52 Bolagsstyrningsrapport
Loomis Årsredovisning 2017
väga de eventuella riskerna. Även när en risk accepteras måste den följas upp kontinuerligt eftersom omvärlden hela tiden för- ändras. Väsentliga operationella processer kartläggs och betydan- de risker som är associerad med en speci k process identi eras och de nieras i ett riskregister. Den globala riskhanteringspolicy som Loomis har antagit fastställer hur koncernen ska arbeta med operationell riskhantering i enlighet med övriga fastställda policys och bolagets uppförandekod. Loomis har som ambition att mini- mera de operationella riskerna men har utöver interna rutiner ett omfattande försäkringsskydd.
Styrelsen utvärderar framtida a ärsmöjligheter och risker samt utformar koncernens strategi. Ansvaret för hanteringen av operationella risker ligger hos koncernledningen samt respektive landsledning. Koncernledningen har ansvaret för att identi era, utvärdera och hantera risker samt för implementering och under- håll av kontrollsystem i enlighet med styrelsens beslutade policys. Varje regions- och landsledning har ansvaret för att säkerställa att det inom varje land  nns en process som syftar till att skapa risk- medvetenhet. Operativa enhetschefer och de riskansvariga perso- nerna i varje land ansvarar för att riskhantering utgör en del av den lokala a ärsverksamheten på samtliga nivåer inom landets organisation. Genomgångar av a ärsrisker samt riskbedömning genomförs rutinmässigt inom hela koncernen. Koncernledning- en, revisionskommittén och styrelsen informeras löpande om vä- sentliga risker och kontrollbrister. Se sidan 42 för mer informa- tion om koncernens arbete med operationella risker.
Interna kontrollsystem
Loomis har en väl etablerad process som syftar till att säkerställa en hög nivå på intern kontroll och riskhantering. Loomis ramverk för intern kontroll omfattar områdena 1.Kontrollmiljö, 2.Riskbe- dömning, 3.Kontrollaktiviteter, 4.Information och kommunika- tion samt 5.Övervakning.
1. Kontrollmiljö
Kontrollmiljön skapar grunden för intern kontroll genom att for- ma den kultur och de värderingar som Loomis verkar utifrån. Denna del av den interna kontrollstrukturen inkluderar organisa- tionens värdegrund samt hur befogenheter och ansvar kommuni- ceras och dokumenteras i styrande dokument som interna policys och instruktioner. Styrelsen har antagit ett antal policys för Loomis centrala områden vilka utvärderas och uppdateras årligen eller efter behov. Nedanstående punkter beskriver i korthet Loomis antagna policys och ett antal av de mest väsentliga interna styrdokumenten:
• Attestordning: innehåller en besultsdelegering. Loomiskon- cernen utgör en decentraliserad organisation där chefer ges klara mål samt befogenhet att fatta egna beslut och utveckla sina verk- samheter i nära anslutning till kunderna.
• Finanspolicy: innehåller riktlinjer för att uppnå en transpa- rent, sammanhängande och korrekt  nansiell rapportering, en proaktiv riskhantering och ständig förbättring av bolagets  nan- siella processer.
• Informationssäkerhetspolicy: innehåller ett övergripande ramverk med syfte att säkerställa att en rimlig nivå av informa- tionssäkerhet efterlevs inom ett antal centrala områden.
• Inköpsrutiner: innehåller ett övergripande ramverk för att uppnå e ektiva rutiner vid väsentliga inköp av anläggningstill- gångar.
• Insiderpolicy: verkar som ett komplement till gällande svensk lagstiftning och europeisk förordning avseende insiderhandel. Policyn fastställer rutiner för bland annat hantering av insider- information, hantering av log-listor samt de nierar när handel med  nansiella instrument utgivna av (eller hänförliga till)
Loomis AB är förbjuden. Policyn är tillämplig på alla personer som har rapporterats till Finansinspektionen som personer med insynsställning i Loomis AB (inklusive dotterbolag) samt även andra utvalda kategorier av anställda.
• Internal Control Requirements: redogör för väsentliga rutiner och kontroller som inte anges i andra styrande dokument.
• Kommunikationspolicy: syftar till att säkerställa att bolaget uppfyller de krav som ställs på informationsgivning till aktie- marknaden.
• Kundkontraktspolicy: speci cerar kriterier för avtalsinne- håll samt när kundkontrakt måste godkännas av styrelsen.
• Policy avseende förhandsgodkännande av revisions och icke-revisions tjänster: innehåller riktlinjer för godkän- nande av revisionstjänster utförda av Loomis externa revisorer samt icke- revisons tjänster utförda av den huvudansvariga revi- sorn. Policyn har till syfte att säkerställa revisorns oberoende jämtemot Loomis.
• Policy avseende konkurrenssituationer: har till syfte att säkerställa att Loomis agerar i enlighet med gällande konkur- renslagstiftningar.
• Riskhanteringspolicy: innehåller ett ramverk för den över- gripande strukturen för organisation, kontroll och uppföljning av operationella risker såsom riktlinjer för den operationella kontanthanteringen.
• Rutiner avseende handelssanktioner: innehåller en be- skrivning av generella handelssanktioner, belyser hög risk län- der och ger generella riktlinjer för hur verksamheten ska bedri- vas för att säkerställa att Loomis följer såväl internationella som lokala lagar och regelverk avseende handelssanktioner.
• Uppförandekod och policy avseende motverkande av mutor: har till syfte att säkerställa att koncernens bolag upp- rätthåller och främjar a ärsmetoder av högsta möjliga etiska standard.
2. Riskbedömning
Koncernens  nans- respektive riskfunktion har ansvaret för att säkerställa att det inom varje dotterbolag  nns rutiner som syftar till att skapa riskmedvetenhet. Landschefer och de riskansvariga personerna i varje land ansvarar för att riskhantering utgör en del av den lokala a ärsverksamheten på samtliga nivåer inom landet.
Koncernen har ett system för hantering av risker vilket är inte- grerat i koncernens processer för a ärsplanering och resultatupp- följning, oavsett vilken typ av risk som avses. Den årliga riskanalysen och resulterande riskregister koordineras och underhålls på koncernnivå. Utöver detta utförs dessutom rutinmässigt genomgångar av operationella risker och riskbe- dömningar inom hela koncernen.
3. Kontrollaktiviteter
Kontrollaktiviteter inkluderar metoder och aktiviteter för att säkerställa efterlevnad av fastställda riktlinjer och policys samt riktigheten och tillförlitligheten i interna och externa  nansiella rapporter. Exempel på kontrollaktiviteter inom Loomis är:
• Självutvärdering: Varje operativ enhet inom koncernen utför kontinuerligt en självutvärdering avseende insikt i och efterlev- nad av koncernens krav på intern kontroll. Koncernens externa revisorer gör en validering av den genomförda självutvärdering- en. För att möjliggöra jämförelser mellan länder samt föränd- ringar i speci ka länder sammanställs resultatet på koncern- och på landnivå. Samtliga rapporter görs tillgängliga för varje lands- ledning, regionledning samt för koncernledningen och revisions- kommittén.