Intern styrning, kontroll och riskhantering avseende den finansiella rapporteringen är för Orexo grundläggande för att företagets mål ska uppnås. Genom detta kan också Orexos intressenter ha högt förtroende för verksamheten och presenterade finansiella rapporter. Orexo har etablerat ett arbetssätt för att utveckla och utvärdera den interna kontrollen och riskhanteringen avseende den finansiella rapporteringen. Detta arbetssätt följer ett etablerat ramverk som består av fem komponenter: Kontrollmiljö, Riskbedömning, Kontrollaktiviteter, Information och kommunikation samt Uppföljning.
Kontrollmiljö
Styrelsen ansvarar enligt den svenska aktiebolagslagen för den interna kontrollen och styrningen av bolaget. För att behålla och utveckla en fungerande kontrollmiljö har styrelsen fastställt ett antal grundläggande dokument av betydelse för den finansiella rapporteringen. Däribland ingår styrelsens arbetsordning och instruktion för VD, redovisnings- och rapportinstruktioner. Därutöver förutsätter en fungerande kontrollmiljö en utvecklad struktur med löpande översyn. Ansvaret för det dagliga arbetet med att upprätthålla kontrollmiljön åvilar primärt den verkställande direktören. VD rapporterar regelbundet till styrelsen utifrån fastställda rutiner. Dessutom erhåller styrelsen rapportering från bolagets revisor. Cheferna inom bolaget har inom sina respektive områden definierade befogenheter och ansvar avseende den interna kontrollen.
Riskbedömning
Orexo arbetar kontinuerligt med analys avseende vilka risker som kan leda till fel i den finansiella rapporteringen. I analysen har Orexo identifierat ett antal poster i resultat- och balansräkningen samt administrativa flöden som är särskilt viktiga ur risksynpunkt. Kring dessa risker arbetar företaget kontinuerligt för att utveckla och förbättra kontrollrutinerna och under 2008 har detta skett på ett flertal punkter. Vidare behandlas risker i särskilda forum såsom ledningsgrupp, styrelse och revisionsutskott.
Kontrollaktiviteter
Orexos kontrollaktiviteter är utformade på ett sätt som ger god intern kontroll över den finansiella rapporteringen. Ett flertal styrande dokument och rutiner har etablerats avseende redovisning, rutiner för bokslut samt uppföljning av rapporterade resultat. Attestsystem, inköpsinstruktioner, ekonomihandbok och avtalsinstruktion är exempel på sådana styrande dokument.
En viktig roll för att säkerställa och kontrollera Orexos finansiella rapporter och rutiner spelar företagets ekonomi- och controllerfunktioner. Dessa enheter ansvarar för att den finansiella rapporteringen är korrekt, fullständig och i tid. Orexo inventerar, utvärderar och förbättrar löpande det interna kontrollsystemet i en systematisk process och har i vissa fall även anlitat extern hjälp för att validera dessa kontroller.
Information och kommunikation
Orexo har interna informations- och kommunikationskanaler som avser att säkerställa att riktlinjer m.m. av betydelse för den finansiella rapporteringens tillförlitlighet löpande uppdateras och kommuniceras till berörda medarbetare. En viktig roll spelar företagets intranät där rutiner och beskrivningar finns åtkomliga. Orexo har också etablerat rutiner för extern kommunikation av finansiell information som kan påverka bolagets marknadsvärde. Rutinerna ska säkerställa att den finansiella rapporteringen mottas samtidigt av finansmarknadens aktörer och ger en rättvisande bild av företagets finansiella resultat och ställning.
Uppföljning
Orexos ledning gör en månadsvis resultatuppföljning med analys av avvikelser från budget och föregående period. Orexos controllerfunktion gör också månatliga kontroller, utvärderingar och uppföljningar av den ekonomiska rapporteringen, även på projektnivå. Styrelsen och revisionsutskottet går igenom årsredovisning och delårsrapporter inför publicering. Revisionsutskottet diskuterar särskilt redovisningsprinciper, risker och andra frågor i samband med rapporterna. I dessa diskussioner deltar även bolagets externa revisor.
Orexo har inte någon särskild granskningsfunktion (internrevision). Styrelsen utvärderar årligen behovet av en sådan funktion och har inte funnit det motiverat med hänsyn till bolagets storlek att etablera en sådan särskild granskningsfunktion.