liksom andra styrande dokument i form av policys, riktlinjer och rutiner. För att lyfta ambitionen och medvetenheten kring bland annat etik i den professionella rollen, regelefterlevnad samt höja kvaliteten i arbetet erbjuds alla medarbetare möjligheten att licensieras av SwedSec. Inom företaget finns en fristående funktion, Riskkontroll, vars uppgift är att bevaka de risker bolaget utsätts för och skapa kontrollrutiner för att hantera dessa risker. Nordnet har separat riskkontrollfunktion som beaktar och kontrollerar de risker som härrör till IT-tillgänglighet och drift. Legal risk och regelefterlevnad behandlas av bolagens compliancefunktioner.

Riskbedömning

Årligen görs en Intern Kapitalutvärdering (IKU) där Nordnet gör en heltäckande genomgång av risker inom bolaget och framtida kapitalbehov med fokus på kreditrisk, likviditetsrisk, marknadsrisk och operativ risk. Utöver dessa risker står bolaget främst inför att hantera legal risk, vilket skulle kunna föranleda bolaget både ekonomiska och förtroendemässiga förluster. Inom koncernen finns även anled­ning att beakta försäkringsrisk, då ett av dotterbolagen bedriver försäkringsverksamhet. Bokslutsprocessen är den kritiska processen kopplad till den finansiella rapporteringen. Andra kritiska processer inom bolaget är processer kopplade till kreditgivning och tillgänglighet till säkert IT-stöd, då bola­gets tjänster är helt internetbaserade.

Kontrollaktiviteter

Kontrollstrukturen är byggd utifrån de mest kritiska proces­serna inom bolaget med hjälp av ett flertal kontrollaktiviteter. Dessa syftar till att förebygga, upptäcka och korrigera fel eller avvikelser som kan uppstå i den finansiella rapporteringen, samt förhindra att oegentligheter och olika typer av bolagsfientliga händelser uppstår.

Information och kommunikation

För att säkerställa den finansiella rapporteringen har Nordnets styrelse fastställt policys, riktlinjer och rutiner för ändamålet. Dessa görs tillgängliga och hålls uppdaterade via Nordnets intranät. Kunskap och kännedom om dessa erhålls genom lö­pande intern utbildning och information för de olika avdelningar och funktioner som omfattas av internt rapporteringsansvar avseende finansiell statistik och information.

Uppföljning och övervakning av kontrollverksamheten

Innehållet i policys, riktlinjer och rutiner utvärderas och uppdateras vid behov. Ansvaret att upprätthålla aktuella dokument och kommunicera dessa åligger styrelsen för de övergripande styrdokumenten och respektive avdelningschef för övriga dokument.

Nordnet skall tillämpa Finansinspektionens föreskrift om värdepappersrörelse (FFFS 2007:16) och Finansinspektionens allmänna råd och styrning och kontroll av finansiella företag (FFFS 2005:1). I enlighet med dessa skall Nordnet ha en funktion för internrevision. Internrevisionen inom Nordnet utgörs av den oberoende granskningsfunktionen. Styrelsen har uppdragit åt en extern part, Deloitte AB, att utföra den oberoende granskningen och den oberoende granskningsfunktionen arbetar utefter en av styrelsen årlig antagen granskningsplan. Rekommendationer från externa och interna revisorer rapporteras till ledning och styrelse och vid efterföljande granskning följs tidigare års rekommendationer upp.