Att genomföra revisionen

Utgångspunkten för internrevisionsårets revisioner är de aktiviteter som är upp-tagna i den beslutade revisionsplanen. En revision omfattar planering, genomför-ande och rapportering. I bilaga 7 finns en checklista som ni kan använda som stöd vid genomförandet av en revision.

6.3.1 Planering av revisionsaktiviteterna

Hur internrevisionen planerar sin verksamhet varierar beroende på revisionsupp-dragets omfattning men även utifrån internrevisionens tillgängliga resurser.

Planeringen av en revision ska ske genom att ni fördjupar era kunskaper inom det aktuella området genom att samla in information. Informationsinsamlingen kan ske genom intervjuer, genomläsning av styrdokument, rapporter och resul-tat från tidigare granskningar, men även utifrån er kännedom om myndighetens verksamhet. Ni bör formulera revisionsmål och revisionsfrågor som ska besvaras för varje gransknings- och rådgivningsuppdrag.

Det kan förekomma att internrevisionen genomför en fördjupad riskanalys innan revisionen påbörjas. En fördjupad riskanalys kan ses som en form av

förstu-internrevisionsprocessen

die eller underlag till granskningsplan och ska ha en koppling till revisionsplanen.

Den kan innehålla en analys av specifika risker, rutiner, regelverk och eventuellt kompletterande intervjuer. Resultatet av den fördjupade riskanalysen resulterar antingen i att revisionen ska fullföljas eller att den inte ska påbörjas. En anledning till att den inte ska påbörjas kan vara omständigheter som visar att gransknings-området inte har de identifierade svagheter som tidigare bedömts eller att verk-samheten inrättat tillfredsställande kontroller.

Ett annat sätt att göra förstudien kan vara att genomföra den inom ramen för riskanalysarbetet. Då kan vissa förslag sållas bort innan de hamnar i revisionspla-nen. Det innebär att mer tid läggs på riskanalysfasen och mindre på granskningar.

Revisionsplanen kommer då endast att innehålla granskningar som är gransk-ningsvärda.

Internrevisionen tar utifrån underlaget till revisionsplan fram en gransknings-plan innan arbetet med revisionen påbörjas. Granskningsgransknings-planen kan innehålla:

− revisionens omfattning och revisionsmål,

− tidsplan,

− resurser,

− vilka som ska genomgöra revisionen (vem som gör vad),

− revisionsfrågor,

− mottagare av rapportering,

− vilka rapporten ska stämmas av med samt

− övriga önskemål.

Utifrån analysen av aktiviteterna i underlaget till granskningsplan och den större förståelse som erhållits av granskningsområdet avgör ni vilken typ av granskning som ni ska genomföra och med vilka metoder.

Kontakta och informera den ansvariga chefen om den aktuella revisionen.

Tidpunkten för granskningen bör stämmas av med ansvariga chefer. Det kan vara lämpligt att göra redan när ni fastställer årsplanen.

6.3.2 Genomför revisionen i enlighet med granskningsplanen

Myndighetens ledning ska se till att ni får tillgång till de uppgifter och upplys-ningar som ni behöver för att kunna genomföra uppdraget.

Revisionen genomförs i enlighet med granskningsplanen. Revisionen omfattar i regel en kombination av intervjuer, granskning av underlag i form av riktlinjer, verifikationer och andra underlag, observationer samt analyser. I förekommande fall kan även en enkätundersökning genomföras.

6.3.2.1 Internrevisionen granskar myndighetens olika processer

Internrevisionens granskning genomförs inom myndighetens olika processer.

Dessa kan indelas i ledningsprocesser, kärnprocesser eller stödprocesser.

internrevisionsprocessen internrevisionsprocessen

Internrevisionen granskar genomförande och effekter till följd av ledningens olika beslut. Revision av ledningsprocesser utifrån kraven i myndighetsförord-ningen (2007:515) omfattar exempelvis:

− granskning av myndighetsledningens ansvar för verksamheten (organisation, arbetsfördelning med mera),

− myndighetens allmänna uppgifter (utveckla verksamheten, samarbete med andra myndigheter med mera),

− myndighetens arbetsgivarpolitik (samverkan med andra myndigheter med mera),

− myndighetschefens ansvar gentemot styrelsen (direktiv och riktlinjer med mera),

− myndighetens handläggning av ärenden (kostnadsmässiga konsekvenser med mera),

− åtgärder med anledning av en modifierad revisionsberättelse i Riksrevisionens revisionsberättelse,

− myndighetens riskhantering²³.

Revision av myndighetens kärnprocesser utgörs av granskning av myndighetens uppgifter enligt instruktion. Granskningen av stödprocesser utgörs av granskning av it, lokalförsörjning, personaladministration, ekonomi, juridik med mera.

En granskning kan göras med en eller flera revisionsinriktningar:

− Verksamhetsinriktad revision består av granskningar för att bedöma om verksamhetsprocesser och rutiner inom myndigheten är effektiva och ändamålsenliga, att avsedda mål och resultat uppnåtts samt om myndigheten fungerar på avsett sätt.

− Regelefterlevnadsrevision bedömer om verksamheten följer interna och externa regelverk.

− Finansiell revision är en analys och värdering av redovisning och ekonomiska rapporter för att bedöma om informationen är tillförlitlig och rättvisande.

− Effektivitetsrevision²⁴ bedömer effekterna av de reviderade aktiviteterna (internt inom myndigheten men kan även vara ur ett samhällsperspektiv) och kan indelas i kostnadseffektivitet/hushållning, inre effektivitet/resursutnytt-jande/ produktivitet samt effekter och måluppfyllelse (detta är beteckningen för den revision som utförs av effektivitetsrevisionen vid Riksrevisionen).

It-revision ingår vanligtvis som en del i de övriga granskningsmetoderna men kan även vara en renodlad it-granskning. Granskning av tillhörande stödfunktioner kan vara granskning av applikationer (betalning, personal med mera), granskning

23 Förordning (1995:1300) om statliga myndigheters riskhantering. Förordning (2007:603) om intern styrning och kontroll.

24 Enligt Lag om revision av statlig verksamhet 4 § framgår att effektivitetsrevisionen huvudsakligen ska inriktas på granskning av hushållning, resursutnyttjande, måluppfyllelse och samhällsnytta.

internrevisionsprocessen

av it-säkerhet, systemförvaltning och systemutveckling. En renodlad it-revision kan vara granskningar av till exempel integrationsplattformar som kopplar app-likationer till varandra, tekniska säkerhetslösningar av själva driften, servrar eller liknande granskningar.

6.3.2.2 Granskningen ska dokumenteras

För varje granskning ska det finnas ett granskningsprogram där revisionsfrågorna som granskningen ska ge svar på finns dokumenterade. Även de granskningsak-tiviteter ni ska genomföra ska framgå av granskningsprogrammet. Det ska också framgå av dokumentationen vilka iakttagelser som ni har gjort och vilka slutsatser ni har dragit. Det ska vara möjligt att i efterhand se vad som granskats, när och hur granskningen genomfördes, vem eller vilka som genomförde granskningen och vilka slutsatser som dragits av den. Dokumentationen ska vara ordnad och strukturerad på ett sådant sätt att det går att hitta revisionsbevisen som underbyg-ger de iakttagelser och slutsatser ni har redovisat i er rapportering.

Samma krav ställs på dokumentationen även om konsulter anlitats. Internre-visionschefen ska därför alltid säkerställa att dokumentation från konsulter blir myndighetens egendom efter avslutat uppdrag. Dokumentation från anlitade konsulter kvalitetssäkras på samma sätt som det material som producerats av egen personal.

När revisionen har avslutats ska akten rensas från arbetsmaterial som inte tillför något till ärendet. I akten kan bland annat finnas granskningsplan, gransknings-program och checklistor, dokumentation av utfört arbete, iakttagelser och slut-satser, minnesanteckningar från intervjuer, underlag som tillförts noteringar av revisor (se även avsnitt 4.1 och 4.3).

Information som framkommer under granskningen och som har betydelse för kommande riskanalysarbete bör löpande dokumenteras i riskanalysen.

6.3.3 Lämna rapportering

All slutlig rapportering ska vara tydlig och begriplig för mottagaren. Det måste finnas möjlighet för en utomstående att förstå varför internrevisionen har dragit sina slutsatser i rapporten. Stöd rapporteringen på fakta och underbygg sakin-nehållet baserat på dokumentation från granskningen och genom avstämning med verksamhetsansvariga (dokumentation av detta kan till exempel ske genom tjänsteanteckningar). I rapporten ska det finnas rekommendationer om åtgärder med anledning av iakttagelserna. Den slutliga avrapporteringen ska enligt god internrevisionssed ske skriftligt. Eventuella avvikelser från god internrevisionssed under arbetets utförande ska framgå av rapporteringen. I rapporteringen ska ni även upplysa om internrevisionen varit förhindrad att ta del av information som den bedömer vara väsentlig för uppdragets genomförande och hur detta kan ha begränsat granskningen.

internrevisionsprocessen internrevisionsprocessen

6.3.3.1 Lämna rapporter till myndighetens ledning

Internrevisionen ska enligt internrevisionsförordningen rapportera direkt till myndighetens ledning. Myndighetens ledning är styrelsen, om myndigheten har en styrelse, eller myndighetens chef, om myndigheten är en enrådighetsmyn-dighet. Att ni rapporterar direkt till er uppdragsgivare är grundläggande för ert oberoende.

Myndighetsledningens önskemål för formerna för och utformningen av intern-revisionens rapportering regleras i myndighetsledningens riktlinjer till internrevi-sionen. Se även avsnitt 2.2.3.

Rapportering till myndighetens ledning ska ske efter det att ni har avslutat granskningen. För att undvika sakfel är det viktigt att iakttagelserna är avstämda med den del av organisationen som varit föremål för granskningen. Löpande avrapporteringar kan ske muntligt eller skriftligt. Iakttagelser av större vikt bör rapporteras till myndighetsledningen så snart som möjligt. Tillvägagångssättet kan beskrivas i myndighetsledningens riktlinjer till internrevisionen.

Internrevisionen ska enligt god internrevisorssed vara självständig i sin ning och rapportering. Ni avgör vilken information som behövs i varje gransk-ningsuppdrag och är ansvariga för era iakttagelser, slutsatser och rekommendatio-ner i rapporteringen. Det är viktigt att ni utformar modellen för rapportering på ett sådant sätt att myndighetsledningens behov av information tillgodoses.

6.3.3.2 Vad ska internrevisionsrapporten innehålla?

Grunden för internrevisionens rapportering är internrevisionens dokumentation av genomförda granskningar. Det måste vara möjligt att återfinna de revisionsbe-vis i dokumentationen som ligger till grund för iakttagelserna i internrerevisionsbe-visionens rapportering.

Rapporten är slutprodukten (prestationen) av ert arbete. Det är därför vik-tigt att den är utformad på ett sådant sätt att rapportens mottagare, det vill säga myndighetens ledning, har lätt att ta del av den. Myndigheternas behov avseende utformningen av rapporten kan framgå av riktlinjerna till internrevisionen. Det är mottagarens behov och förväntningar som ska styra utformningen av rapporten.

Målet för, och omfattningen av granskningen, bör framgå av rapporten. Det bör finnas en sammanfattning med problem- och lägesbeskrivningar som är kortfattade och lättbegripliga. Överväg om ni kan lägga mer tekniska problembe-skrivningar, som är mer riktade till den granskade funktionen än till myndighe-tens ledning, i en bilaga till rapporten. Språket bör vara tydligt och enkelt. Om ni använder speciella termer och begrepp bör ni förklara dem.

Resultatet av granskningen ska redovisas i form av iakttagelser och rekommen-dationer. Det är viktigt att tydliggöra för läsaren hur väsentliga iakttagelserna är.

Iakttagelserna bör graderas utifrån risk i de termer som myndigheten själv använ-der, om en sådan definition finns. Det är viktigt att ni klargör i rapporten vilka

internrevisionsprocessen

konsekvenser iakttagelserna kan få för myndigheten. Om flera iakttagelser inom ett område medför väsentlig risk och konsekvens sammantaget kan det påverka risken totalt för området. Ni bör då göra en sammanfattande bedömning av bris-terna inom det området eftersom risken kan bedömas vara högre när flera mindre iakttagelser bedöms sammantaget.

6.3.3.3 Myndighetsledningens fattar beslut om åtgärder utifrån internrevisionens rekommendationer

Myndighetens ledning är ansvarig för att fatta beslut om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Myndighetens ledning kan, rent teoretiskt, välja att inte agera utifrån internrevisionens rekommendatio-ner, följa rekommendationerna eller agera på rekommendationerna men på ett sätt som myndigheten tror ger ett bättre resultat än internrevisionens förslag.

Myndigheten bör ha en genomtänkt och dokumenterad process för hur iakt-tagelserna och rekommendationerna i internrevisionens rapporter ska hanteras efter det att myndighetens ledning har fattat sitt beslut. Processen ser inte likadan ut vid alla myndigheter eftersom den är anpassad till de enskilda myndigheternas verksamhet och synsätt. Det är dock alltid viktigt att ansvaret för att genomföra de beslutade åtgärderna är tydligt och att det finns ett slutdatum för när åtgärder-na ska vara genomförda. Myndigheten bör ha ett system för att hålla reda på hur rekommendationerna hanterats och vilka som ännu inte är åtgärdade.

När det gäller beslutet om åtgärder som myndighetens ledning ska fatta så görs det i praktiken på flera olika sätt. När myndighetens ledning är styrelse kan det i vissa fall diskuteras om styrelsen i själva verket har fattat något beslut om åtgärder.

Det är i de fall när inte alla iakttagelser och rekommendationer föredras för styrel-sen utan lämnas till lägre chefsnivåer inom myndigheten. Ett annat fall är när sty-relsen inte önskar löpande rapportering och där åtgärderna redovisas till stysty-relsen i efterhand, vanligtvis i en så kallad årlig rapport, från internrevisionen. Det kan då möjligen ses som att styrelsen har godkänt åtgärderna i efterhand. Detta är inte i enlighet med ESV:s allmänna råd till 9 § där det framgår att rapportering bör ske efter varje avslutad granskning.

Det förekommer att internrevisionen inkluderar den granskade funktionens åt-gärdsförslag i sin rapport för att styrelsen ska få ett bättre beslutsunderlag. I vissa fall lämnar generaldirektören ett skriftligt yttrande, antingen samtidigt med det att internrevisionens rapport dras eller vid ett senare möte. Generaldirektörens yttrande kan då bli ett underlag för styrelsens åtgärdsbeslut.

Dokumentationen av styrelsens beslut görs i styrelseprotokollet. Det är olika hur beslutet formuleras. Det kan till exempel stå att rapporten har behandlats, föredragits eller lagts till handlingarna eller beslutet kan referera till förslagen i rapporten eller till åtgärdsförslaget.

Även när myndigheten är en enrådighetsmyndighet och det är

generaldirektö-internrevisionsprocessen internrevisionsprocessen

ren som ska fatta beslut om åtgärder med anledning av internrevisionens rekom-mendationer kan det gå till på olika sätt. Åtgärdsförslaget från den granskade funktionen kan vara inkluderad i internrevisionens rapport eller tas fram i efter-hand av avdelningschef eller någon central funktion på myndigheten. Status på åtgärderna ska följas upp och rapporteras till generaldirektören. I de fall det inte finns mer utarbetade åtgärdsförslag utöver internrevisionens rekommendationer i rapporten kan det även här ses som att generaldirektören, åtminstone till viss del, godkänner åtgärderna i efterhand.