förbättringsområden från kvalitetssäkring
Externa kvalitetssäkringar
Förbättringsförslag utifrån IIA:s International Professional Practice Framework (IPPF)47
Områden med förbättringsförslag utifrån IPPF, 10 myndigheter Antal myndigheter
1000 – Syfte, befogenheter och ansvar 3
1100 - Oberoende och Objektivitet 4
1200 - Kompetens och vederbörlig yrkesskicklighet 1 1300 - Kvalitetssäkring och kvalitetsförbättringsprogram 1
2000 - Leda internrevisionsverksamhet 7
2100 - Arbetets beskaffenhet 2
2200 - Planering av åtagande 6
2300 - Genomföra åtagande 1
2400 - Rapportera resultat 3
2500 - Övervaka process och resultat 2
2600 -Uttalande rörande ledningens riskacceptans 1
1000 – Syfte, befogenhet och ansvar: Rekommendationerna handlade bland annat om att ledningen borde formulera internrevisionens uppgift och utveckla formerna för internrevisionens rådgivning. Förslag till ledningen att tydliggör att
internrevisionen är underställd styrelsen. Internrevisionens riktlinjer bör uppdateras.
1100 – Oberoende och objektivitet: Förslag lämnas att ge styrelsens ordförande i uppdrag att ansvara för utvecklingssamtalet med internrevisionschefen.
Rekommendation om att internrevisionens direkta samverkan med ledningen behövde öka. Styrelsen bör ha förberedande diskussioner med internrevisionen om internrevisionens inriktning och omfattning. Internrevisionen ska samverka direkt med styrelsen. Internrevisionens bemanning, resursplan, och behov bör diskuteras med styrelse och ledning utifrån riskanalys och förslag till revisionsplan.
1200 – Kompetens och vederbörlig yrkesskicklighet: Rekommendationerna behandlar bland annat behovet av att höja revisionskompetensen inom
internrevisionen.
47 De förbättringsförslag som redovisas här är enbart de som angivits som mest väsentliga i rapporterna från kvalitetssäkringarna.
1300 – Kvalitetssäkring och kvalitetsförbättringsprogram: Rekommendationerna handlade bland annat om att införa en mer formaliserad återkoppling från
intressenter.
2000 – Leda internrevisionsverksamhet: Rekommendationerna handlar bland annat om att sambandet mellan organisationens mål och internrevisionens förslag till granskningar behöver dokumenteras tydligare. Modellen för riskanalys bör ses över för att få ett tydligt samband mellan organisationens mål, riskanalys och
revisionsplan. Förslag till myndigheten att överväga att synkronisera tidpunkten för ledningens och internrevisionens riskanalyser. Ett annat förslag som lämnades var att ha mer kontinuerliga och strukturerade informationsutbyten med chefer i samband med riskanalysen och att använda myndighetens riskanalys som en del i underlaget för internrevisionens riskanalys. Föreslogs även att internrevisionen i samband med riskanalysen borde identifiera risker avseende oegentligheter. Ett annat förslag var att internrevisionen borde kartlägga den interna styrningen och kontrollen vid
myndigheten. Rekommenderades att internrevisionen tar upp en diskussion med styrelse och GD om hur slutsatser, utlåtanden och bedömningar kan formaliseras i rapporterna.
2100 – Arbetets beskaffenhet: Rekommendationerna handlade bland annat om att internrevisionen borde utveckla en process för att utvärdera myndighetens process för riskhantering. Framfördes att internrevisionens ansvar bör framgå av
internrevisionens ”Audit Universe”.
2200 – Planering av åtagande: Rekommendationerna handlar bland annat om att utveckla arbetsprogramen för de enskilda granskningsuppdragen. Att uppdaterade granskningsprogram saknades. Planering av åttagande, revisionsfrågorna,
riskbedömning, planeringsöverväganden, uppdragets omfattning,
bedömningskriterier och målsättning bör framgå av granskningsplanen. Syfte, arbetsformer och tidplan bör presenteras vid ett uppstartsmöte. Revisionsfrågan bör diskuteras och metoder och avgränsningar dokumenteras tydligare. Riskanalysarbetet kan förbättras genom att internrevisionen och ledningen kommunicerar för att uppnå en samsyn om organisationens väsentliga brister.
2300 – Genomföra åtagande: Rekommendationerna handlade bland annat om att omarbeta de interna reglerna för bevarandet av dokumentation.
2400 – Rapportera resultat: Rekommendationerna handlade bland annat om att förkorta rapporteringsfasen och att förenkla rapporteringen och att internrevisionen borde överväga att använda sig av ett övergripande omdöme i rapporterna där det tydligt framgår vilka kriterier som omdömet grundar sig på. Internrevisionens
rekommendationer bör utformas med begränsad inblandning från GD (styrelsemyndighet). GD:s kommentarer och åtgärder bör presenteras i en åtgärdsplan som presenteras för och fastställs av styrelsen samtidigt med internrevisionens rapport.
2500 – Övervaka process och resultat:
Rekommendationerna handlar bland annat om att utveckla processen för åtgärder med anledning av internrevisionens rekommendationer. (Processen är oklar och det är svårt att följa vilka åtgärder som styrelsen faktiskt beslutat om.)
2600 – Uttalande rörande ledningens riskacceptans: Rekommendationen handlar om att internrevisionen ska rapportera till styrelsen om den operationella ledningens förmåga att identifiera de väsentligaste riskerna och hur man hanterar dem.
Intern kvalitetssäkring
De förbättringsområden som internrevisionsfunktionerna har identifierat i samband med intern kvalitetssäkring handlade bland annat om att:
− Anpassa revisionsprocessen till ledningsprocessens årsplan.
− Arbeta med riskanalysmetoder.
− Att knyta internrevisionens riskanalys till myndighetens egen analys.
− Att uppdatera interna instruktioner.
− Dokumentera återkopplingen från de som granskats.
− Effektivisera den interna distributionen av internrevisionens rapporter.
− Effektivisera kommunikationsvägarna med verksamheten.
− Föra en dialog med styrelsens ordförande om att öka nyttan med internrevisionen.
− Förbättra dokumentationen av granskningarna.
− Förbättra dokumentationen av riskanalysen.
− Förbättra och systematisera uppföljningen avseende åtgärder med anledning av internrevisionens rekommendationer samt förbättra dokumentationen av dessa.
− Förbättra rapporteringen till myndighetens ledning.
− Förbättra rutinerna för feedback till internrevisionen.
− Förbättra rutinerna för tidsplanering.
− Förbättra rutinerna kring dokumentation när externa konsulter används.
− Förtydliga och dokumentera revisionsmetodiken.
− Göra tydligare avgränsningar av revisionsuppdragen.
− Knyta fler internationella kontakter.
− Kompetensutvecklingsaktiviteter.
− Se över den löpande kommunikationen med verksamhetsansvariga.
− Se över rutinerna för bevarande av dokumentation.
− Ta fram Audit Universe.
− Ta fram former för självutvärdering.
− Uppdatera riktlinjerna.
− Utveckal uppföljningen av nyckeltal så att kvalitetsaspekten tas med.
− Utveckla administrativa rutiner.
− Utveckla formerna för internrevisionens riskanalys och hur den kommuniceras med för myndighetens ledning.
− Utveckla förankringen av granskningarna.
− Utveckla kvalitetsarbetet.
− Utveckla/uppdatera revisionshandboken och revisionsprocessen.
− Utöka arbetet med dataanalyser.
− Vidareutveckla riskanalysarbett med internrevisionens riskanalys.
− Öka andelen revision som genomförs av anställd internrevisor.
Ordlista
God internrevisionssed – med god internrevisionssed menas att internrevisorn med yrkesmässiga revisionsmetoder har skaffat sig tillräckliga underlag för sina iakttagelser och rekommendationer
God internrevisorssed – med god internrevisorssed menas att internrevisorn följt de grundläggande värderingar och principer som utgår från etiska och yrkesmässiga krav
Intern miljö, Intern kontrollmiljö – de interna förutsättningar som påverkar en verksamhets förmåga att fullgöra sina uppgifter och nå sina mål
Intern styrning och kontroll – process som syftar till att en statlig myndighet med rimlig säkerhet fullgör ansvaret för verksamheten
Internrevision – revision som bedrivs av en funktion lokaliserad internt inom myndigheten
Kontrollåtgärd – aktiviteter som vidtas för att hantera risker utifrån en riskanalys
Mål – önskat framtida tillstånd
Resultat – de prestationer som myndigheten åstadkommer och de effekter prestationerna leder till
Revision – granskning och utvärdering utförd av en objektiv och oberoende funktion
Rimlig säkerhet – förhållande som innebär att den interna styrningen och kontrollen är tillräcklig för att kunna fullgöra verksamhetskraven
Risk – möjligheten att en negativ händelse ska inträffa
Riskacceptens – övergripande nivå på och/eller kategori av risker som är godtagbara för verksamheten
Riskanalys – samordnade aktiviteter för att identifiera händelser som utgör ett hot, värdera dessa och välja om och hur dessa ska accepteras
Verksamhetskrav – myndighetsledningens ansvar inför regeringen att verksamheten ska fullgöras inom vissa förutsättningar
ESV gör Sverige rikare
–Vi har kontroll på statens finanser, utvecklar ekonomistyrningen och granskar Sveriges EU-medel.
–Vi arbetar i nära samverkan med Regeringskansliet och myndigheterna.