2015:23 Redovisning av den statliga internrevisionen 2015

Regeringsuppdrag
Rapport
Redovisning av den statliga
internrevisionen 2015
2015:23
ESV:s rapporter innehåller regeringsuppdrag,
uppdrag från myndigheter och andra instanser
eller egeninitierade utredningar.
Publikationen kan laddas ner som pdf.
Datum: 2015-03-25
Dnr: 3.2-1034/2014
ESV-nr: 2015:23
Copyright: ESV
Rapportansvarig: Patrick Freedman
FÖRORD
Förord
Ekonomistyrningsverket (ESV) har sedan 2008 årligen lämnat en rapport till
regeringen om den statliga internrevisionen. De åtta rapporter som har lämnats fram
till år 2015 har visat att efterlevnaden av internrevisionsförordningen har stabiliserat
sig på en hög nivå. Det talar för att internrevisionen är etablerad vid de myndigheter
som ska följa internrevisionsförordningen (2006:1228).
I detta ärende har generaldirektören Mats Wikström beslutat. Utredare Patrick
Freedman har varit föredragande. I den slutliga handläggningen har också
avdelningschef Eva Lindblom och enhetschef Tina J Nilsson samt utredarna Annika
Alexandersson, Catrin Lind Ebert och Tomas Kjerf deltagit.
3
INNEHÅLL
Innehåll
Förord .......................................................................................................................... 3
1 Sammanfattning ..................................................................................................... 6
2 ESV:s uppdrag ..................................................................................................... 10
2.1 Bakgrund .................................................................................................................... 10
2.2 Vilka myndigheter omfattas av ESV:s redovisning till regeringen ............................... 10
2.3 Av ESV lämnat undantag ............................................................................................ 10
2.4 Genomförande och tillvägagångssätt.......................................................................... 10
3 Tillämpningen av bestämmelserna om internrevision ..................................... 12
3.1 Myndigheterna följer bestämmelserna om internrevision ............................................ 12
3.2 Få avvikelser från bestämmelserna om internrevision ................................................ 13
4 Vad gör internrevisionen..................................................................................... 14
4.1 Få förändringar av internrevisionens resurser ............................................................ 14
4.2 Hur fördelar sig arbetstiden för internrevisionen ......................................................... 14
4.3 Vilka områden granskar internrevisionen .................................................................... 15
4.4 Vilken inriktning och innehåll har granskningarna ....................................................... 15
4.4.1 Granskning av ledningsprocesser ...................................................................... 16
4.4.2 Granskning av kärnprocesser ............................................................................ 17
4.4.3 Granskning av stödprocesser ............................................................................ 17
4.4.4 Exempel från myndighetsbesök ......................................................................... 19
4.4.5 Granskning för att motverka bedrägerier och oegentligheter ............................. 20
4.1 Internrevisionen ger råd och stöd................................................................................ 22
4.1 Internrevisionen får tillgång till uppgifter ...................................................................... 23
4.2 Fler myndigheter inrättar whistleblowerfunktion .......................................................... 23
5 Resultatet av internrevisionens rapportering ................................................... 24
5.1 Internrevisionens rekommendationer accepteras av ledningen .................................. 24
5.2 Det finns en process för att ta hand om myndighetsledningens beslut ....................... 25
5.3 Granskningar har varit till stöd för uttalandet i årsredovisningen ................................ 26
5.4 Internrevisionen ger nytta till myndighetsledningen .................................................... 26
5.4.1 Internrevisionens kommunikation och rapportering är ändamålsenlig ............... 26
5.4.2 Internrevisionens möten med myndighetens ledning ......................................... 27
6 Samverkan och nätverk....................................................................................... 28
6.1 Internrevisionschef som är anställd på mer än en myndighet ..................................... 28
6.2 Internrevisionsmyndigheter samverkar ....................................................................... 29
6.3 Internrevisorer upprättar nätverk ................................................................................. 31
7 Kvalitetssäkring av internrevision ..................................................................... 32
7.1 Internrevisorer utvecklar sin kompetens ..................................................................... 32
7.2 Internrevisionen genomför intern kvalitetssäkring ....................................................... 32
7.3 Internrevisionen genomför extern kvalitetssäkring ...................................................... 33
7.1 Uppfyller myndigheterna kravet på att genomföra en extern kvalitetssäkring? ........... 35
7.2 Uppgifter om internrevision från Riksrevisionens akter ............................................... 36
7.3 Internrevisionens samarbete med Riksrevisionen....................................................... 36
4
INNEHÅLL
8 Omvärldsbevakning............................................................................................. 37
8.1 PIC-konferens i Haag .................................................................................................. 37
8.2 Europeiska kommissionens internrevisionskonferens................................................. 37
8.3 GRC-dagarna.............................................................................................................. 38
8.4 IIA:s internationella årliga internrevisionskonferens .................................................... 38
9 Slutsatser, trender och utveckling ..................................................................... 41
9.1 Sammanfattande slutsatser ........................................................................................ 41
9.2 Tankar om trender och utveckling ............................................................................... 42
Lagar och förordningar ........................................................................................... 44
Bilaga 1 – Internrevisionsmyndigheter 2014......................................................... 45
Bilaga 2 – Utfall av tillämpning av bestämmelserna ............................................ 47
Bilaga 3 – Internrevisionen ger råd och stöd ........................................................ 49
Bilaga 4 – Internrevisionens dimensionering ....................................................... 51
Bilaga 5 – Internrevisionens arbete och granskningens inriktning.................... 54
Bilaga 6 – Sammanställning av förbättringsområden från kvalitetssäkring ..... 60
Externa kvalitetssäkringar ................................................................................................... 60
Intern kvalitetssäkring ......................................................................................................... 62
Ordlista ...................................................................................................................... 64
5
SAMMANFATTNING
1
Sammanfattning
Myndigheterna tillämpar bestämmelserna om internrevision
Den generella bilden som ESV har fått av internrevisionen är att den fungerar väl.
Internrevisionen utgör enligt ESV:s uppfattning det stöd till myndighetsledningen
som det är tänkt. Utifrån myndigheternas redovisning bedömer ESV att
myndigheterna tillämpar bestämmelserna om statlig internrevision i mycket hög
utsträckning. Endast ett fåtal avvikelser från bestämmelserna som rör
internrevisionen har rapporterats. Av dessa är det framförallt avvikelser inom två
områden som ESV vill lyfta fram.
Läkemedelsverket har under 2014 inte har haft någon internrevisor anställd och inte
heller bedrivit någon internrevision. Ett fåtal andra myndigheter har under en kortare
eller längre tidsperiod saknat anställd internrevisionschef när tidigare
internrevisionschef har slutat och ny internrevisionschef ännu inte har tillträtt.
Det förekommer i enstaka fall att internrevisionen på styrelsemyndigheter inte är
inrättad under myndighetens ledning utan är placerad under myndighetschefen eller
liknande. ESV anser inte att en sådan placering är i enlighet med ESV:s föreskrift till
2 § internrevisionsförordningen där det framgår att internrevisionen ska inrättas
direkt under myndighetens ledning.
Internrevisionsförordningen ställer krav på att internrevisionschefen ska vara anställd
vid myndigheten. ESV anser, som redovisats i rapporten 2014, att det kan finnas skäl
till att ge undantag från kravet i de fall då påtänkt internrevisionschef redan är
anställd som internrevisionschef vid en annan myndighet.
Internrevisionen lägger största delen av sin tid på granskning
Internrevisionens huvudsakliga tid, drygt 60 procent, används för granskning. Av den
tiden har ungefär en tredjedel av tiden använts för att granska ledningsprocesser, en
tredjedel att granska kärnprocesser och en tredjedel att granska stödprocesser.
Vi har av enkätsvaren kunnat konstatera att den statliga internrevisionen har en stor
bredd vad gäller inriktningen på sin granskning. Det kan även konstateras att
internrevisionen, utöver sin granskande roll också ger råd inom ett stort antal
områden.
Rådgivning tar drygt åtta procent av arbetad tid. I enkäten uppger 51 myndigheter att
internrevisionen har lämnat råd och stöd till myndighetens ledning.
Myndighetsledningarna vid 71 procent av styrelsemyndigheterna har fått råd och stöd
6
SAMMANFATTNING
jämfört med 87 procent av enrådighetsmyndigheterna. I 60 procent av
styrelsemyndigheterna har internrevisionen dessutom gett råd och stöd till
myndighetens chef.
Drygt tio procent av internrevisorernas tid används till planering och uppföljning av
internrevisionens verksamhet. Cirka fem procent av tiden används till egen
kompetensutveckling.
Hälften av myndigheterna har granskat oegentligheter
Drygt hälften av myndigheterna har angivit att granskningar har innefattat arbetet
med att motverka bedrägerier och oegentligheter. Enligt ESV:s uppfattning behöver
det inte tolkas som att det finns brister i internrevisionens roll kopplat till arbetet mot
otillbörlig påverkan, bedrägerier och annan oegentlighet då frågan har beaktats i
samband med analysen av verksamhetens risker. ESV kommer att inhämta mer
kunskap om detta och fördjupa frågeställningen i nästa redovisning.
ESV har ställt frågan om myndigheten har inrättat en funktion (en så kallad
whistleblowerfunktion) för att ta emot misstanke om otillbörlig påverkan, bedrägeri
och annan oegentlighet i verksamheten. Av de 65 myndigheterna har 13 myndigheter
svarat ja på frågan. Tre myndigheter berättar att de arbetar med att ta fram en
whistleblowerfunktion under 2015. ESV kommer att fortsätta följa hur
myndigheterna organiserar sitt arbete rörande oegentligheter m.m. i verksamheten.
Ändamålsenliga rekommendationer
Det framgår av enkätsvaren att myndigheternas ledning i 95 procent av fallen har
accepterat de av internrevisionen lämnade rekommendationerna. Enligt ESV:s
bedömning utgör detta en tydlig indikation på att myndighetsledningar har uppfattat
att ändamålsenligheten i de rekommendationer som internrevisionen har lämnat är
hög.
ESV har även ställt frågan till internrevisionsmyndigheterna om myndigheten har en
fastställd process för att ta om hand myndighetsledningens beslut om åtgärder med
anledning av internrevisionens iakttagelser och rekommendationer. Av de 65
myndigheter som har svarat uppger 85 procent att myndigheten har en fastställd
process. Motsvarande resultat för 2013 var 80 procent. ESV har tidigare framfört att
myndigheten bör ha en genomtänkt och dokumenterad process för hur iakttagelserna
och rekommendationerna i internrevisionens rapporter ska tas om hand.
55 myndigheter har angivit att internrevisionen har genomfört granskningar som har
varit till stöd för myndighetsledningens bedömning i årsredovisningen om intern
styrning och kontroll.
7
SAMMANFATTNING
Det finns inte någon skillnad i hur ofta små eller stora internrevisionsfunktioner
träffar myndighetsledningen. Det som däremot framgår är att myndighetscheferna i
enrådighetsmyndigheter har en mycket tätare kontakt med internrevisionen än
ledningen i styrelsemyndigheter. ESV anser att det kan finnas anledning för
ledningar i styrelsemyndigheter att särskilt överväga om det finns behov av mer
frekventa kontakter mellan ledning och internrevision och hur dessa kan utformas.
Samverkan och nätverk är värdefullt
Det finns ett stort antal nätverk och många samverkansaktiviteter inom den statliga
internrevisionskåren. ESV anser att det finns mycket stora fördelar med samverkan
och att det vore värdefullt om fler myndighetsledningar aktivt övervägde att
samverka i större omfattning. För den del av internrevisionsfunktionerna som är
enmansfunktioner är det extra värdefullt med samverkan.
Kvalitetssäkring av internrevisionen
Enligt god sed ska internrevisionschefen utveckla och upprätthålla ett program för
kvalitetssäkring och kvalitetsförbättring som ska omfatta både intern och extern
utvärdering. På ESV:s fråga om internrevisionen har genomfört en fortlöpande intern
kvalitetskontroll av internrevisionsverksamheten svarade 91 procent (80 procent
2013) av myndigheterna ja och 9 procent (20 procent 2013) nej. Området intern
kvalitetssäkring är alltså ett område där det har skett stora förbättringar under senare
år. Det är viktigt att den positiva utvecklingen fortsätter och det kan finnas anledning
för ESV att bevaka utvecklingen inom området.
Enligt god internrevisionssed ska en extern kvalitetssäkring genomföras minst en
gång vart femte år. Under 2014 har tolv kvalitetssäkringar genomomförts. För elva
av de tolv genomförda kvalitetssäkringarna har den externa
kvalitetssäkraren/valideraren lämnat det övergripande omdömet att
internrevisionsfunktionens verksamhet helt eller i huvudsak överensstämmer med
internrevisionsförordning med föreskrifter och allmänna råd och IIA:s standards. Den
tolfte, Kungliga tekniska högskolan, har genomfört en självutvärdering följt av en
Administrative Assessment Exercise (AAE) som beställts av universitetets ledning.
En AAE genomförs av en bedömargrupp som består av utsedda sakkunniga kollegor,
liknande en Peer Review. Tre aspekter bedömdes nämligen kompetens, service och
kostnad. Bedömningen följer i huvudsak kraven för en extern kvalitetssäkring men
motsvarar inte en regelrätt extern kvalitetssäkring. Bedömargruppens omdöme blev
att KTH har en väl fungerande internrevisionsprocess som bedrivs med god kvalitet.
Under åren 2010-2014 är det 76 procent som har uppfyllt kraven på en extern
bedömning av internrevisionen. Vid utgången av 2013 var motsvarande andel
8
SAMMANFATTNING
71 procent. Av de 14 internrevisionsfunktioner som borde ha genomfört en extern
kvalitetssäkring men som inte gjort det under 2014 är det åtta av myndigheter där
ESV påpekade bristen redan 2014. ESV anser att det är angeläget att de myndigheter
som inte har genomfört en extern kvalitetssäkring inom denna tidsram snarast
åtgärdar denna brist och säkerställer att en extern kvalitetssäkring genomförs så snart
som möjligt.
Förändringar i ramverket för internrevision på gång
IIA har påbörjat ett arbete med att se över det internationella ramverket för
internrevisionen (IPPF). Enligt den planering som finns ska ramverket vara
färdigställt i början av 2016. Förslaget består av en ny målformulering (mission) för
internrevision, tolv nya principer för internrevision, att Practice Advisory omarbetas
till Implementation Guidance och att Practice Guides tas bort och att Supplemental
Guidance införs i stället. Förändringarna i ramverket kan innebära ett utökat behov
av kompetensutveckling för internrevisorer under 2016.
9
ESV:S UPPDRAG
2
ESV:s uppdrag
2.1
Bakgrund
ESV ska utveckla, förvalta och samordna den statliga internrevisionen samt årligen
lämna en redovisning över den statliga internrevisionen till regeringen senast den 31
mars.1 Ett led i samordningen av den statliga internrevisionen är att ESV i
redovisningen av den statliga internrevisionen analyserar och bedömer statusen på
internrevisionen. ESV har dock ingen tillsynsroll eller några sanktionsmöjligheter
kopplade till sitt åtagande. Syftet med samordningen är att den statliga
internrevisionen ska agera och verka i enlighet med svensk normering och god
internrevisors- och internrevisionssed.
2.2
Vilka myndigheter omfattas av ESV:s redovisning till
regeringen
ESV:s redovisning av den statliga internrevisionen omfattar de myndigheter under
regeringen som efter beslut av regeringen ska följa internrevisionsförordningen. Vid
utgången av 2014 var det 66 myndigheter som skulle ha en inrättad internrevision
och därmed tillämpa internrevisionsförordningen. Ungefär hälften av myndigheterna
är enrådighetsverk och hälften är styrelsemyndigheter. De myndigheter som har
inrättat internrevision på eget initiativ omfattas inte av internrevisionsförordningen
och ingår därmed inte heller i ESV:s redovisning. Internrevisionsmyndigheterna vid
utgången av 2014 framgår av bilaga 1.
2.3
Av ESV lämnat undantag
Läkemedelsverket omfattas av internrevisionsförordningen och ska därför besvara
ESV:s internrevisionsenkät men eftersom Läkemedelsverket under 2014 inte har haft
någon internrevisor anställd så har Läkemedelsverket begärt undantag från att
besvara enkäten.2
2.4
Genomförande och tillvägagångssätt
För redovisningen av den statliga internrevisionen har ESV hämtat in information via
en enkät från de myndigheter som efter beslut av regeringen ska följa
internrevisionsförordningen. ESV har riktat sig till myndigheten eftersom det är
myndigheten som har skyldighet att lämna informationen. Uppgiftslämnandet kan
ske genom delegation till tjänsteman.
1
2
10
Förordningen (2010:1764) med instruktion för Ekonomistyrningsverket, 3 § 4 p. och 27 § 9 p.
Begäran om undantag från att besvara internrevisionsenkäten i Hermes/IRE. 2014-12-19. Dnr 3.2-1034/2014. ESV.
ESV:S UPPDRAG
Uppgifterna i internrevisionsenkäten har lämnats till ESV via
koncerninformationssystemet (Hermes) under perioden 12 januari – 10 februari
2015. Frågorna i enkäten publicerades dessförinnan på ESV:s webbsida den 12
december 2014. Frågorna e-postades även till myndigheternas registratorer och
internrevisionschefer. I de allra flesta fall är det internrevisionschefen som har
besvarat enkäten å myndighetens vägnar.
Sammanställningar av inhämtad information via enkäterna redovisas i bilagorna
2 - 5.
ESV har under 2014 besökt internrevisionen vid elva internrevisionsmyndigheter.
Under besöken har ESV ställt frågor utifrån ett antal ämnesområden. Syftet med
frågorna har varit att belysa hur internrevisionsverksamhet bedrivs i praktiken.
Frågeområdena har varit råd och stöd, uppföljning och rekommendationer, arbetet
med riskanalys och revisionsplan, oberoende och objektivitet, internt och externt
kvalitetsarbete, granskningsinriktning, rapportering, riktlinjer och dokumentation.
Svaren har använts för att fördjupa analyserna i rapporten.
ESV har i möjligaste mån kvalitetssäkrat uppgifterna som lämnats i
internrevisionsenkäten genom att jämföra med andra informationskällor som är
tillgängliga, exempelvis externa kvalitetssäkringar, besök som har gjorts på
myndigheter och de kommentarer som myndigheterna har lämnat i enkäten.
Rimlighetsbedömningar har gjorts av lämnade uppgifter.
11
TILLÄMPNINGEN AV BESTÄMMELSERNA OM INTERNREVISION
3
Tillämpningen av bestämmelserna om
internrevision
I detta kapitel redovisar vi i huvudsak myndigheternas följsamhet till bestämmelserna
i internrevisionsförordningen (2006:1228) till vilken ESV får meddela föreskrifter, se
även bilaga 2. Nya och ändrade föreskrifter och allmänna råd trädde i kraft 2014
vilket påverkar jämförelser över tiden. Förändringarna innebar en regelförenkling
med färre bestämmelser som ger mer utrymme för myndighetsledningen att med
riktlinjer för internrevision anpassa den till den egna verksamheten.3
ESV kan i enskilda fall pröva och meddela undantag från föreskrifterna till
internrevisionsförordningen. ESV har under 2014 inte erhållit någon ansökan om
eller prövat något undantag från föreskrifterna.
3.1
Myndigheterna följer bestämmelserna om
internrevision
ESV har i sin enkät om internrevision inhämtat uppgifter om i vilken utsträckning
internrevisionsmyndigheterna följer den normering som styr internrevisionen.
Regleringen finns i huvudsak i internrevisionsförordningen med föreskrifter och
allmänna råd men också i andra bestämmelser för offentlig förvaltning som till
exempel tryckfrihetsförordningen, myndighetsförordningen med flera författningar.
Den statliga internrevisionen ska också tillämpa god sed.
ESV bedömer att myndigheterna tillämpar bestämmelserna om statlig internrevision i
mycket hög utsträckning. Myndigheterna redovisar få avvikelser från
bestämmelserna.
ESV har följt upp bestämmelserna om att:
− internrevisionen leds av en chef
− internrevisionens chef är anställd av myndigheten
− internrevisionen är inrättad direkt under myndighetsledningen
− internrevisionen är självständig i förhållande till den granskade verksamheten
− internrevisionen granskar och lämnat förslag till förbättringar av myndighetens
process för intern styrning och kontroll
− internrevisionen granskat utifrån en analys av verksamhetens risker
− analysen av verksamhetens risker omfattar en bedömning av otillbörlig
påverkan, bedrägeri eller annan oegentlighet
3
12
Mer om bakgrunden finns i utredningen Om internrevision. 2012-12-21, Dnr 52-850/2012, ESV.
TILLÄMPNINGEN AV BESTÄMMELSERNA OM INTERNREVISION
− internrevisionen har självständigt granskat om ledningens interna styrning och
kontroll är utformad så att myndigheten med rimlig säkerhet fullgör de krav
som framgår av 3 § myndighetsförordningen
− internrevisionen har lämnat råd och stöd till styrelsen och chefen för
myndigheten
− internrevisionen omfattar den verksamhet som myndigheten bedriver eller
ansvarar för
− internrevisionen bedrivs enligt såväl god internrevisionsed som god
internrevisorssed
− myndigheten har verkat för samarbete om internrevision med annan myndighet
för att ta till vara de fördelar som kan vinnas för staten som helhet
− internrevision har redovisat resultatet av granskningen i form av iakttagelser
och rekommendationer
− internrevisionen har rapporterat rekommendationerna och iakttagelserna till
myndighetsledningen
− myndighetsledningen har beslutat om riktlinjer för internrevisionen
− myndighetsledningen har beslutat om en revisionsplan för internrevisionen
− myndighetsledningen beslutat om åtgärder med anledning av de iakttagelser
och rekommendationer som internrevisionen rapporterat
− myndighetsledningen har, i den utsträckning det inte mött hinder på grund av
bestämmelse om sekretess, sett till att internrevisionen fått tillgång till de
uppgifter och upplysningar som den behövt för att fullgöra sitt uppdrag
3.2
Få avvikelser från bestämmelserna om internrevision
Endast ett fåtal avvikelser från bestämmelserna som rör internrevisionen har
rapporterats. Av dessa är det framförallt två områden som ESV vill lyfta fram.
Läkemedelsverket har under 2014 inte har haft någon internrevisor anställd och inte
heller bedrivit någon internrevision. Ett fåtal andra myndigheter har under kortare
eller längre tidsperiod saknat anställd internrevisionschef när tidigare
internrevisionschef har slutat och ny internrevisionschef ännu inte har tillträtt.
Möjligheten att tillförordna chef för internrevisionen i avvaktan på att en ny chef
tillträder har endast utnyttjas i begränsad omfattning.
Det förekommer i enstaka fall att internrevisionen på styrelsemyndigheter inte är
inrättad under myndighetens ledning utan är placerad under myndighetschefen eller
liknande. ESV anser inte att en sådan placering är i enlighet med ESV:s föreskrift till
2 § internrevisionsförordningen där det framgår att internrevisionen ska inrättas
direkt under myndighetens ledning.
13
VAD GÖR INTERNREVISIONEN
4
Vad gör internrevisionen
4.1
Få förändringar av internrevisionens resurser
Nedan redovisas en kortare sammanställning av hur internrevisionens resurser
fördelar sig under åren 2013 och 2014.4
2014
2013
66
66
9
7
Årsarbetskrafter inklusive konsulter
146
149
Antalet statliga internrevisorer
139
148
Medelantalet anställda
2,1
2,3
Antalet enmansrevisorer
36
36
Antalet internrevisionsmyndigheter
Antal myndigheter med revisionsutskott
Antalet myndigheter med enmansrevisorer
40
39
Antal myndigheter med samordnad internrevision
11
11
215 800
224 100
9 500
9 700
88
75
Arbetad egen tid (timmar)
Arbetad tid konsulter (timmar)
Kompetensutveckling per anställd (timmar i genomsnitt)
Varit verksam som internrevisor tre år eller mer (%)
82
85
Andel kvinnor (%), andel kvinnliga internrevisionschefer (%)
41, 45
45, 43
Ålder mellan 51 och 60 år (%), ålder över 60 år (%)
38, 20
40, 19
Uppgifterna som avser resurserna visar att antalet årsarbetskrafter för 2014 minskat
med tre personer jämfört med 2013. Antalet statliga internrevisorer har minskat med
nio personer (6 %) jämfört med föregående år. Skillnaden beror främst på en
minskning av antalet anställda internrevisorer på större internrevisionsfunktioner.
Nedlagd tid per anställd för kompetensutveckling uppgår till i genomsnitt 88
timmar/år vilket är en ökning med 17 % jämfört med föregående år.
För fler uppgifter om resurser och använd tid m.m.se bilaga 4.
4.2
Hur fördelar sig arbetstiden för internrevisionen
Av internrevisionens totala tid används cirka 63 procent av tiden för granskning,
vilket är något lägre jämfört med andelen granskning föregående år. Rådgivning
utgör drygt åtta procent av arbetad tid och planering och uppföljning utgörs av drygt
tio procent. Nedlagd tid inom dessa områden är ungefär densamma som föregående
år. Internrevisorerna använder sex procent av tiden till egen kompetensutveckling
vilket motsvarar ett genomsnitt på 88 timmar per år och anställd. Detta är en ökning
4
14
Tabellen återges även i bilaga 4.
VAD GÖR INTERNREVISIONEN
med 13 timmar jämfört med föregående år då knappt fem procent av den totala tiden
gick till egen kompetensutveckling.
4.3
Vilka områden granskar internrevisionen
Vid en uppdelning av genomförda granskningar i granskning av ledningsprocesser,
kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev
eller annat regeringsbeslut) och stödprocesser (it, lokalförsörjning, pa-frågor,
ekonomihantering m.m.) har ungefär en tredjedel av tiden lagts på varje område.
Fördelning av tid för internrevisionens granskningsområden
Granskningsområde
Alla myndigheter
Enrådighetsmyndigheter
Styrelsemyndigheter
Ledningsprocesser
33 %
34 %
32 %
Kärnprocesser
39 %
40 %
37 %
Stödprocesser
28 %
26 %
30 %
För de myndigheter som har internrevisioner som består av fem medarbetare eller
fler går att utläsa att en något större andel av nedlagd tid (45 %) har använts för att
granska kärnprocesser och en något mindre andel (28 %) har använts för att granska
ledningsprocesser. För de små internrevisionsenheterna som består av en revisor har
en något större andel av nedlagd tid (36 %) lagts på att granska ledningsprocesser
och en något mindre (35 %) lagts på kärnprocesserna. Andel nedlagd tid för
granskning av stödprocesserna är densamma för de två grupperna.
4.4
Vilken inriktning och innehåll har granskningarna
Internrevisionens granskning ska utgå från risk och väsentlighet. Genom att fatta
beslut om det förslag till revisionsplan som internrevisionen tagit fram beslutar
myndighetsledningen om vilka granskningar som ska genomföras under
revisionsåret. Internrevisionens verksamhet ska bedrivas enligt god internrevisorsoch internrevisionssed.
När ESV har inhämtat uppgifter om vilken inriktning och vilket innehåll
internrevisionens granskningar har haft har vi utgått från de krav som ställs på
myndigheter genom olika förordningar och i enstaka fall lagar. Inom ramen för
inriktningen på genomförda granskningar beskrivs vilka områden granskningen har
berört samt vilka frågeställningar som har belysts. Myndigheterna har vid besvarande
av enkäterna kunnat svara ja eller nej på frågan om de har beaktat de angivna
områdena. Myndigheterna har haft möjlighet att under rubriken ”övrigt” beskriva
annan inriktning eller innehåll på genomförda granskningar än de som har varit
fördefinierade.
15
VAD GÖR INTERNREVISIONEN
Eftersom granskningarna ska genomföras utifrån risk och väsentlighet kan det inte
förväntas att samtliga internrevisionsmyndigheter genomför granskningar inom
samtliga områden som ESV har lyft fram i enkäten. Av samma anledning och mot
bakgrund av den goda internrevisionsseden kan det inte heller förväntas att
granskningarnas innehåll innefattar samtliga punkter som ESV har specificerat i
enkäten.
4.4.1
Granskning av ledningsprocesser
Inom ramen för granskningen av ledningsprocesser har en stor majoritet av
myndigheterna, drygt fyra femtedelar, genomfört granskningar av
myndighetsledningens ansvar för verksamheten (organisation, arbetsfördelning,
delegering, former för verksamheten och verksamhetsplan). Nästan lika många
myndigheter har genomfört granskningar av myndighetens riskhantering (riskanalys,
kontrollåtgärder, skadeförebyggande åtgärder, riskfinansiering och skadereglering,
uppföljning och bedömning samt dokumentation).
Ungefär hälften av myndigheterna har under året genomfört granskningar av
myndighetens allmänna uppgifter (utveckla verksamheten, samarbete med
myndigheter och andra, tillhandhålla information om verksamheten samt följa sådana
förhållanden utanför myndigheten som har betydelse för verksamheten) och
myndigheternas informationssäkerhet.
Under året har ungefär en tredjedel av myndigheterna genomfört granskningar som
beaktar myndighetens handläggning av ärenden (kostnadsmässiga konsekvenser,
föredragning, och beslut) samt myndighetens arbetsgivarpolitik (samverkan med
andra myndigheter för att utveckla och samordna den statliga arbetsgivarpolitiken, se
till att de anställda är väl förtrogna med målen för verksamheten, skapa goda
arbetsförhållanden och ta till vara och utveckla medarbetarnas kompetens och
erfarenhet).
Vid granskning av ledningsprocesser har drygt nio av tio myndigheter beaktat om
verksamheten bedrivs effektivt och nästan lika många har granskat om verksamheten
bedrivs enligt ledningens direktiv och riktlinjer. Knappt nio av tio har i granskningar
beaktat om verksamheten bedrivs enligt gällande rätt och drygt fyra av fem har
beaktat uppföljningen och bedömningen av den interna styrningen och kontrollen.
Knappt fyra av fem myndigheter har också redovisat att granskningar har haft fokus
på hushållning, att verksamheten utvecklas och delegering av ansvar.
För drygt hälften av myndigheterna har granskningarna berört om de anställda är väl
förtrogna med målen för verksamheten, om de anställdas kompetens och erfarenhet
tillvaratas och utvecklas och etik och värderingar i organisationen. Ungefär en
16
VAD GÖR INTERNREVISIONEN
tredjedel av myndigheterna har i granskningen av ledningsprocesserna granskat om
verksamheten bedrivs enligt förpliktelser till EU.
4.4.2
Granskning av kärnprocesser
Vid granskningen av myndighetens kärnprocesser har tre av fyra myndigheter
granskat myndighetens uppgifter enligt instruktion, regleringsbrev eller annat
regeringsbeslut. Vad gäller granskning av myndigheters medverkan i EU-arbetet och
annat internationellt samarbete har en av sex myndigheter genomfört en sådan
granskning. Knappt en av fyra har angivit att de har genomfört granskningar inom
kategorin övrigt. Inom denna kategori ryms områden såsom:
− Intern styrning och kontroll
− Samverkan med kommuner
− Förebygga fusk inom utbildning
− Forskningssamverkan och centrumbildningar
− E-lärande
− Kvalitet i forskningsansökningar
− Regelefterlevnad (compliance och följsamhet)
− Remisshanteringen
− Projektstyrning (byggprojekt)
− Processer kopplade till forskningsverksamhet
− Granskning av leverantörer
Vid granskningen av kärnprocesser har drygt fyra av fem myndigheter angivit att
granskningarna har beaktat om verksamheten bedrivs enligt ledningens direktiv och
riktlinjer, uppföljning och bedömning av den interna styrningen och kontrollen och
om verksamheten bedrivs effektivt. Ungefär tre av fyra myndigheter har redovisat att
granskningar har innefattat om verksamheten bedrivs enligt gällande rätt, delegering
av ansvar och genomförandet av riskhanteringen.
Knappt två av tre myndigheter har inom ramen för sina granskningar också beaktat
om verksamheten redovisas rättvisande och tillförlitligt och att de anställda är väl
förtrogna med syfte och mål för verksamheten. Något färre än hälften av
myndigheterna har i sina granskningar beaktat om de anställdas kompetens och
erfarenhet tillvaratas och utvecklas, om goda arbetsförhållanden upprätthålls och etik
och värderingar i organisationen. Knappt en tredjedel av myndigheterna har beaktat
om verksamheten bedrivs enligt förpliktelser till EU.
4.4.3
Granskning av stödprocesser
Vad gäller granskningar av myndigheternas stödprocesser har knappt hälften av
myndigheterna granskat myndighetens upphandling. Ungefär en fjärdedel av
myndigheterna har genomfört granskningar som berör inköpssamordning,
17
VAD GÖR INTERNREVISIONEN
betalningar och medelsförvaltning, allmänna handlingar, årsredovisning,
redovisningssystem och elektroniskt informationsutbyte. Två av tre myndigheter har
redovisat att de har genomfört granskningar under rubriken övrigt och då har följande
områden specificerats:
− It (it-säkerhet, it-drift, it-kostnader, outsourcing av it-drift)
− Informationssäkerhet
− Risker i upphandling
− Fysisk säkerhet
− E-lärande
− Styrdokument inom det ekonomiadministrativa området
− Myndighetens representation
− Rutiner för hantering av bisyssla
− Kontroll över tjänsteresor
− Personal- och kompetensförsörjning
− Jävsfrågor
− Donationer och bidrag
− Informations- och kommunikationsarbete
− Projektstyrning
− Mångfaldsarbete
− Intern styrning och kontroll i dotterbolag
− Lönehanteringsprocesser
Ingen myndighet har genomfört någon granskning av arbetet med
konsekvensutredning vid regelgivning.
Vid granskningarna av stödprocesserna har fyra av fem myndigheter redovisat att de
har beaktat om verksamheten bedrivs effektivt. För ungefär tre av fyra myndigheter
har granskningarna innefattat om verksamheten bedrivs enligt ledningens direktiv
och riktlinjer, genomförandet av riskhantering, delegering av ansvar och om
verksamheten bedrivs enligt gällande rätt. Drygt två av tre myndigheter har redovisat
att granskningar har innefattat om verksamheten utvecklas och om den upprätthålls
med god hushållning.
Lite drygt hälften av myndigheterna har i granskningar beaktat om verksamheten har
redovisats rättvisande och tillförlitligt, arbetet med att motverka bedrägeri och
oegentligheter och om de anställda är väl förtrogna med syfte och mål för
verksamheten. Cirka en tredjedel av myndigheterna har följt upp om de anställdas
kompetens och erfarenhet tillvaratas och utvecklas, etik och värderingar i
organisationen och om goda arbetsförhållanden upprätthålls. En fjärdedel av
myndigheterna har i granskningar beaktat om verksamheten bedrivs enligt
18
VAD GÖR INTERNREVISIONEN
förpliktelser till EU och en femtedel om verksamheten verkar för samarbete med
annan myndighet.
4.4.4
Exempel från myndighetsbesök
På de myndighetsbesök som ESV har genomfört under hösten 2014 har vi ställt
frågor om vilken inriktning myndigheterna har haft på de granskningar de har
genomfört under året. Eftersom granskningarna på varje myndighet utgår från risk
och väsentlighet skiljer sig granskningsområdena från myndighet till myndighet
utifrån varje specifik myndighets uppgift och riskbedömning. De exempel ESV
redovisar nedan ger tillsammans en bild av de olika granskningarna som genomförs
på myndigheter i statsförvaltningen.
CSN pekar bland annat på att samtliga granskningar som har genomförts har haft
kopplingar till intern styrning och kontroll och att man bland annat har granskat eller
haft rådgivningsuppdrag kopplat till förändringsarbete, systemförnyelse, frågor om
kontroller i ärendehantering, återkrav och utbetalning av studiestöd. Vid besöket hos
Statens pensionsverk framkom att deras internrevision hade genomfört granskningar
som liknade den som CSN hade gjort, dock med undantag för återkrav.
Uppsala universitet berättar att de inför beslutet om den senaste revisionsplanen
underlättade för konsistoriet att göra ett aktivt val av granskningar genom att
förslaget till revisionsplan innehöll flera granskningsförslag som ledamöterna fick
välja bland. Ledamöterna diskuterade kort för- och nackdelar med några olika förslag
innan de valde vilka granskningar som skulle genomföras. Konsistoriet uttryckte
uppskattning över att de fick välja och inte ställdes ”inför fullbordat faktum” vad
internrevisionen skulle granska. Internrevisionen har under året bland annat
genomfört en granskning av universitetets process för att upprätthålla en betryggande
intern styrning och kontroll.
Domstolsverket berättar att de genomför domstolsbesök där de granskar de olika
domstolarna. Alla domstolar kan inte besökas samma år men generaldirektören
kommer med förslag på vilka domstolar som ska besökas. Domstolarna gör egna
utvärderingar av sitt interna styr- och kontrollarbete som internrevisionen granskar.
Kungl. Tekniska Högskolan är indelad i tio enheter, skolor. Internrevisionen
genomför två till tre skolgranskningar per år. Internrevisionen arbetar också mot de
centrumbildningar5 som finns på högskolan.
5
En centrumbildning är ett samarbete mellan högskolan och externa parter.
19
VAD GÖR INTERNREVISIONEN
Statiska centralbyrån berättar att typiska områden som internrevisionen inriktar sin
granskning på kan vara it, projektgranskning eller granskning av
verksamhetsprocesser. Internrevisionen försöker sprida ut granskningarna på olika
områden inom myndigheten. Enligt den strategiska revisionsplanen görs granskning
av compliance som ett komplement till granskningarna som faller ut från
riskanalysen. Internrevisionen granskar också underlagen som ligger till grund för
generaldirektörens uttalande om intern styrning och kontroll.
Statens lantbruksuniversitets internrevision har tidigare genomfört ett flertal
granskningar på fastighetsområdet, men för närvarande fokuserar de istället på
granskningar inom forsknings-, grundutbildnings- samt miljöområdena. De har också
ett större fokus riktat mot institutionerna.
4.4.5
Granskning för att motverka bedrägerier och oegentligheter
I föreskrift till 4 § internrevisionsförordningen framgår att i analysen av
verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier
och annan oegentlighet. Utifrån den bedömning som sedan har gjorts av risk och
väsentlighet tar myndigheten ställning till vilket fokus granskningar ska ha på
otillbörlig påverkan, bedrägerier och andra oegentligheter.
I enkäten har ESV begärt att myndigheter som har beaktat arbetet med att motverka
bedrägeri och oegentligheter i sina granskningar ska beskriva vad som har beaktats
och omfattningen av granskningen. Drygt hälften av myndigheterna har angivit att
granskningarna har innefattat arbetet med att motverka bedrägeri och oegentligheter.
I granskningar av ledningsprocesser har myndigheter bland annat beaktat frågor om
bedrägeri och oegentligheter kopplat till:
− Affärsprocesser
− Avtal
− Befogenheter i it-system
− Felaktiga utbetalningar
− Funktionalitet i whistleblowersystem
− Förtroendeskadligt agerande
− Informationssäkerhet
− Inköp
− Jäv och oberoende
− Muta
− Rutiner för delegationer samt kontroll
− Upphandling
20
VAD GÖR INTERNREVISIONEN
I granskningar av kärnprocesser har myndigheter bland annat beaktat frågor om
bedrägeri och oegentligheter kopplat till:
− Fusk inom utbildning
− Följsamhet mot interna regelverk
− Förtroendeskadlig bisyssla
− Hantering av kontonummer
− Hantering av t.ex. tillfälliga pass
− Informationssäkerhet
− Inköp
− Jävsfrågor
− Kontanthantering
− Kontroller i bidragsärenden
− Medelshantering hos samarbetspart i annat land
− Oredlig forskning
− Otillbörliga erbjudande
− Registerkvalité och återkravshantering
− Representation
− Upphandling
− Utbetalningar
I granskningar av stödprocesser har myndigheter bland annat beaktat frågor om
bedrägeri och oegentligheter kopplat till:
− Attester
− Betalningsflöden
− Funktionaliteter i it-system
− Hantering och redovisning av kontanter och kreditkort
− Inköp
− Regelefterlevnad
− Representation
− Skydd och hantering av forskningsmaterial
− Systembehörigheter
− Upphandling
− Utbetalningar
Hur myndigheter har genomfört sina granskningar kopplade till bedrägerier och
oegentligheter skiljer sig åt. Utifrån de myndighetsbesök som ESV har genomfört
under året har väljer vi att redovisa några olika perspektiv på hur myndigheter väljer
att beakta bedrägeri och oegentligheter i sina granskningar. CSN berättar i samband
med ESV:s myndighetsbesök att de har följt upp arbetet med att bygga upp en ny
gruppering som ska arbeta med frågor om rutiner för hantering av misstänkta
21
VAD GÖR INTERNREVISIONEN
bidragsbrott och hur myndigheten utvecklar sitt arbete för att motverka externa och
interna oegentligheter.
Domstolsverket beaktar bedrägerier och oegentligheter i alla sina granskningar.
Internrevisionen på Kungliga Tekniska Högskolan följer upp frågor om bedrägerier
och oegentligheter inom ramen för sina granskningar. De försöker bland annat följa
upp uppdrag och sidoverksamheter som kan vara problematiska. Riksgäldens
internrevision berättar att området bedrägerier och andra oegentligheter beaktas i alla
granskningar när internrevisionen kartlägger kontroller.
4.1
Internrevisionen ger råd och stöd
Internrevisionen ska ge råd och stöd till myndighetens ledning och chefen för
myndigheten. Råd och stöd kan också lämnas till andra än myndighetens ledning och
chefen för myndigheten om det framgår av internrevisionens riktlinjer.
I enkäten uppger 51 myndigheter att internrevisionen har lämnat råd och stöd till
myndighetens ledning. Av de 14 som inte har gett råd och stöd till sin
myndighetsledning var tio styrelsemyndigheter och fyra enrådighetsmyndigheter. Det
innebär att myndighetsledningarna vid 71 procent av styrelsemyndigheterna har fått
råd och stöd jämfört med 87 procent av enrådighetsmyndigheterna. Vid 60 procent
av de totalt 35 styrelsemyndigheterna har internrevisionen även gett råd och stöd till
myndighetens chef.
En förutsättning för att internrevisionen ska kunna ge råd och stöd till styrelse
och/eller generaldirektör är att det efterfrågas. Vi har vid våra besök ute hos
internrevisionsfunktioner (elva myndigheter) under 2014 förstått att inte alla styrelser
och generaldirektörer efterfrågar rådgivning. Det beror i vissa fall på att
myndighetsledningen prioriterar granskningsuppdrag framför rådgivningsuppdrag.
De flesta av de internrevisionsfunktioner vi besökte har inskrivet i sina riktlinjer att
de får ge råd och stöd även till andra än styrelse och generaldirektören. De flesta av
internrevisionsfunktionerna säljer dock inte aktivt in rådgivningsuppdrag. Det beror,
enligt uppgift, på att internrevisionsfunktionernas resurser är begränsade och att man
därför är rädda för att internrevisionen ska ”drunkna” i uppdrag och inte hinna med
granskningarna i revisionsplanen.
Utifrån de svar som har lämnats går det att konstatera att internrevisionen utöver sin
granskande roll också ger råd inom ett stort antal områden. Vissa områden som
bedömning av myndighetens interna styrning och kontroll återkommer hos flera
myndigheter. Likaså uppdrag kopplade till risk, ledning, styrning och organisation. I
övrigt är det en väldigt stor spridning av områdena. Områdena finns specificerade i
bilaga 3.
22
VAD GÖR INTERNREVISIONEN
4.1
Internrevisionen får tillgång till uppgifter
ESV har genom internrevisionsenkäten tillfrågat internrevisionsmyndigheterna om
internrevisionen på grund av sekretess inte har fått tillgång till uppgifter som
internrevisionen har haft behov av för genomförandet av ett uppdrag. Samtliga
svarande myndigheter har uppgivit att denna situation inte uppkommit.
4.2
Fler myndigheter inrättar whistleblowerfunktion
ESV har ställt frågan om myndigheten har inrättat en funktion (en så kallad
whistleblowerfunktion) för att ta emot misstanke om otillbörlig påverkan, bedrägeri
och annan oegentlighet i verksamheten. Av de 65 myndigheterna har 13 myndigheter
svarat ja på frågan. Ytterligare en myndighet uppger att de inte har en sådan funktion
men att de anställda kan vända sig till chefsjuristen om en fråga uppstår. Tre
myndigheter berättar att de arbetar med att ta fram en whistleblowerfunktion under
2015.
Det är olika vilka som är mottagare av anmälningarna. I några fall är det
chefsjuristen. I andra fall är det en tillsynsenhet, en internutredningsfunktion,
säkerhetsenheten/säkerhetsstaben, GD-kansliet, en särskild utredningsgrupp
internrevisionschefen/säkerhetschefen/ personalchefen eller ett externt företag.
Internrevisionens roll varierar från att inte ha någon del i hanteringen av
anmälningarna till att vara förberedande instans och/eller bollplank till en annan
funktion som hanterar anmälningarna ända till att det i något enstaka fall är
internrevisionen som hanterar anmälningarna. En myndighet skriver att bedömningen
av anmälningarna är en operativ uppgift som inte bör ligga på internrevisionen och
att arbetet med anmälningarna är mycket resurskrävande för en liten funktion som
internrevisionen.
23
RESULTATET AV INTERNREVISIONENS RAPPORTERING
5
Resultatet av internrevisionens
rapportering
5.1
Internrevisionens rekommendationer accepteras av
ledningen
ESV har i enkäten till internrevisionsmyndigheterna ställt frågor om vad som händer
med anledning av de iakttagelser och rekommendationer som internrevisionen
lämnar i sin rapportering till myndighetsledningen.
Det framgår av enkäten att myndigheternas ledning i 95 procent av fallen har
accepterat de av internrevisionen lämnade rekommendationerna. Enligt ESV:s
bedömning utgör detta en tydlig indikation på att myndighetsledningarna har
uppfattat att ändamålsenligheten i de rekommendationer som internrevisionen har
lämnat är hög. En högre andel accepterade granskningar vid en myndighet jämfört
med ett lägre antal vid en annan myndighet medför dock inte att man kan dra
slutsatsen att kvaliteten på internrevisionens rekommendationer varit högre i det
första fallet. Det kan finnas många olika orsaker till skillnaderna.
I enkäten har skälen till varför ledningen har valt att inte acceptera en lämnad
rekommendation kommenterats. De skäl som angivits var att:
− Myndigheten har en större översyn på gång
− Myndigheten vill ha en annan lösning än den internrevisionen föreslår
− Myndighetsledningen avstår på grund av kostnads- och/eller effektivitetsskäl
− Myndighetsledningen gör en annan bedömning och/eller prioritering
− Myndighetsledningen är beredd att acceptera risken
− Styrelsen har inte tagit slutlig ställning än
− Verksamheten har ett uppdrag att återkoppla med förslag till handlingsplan
− Verksamheten har redan åtgärdat internrevisionens iakttagelse
− Internrevisionens rekommendationer ligger fel i tid
Vid besöken hos de elva myndigheternas internrevisionsfunktioner kunde ESV
konstatera att processen för myndighetsledningens beslut ser olika ut. Det beror på
att processen är anpassad till de enskilda myndigheternas organisation, verksamhet
och synsätt.
När det gäller beslutet om åtgärder som myndighetens ledning ska fatta så görs det i
praktiken på flera olika sätt. Det förekommer att internrevisionen inkluderar den
granskade funktionens åtgärdsförslag i sin rapport för att styrelsen ska få ett bättre
beslutsunderlag. I vissa fall lämnar generaldirektören ett skriftligt yttrande, antingen
samtidigt med det att internrevisionens rapport dras eller vid ett senare möte.
24
RESULTATET AV INTERNREVISIONENS RAPPORTERING
Generaldirektörens yttrande kan då bli ett underlag för styrelsens åtgärdsbeslut.
Dokumentationen av styrelsens beslut görs i styrelseprotokollet men beslutet
formuleras olika. Det kan till exempel stå att rapporten har behandlats, föredragits
eller lagts till handlingarna eller beslutet kan referera till förslagen i rapporten eller
till åtgärdsförslaget.
Även när myndigheten är en enrådighetsmyndighet och det är generaldirektören som
ska fatta beslut om åtgärder med anledning av internrevisionens rekommendationer
kan det gå till på olika sätt. Åtgärdsförslaget från den granskade funktionen kan vara
inkluderad i internrevisionens rapport eller tas fram i efterhand av avdelningschef
eller någon central funktion på myndigheten. Status på åtgärderna ska följas upp och
rapporteras till generaldirektören. I de fall det inte finns mer utarbetade
åtgärdsförslag utöver internrevisionens rekommendationer i rapporten kan det även
här ses som att generaldirektören, åtminstone till viss del, godkänner åtgärderna i
efterhand.
Det förekommer enstaka fall där det kan ifrågasättas om styrelsen alls har fattat något
beslut om åtgärder. Det är när iakttagelser och rekommendationer inte föredras för
styrelsen utan lämnas direkt till lägre chefsnivåer inom myndigheten eller enbart
behandlas i revisionsutskottet.6 Ett fall ESV noterade var en myndighet där styrelsen
inte önskade löpande rapportering och där de väsentligaste åtgärderna redovisades
för styrelsen i efterhand i en så kallad årlig rapport från internrevisionen. Det kan då
möjligen ses som att styrelsen har godkänt åtgärderna i efterhand. ESV anser dock
inte att ett sådant förfarande är i överensstämmelse med föreskrifterna till 9 §
Internrevisionsförordning (2006:1228).
5.2
Det finns en process för att ta hand om
myndighetsledningens beslut
ESV har i enkäten ställt frågan till internrevisionsmyndigheterna om myndigheten
har en fastställd process för att ta om hand myndighetsledningens beslut om åtgärder
med anledning av internrevisionens iakttagelser och rekommendationer. Av de 65
myndigheter som har svarat uppger 85 procent att myndigheten har en fastställd
process. Motsvarande resultat för 2013 var 80 procent. Att myndigheten bör ha en
genomtänkt och dokumenterad process för hur iakttagelserna och
rekommendationerna i internrevisionens rapporter ska tas om hand är någonting som
ESV har fört fram särskilt i tidigare regeringsrapporter.
6
9 § internrevisionsförordningen (2006:1228).
25
RESULTATET AV INTERNREVISIONENS RAPPORTERING
5.3
Granskningar har varit till stöd för uttalandet i
årsredovisningen
ESV har i enkäten ställt frågan om internrevisionen genomfört granskningar som har
varit till stöd för myndighetsledningens uttalande om intern styrning och kontroll i
årsredovisningen. I enkäten svarar 55 myndigheter att internrevisionen har genomfört
granskningar som har varit till stöd för myndighetsledningens bedömning i
årsredovisningen om intern styrning och kontroll.
I kommentarer pekar några myndigheter bland annat på att all granskning sker med
utgångspunkt i myndighetens interna styrning och kontroll och att internrevisionens
rapporter därför alltid är ett stöd för myndighetsledningens uttalande i
årsredovisningen. Två myndigheter svarar att de i sin årsrapport till
myndighetsledningen har skrivit ett sammanfattande omdöme om intern styrning och
kontroll för de granskningar som genomförts under året.
5.4
Internrevisionen ger nytta till myndighetsledningen
Myndighetens ledning är internrevisionens uppdragsgivare och internrevisionen ska
rapportera resultatet av sitt arbete direkt till ledningen i form av iakttagelser och
rekommendationer. Myndighetens ledning utgörs av styrelsen på en
styrelsemyndighet och av myndighetschefen på en enrådighetsmyndighet.
Internrevisionens uppgift är att granska och lämna förslag till förbättringar av
myndighetens process för intern styrning och kontroll. Den ska utifrån en analys av
verksamhetens risker självständigt granska om den interna styrningen och kontrollen
är utformad så att myndigheten med rimlig säkerhet bedriver en verksamhet som är
effektiv och rättsenlig, redovisas på ett tillförlitligt sätt samt hushållar väl med
statens medel. Internrevisionen ska också ge råd och stöd till myndighetens ledning.
Vid en styrelsemyndighet ska råd och stöd även ges till myndighetens chef.
5.4.1
Internrevisionens kommunikation och rapportering är
ändamålsenlig
ESV har under 2014 besökt elva myndigheters internrevisionsfunktioner. Vi kunde
då konstatera att rutinerna kring rapporteringen varierar från myndighet till
myndighet. De flesta av de internrevisionsfunktioner vi besökte rapporterar löpande
till myndighetsledningen men det förekommer också att myndighetsledningen vill ha
rapporteringen samlat vid ett eller två tillfällen.
De flesta av internrevisionsfunktionerna lämnar en årsrapport till
myndighetsledningen. Årsrapporten sammanfattar de granskningar som
internrevisionen genomfört under året men kan även innehålla annat som
internrevisionen vill fästa ledningens uppmärksamhet på. Många av
26
RESULTATET AV INTERNREVISIONENS RAPPORTERING
internrevisionsfunktionerna verkar ha tänkt mycket på formerna för rapporteringen
och försöker aktivt anpassa rapporteringen till mottagarens behov och önskemål.
Några av funktionerna graderar sina rekommendationer efter angelägenhetsgrad för
att göra det lättare för läsaren. Vissa av internrevisionsfunktionerna arbetar med
övergripande omdömen om de områden de granskar, andra inte. I något fall har
internrevisionsfunktionen medvetet avstått från att lämna övergripande omdömen
eftersom man ansåg att det tar bort ledningens fokus från internrevisionens
rekommendationer.
5.4.2
Internrevisionens möten med myndighetens ledning
I de 35 styrelsemyndigheterna är internrevisionen närvarande på styrelsens möten i
genomsnitt 4,5 gånger per år. Den internrevision som träffar styrelsen minst gör det
en gång per år och den som träffar styrelsen mest gör det sju gånger per år. För de
nio styrelsemyndigheter som har ett revisionsutskott så träffar internrevisionen
revisionsutskottet i genomsnitt fem gånger per år. Den internrevision som träffar
utskottet minst gör det två gånger per år och den som gör det vid flest tillfällen gör
det elva gånger per år.
I de 30 myndigheter som leds av en myndighetschef träffas myndighetschef och
internrevision i genomsnitt 15 gånger per år för föredragningar och arbetsmöten. Den
internrevision som träffar utskottet minst gör det fyra gånger per år och den som gör
det vid flest tillfällen gör det i stort sett varje vecka.
Några skillnader i frekvens för myndighetskontakter mellan enmansfunktioner och
internrevisionsfunktioner med flera medarbetare har inte kunnat läsas ut av
enkätsvaren. Det som däremot framgår är att myndighetscheferna i
enrådighetsmyndigheter har en mycket tätare kontakt med internrevisionen än
ledningen i styrelsemyndigheter. ESV anser att det kan finnas anledning för
ledningar i styrelsemyndigheter att särskilt överväga om det finns behov av mer
frekventa kontakter mellan ledning och internrevision och hur dessa kan utformas.
27
SAMVERKAN OCH NÄTVERK
6
Samverkan och nätverk
6.1
Internrevisionschef som är anställd på mer än en
myndighet
Vid årsskiftet 2014/2015 hade 11 myndigheter under regeringen en
internrevisionschef som var anställd på två myndigheter. Myndigheterna som hade
en internrevisionschef som också var anställd på en annan myndighet var:
− Finansinspektionen/Sveriges Riksbank7
− Linköpings universitet/Malmö högskola
− Umeå universitet/Örebro universitet
− Karlstads universitet/Mittuniversitetet
− Universitet och högskoleverket/Myndigheten för yrkeshögskolan
− Uppsala universitet/Riksgäldskontoret
Utöver de elva myndigheterna så har internrevisionen vid Länsstyrelsen i
Västerbotten gett stöd till Länsstyrelsen i Jämtland där tjänsten som
internrevisionschef varit vakant. Internrevisionschefen i Västerbotten har inte varit
anställd vid Länsstyrelsen i Jämtland.
Totalförsvarets forskningsinstitut (FOI) uppger att de är samordnade med
Försvarsexportmyndigheten (FXM). FOI:s internrevisionschef lägger ned 40 % av
sin tid på FXM. FXM har en internrevisionsfunktion med på sin organisationsskiss
på hemsidan. Vad ESV kan utläsa är inte FXM en internrevisionsmyndighet i
internrevisionsförordningens mening. FXM har inget krav på internrevision vare sig i
instruktionen eller i regleringsbrevet.
Internrevisionschefernas nedlagda tid på de olika myndigheterna varierar mellan 20
till 60 procent.
Internrevisionsförordningen ställer krav på att internrevisionschefen ska vara anställd
vid myndigheten. Det gör att det blir nödvändigt med anställning vid varje
myndighet för de internrevisionschefer som åtagit sig uppdrag vid flera myndigheter
för att uppfylla internrevisionsförordningens krav på anställd chef. Det medför en
mer komplicerad situation för den enskilde och kan försvåra myndighetens
rekrytering. Undantag från kravet på anställd chef i förordningen kan beviljas av
regeringen efter framställan från myndigheten. ESV anser, som redovisats i rapporten
2014, att det kan finnas skäl till undantag i de fall då påtänkt internrevisionschef
redan är anställd som internrevisionschef vid en annan myndighet.
7
28
Sveriges Riksbank lyder inte under Internrevisionsförordning (2006:1228).
SAMVERKAN OCH NÄTVERK
6.2
Internrevisionsmyndigheter samverkar
I internrevisionsenkäten har 30 myndigheter uppgivit att de samverkar med en annan
myndighets internrevision. Av de 65 myndigheter som svarat har 35 svarat nej på
frågan om myndighetens ledning har övervägt för- och nackdelar med samverkan.
Av de 30 myndigheterna är det 18 som uppger att de har ingått en överenskommelse
om samverkan. De som har ingått överenskommelser är:
− De sex länsstyrelserna med internrevision
− Centrala studiestödsnämnden/ Statens tjänstepensionsverk
− Statens servicecenter/Statistiska centralbyrån
− Skatteverket/Kronofogdemyndigheten
− Statens jordbruksverk/Skogsstyrelsen
− Statens skolverk/Myndigheten för yrkeshögskolan8
De områden där samverkan förekommer är främst:
− Utbildningar och erfarenhetsutbyten
− Kvalitetssäkring och kvalitetsarbete
− Metodutveckling och metodfrågor
− Bollplank i arbetet med riskanalys, revisionsplan, granskning och rådgivning
− Samarbete i granskningsuppdrag som berör flera myndigheter
ESV har i internrevisionsenkäten ställt frågan vilka för- och nackdelar
myndigheterna ser med samverkan och vilka hinder för samverkan de ser.
Bland fördelarna angavs bland annat att:
− Samverkan är breddande och kompetenshöjande
− Det är ett bra sätt att lära av varandra
− Det ger möjlighet för enmansrevisorer att få en kollega att kommunicera med
− Det ger möjlighet för enmansfunktioner att kunna genomföra en intern
kvalitetssäkring
− Det kan ge möjlighet till en indirekt benchmarking
− Internrevisionsfunktionerna kan bistå varandra med extern validering av
självutvärdering
− Det ger minskad sårbarhet
− Det ger möjlighet till gemensamt utnyttjande av resurser och specialister
− Samverkan höjer den professionella nivån
Flera myndigheter skrev att de bara såg fördelar med samverkan.
8
Statens skolverk har svarat att det finns en samverkansöverenskommelse medan Myndigheten för yrkeshögskolan
har svarat nej på frågan.
29
SAMVERKAN OCH NÄTVERK
De nackdelar som bland annat nämndes var att:
− Samverkan enbart bedrivs i syfte att minska kostnaderna
− Det kan bli splittrat med planering och avrapportering vid flera myndigheter
− Samverkan kan ta mycket tid från grunduppdraget
De hinder för samverkan som nämndes var:
− Svårigheten att hitta en myndighet med liknande verksamhet inom rimligt
avstånd
− Att det kan uppstå praktiska problem med exempelvis sekretess
− Att det tar tid att sätta sig in i en annan myndighets verksamhet
− Att samverkan kan försvåras av olika kulturer i arbetssätt och kommunikation
− Logistiska problem med planeringen
− Brist på hjälp och samordning från Regeringen/ESV
− Tidsbrist
− Ovilja från ledningen att ta in internrevisorer utifrån
De flesta som har svarat har inte uppgivit att de ser några hinder för samverkan.
ESV har under 2014 besökt internrevisionsfunktionerna vid Centrala
studiestödsnämnden och Statens tjänstepensionsverk. Myndigheternas internrevisorer
började båda 2012 med bara några månaders mellanrum. Internrevisonscheferna har
inte dubbla anställningar men det står uttalat i deras arbetsbeskrivningar att de ska
samverka med varandra.
Internrevisionscheferna anser att de har haft ett bra samarbete hela tiden och att det är
en fördel att ha dubbla resurser. I myndigheternas revisionsplaner fördelas
granskningarna vid respektive myndighet på båda myndigheternas internrevisorer.
Internrevisionscheferna läser och kvalitetsgranskar varandras rapporter. De har tagit
fram sina revisionshandböcker samtidigt. Revisionshandböckerna är lika i sin
grundutformning men har lite olika profiler utifrån respektive myndighets särart.
ESV anser att det finns fördelar med samverkan och att det vore värdefullt om fler
myndighetsledningar aktivt övervägde fördelarna. För den del av
internrevisionsfunktionerna som är enmansfunktioner är det extra värdefullt med
samverkan. Många av de myndigheter som har svarat ja på att de samverkar med
annan myndighets internrevision tillhör den här kategorin.
30
SAMVERKAN OCH NÄTVERK
6.3
Internrevisorer upprättar nätverk
I internrevisionsenkäten nämndes ett antal nätverk.
− Inom universitets- och högskoleområdet finns bland annat nätverket NIRUH
(internrevisorer vid universitet och högskolor inom Norden).
− Det har under 2013 startats ett nätverk för statliga enmansrevisorer som
Kammarkollegiets internrevisor är sammankallande för.
− Det är även vanligt att internrevisorerna är medlem i Internrevisorernas
förening. Internrevisorernas förening har ett nätverk för internrevisorer i
offentlig sektor.
Det finns även internationella nätverk kopplade till de enskilda myndigheternas
sakverksamhet.
31
KVALITETSSÄKRING AV INTERNREVISION
7
Kvalitetssäkring av internrevision
7.1
Internrevisorer utvecklar sin kompetens
Den enskilda revisorns förmåga och möjlighet att bibehålla och utveckla sin
kompetens inom revisionsområdet är en förutsättning för att upprätthålla en god
kvalitet inom den statliga internrevisionen. Certifieringar kan utgöra ett bra stöd för
internrevisorernas kompetensutveckling. För närvarande har 41 myndigheter minst
en internrevisor med någon form av certifiering. För mer uppgifter se tabell i
bilaga 5.
ESV har i internrevisionsenkäten ställt frågan vilka för- och nackdelar
internrevisionscheferna ser med certifieringar. De flesta av revisorerna uppgav att de
ser fördelar med certifieringar. Certifiering ses som ett bevis på erfarenhet och
kunskap och ger kunskap i metoder kring planering och genomförande av revisionen.
Genom att internrevisionen innehar olika certifieringar kan myndighetens ledning
förlita sig på att det föreligger en viss kunskapsnivå bland internrevisorerna. Som
nackdelar angavs att det är dyrt att vidmakthålla certifieringen och att den ger en
begränsad nytta då kunskap kan inhämtas på annat sätt och att det är kunskapen som
är viktig, inte certifieringen i sig.
IIA har tagit fram en ny certifiering för ledare ”Qualification in Internal Audit
Leadership (QIAL). Kraven för att ta certifieringen är bland annat CIA, 15 års
generell erfarenhet av ledarskap inklusive 3 år som internrevisionschef.
7.2
Internrevisionen genomför intern kvalitetssäkring
Enligt god sed ska internrevisionschefen utveckla och upprätthålla ett program för
kvalitetssäkring och kvalitetsförbättring som ska omfatta både intern och extern
utvärdering. På frågan om internrevisionen har genomfört en fortlöpande intern
kvalitetskontroll av internrevisionsverksamheten svarade 91 procent (80 procent
2013) av myndigheterna ja och 9 procent (20 procent 2013) nej.
Enligt god sed ska internrevisionschefen informera myndighetsledning och styrelse
om resultaten av kvalitetsutvärderings- och kvalitetsutvecklingsprogrammet. Av de
som uppgivit att de genomfört en fortlöpande intern kvalitetskontroll svarade
7 procent (20 procent 2013) att de inte rapporterat slutsatserna från det interna
kvalitetsarbetet till myndighetens ledning.
Området intern kvalitetssäkring är ett område som ESV under flera år har
uppmärksammat särskilt eftersom det är ett område där ESV under flera år noterat att
det finns brister även om det har skett stora förbättringar under senare år. Det är
32
KVALITETSSÄKRING AV INTERNREVISION
viktigt att den positiva utvecklingen fortsätter och det kan finnas anledning för ESV
att bevaka utvecklingen inom området. För att upprätthålla och förbättra kvaliteten på
internrevisionens arbete är det interna kvalitetsarbetet en viktig del. Utvärdering av
internrevisionens kvalitetssäkrings- och kvalitetsförbättringsprogram ingår som en
del av den externa kvalitetssäkringen.
I samband med ESV:s besök hos internrevisionsfunktioner har vi fått intrycket att det
är vanligt att internrevisionsfunktionerna använder checklistor för att dokumentera
det interna kvalitetsarbetet. Många av de funktioner vi besökte hade tagit fram egna
revisionshandböcker med bland annat rutinbeskrivningar och mallar.
Exempel på förbättringsförslag som lämnats i enkäten utifrån
internrevisionsfunktionernas interna kvalitetsarbete framgår av bilaga 6.
7.3
Internrevisionen genomför extern kvalitetssäkring
Internrevisionen ska enligt god internrevisionssed omfattas av ett program för
kvalitetssäkring och kvalitetsförbättring. Den externa bedömningen ska genomföras
minst en gång vart femte år av kvalificerad extern oberoende granskare eller
granskningsteam.9 Extern kvalitetssäkring kan även genomföras genom
självutvärdering (av internrevisionsfunktionen) som sedan utvärderas/valideras av en
extern oberoende granskare.
Under 2014 genomfördes tolv externa kvalitetssäkringar. Fem av de tolv genomförda
externa kvalitetssäkringarna genomfördes av en konsult som en fullständig extern
utvärdering. Två genomfördes som en självutvärdering med en konsult som extern
validerare. Fyra externa kvalitetssäkringar (varav en självutvärdering) genomfördes
som peer review det vill säga att den externa kvalitetssäkringen/valideringen har
genomförts av internrevisionschefer vid andra myndigheter. Internrevisionscheferna
vid tre myndigheter, Tillväxtverket, Kammarkollegiet och Totalförsvarets
forskningsinstitut har genomfört en extern kvalitetssäkring åt varandra och
Rikspolisstyrelsens dåvarande internrevisionschef har validerat de genomförda
kvalitetssäkringarna. Den fjärde myndigheten som genomfört en peer review är
Domstolsverket. Domstolsverket har genomfört en självutvärdering som
internrevisionschefen vid Statens Energimyndighet har validerat.
Kungliga tekniska högskolan har genomfört en självutvärdering följt av en
Administrative Assessment Exercise (AAE) som beställts av universitetets ledning.
En AAE genomförs av en bedömargrupp som består av utsedda sakkunniga kollegor,
liknande en peer review. Bedömargruppen bestod av internrevisionschefen från
9
Samma krav ställs i den goda seden genom de internationella riktlinjerna för yrkesmässig internrevision.
33
KVALITETSSÄKRING AV INTERNREVISION
Statens lantbruksuniversitet, en revisor från Universitetet i Linköping och en
biträdande professor från Luleå tekniska universitet. Tre aspekter bedömdes
nämligen kompetens, service och kostnad. Bedömningen följer i huvudsak kraven för
en extern kvalitetssäkring men motsvarar inte en regelrätt extern kvalitetssäkring.
Det som kan diskuteras är om bedömargruppen har ett tillräckligt oberoende.
Av de tolv kvalitetssäkringar som ESV tagit del av var det elva där den externa
kvalitetssäkraren/valideraren lämnat det övergripande omdömet att
internrevisionsfunktionens verksamhet helt eller i huvudsak överensstämmer med
internrevisionsförordning med föreskrifter och allmänna råd och IIA:s standards.10
När det gäller det Kungliga tekniska högskolan har ett positivt omdöme lämnats
utifrån de tre kriterierna kompetens, service och kostnad som AAE:n skulle bedöma.
Bedömargruppens omdöme blev att KTH har en väl fungerande
internrevisionsprocess som bedrivs med god kvalitet.
Att det övergripande omdömet lämnats att internrevisionsfunktionens verksamhet
helt eller i huvudsak överensstämmer med internrevisionsförordning och IIA:s
standards är inte detsamma som att det saknas utrymme för förbättringar. ESV har
tagit del av de förbättringsförslag som lämnats i de externa kvalitetssäkringarna och
gör bedömningen att det är värdefullt för internrevisionsfunktionerna att få
synpunkter från en extern part. Exempel på de förbättringsförslag som lämnats
utifrån IIA:s standards framgår av bilaga 6. Inget av förbättringsförslagen har varit av
så allvarlig art att de har påverkat det övergripande omdöme som lämnats av
kvalitetssäkraren/valideraren.
I rapporten som lämnades 2014 skrev ESV om en kvalitetssäkring som genomfördes
2013 där den externa kvalitetssäkraren hade kommit till slutsatsen att
internrevisionens verksamhet inte stod i överensstämmelse med
internrevisionsförordningen med föreskrifter och allmänna råd och inte heller med
IIA:s standards. Internrevisionen fick ledningens uppdrag att under första halvåret
2014 arbeta med förbättringsåtgärder. En rapport om arbetet togs fram och
rapporterades till ledningen den 16 juni 2014. Internrevisionen gjorde i rapporten
bedömningen att internrevisionens verksamhet nu står i överensstämmelse med
regelverket. En ny internrevisionschef har rekryterats och fanns på plats i slutet av år
2014. ESV har besökt internrevisionsfunktionen i slutet av 2014 och delar
uppfattningen att de tidigare problemen har åtgärdats.
10
34
Det innebär inte att det saknas förbättringsförslag i den externa kvalitetssäkringen.
KVALITETSSÄKRING AV INTERNREVISION
7.1
Uppfyller myndigheterna kravet på att genomföra en
extern kvalitetssäkring?
Per 31 december 2014 var det 59 myndigheter som borde ha genomfört en extern
kvalitetssäkring med anledning av femårsgränsen.11 Sju myndigheter hade inte varit
internrevisionsmyndigheter i fem år per den sista december 2014.
Under åren 2010-2014 har sammanlagt 45 myndigheter genomfört en extern
kvalitetssäkring av internrevisionen. Därmed är det 76 procent av de 59
myndigheterna som har uppfyllt kraven på en extern bedömning av internrevisionen.
Vid utgången av 2013 var motsvarande andel 71 procent.
Av de 14 internrevisionsfunktioner som borde ha genomfört en extern
kvalitetssäkring men som inte gjort det under 2014 är det åtta myndigheter där ESV
påpekade bristen redan i rapporten som avlämnades 2014. Av dem har Affärsverket
svenska kraftnät påbörjat en extern kvalitetssäkring. De sju kvarstående
myndigheterna är:
− Länsstyrelsen i Jämtlands län
− Mittuniversitetet
− Statens institutionsstyrelse
− Statens kulturråd
− Statens skolverk
− Sida
− Örebro universitet
Övriga myndigheter som borde ha genomfört en extern kvalitetssäkring under 2014
är:
− Försäkringskassan
− Linnéuniversitetet
− Luleå tekniska universitet
− Läkemedelsverket
− Naturvårdsverket
− Åklagarmyndigheten
Enligt god internrevisionssed12 ska en extern kvalitetssäkring genomföras minst en
gång vart femte år. ESV anser att det är angeläget att de myndigheter som inte har
genomfört en extern kvalitetssäkring inom denna tidsram snarast åtgärder denna brist
och säkerställer att en extern kvalitetssäkring genomförs så snart som möjligt.
11
De 59 myndigheterna var internrevisionsmyndigheter 2010 och var det fortfarande sista december 2014.
Enligt 7 § internrevisionsförordningen ska internrevisionen bedrivas enligt god internrevisionssed som
internrevisorssed.
12
35
KVALITETSSÄKRING AV INTERNREVISION
7.2
Uppgifter om internrevision från Riksrevisionens
akter
ESV har på samma sätt som under tidigare år tagit del av det material i
Riksrevisionens akter som handlar om internrevision. Materialet blir inte offentligt
förrän revisionsberättelsen för året har avlämnats och akterna har stängts. Det innebär
att ESV kan ta del av materialet tidigast i maj månad. Det material som ESV har haft
tillgång till avser därför revisionsåret 2013.
ESV har av materialet kunnat utläsa att Riksrevisionen träffar internrevisorer och tar
del av planering och rapportering för drygt 90 procent av
internrevisionsmyndigheterna. Riksrevisionen har genomfört en bedömning, i någon
form, av funktionens oberoende, professionalism och kompetens för knappt
80 procent av internrevisionsfunktionerna. Oftast görs det med hjälp av det
granskningsprogram som Riksrevisionen har tagit fram.
Av materialet att döma verkar det dock inte vara vanligt att Riksrevisionen gör en
mer ingående bedömning av internrevisionens arbete genom att gå igenom
granskningsdokumentation.
Riksrevisionens granskningsprogram omfattar även en bedömning av i vilken
utsträckning den kan använda de granskningar som internrevisionen kommer att
genomföra under året. Riksrevisionen anger att man för cirka 88 procent av
myndigheterna använder sig av internrevisionens arbete som en informationskälla.
För drygt 6 procent av myndigheterna använder Riksrevisionen sig till någon del av
internrevisionens arbete för sitt uttalande om årsredovisningen.
I åtta fall har Riksrevisionen uttryckt tveksamhet vad gäller internrevisionens
objektivitet på grund av att myndigheten är enrådighetsmyndighet och
internrevisionen arbetar på GD:s uppdrag.
7.3
Internrevisionens samarbete med Riksrevisionen
ESV har i enkäten till myndigheterna ställt några frågor om internrevisionens
samverkan med Riksrevisionen. Första frågan var om Riksrevisionen kommit med
önskemål om internrevisionens biträde vid årsredovisningsgranskningen. Här svarade
två myndigheter ja och 63 nej. På följdfrågan om internrevisionen deltagit som
biträde till Riksrevisionen svarade två myndigheter ja.
På frågan om internrevisionen har återkommande kontakt med Riksrevisionen under
revisionsåret svarade 60 myndigheter av 65 ja. Av de 65 myndigheterna uppgav 47
att de har en överenskommelse med Riksrevisionen om att man ska utbyta
revisionsrapporter.
36
OMVÄRLDSBEVAKNING
8
Omvärldsbevakning
8.1
PIC-konferens i Haag
ESV deltog i PIC-konferensen i Haag den 15 – 16 maj 2014. Huvudsyftet med
konferensen var att lansera den uppdaterade versionen av ”Compendium on Public
Internal Control in EU-member states” där samtliga medlemstater har bidragit med
en redogörelse över hur den interna kontrollen och internrevision är organiserad hos
dem. Kompendiet kan användas som en uppslagsbok och finns på EU
kommissionens webbsidor för ”Public Internal Control System”
(http://ec.europa.eu/budget/pic).
Fyra diskussionspromemorior lades fram i samband med mötet, två inom området
intern kontroll och två inom området internrevision. De finns också tillgängliga på
webbsidorna ovan.
8.2
Europeiska kommissionens
internrevisionskonferens
ESV deltog i september 2014 i Europeiska kommissionens internrevisionskonferens.
Temat för konferensen var att tillföra värde och detta erhålls som ett resultat från
revisioner och konsultationer. För att kunna tillföra värde betonade Marie-Hélène
Laimay, Senior Vice-President, Audit and Internal Control att det är viktigt att
internrevisionen:
− Identifierar alla uppdragsgivare
− Erhåller feedback från olika uppdragsgivare
− Har kännedom om uppdragsgivarens förväntningar
− Har regelbundna möten med uppdragsgivaren
− Har förståelse för verksamheten
− Utformar rekommendationer baserat på framtiden
− Fokuserar på resultat och inte uppgifter
− Investerar i personalutveckling
En annan av talarna var Caroline Mawhood, extern medlem av Audit Progress
Committee of the European Commission som talade om revisionsutskottens roll att
tillföra värde till internrevisionen. Hon betonade att revisionsutskotten måste vara
transparenta och konstruktiva i samarbetet med ledningen. Revisionsutskottet kan
tillföra värde till internrevisionen genom att:
37
OMVÄRLDSBEVAKNING
− Bevaka internrevisionens självständighet och objektivitet
− Stödja effektiviteten i internrevisionsprocessen. Revisionsutskottet ska vara en
informerad utmanare som vet vad som är viktigt men inte vara för detaljerad
− Främja en effektiv användning av internrevision inom ramen
revisionsverksamheten och ska vid behov stödja internrevisionen
− Tillhandahålla forum för öppen debatt och frågeställningar
− Visa sin ställning i organisationen
8.3
GRC-dagarna
ESV deltog i GRC-dagarna (Governance, Risk and Compliance) som gick av stapeln
9 - 10 november 2014. Konferensen riktade sig till de som arbetar med compliance,
internrevision eller riskhantering. Anordnare var Internrevisorernas förening,
Compliance Forum, ISACA och SWERMA.
En av talarna var Hans Löfgren som talade under rubriken ”Trender inom
internrevision”. Det finns en trend internationellt mot mer tvingande granskningar på
grund av tvång från regulatormyndigheter. Han reflekterade kring om
internrevisionen går mot att vara en säkrings- eller en kontrollfunktion. Att
internrevisionen lämnar ett övergripande omdöme om myndighetens verksamhet är
en trend (38 % i världen lämnar det). Ett problem är om internrevisionsfunktionerna
inte har tillräckligt med resurser för att klara av att lämna ett tillräckligt underbyggt
uttalande. Hans Löfgren framhöll att det är viktigt att utgå från kraven för att
bestämma internrevisionens resurser.
På dagarna talade Patty Miller, Chair of the International Standards board, också om
de regeländringar som The Institute of Internal Auditors (IIA) planerar för. Mer om
de föreslagna förändringarna redovisas i nästa avsnitt.
8.4
IIA:s internationella årliga internrevisionskonferens
ESV deltog också i IIAs internationella konferens i juli 2014 där ca 110 länder med
ca 2500 deltagare fanns representerade. Konferensen bestod både av gemensamma
sessioner och av olika spårinriktningar.
En av de gemensamma sessionerna behandlade QIAL (Qualification in internal audit
leadership) som är ett kvalifikationsprogram som utvecklats för IR-chefer vars
erfarenhet och kunskap förberett dem att möta nya utmaningar inom professionen.
För att få delta krävs att man arbetat som IR-chef tre år samt har 15 år av erfarenhet i
ledarskap. Hittills är det ett 40-tal personer som tagit certifieringen. Kandidaterna
utvärderas i tre delar som fokuserar på ledarskap inom internrevision, förmågan att
organisera, etik, innovation och förändringsförmåga.
38
OMVÄRLDSBEVAKNING
Det talades även om ”integrated reporting” vilket är en process som bygger på
integrerat tänkande inom organisationen som resulterar i en periodisk integrerad
rapport från en organisation om värdeskapande över tiden och relaterade information
om aspekter på värdeskapande. En integrerad rapport är en kortfattad kommunikation
om hur en organisation strategi, styrning, resultat och framtidsutsikter, i samband
med dess yttre miljö, kan leda till att det skapas värde på kort, medellång och lång
sikt.
En presentation handlade om Framtiden för modellen för de tre försvarslinjerna och
den kritik som riktats mot modellen. Första försvarslinjen avser den dagliga
hanteringen av myndighetens verksamhet. De upprättar, utför och övervakar
kontrollerna på daglig basis. Andra försvarslinjen består av olika risk- och
compliancefunktioner. De ansvarar för att ge råd och möjliggöra riskhantering samt
har pågående eller ad hoc övervakning av kontrollerna i första försvarslinjen. Tredje
försvarslinjen är internrevisionen som tillhandahåller oberoende försäkran över
hanteringen av risker. Modellen för de tre försvarslinjerna har ifrågasatts för att
kontrollera risk då det är en funktionsmodell där bland annat exekutiva
ledningen/styrelsen/revisionskommittén inte är del av modellen.
Information om förändringar av IPPF beskrevs också under konferensen. I juli 2013
inrättades en arbetsgrupp för att undersöka om det fanns ett behov av att ändra IPPF
strukturen, i ljuset av den fortsatta utvecklingen av internrevisionen globalt samt av
de ökade förväntningarna på internrevisionen från både tillsynsmyndigheter och
intressenter.
Arbetsgruppen förväntades föreslå:
− framtida komponenter i vägledningen
− nivåer i vägledningen
− ansvar för utveckling och underhåll (t.ex. personal, kommitté, arbetsgrupp)
− rättssäkerhetskraven för varje komponent/del i vägledningen
− ansvar för godkännande av nya eller ändrade riktlinjer, på global och lokal nivå
Förslaget innebär inte några förändringar i IPPF utan omfattar en ny målformulering
(mission) för internrevision, tolv nya principer för internrevision, att Practice
Advisory omarbetas till Implementation Guidance och att Practice Guides tas bort
och att Supplemental Guidance införs i stället. Den information som i dag finns i
Practice Advisory och Practice Guides ska gås igenom, uppdateras och läggas in där
det passar i den nya strukturen. Ett nytt begrepp, Emerging Issues, införs för att det
ska gå fortare (bara några månader) att hantera aktuella frågor utan att svaret ska
behöva gå igenom en långdragen kvalitetsprocedur. Frågorna som behandlas under
Emerging Issues läggs därför inte in under de obligatoriska delarna. Begreppen
39
OMVÄRLDSBEVAKNING
Mandatory och Strongly Recommended föreslås bli ändrade till Required och
Recommended. En ny illustration till hur de olika delarna hänger ihop har tagits
fram. Required elements är de nya principerna för internrevision, definitionen av
interrevision, Code of Ethics och standards. Recommended elements är
Implementation Guidance, Supplemental Guidance och Emerging Issues Guidance.
Den nya målformuleringen för internrevisionen ligger som en ring både runt det som
är Required och Recommended.
Syftena med omarbetningen att IIA vill ha ett mer principbaserat regelverk. De tolv
nya principerna är indelade i tre grupper, en för internrevisorn och funktionen
individuellt, en för aktiviteten och revisionsprocessen och en resultatet av
internrevisionens arbete. Den sista delen är ett uttryck för att IIA mer vill fokusera på
resultatet än regelefterlevnaden. Här tror IIA att man kommer att få fylla på
regelverket med förtydliganden.
Enligt den planering som finns ska det nya ramverket (IPPF) att vara färdigställt i
början av 2016.
40
SLUTSATSER, TRENDER OCH UTVECKLING
9
Slutsatser, trender och utveckling
9.1
Sammanfattande slutsatser
Den generella bilden som ESV har fått av internrevisionen är att den fungerar väl.
Internrevisionen utgör enligt ESV:s uppfattning det stöd till myndighetsledningen
som det är tänkt. Internrevisionen ger därmed ledningen möjlighet att fatta mer
initierade beslut om hur verksamheten ska fortskrida och utvecklas.
Internrevisionsenkäten visar att myndigheterna i snitt lägger lika mycket tid på att
granska ledningsprocesser, kärnprocesser och stödprocesser. Fördelningen är enligt
ESV:s bedömning rimlig och visar på den bredd som internrevisionens granskningar
har totalt sett. Enstaka myndigheter kan avvika från fördelningen i mindre eller större
omfattning och lägga mer eller mindre andel av sin tid på att granska någon av
processerna. Eftersom internrevisionens granskningar ska utgå från risk och
väsentlighet är det fullt rimligt att fördelningen på en enskild myndighet avviker från
snittet i större eller mindre omfattning.
I en föreskrift till internrevisionsförordningen skriver ESV att i analysen av
verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier
och annan oegentlighet. ESV har i enkäten till myndigheterna frågat om genomförda
granskningar har innefattat arbetet med att motverka bedrägeri och oegentligheter.
Drygt hälften av myndigheterna har angivit att granskningar har innefattat arbetet
med att motverka bedrägerier och oegentligheter. Enligt ESV:s uppfattning behöver
det inte tolkas som att det finns brister i internrevisionens roll kopplat till arbetet mot
otillbörlig påverkan, bedrägerier och annan oegentlighet då frågan har beaktats i
samband med analysen av verksamhetens risker. ESV kommer att inhämta mer
kunskap om detta och fördjupa frågeställningen i nästa redovisning.
Det finns ett stort antal nätverk och många samverkansaktiviteter inom den statliga
internrevisionskåren. ESV anser att det finns fördelar med samverkan och att det
vore värdefullt om fler myndighetsledningar aktivt övervägde att samverka i ökad
omfattning. För den del av internrevisionsfunktionerna som är enmansfunktioner är
det extra värdefullt med samverkan. Vi ser också en utvecklingspotential för ökad
samverkan mellan internrevision och Riksrevisionen.. Samverkan bör också kunna
utökas mellan ESV:s EU-revision och myndigheternas internrevision.
ESV har i sin uppföljning noterat att det finns ett fåtal myndigheter som under en
kortare eller längre tidsperiod inte har kunnat besätta tjänsten som
internrevisionschef. Samma problematik har uppmärksammats tidigare år.
Internrevisionsförordningen kräver att det ska finnas en chef som leder
41
SLUTSATSER, TRENDER OCH UTVECKLING
internrevisionen anställd på myndigheten. Förordningen ger inga undantag från
kravet och medger inte att en myndighet under en viss period saknar chef. I en
situation där en myndighet har kännedom om att de under en period kommer att
sakna chef bör de därför antingen tillförordna en chef i avvaktan på att ordinarie chef
kan träda i tjänst eller begära undantag från kravet från regeringen. ESV menar att
situationen att en myndighet saknar en anställd chef som leder internrevisionen inte
ska behöva uppkomma.
ESV har även kunnat konstatera att det börjar bli allmänt accepterat att
internrevisionen organisatoriskt ska placeras in direkt under myndighetsledningen.
Denna ordning var långt ifrån självklar när ESV fick sitt samordningsuppdrag 2006.
Det finns dock fortfarande myndigheter som har inrättat internrevisionen under
annan än myndighetens ledning vilket strider mot ESV:s föreskrift till förordningen.
Syftet med att internrevisionen inrättas under myndighetens ledning är att de ska
kunna genomföra sina granskningar självständigt i förhållande till den granskade
verksamheten. En myndighet som överväger en annan organisatorisk lösning än den
som ESV:s föreskrift anger bör begära att ESV meddelar undantag från föreskriften
innan en annan lösning väljs.
Ungefär 90 procent av myndigheterna har redovisat att de har genomfört intern
kvalitetssäkring. Motsvarande resultat för 2013 var 80 procent. Inom området har det
skett stora förbättringar under senare år. Det är viktigt att den positiva utvecklingen
fortsätter och att alla myndigheter genomför interna kvalitetssäkringar och det kan
finnas anledning för ESV att bevaka utvecklingen inom området.
Under åren 2010-2014 är det 76 procent som har uppfyllt kraven på en extern
bedömning av internrevisionen. Vid utgången av 2013 var motsvarande andel
71 procent. Av de 14 internrevisionsfunktioner som borde ha genomfört en extern
kvalitetssäkring men som inte gjort det under 2014 är det åtta av myndigheter där
ESV påpekade bristen redan i rapporten som avlämnades 2014. ESV anser att det är
angeläget att de myndigheter som inte har genomfört en extern kvalitetssäkring inom
denna tidsram snarast åtgärdar denna brist och säkerställer att en extern
kvalitetssäkring genomförs så snart som möjligt.
9.2
Tankar om trender och utveckling
Något som kommit upp i många sammanhang är om och hur internrevisionen ska
lämna övergripande omdömen om myndighetens interna styrning och kontroll.
Omfattningen på intyganden kan variera stort. Det kan handla om att internrevisionen
lämnar ett omdöme om ett område som internrevisionen granskat eller ett omdöme
om hela myndigheten. Internationellt talas det mer om ett generellt uttalande om hela
organisationens verksamhet. Vid ESV:s myndighetsbesök framgick att vissa
42
SLUTSATSER, TRENDER OCH UTVECKLING
internrevisionsfunktioner redan idag lämnar ett övergripande omdöme kopplat till
områden som granskats. Internrevisionen måste alltid ha ett underlag för sitt
omdöme. När det gäller ett uttalande för hela myndigheten så är det av naturliga skäl
tidskrävande. Sannolikt har ingen statlig internrevision i dag resurser att täcka in hela
myndighetens verksamhet under ett års granskning. Man kan även fundera kring hur
ett övergripande omdöme bör formuleras. Ska det vara av karaktären ”Allt fungerar
väl” eller det mer försiktiga ”Granskningen har inte givit anledning att anta att det
inte fungerar väl”? Om internrevisionen ska lämna ett övergripande omdöme så är
det något som bör framgå av internrevisionens riktlinjer (där även omfattningen av
uppgiften bör framgå) och av internrevisionens revisionsplan. I revisionsplanen visas
bland annat hur mycket tid denna uppgift tar i anspråk av internrevisionens totala
antal timmar.
Under året har en trend både inom myndigheterna och inom
internrevisionsfunktionerna varit att myndigheternas informationssäkerhet har
uppmärksammats. Vi tror att trenden kommer att fortsätta även under 2015 med ett
ökat fokus på informationssäkerhetsfrågor.
Området oegentligheter och bedrägerier har varit i fokus under ett antal år. Vi tror att
intresset för det här området kommer att öka ännu mer under kommande år. Det
kommer att handla om hur myndigheten kan införa system för att förebygga och
upptäcka oegentligheter och hur internrevisionen kan bidra med att utvärdera
myndigheternas system och hur granskningen bör utformas för att internrevisionen
ska kunna upptäcka möjligheter till och tecken på oegentligheter.
Det finns en trend som går mot att fler och fler av de externa kvalitetssäkringarna
genomförs genom så kallad peer review, det vill säga att statliga
internrevisionschefer kvalitetssäkrar och verifierar åt varandra. ESV tror att det kan
finnas ett behov av att diskutera hur det här ska genomföras på bästa sätt för att
upprätthålla en hög och jämförbar kvalitet på alla kvalitetssäkringar oavsett om det är
en kollega eller en konsult som genomför dem.
Vi tror också att myndigheternas ledningar under de närmaste åren kommer att få en
bättre bild av den praktiska nytta de kan ha av sin internrevision. Hur välinformerad
en myndighetsledning än är så finns det alltid ett informationsunderläge gentemot de
mer operativa delarna av organisationen. Internrevisionen har här en viktig roll att
genom sina granskningar och sin rådgivning minska det informationsunderläge som
styrelse och myndighetschef har inom de specifika områden där internrevisionen får
sina uppdrag.
43
REFERENSER
Lagar och förordningar
Förordning (2007:603) om intern styrning och kontroll
Förvaltningslag (1986:223)
Internrevisionsförordning (2006:1228)
Lag (1994:260) om offentlig anställning
Myndighetsförordning (2007:515)
Tryckfrihetsförordning (1949:105)
44
BILAGA 1 – INTERNREVISIONSMYNDIGHETER 2014
Bilaga 1 – Internrevisionsmyndigheter 2014
Enrådighetsmyndigheter
Styrelsemyndigheter
Boverket
Centrala studiestödsnämnden
Domstolsverket
Försvarsmakten
Försäkringskassan
Havs- och vattenmyndigheten
Inspektionen för vård och omsorg
Kammarkollegiet
Kriminalvården
Kronofogdemyndigheten
Läkemedelsverket13
Länsstyrelsen i Jämtlands län
Länsstyrelsen i Norrbottens län
Länsstyrelsen i Skåne län
Länsstyrelsen i Stockholms län
Länsstyrelsen i Västerbottens län
Länsstyrelsen Västra Götalands län
Migrationsverket
Myndigheten för samhällsskydd och
beredskap
Myndigheten för yrkeshögskolan
Naturvårdsverket
Rådet för Europeiska socialfonden i Sverige
Skatteverket
Specialpedagogiska skolmyndigheten
Statens energimyndighet
Statens institutionsstyrelse
Statens jordbruksverk
Statens skolverk
Statistiska centralbyrån
Styrelsen för internationellt
utvecklingssamarbete
Tullverket
Åklagarmyndigheten
Affärsverket svenska kraftnät
Arbetsförmedlingen
E-Hälsomyndigheten14
Finansinspektionen
Försvarets materielverk
Göteborgs universitet
Karlstads universitet
Karolinska institutet
Kungl. Tekniska högskolan
Lantmäteriet
Linköpings universitet
Linnéuniversitetet
Luftfartsverket
Luleå tekniska universitet
Lunds universitet
Läkemedelsverket
Malmö högskola
Mittuniversitet
Pensionsmyndigheten
Riksgäldskontoret
Rikspolisstyrelsen och polismyndigheterna
Skogsstyrelsen
Statens kulturråd
Statens servicecenter
Statens tjänstepensionsverk
Stockholms universitet
Sveriges lantbruksuniversitet
Tillväxtverket
Totalförsvarets forskningsinstitut
Trafikverket
Transportstyrelsen
Umeå universitet
Universitets- och högskolerådet
Uppsala universitet
Örebro universitet
13
Har inte tillämpat internrevisionsförordningen enligt skrivelse
till ESV 2014-12-15.
14
Myndighetens internrevision inrättas 2014-01-01.
45
BILAGA 1 – INTERNREVISIONSMYNDIGHETER 2014
Internrevisionsförordningen gäller för förvaltningsmyndigheter under regeringen i
den omfattning som regeringen föreskriver i myndighetens instruktion eller i någon
annan förordning eller beslutar särskilt.15 De myndigheter som ska inrätta
internrevision är anslutna till statsredovisningen.
Förvaltningsmyndigheter
Myndigheter under regeringen
16
Myndigheter under regeringen inom statsredovisningen
17
2014
2013
2012
370
372
372
221
224
227
Myndigheter i redovisningen
Myndigheter som ska sluta tillämpa internrevisionsförordningen
1
2
0
Myndigheter som ska börja tillämpa internrevisionsförordningen
1
2
1
Internrevision enligt internrevisionsförordingen
66
66
66
Undantag från att lämna information till redovisningen
1
1
1
Myndigheter som lämnar information om tillämpningen
65
65
65
Knappt en tredjedel av antalet myndigheter som är anslutna till statsredovisningen
har internrevision. Stora delar av statsredovisningens verksamhet, transfereringar och
uppbörd omfattas av internrevision i och med att myndigheterna med omfattande
uppbörd eller transfereringar eller stora personalkostnader har internrevision.
Internrevisionens inom Mälardalens högskola har upphört efter beslut av regeringen.
15
1 § internrevisionsförordning (2006:1228).
Myndigheter under regeringen 1 januari enligt Statskontorets beräkning.
Anslutna till statens centrala redovisningssystem enligt 6 § förordning (1994:1261) om statliga myndigheters
redovisningssystem. Riksdagsförvaltningen, Riksdagens ombudsmän, Riksrevisionen och Kungliga hov- och
slottsstaten är också anslutna men ingår inte antalet.
16
17
46
BILAGA 2 – UTFALL AV TILLÄMPNING AV BESTÄMMELSERNA
Bilaga 2 – Utfall av tillämpning av
bestämmelserna
Informationen är inhämtad via internrevisionsenkäten.
Tabellen visar antal myndigheter som tillämpar de bestämmelser som mäts för
respektive år.
Tillämpning av internrevisionsförordningen
2014
2013
2012
65
65
65
1.1. Leds internrevisionen av en chef?
65
65
65
18
1.2. Är internrevisionens chef anställd av myndigheten?
63
65
65
19
1.3. Är internrevisionen inrättad direkt under myndighetsledningen?
65
-
64
20
1.4. Är internrevisionen självständig i förhållande till den granskade
verksamheten?
65
-
65
21
65
-
64
22
3.1. Har internrevisionen granskat utifrån en analys av verksamhetens
risker?
65
64
64
23
3.2. Omfattar analysen av verksamhetens risker en bedömning av
otillbörlig påverkan, bedrägeri eller annan oegentlighet?
64
-
64
24
3.3. Har internrevisionen självständigt granskat om ledningens interna
styrning och kontroll är utformad så att myndigheten med rimlig
säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen?
62
64
64
25
26
-
60
27
65
-
65
28
65
-
63
29
Myndigheter som omfattas
1. Organisering
2. Uppgifter
2.1. Har internrevisionen granskat och lämnat förslag till förbättringar av
myndighetens process för intern styrning och kontroll?
3. Granskningens inriktning
4. Råd och stöd
4.1. Har internrevisionen lämnat råd och stöd till styrelsen och chefen
för myndigheten?
60
5. Omfattning
5.1. Omfattar internrevisionen den verksamhet som myndigheten
bedriver eller ansvarar för?
6. Bedrivande
6.1. Bedrivs internrevisionen enligt såväl god internrevisionsed som
god internrevisorssed?
18
Fråga 1.1.
Fråga 1.2.
20
Fråga 2.1 men avsåg då gällande bestämmelser om placering under myndighetschefen.
21
Fråga 2.2 men avsåg då fristående från den operativa verksamheten.
22
Fråga 6.1.
23
Fråga 6.1 men avsåg även granskat ledningens interna styrning och kontroll.
24
Fråga 6.5.
25
Fråga 2.3 men avsåg då självständigt föreslagit och genomfört granskning.
26
En myndighet har svart ej tillämpbar.
27
Fråga 6.12 men avsåg myndighetschef. Det är ingen avvikelse då 5 myndigheter svarar, inte tillämbar.
28
Fråga 5.
29
Fråga 6.14.
19
47
BILAGA 2 – UTFALL AV TILLÄMPNING AV BESTÄMMELSERNA
7. Samordning
7.1. Har myndigheten verkat för samarbete om internrevision med
annan myndighet för att ta till vara de fördelar som kan vinnas för
30
staten som helhet?
31
-
8.1. Har internrevision redovisat resultatet av granskningen i form av
iakttagelser och rekommendationer?
65
64
65
32
8.2. Har internrevisionen rapporterat rekommendationerna och
iakttagelserna till myndighetsledningen?
65
64
-
33
9.1. Har myndighetsledningen beslutat om riktlinjer för
internrevisionen?
65
65
65
34
9.2. Har myndighetsledningen beslutat om en revisionsplan för
internrevisionen?
64
64
64
35
9.3. Har myndighetsledningen beslutat om åtgärder med anledning av
de iakttagelser och rekommendationer som internrevisionen
rapporterat?
65
62
64
36
37
-
64
38
44
-
8. Rapportering
9. Internrevisionens uppdragsgivare
10. Tillgång till uppgifter
10.1. Har myndighetledningen, i den utsträckning det inte mött hinder
på grund av bestämmelse om sekretess, sett till att internrevisionen fått
tillgång till de uppgifter de behöver?
64
30
Bestämmelsen i internrevisionsförordningen anger att myndigheterna får samordna internrevisionen men är inte
tvingande. Bestämmelsen om att verka för samarbete i myndighetsfördoningen är tvingande.
31
Fem myndigheter har svaret ej tillämpbart.
32
Fråga 9.1 men även rapporterat till myndighetsledningen.
33
Ingår i 8.1 ovan.
34
Fråga 5.1.
35
Fråga 5.4.
36
Fråga 10.1.
37
En myndighet har svarat ej tillämpbart.
38
Fråga 2.6, avsåg om internrevisionen fått tillgång till den information och de upplysningar som internrevisionen
behöver.
48
BILAGA 3 – INTERNREVISIONEN GER RÅD OCH STÖD
Bilaga 3 – Internrevisionen ger råd och stöd
Informationen inhämtad via internrevisionsenkäten.
Internrevisionen ska ge råd och stöd till myndighetens ledning och chefen för
myndigheten.39 Råd och stöd kan också lämnas till andra än myndighetens ledning
och chefen för myndigheten om det framgår av internrevisionens riktlinjer.40
I enkätsvaren har myndigheterna redovisat olika exempel på områden där
internrevisionen har lämnat råd och stöd. Där finns bland annat angivit följande
områden:
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
39
40
Attestregler
Avtalshantering
Bedömning av myndighetens interna styrning och kontroll
Bedömning av styrning och intern kontroll
Bisysslor
Budgetunderlag
Dataanalys
Dokumenthantering
Effektiviserings- och förändringsarbete
Ekonomi
Etiska riktlinjer
Förmånsbeskattning
Hyresavtal
Informationssäkerhet
Internationella samarbeten
It
Kommentera kvartalsrapporter
Kontroller i lönerelaterade tjänster
Kärnprocesser
Lean
Ledning, styrning och organisation
Medarbetarundersökning
Myndighetsspecifika områden
Organisations- och verksamhetsutveckling
Projekt inom myndigheten
Projektmodellen
5 § internrevisionsförordningen (2006:1228).
ESV:s allmänna råd till 5 § internrevisionsförordningen (2006:1228).
49
BILAGA 3 – INTERNREVISIONEN GER RÅD OCH STÖD
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
50
Projektredovisning
Redovisningsfrågor
Regelefterlevnad
Regelverk
Risk för oegentligheter/korruption
Riskanalysmodell
Riskbedömning
Sociala medier
Styrelsens arbete och beslutsfattande
Styrmodellen
Tertialavstämningar
Tolkning av IRF
Upphandling
Utformning av revisionsutskott
Utveckling av kontrollstruktur i processer
Whistleblower funktion
Årliga uppföljningar av verksamhetsplanerna
Årsredovisningens resultatredovisning
Översyn av styrdokument
BILAGA 4 – INTERNREVISIONENS DIMENSIONERING
Bilaga 4 – Internrevisionens dimensionering
Informationen är inhämtad via internrevisionsenkäten.
Antalet internrevisorer
Totalt
Kvinnor
Män
2014
139
57
82
2013
148
66
82
2012
146
67
79
2011
139
63
76
Internrevisionschefer – procentuell fördelning på kvinnor och män
Antal myndigheter
Kvinnor %
Män %
2014
65
45
55
2013
63
43
57
2012
65
49
51
2011
66
47
53
Årsarbetskrafter inklusive konsulter
Totalt
2014
146
2013
149
2012
150
2011
144
Arbetad egen tid (timmar)
Totalt
2014
215 796
2013
224 100
2012
214 800
2011
212 000
Fördelning av tid (inklusive konsulter)på aktiviteter
Aktiviteter
Totalt arbetad tid
Planering/uppföljning
2014
2013
2012
2011
225 300
224 079
222 900
221 700
21 700
25 204
23 000
24 200
Granskning
142 600
144 958
137 300
132 800
Rådgivning
18 700
16 204
17 200
18 200
Egen kompetensutveckling
12 300
11 068
11 100
10 600
Övrigt
30 000
26 645
26 200
26 200
51
BILAGA 4 – INTERNREVISIONENS DIMENSIONERING
Antal år i yrket
Antal personer 2014-12-31
Antal personer 2013-12-31
14
14
Mindre än två år
Två år men mindre än tre
11
8
Tre år men mindre än sex
15
12
Sex år eller mer
99
114
139
148
Totalt
Internrevisionens dimensionering
2014
2013
66
43
9
7
8
44
Årsarbetskrafter inklusive konsulter
146
149
150
Antalet statliga internrevisorer
139
148
146
Medelantalet anställda
2,1
2,3
2,3
66
Antal myndigheter med revisionsutskott
41
2012
42
Antalet internrevisionsmyndigheter
66
Antalet enmansrevisorer
36
36
37
Antalet myndigheter med enmansrevisorer
40
39
41
11
11
15
215 800
224 100
214 800
9 500
9 700
8 100
88
75
78
Antal myndigheter med samordnad internrevision
45
Arbetad egen tid (timmar)
Arbetad tid konsulter (timmar)
Kompetensutveckling per anställd (timmar i genomsnitt)
Varit verksam som internrevisor tre år eller mer (%)
82
85
90
Andel kvinnor (%), andel kvinnliga internrevisionschefer (%)
41, 45
45, 43
46, 49
Ålder mellan 51 och 60 år (%), ålder över 60 år (%)
38, 20
40, 19
38, 18
Åldersfördelning internrevisorer
< 30
31 - 40
41 – 50
51 -60
61 -65
> 65
2014
4
23
31
53
25
3
2013
6
21
34
59
25
3
2012
2
23
39
56
24
2011
0
19
42
51
27
2
46
-
41
Läkemedelsverket har undantag från att besvara internrevisionsenkäten avseende 2014 eftersom myndigheten har
saknat interrevisor under 2014.
42
Inspektionen för vård och omsorg har undantag från att besvara internrevisionsenkäten avseende 2013 eftersom
myndigheten inte har funnits hela 2013.
43
Statens servicecenter hade undantag från att besvara internrevisionsenkäten avseende 2012 eftersom myndigheten
inte hade funnits hela 2012.
44
Varav en myndighet är Statens skolverk, enrådighetsmyndighet med insynsråd.
45
Sveriges Riksbank som delar internrevisionschef med Finansinspektionen lyder inte under Internrevisionsförordning
(2006:1228).
46
Saknas uppgift om personer över 65.
52
BILAGA 4 – INTERNREVISIONENS DIMENSIONERING
Internrevisionens certifieringar
Certified Internal Auditor (CIA)
Cert. in Riskmanagement Assurrance (CRMA)
Cert. Inf. System Auditing (CISA)
2014
2013
2012
2011
27
25
21
21
6
6
0
0
13
12
12
11
Cetr. Governm., Auditing Proff. (CGAP)
3
3
3
0
Cert. Contr. Self-Assessment (CCSA)
0
0
0
1
Qualification in Internal Audit Leadership (QIAL).
1
-
-
-
Cert. sakkunnig kommunal revision
9
7
6
4
Riksrevisionen cert. prov 1
5
8
8
10
Riksrevisionen cert. prov 2
3
3
3
3
Revisorsexamen
1
1
1
0
Högre revisorsexamen
1
1
1
1
Auktoriserad utan revisorsexamen
10
11
9
8
Certifiering i annan ordning
10
13
17
13
Totalt antal certifieringar
89
90
81
72
53
BILAGA 5 – INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING
Bilaga 5 – Internrevisionens arbete och
granskningens inriktning
Informationen är inhämtad via internrevisionsenkäten
Vad händer med internrevisionens iakttagelser och rekommendationer
Har myndighetens ledning beslutat om åtgärder med anledning av
internrevisionens rekommendationer?
Totalt
Ja
Nej
65
65
0
55
10
Antal rekommendationer som internrevisionen lämnat till
myndighetsledningen
1976
Antal rekommendationer som myndighetsledningen har accepterat
1833
Har myndigheten en fastställd process för att ta hand om
myndighetsledningens beslut, i vilken beslut om internrevisionens
rekommendationer ingår?
65
Råd och stöd från internrevision
Totalt
Ja
Nej
Har internrevisionen gett råd och stöd till myndighetens ledning
65
51
14
Om myndigheten leds av en styrelse, har internrevisionen gett råd och
stöd till myndighetens chef
65
21
44
Har internrevisionen genomfört granskningar som har varit till stöd för
myndighetsledningens uttalande i årsredovisningen om intern styrning
och kontroll
65
55
10
Internrevisionens granskningsområden
Granskningsområde – samtliga myndigheter
Ledningsprocesser
33 %
Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat
regeringsbeslut)
39 %
Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.)
28 %
Granskningsområde – enrådighetsmyndigheter
Ledningsprocesser
Andel
34 %
Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat
regeringsbeslut)
40 %
Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.)
26 %
Granskningsområde – styrelsemyndigheter
54
Andel
Andel
Ledningsprocesser
32 %
Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat
regeringsbeslut)
37 %
Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.)
30 %
BILAGA 5 – INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING
Granskningsområde – enmansfunktioner
Ledningsprocesser
Andel
36 %
Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat
regeringsbeslut)
35 %
Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.)
28 %
Granskningsområde – funktioner med fler än fem medarbetare
Andel
Ledningsprocesser
28 %
Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat
regeringsbeslut)
45 %
Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.)
28 %
Granskningens inriktning och innehåll, ledningsprocesser
Inriktningen på granskningen av ledningsprocesser innefattar
Andel
Myndighetsledningens ansvar för verksamheten: organisation, arbetsfördelning, delegering,
former för verksamheten och verksamhetsplan
85 %
Myndighetens riskhantering: riskanalys, kontrollåtgärder, skadeförebyggande åtgärder,
riskfinansiering och skadereglering, uppföljning och bedömning samt dokumentation
80 %
Myndighetens allmänna uppgifter: utveckla verksamheten, samarbete med myndigheter och
andra, tillhandhålla information om verksamheten samt följa sådana förhållanden utanför
myndigheten som har betydelse för verksamheten
57 %
Myndighetens informationssäkerhet
54 %
Myndighetens handläggning av ärenden: kostnadsmässiga konsekvenser, föredragning, och
beslut
38 %
Myndighetens arbetsgivarpolitik: samverka med andra myndigheter för att utveckla och
samordna den statliga arbetsgivarpolitiken, se till att de anställda är väl förtrogna med målen
för verksamheten, skapa goda arbetsförhållanden och ta till vara och utveckla medarbetarnas
kompetens och erfarenhet
32 %
Myndighetens krisberedskap och höjd beredskap
28 %
Myndighetens återrapportering till regeringen
26 %
Myndighetens säkerhetsskydd
23 %
Myndighetschefens ansvar gentemot styrelsen: direktiv och riktlinjer till myndighetschefen,
hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och
verkställa styrelsens beslut
20 %
Myndighetens åtgärder med anledning av invändning i Riksrevisionens revisionsberättelse
12 %
Myndighetens arbete med att inhämta yttrande genom remiss
Övrigt:
6%
15 %
− Ledning och styrning av verksamheten
− Upprättande och uppföljning av utfallsprognoser på sakanslag
− Miljöledningssystem
− Myndighetens beroende av kulturer
− Styrning av utvecklingsverksamhet
− Styrning av avveckling av äldre system
− Projekt för stärkande av intern styrning och kontroll
− Åtgärder för att införa ett informationssäkerhetssystem enligt LIS
− Intern styrning och kontroll för att minimera risken för oegentligheter
− Styrmodell för verksamhetsplanering och uppföljning
55
BILAGA 5 – INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING
Innehållet i granskningen av ledningsprocesser innefattar
Andel
Om verksamheten bedrivs effektivt
95 %
Om verksamheten bedrivs enligt ledningens direktiv och riktlinjer
91 %
Om verksamheten bedrivs enligt gällande rätt
88 %
Uppföljning och bedömning av den interna styrningen och kontrollen
85 %
Genomförandet av riskhantering: riskanalys, kontrollåtgärder, uppföljning och bedömning
samt dokumentation
82 %
Om verksamheten upprätthåller god hushållning
77 %
Om verksamheten utvecklas
77 %
Delegering av ansvar (ansvarsfördelning och ansvarstagande)
77 %
Om verksamheten redovisas rättvisande och tillförlitligt
63 %
Om de anställda är väl förtrogna med syfte och mål för verksamheten
62 %
Arbetet med att motverka bedrägeri och oegentligheter
55 %
Om de anställdes kompetens och erfarenhet tillvaratas och utvecklas
55 %
Etik och värderingar i organisationen
46 %
Om goda arbetsförhållanden upprätthålls
40 %
Om verksamheten bedrivs enligt förpliktelser till EU
32 %
Om verksamheten verkar för att samarbeta med annan myndighet
25 %
Övrigt:
2%
− Riskhantering och uppföljning av ISK
− Uppföljningsrevision av kontrollåtgärder inom it-säkerhet
Granskningens inriktning och innehåll, kärnprocesser
Inriktningen på granskningen av kärnrocesser innefattar
Myndighetens uppgifter enligt instruktion, regleringsbrev eller annat regeringsbeslut
75 %
Myndighetens medverkan i EU-arbetet och annat internationellt samarbete
15 %
Övrigt:
23 %
− Intern styrning och kontroll
− Samverkan med kommuner
− Förebygga fusk inom ut bildning
− Forskningssamverkan och centrumbildningar
− e-lärande
− Kvalitet i forskningsansökningar
− Regelefterlevnad (compliance och följsamhet)
− Remisshanteringen
− Projektstyrning (byggprojekt)
− Processer kopplade till forskningsverksamhet
− Granskning av leverantörer
56
Andel
BILAGA 5 – INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING
Innehållet i granskningen av kärnprocesser innefattar
Andel
Om verksamheten bedrivs enligt ledningens direktiv och riktlinjer
83 %
Uppföljning och bedömning av den interna styrningen och kontrollen
82 %
Om verksamheten bedrivs effektivt
82 %
Om verksamheten bedrivs enligt gällande rätt
78 %
Delegering av ansvar (ansvarsfördelning och ansvarstagande)
75 %
Genomförandet av riskhantering: riskanalys, kontrollåtgärder, uppföljning och bedömning
samt dokumentation
75 %
Om verksamheten utvecklas
74 %
Om verksamheten upprätthåller god hushållning
72 %
Om verksamheten redovisas rättvisande och tillförlitligt
66 %
Om de anställda är väl förtrogna med syfte och mål för verksamheten
58 %
Arbetet med att motverka bedrägeri och oegentligheter
55 %
Om de anställdes kompetens och erfarenhet tillvaratas och utvecklas
43 %
Om goda arbetsförhållanden upprätthålls
40 %
Etik och värderingar i organisationen
38 %
Om verksamheten bedrivs enligt förpliktelser till EU
29 %
Om verksamheten verkar för att samarbeta med annan myndighet
28 %
Övrigt:
11 %
− Remisshantering
− Intern styrning och kontroll
− Bedrägerier och oegentligheter
− Utbetalningar
57
BILAGA 5 – INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING
Granskningens inriktning och innehåll, stödprocesser
Inriktningen på granskningen av stödprocesser innefattar
Myndighetens upphandling
43 %
Myndighetens inköpssamordning
26 %
Myndighetens betalningar och medelsförvaltning
26 %
Myndighetens allmänna handlingar
25 %
Myndighetens årsredovisning
23 %
Myndighetens elektroniska informationsutbyte
22 %
Myndighetens redovisningssystem
22 %
Myndighetens arbete med att ta emot inkommen handling, anteckna uppgifter och förteckna
ärenden
18 %
Myndighetens bokföringsskyldighet
15 %
Myndighetens budgetunderlag
14 %
Myndighetens arkivbildning
14 %
Myndighetens disposition av anslag
12 %
Myndighetens miljöledning
11 %
Myndighetens kompensation för ingående mervärdesskatt
11 %
Myndighetens delårsrapport
9%
Myndighetens kapitalförsörjning
9%
Myndighetens mottagande och förvaltning av donationer och åtagande att förvalta en stiftelse
6%
Myndighetens hantering av statliga fordringar
5%
Myndighetens uttag av avgifter
3%
Myndighetens energieffektiva åtgärder
3%
Myndighetens konsekvensutredning vid regelgivning
Övrigt:
− It-säkerhet
− It-drift
− It-kostnader
− Outsourcing av it-drift
− Informationssäkerhet
− Risker i upphandling
− Fysisk säkerhet
− E-lärande
− Styrdokument inom det ekonomiadministrativa området
− Myndighetens representation
− Rutiner för hantering av bisyssla
− Kontroll över tjänsteresor
− Personal och kompetensförsörjning
− Jävsfrågor
− Donationer och bidrag
− Informations och kommunikationsarbete
− Projektstyrning
− Mångfaldsarbete
− Intern styrning och kontroll i dotterbolag
− Lönehanteringsprocesser
58
Andel
0%
37 %
BILAGA 5 – INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING
Innehållet i granskningen av stödprocesser innefattar
Andel
Om verksamheten bedrivs effektivt
82 %
Om verksamheten bedrivs enligt ledningens direktiv och riktlinjer
77 %
Genomförandet av riskhantering: riskanalys, kontrollåtgärder, uppföljning och bedömning
samt dokumentation
75 %
Uppföljning och bedömning av den interna styrningen och kontrollen
75 %
Delegering av ansvar (ansvarsfördelning och ansvarstagande)
72 %
Om verksamheten bedrivs enligt gällande rätt
71 %
Om verksamheten utvecklas
68 %
Om verksamheten upprätthåller god hushållning
68 %
Om verksamheten redovisas rättvisande och tillförlitligt
58 %
Arbetet med att motverka bedrägeri och oegentligheter
54 %
Om de anställda är väl förtrogna med syfte och mål för verksamheten
51 %
Om de anställdes kompetens och erfarenhet tillvaratas och utvecklas
37 %
Etik och värderingar i organisationen
34 %
Om goda arbetsförhållanden upprätthålls
32 %
Om verksamheten bedrivs enligt förpliktelser till EU
23 %
Om verksamheten verkar för att samarbeta med annan myndighet
18 %
Övrigt:
9%
− Tydlighet och ändamålsenligheten i interna styrdokument
− Informationssäkerhet och riskhantering
59
BILAGA 6 – SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING
Bilaga 6 – Sammanställning av
förbättringsområden från kvalitetssäkring
Externa kvalitetssäkringar
Förbättringsförslag utifrån IIA:s International Professional Practice Framework
(IPPF)47
Områden med förbättringsförslag utifrån IPPF, 10 myndigheter
Antal myndigheter
1000 – Syfte, befogenheter och ansvar
3
1100 - Oberoende och Objektivitet
4
1200 - Kompetens och vederbörlig yrkesskicklighet
1
1300 - Kvalitetssäkring och kvalitetsförbättringsprogram
1
2000 - Leda internrevisionsverksamhet
7
2100 - Arbetets beskaffenhet
2
2200 - Planering av åtagande
6
2300 - Genomföra åtagande
1
2400 - Rapportera resultat
3
2500 - Övervaka process och resultat
2
2600 -Uttalande rörande ledningens riskacceptans
1
1000 – Syfte, befogenhet och ansvar: Rekommendationerna handlade bland annat
om att ledningen borde formulera internrevisionens uppgift och utveckla formerna
för internrevisionens rådgivning. Förslag till ledningen att tydliggör att
internrevisionen är underställd styrelsen. Internrevisionens riktlinjer bör uppdateras.
1100 – Oberoende och objektivitet: Förslag lämnas att ge styrelsens ordförande i
uppdrag att ansvara för utvecklingssamtalet med internrevisionschefen.
Rekommendation om att internrevisionens direkta samverkan med ledningen
behövde öka. Styrelsen bör ha förberedande diskussioner med internrevisionen om
internrevisionens inriktning och omfattning. Internrevisionen ska samverka direkt
med styrelsen. Internrevisionens bemanning, resursplan, och behov bör diskuteras
med styrelse och ledning utifrån riskanalys och förslag till revisionsplan.
1200 – Kompetens och vederbörlig yrkesskicklighet: Rekommendationerna
behandlar bland annat behovet av att höja revisionskompetensen inom
internrevisionen.
47
De förbättringsförslag som redovisas här är enbart de som angivits som mest väsentliga i rapporterna från
kvalitetssäkringarna.
60
BILAGA 6 – SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING
1300 – Kvalitetssäkring och kvalitetsförbättringsprogram: Rekommendationerna
handlade bland annat om att införa en mer formaliserad återkoppling från
intressenter.
2000 – Leda internrevisionsverksamhet: Rekommendationerna handlar bland
annat om att sambandet mellan organisationens mål och internrevisionens förslag till
granskningar behöver dokumenteras tydligare. Modellen för riskanalys bör ses över
för att få ett tydligt samband mellan organisationens mål, riskanalys och
revisionsplan. Förslag till myndigheten att överväga att synkronisera tidpunkten för
ledningens och internrevisionens riskanalyser. Ett annat förslag som lämnades var att
ha mer kontinuerliga och strukturerade informationsutbyten med chefer i samband
med riskanalysen och att använda myndighetens riskanalys som en del i underlaget
för internrevisionens riskanalys. Föreslogs även att internrevisionen i samband med
riskanalysen borde identifiera risker avseende oegentligheter. Ett annat förslag var att
internrevisionen borde kartlägga den interna styrningen och kontrollen vid
myndigheten. Rekommenderades att internrevisionen tar upp en diskussion med
styrelse och GD om hur slutsatser, utlåtanden och bedömningar kan formaliseras i
rapporterna.
2100 – Arbetets beskaffenhet: Rekommendationerna handlade bland annat om att
internrevisionen borde utveckla en process för att utvärdera myndighetens process
för riskhantering. Framfördes att internrevisionens ansvar bör framgå av
internrevisionens ”Audit Universe”.
2200 – Planering av åtagande: Rekommendationerna handlar bland annat om att
utveckla arbetsprogramen för de enskilda granskningsuppdragen. Att uppdaterade
granskningsprogram saknades. Planering av åttagande, revisionsfrågorna,
riskbedömning, planeringsöverväganden, uppdragets omfattning,
bedömningskriterier och målsättning bör framgå av granskningsplanen. Syfte,
arbetsformer och tidplan bör presenteras vid ett uppstartsmöte. Revisionsfrågan bör
diskuteras och metoder och avgränsningar dokumenteras tydligare. Riskanalysarbetet
kan förbättras genom att internrevisionen och ledningen kommunicerar för att uppnå
en samsyn om organisationens väsentliga brister.
2300 – Genomföra åtagande: Rekommendationerna handlade bland annat om att
omarbeta de interna reglerna för bevarandet av dokumentation.
2400 – Rapportera resultat: Rekommendationerna handlade bland annat om att
förkorta rapporteringsfasen och att förenkla rapporteringen och att internrevisionen
borde överväga att använda sig av ett övergripande omdöme i rapporterna där det
tydligt framgår vilka kriterier som omdömet grundar sig på. Internrevisionens
61
BILAGA 6 – SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING
rekommendationer bör utformas med begränsad inblandning från GD
(styrelsemyndighet). GD:s kommentarer och åtgärder bör presenteras i en
åtgärdsplan som presenteras för och fastställs av styrelsen samtidigt med
internrevisionens rapport.
2500 – Övervaka process och resultat:
Rekommendationerna handlar bland annat om att utveckla processen för åtgärder
med anledning av internrevisionens rekommendationer. (Processen är oklar och det
är svårt att följa vilka åtgärder som styrelsen faktiskt beslutat om.)
2600 – Uttalande rörande ledningens riskacceptans: Rekommendationen handlar
om att internrevisionen ska rapportera till styrelsen om den operationella ledningens
förmåga att identifiera de väsentligaste riskerna och hur man hanterar dem.
Intern kvalitetssäkring
De förbättringsområden som internrevisionsfunktionerna har identifierat i samband
med intern kvalitetssäkring handlade bland annat om att:
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
62
Anpassa revisionsprocessen till ledningsprocessens årsplan.
Arbeta med riskanalysmetoder.
Att knyta internrevisionens riskanalys till myndighetens egen analys.
Att uppdatera interna instruktioner.
Dokumentera återkopplingen från de som granskats.
Effektivisera den interna distributionen av internrevisionens rapporter.
Effektivisera kommunikationsvägarna med verksamheten.
Föra en dialog med styrelsens ordförande om att öka nyttan med
internrevisionen.
Förbättra dokumentationen av granskningarna.
Förbättra dokumentationen av riskanalysen.
Förbättra och systematisera uppföljningen avseende åtgärder med anledning av
internrevisionens rekommendationer samt förbättra dokumentationen av dessa.
Förbättra rapporteringen till myndighetens ledning.
Förbättra rutinerna för feedback till internrevisionen.
Förbättra rutinerna för tidsplanering.
Förbättra rutinerna kring dokumentation när externa konsulter används.
Förtydliga och dokumentera revisionsmetodiken.
Göra tydligare avgränsningar av revisionsuppdragen.
Knyta fler internationella kontakter.
Kompetensutvecklingsaktiviteter.
Se över den löpande kommunikationen med verksamhetsansvariga.
Se över rutinerna för bevarande av dokumentation.
BILAGA 6 – SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING
−
−
−
−
−
−
−
−
−
−
−
−
Ta fram Audit Universe.
Ta fram former för självutvärdering.
Uppdatera riktlinjerna.
Utveckal uppföljningen av nyckeltal så att kvalitetsaspekten tas med.
Utveckla administrativa rutiner.
Utveckla formerna för internrevisionens riskanalys och hur den kommuniceras
med för myndighetens ledning.
Utveckla förankringen av granskningarna.
Utveckla kvalitetsarbetet.
Utveckla/uppdatera revisionshandboken och revisionsprocessen.
Utöka arbetet med dataanalyser.
Vidareutveckla riskanalysarbett med internrevisionens riskanalys.
Öka andelen revision som genomförs av anställd internrevisor.
63
ORDLISTA
Ordlista
God internrevisionssed – med god internrevisionssed menas att internrevisorn med
yrkesmässiga revisionsmetoder har skaffat sig tillräckliga underlag för sina iakttagelser och
rekommendationer
God internrevisorssed – med god internrevisorssed menas att internrevisorn följt de
grundläggande värderingar och principer som utgår från etiska och yrkesmässiga krav
Intern miljö, Intern kontrollmiljö – de interna förutsättningar som påverkar en
verksamhets förmåga att fullgöra sina uppgifter och nå sina mål
Intern styrning och kontroll – process som syftar till att en statlig myndighet med
rimlig säkerhet fullgör ansvaret för verksamheten
Internrevision – revision som bedrivs av en funktion lokaliserad internt inom myndigheten
Kontrollåtgärd – aktiviteter som vidtas för att hantera risker utifrån en riskanalys
Mål – önskat framtida tillstånd
Resultat – de prestationer som myndigheten åstadkommer och de effekter prestationerna
leder till
Revision – granskning och utvärdering utförd av en objektiv och oberoende funktion
Rimlig säkerhet – förhållande som innebär att den interna styrningen och kontrollen är
tillräcklig för att kunna fullgöra verksamhetskraven
Risk – möjligheten att en negativ händelse ska inträffa
Riskacceptens – övergripande nivå på och/eller kategori av risker som är godtagbara för
verksamheten
Riskanalys – samordnade aktiviteter för att identifiera händelser som utgör ett hot, värdera
dessa och välja om och hur dessa ska accepteras
Verksamhetskrav – myndighetsledningens ansvar inför regeringen att verksamheten ska
fullgöras inom vissa förutsättningar
64
65
ESV gör Sverige rikare
–Vi har kontroll på statens finanser, utvecklar ekonomistyrningen
och granskar Sveriges EU-medel.
–Vi arbetar i nära samverkan med Regeringskansliet och myndigheterna.
Ekonomistyrningsverket
Drottninggatan 89
Box 45316
104 30 Stockholm
Tfn 08-690 43 00
Fax 08-690 43 50
www.esv.se