3. Rekommendationer
3.3 Utveckla arbetsprogrammen för enskilda granskningsuppdrag
Enligt god internrevisionssed ska internrevisor utarbeta ett arbetsprogram som leder till att uppdragets mål nås.
I de uppdrag vi särskilt granskat har granskningsprogrammet utgjorts av ett avsnitt i
granskningsplanen som kallas granskningens metod och urval. Här beskrivs översiktligt hur
uppdragets målsättningar ska nås. Utifrån denna information är det svårt att i efterhand
bedöma om de aktiviteter som genomförts i ett enskilt granskningsuppdrag motsvarar dem
som faktiskt har planerats skulle genomföras.
Rekommendation
Vår bedömning är att arbetsprogrammen behöver bli mer detaljerade och innefatta aktiviteter
för att identifiera, analysera, utvärdera och dokumentera information under uppdraget för att
det ska vara möjligt att följa upp att det som godkänts i planeringsfasen faktiskt har
genomförts.
Bilaga A Detaljerad bedömning
Utvärderingskriterier
GC - Generally conforms
Internrevisionens struktur, principer, rutiner och processer är i allt väsentligt i enlighet med de krav som finns fastställda för respektive standard.
Omdömet "generally conforms" innebär inte att det inte finns förbättringsmöjligheter.
Innebörden är att den allmänna målsättningen för standarden är uppfylld, men därutöver finns det alltid möjlighet att förbättra ytterligare.
PC - Partially conforms
Verksamheten bedrivs i linje med de krav som finns för respektive standard. Dock uppfyller internrevisionen inte vissa av de huvudmålsättningar som finns specificerade for respektive standard.
Partially conforms innebär att det finns betydande förbättringsmöjligheter. Det bör även uppmärksammas att en del av de iakttagna bristerna kan avse ledningen snarare än intern-revisionen.
DNC - Does not conform
Internrevisionen uppfyller inte flera eller samtliga av respektive målsättningar för standarderna.
I de fall omdömet DNC har erhållits är det sannolikt att bristen kommer att ha en väsentlig inverkan på internrevisionens arbete. Vidare finns ett antal viktiga områden som bör förbättras. Det bör även uppmärksammas att en del av de iakttagna bristerna kan avse ledningen snarare än internrevisionen.
Detaljerad analys
Nedan presenteras vår detaljerade analys där jämförelse skett mellan internrevisionens nuvarande arbetssätt och IIA:s riktlinjer.
1000 Syfte, befogenheter och ansvar Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
1000 Syfte,
befogenhet och ansvar
Universitetsstyrelsen beslutade 2014-04-23 om en uppdaterad "Instruktion för Internrevisionen vid Linköpings universitet” med anledning av ESV:s förändringar i föreskrifter och allmänna råd till internrevisionsförordningen (2006:1228).
I denna instruktion definieras internrevisionens syfte, befogenhet och ansvar.
Av instruktionen framgår hur internrevisionen ska placeras organisatoriskt. Instruktionen bemyndigar
GC
även tillgång till information och personal som är relevanta för att genomföra uppdrag samt definierar omfattningen av internrevisionens verksamhet.
1010 Igenkännandet i instruktionen av Definitionen av internrevision, Yrkesetisk Kod och Riktlinjerna
I instruktionen går det att känna igen Institute of Internal Auditor’s (IIA) definition av internrevision samt att internrevisionen ska beakta IIA:s yrkesetiska kod och riktlinjer.
GC
1100 Oberoende och objektivitet Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
1110 Organisatoriskt oberoende
Internrevisionen är organiserad som en oberoende enhet under universitetsstyrelsen.
Administrativt är internrevisionen placerad under rektor.
Internrevisionen är av naturliga skäl inte oberoende gentemot styrelsen men intern-revisionen är oberoende gentemot den verksam-het som ska granskas vilket är i enligverksam-het med internrevisionsförordningen och god intern-revisionssed.
Universitetsdirektören sätter internrevisions-chefens lön. Enligt tolkningen till IIA:s standard 1110 sägs att ett exempel på funktionell rapportering till styrelsen är när styrelsen godkänner internrevisionschefens lön och andra förmåner. I ESV:s handledning Statlig
internrevision för myndigheter sägs att det lämpligt att internrevisionschefen har utvecklingssamtalet med sin uppdragsgivare, det vill säga styrelsens ordförande. En sådan förändring är något styrelsen bör överväga.
Enligt god internrevisionssed ska internrevisions-chefen åtminstone årligen bekräfta intern-revisionsverksamhetens organisatoriska oberoende. I internrevisionschefens
självutvärdering har det noterats att en sådan årlig bekräftelse inte har avgivits. Detta avser
internrevisionschefen åtgärda i samband med presentationen av internrevisionens
Verksamhetsrapport för 2014.
GC 3.2
1111 Direkt
samverkan med styrelsen
Av såväl internrevisionens instruktion och våra genomförda intervjuer framgår att
internrevisionschefen rapporterar och samverkar direkt med styrelsen. Detta sker bland annat genom att internrevisionschefen har närvarorätt och yttranderätt på styrelsemötena, att styrelsen fastställer revisionsplanen samt att rapportering efter avslutad granskning görs till styrelsen.
GC
1120 Individuell objektivitet
Enligt internrevisionens gällande
Revisionshandbok ska den enskilde revisorns objektivitet och oberoende bedömas innan ett gransknings- eller rådgivningsuppdrag påbörjas.
GC
Detta sker genom att internrevisionschefen och granskningsledare går igenom ”internrevisionens checklista för uppstart” där den enskilde revisorns oberoende och objektivitet bedöms.
Vår bedömning är att internrevisionen bedrivs med hänsyn tagen till individuell objektivitet.
1130 Begränsning av oberoende eller objektivitet
Om oberoende eller objektivitet är faktiskt eller synbarligen begränsad ska information lämnas till berörda parter.
Vi har i vår genomgång inte noterat några tillfällen då oberoendet eller objektiviteten har varit
begränsad.
GC
1200 Kompetens och vederbörlig yrkesskicklighet Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
1210 Kompetens Instruktionen för internrevisionen anger inget om kompetenskrav eller kompetensmål för
internrevisionsverksamheten. Det nämns endast att ”internrevisionen ska förbättra sina kunskaper och färdigheter genom fortlöpande yrkesmässig utveckling”.
För närvarande har internrevisionsfunktionen två och en halv heltidsresurser till sitt förfogande.
Revisionschefen tjänstgör 80% vid Linköpings universitet och 20% vid Malmö högskola.
Revisionschefen har över tio års erfarenhet som revisionschef vid Linköpings universitet.
Dessförinnan har hon innehaft andra
chefspositioner. Därutöver finns det två ytterligare medarbetare vid internrevisionen varav en innehar en CISA-certifiering och den andre har erfarenhet bland annat från Riksrevisionen.
I revisionsplanen för 2014 identifieras ett behov av att någon inom internrevisionsfunktionen
certifieras enligt internationell standard (Certified Internal Auditor). Det finns även ett behov av fortbildning för att behålla CISA-certifiering.
Sammantaget uppvisar nuvarande bemanning vid internrevisionen en bredd både vad gäller kunskap och erfarenhet om den organisation som ska granskas och inom revisionsmetodik. Ambitionen att skaffa certifiering enligt internationell standard ligger i linje med ESV:s uttalande om
kompetensprofil för statliga internrevisorer.
Vid våra intervjuer har det också framkommit att internrevisionen uppfattas som kompetent av organisationen.
Samverkan med Malmö högskola bidrar även till kompetensen hos revisorerna genom möjlighet till breddad erfarenhet och jämförelse med annan myndighet inom sektorn.
GC
1220 Vederbörlig yrkesskicklig-het
Både i intervjuer och genom den granskning av specifika projekt vi gjort har det framkommit att internrevisionen tillämpar den omsorg och
GC
skicklighet som kan förväntas av en omdömesgill och kompetent internrevisor.
1230 Fortlöpande professionell utveckling
Enligt Revisionsplanen för 2014 avsätts 280 timmar för kompetensutveckling. Detta motsvarar 93 timmar per anställd. Enligt ESV:s rapport
”Redovisning av den statliga internrevisionen 2014” är genomsnittet för kompetensutveckling mellan 70 och 80 timmar per internrevisor och år de senaste två åren. Detta innebär att
internrevisionen vid Linköpings universitet sätter av tid för kompetensutveckling som är väl i paritet med andra statliga internrevisionsfunktioner.
GC
1300 Kvalitetssäkring och kvalitetsförbättringsprogram Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
Internrevisionens rutiner för kvalitetssäkring framgår av internrevisionens revisionshandbok.
Kvalitetssäkringsprogrammet är uppdelat på tre delar: 1) Intern kvalitetssäkring – fortlöpande intern kvalitetskontroll, 2) Intern kvalitetssäkring – självutvärdering och 3) Extern kvalitetssäkring I den första delen är kvalitetssäkringsaktiviteter samlade som sker löpande under året. Detta omfattar uppföljning och utveckling av funktionen, kvalitetssäkring av årsprocessen, kvalitetssäkring av egna revisionsprojekt, enkät till de reviderade, periodisk projektbedömning och intern
projektutvärdering.
Den andra delen av kvalitetssäkringsprogrammet sker en gång per år då avdelningen genomför en självutvärdering baserad dels på upplevelsen och följsamheten utifrån IIA standarder, dels en uppföljning utifrån Internrevisionsförordningen (2006:1228) och ESV:s föreskrifter och allmänna råd till denna. Även internrevisionens egna mål och måluppfyllelse utvärderas.
Den tredje delen av kvalitetssäkringsprogrammet redogör för den externa kvalitetsgranskningen som genomförs vart femte år.
GC
1320 Rapportera om kvalitets-säkrings- och kvalitetsför- bättrings-programmet
Internrevisionen rapporterar i den årliga verksamhetsrapporten till styrelsen att en självutvärdering av verksamheten har utförts.
Någon bedömning huruvida arbetet bedrivits i enlighet med god sed och enligt internrevisions-förordningen (2006:1228) rapporteras dock inte till styrelsen. Detta är något som också bör ske.
GC
2000 Leda internrevisionsverksamhet Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
2010 Planering Internrevisionen upprättar årligen en riskanalys som ligger till grund för revisionsplanen. Denna riskanalys görs under hösten och innefattar intervjuer med styrelsens ordförande, ledande befattningshavare och personer på olika nivåer i
GC 3.1
organisationen, kunskaper och erfarenheter från tidigare gransknings- och rådgivningsuppdrag samt generella risker från andra motsvarande organisationer.
Internrevisionen har anpassat sin riskanalys till den struktur som används av universitetet i enlighet med förordningen (2007:603) om intern styrning och kontroll.
Universitets riskanalys antas av styrelsen årligen i samband med undertecknandet av
årsredovisningen. Eftersom internrevisionens revisionsplan presenteras för styrelsen vid årets sista möte behöver internrevisionens riskanalys vara färdigställd före universitets riskanalys.
Därför har internrevisionen utgått från universitets riskanalys föregående år. Genom att
internrevisionen genomför intervjuer med ledande befattningshavare inför sin riskanalys bedömer vi att internrevisionen har rimliga förutsättningar att fånga upp förändringar i ledningens sätt att se på risker under året även om styrelsen ännu inte fattat beslut om riskanalysen för året.
2020 Kommunikation och
godkännande
Den av internrevisionen utarbetade revisions-planen fastställs av styrelsen årligen.
Revisionsplanen innehåller såväl årets planerade aktiviteter som förväntat resursbehov.
Om internrevisionsplanen behöver förändras väsentligt under innevarande år ska
internrevisionschefen ta upp detta med styrelsens ordförande och rektor. Styrelsen ska sedan fatta beslut om revisionsplanen ska ändras.
Under de senaste åren har det inte varit aktuellt med några väsentliga förändringar av planen.
GC
2030 Resurshante-ring
Internrevisionen utgörs för närvarande av en internrevisionschef som tjänstgör till 80% vid Linköpings universitet (resterande 20% är internrevisionschefen anställd vid Malmö
högskola) samt två heltidsanställda medarbetare.
Motsvarande 30% av en heltidstjänst säljs till Malmö högskola. Totalt har internrevisionen därmed 2,5 heltidstjänster till förfogande.
Normalbudgeten för internrevisionen innehåller små möjligheter att under löpande år anlita ytterligare kompetens.
I revisionsplanen ingår en sammanställning av internrevisionens totala verksamhet för budgetåret i form av en tidplan över planerade projekt samt bedömd resursåtgång för varje projekt. Tid avsätts också för uppföljning av att åtgärder vidtas med anledning av resultatet av tidigare gjorda granskningar samt i viss mån även för rådgivningsuppdrag.
Vår bedömning är att internrevisionens totala
GC
resurser är tillräckliga för att uppnå den godkända planen.
2040 Principer och rutiner
Enligt Instruktion för Internrevisionen vid
Linköpings universitet ska verksamheten bedrivas enligt god internrevisions- och internrevisorssed.
Det innebär att internrevisionschefen ska fastställa principer och rutiner för att vägleda
internrevisionsverksamheten.
Internrevisionschefen har beslutat om
internrevisionens Revisionshandbok, som består av 30 avsnitt som fastställts 2013 och därefter reviderats vid behov.
Vår bedömning är att internrevisionschefen har utarbetat lämpliga riktlinjer så att internrevisions-verksamheten kan genomföras i enlighet med god internrevisionssed och god internrevisorssed.
GC
2050 Samordning Instruktion för Internrevision vid Linköpings universitet hänvisar till internrevisionsförordningen (2006:1228) om att internrevisionen kan
samordnas med andra myndigheter.
En sådan samordning sker med Malmö högskola, som använder sig av resurser från Linköpings universitet motsvarande 0,3% heltidstjänster.
Vår uppfattning är att denna samordning är till gagn för både Linköpings universitet och Malmö högskola.
Vi har vidare noterat att internrevisionschefen har regelbundna möten med Riksrevisionen för att informera om varandras planerade gransknings-uppdrag.
Det har i övrigt inte framkommit synpunkter på att internrevisionen i sitt arbete överlappar någon annan intern eller extern leverantörer av säkrings- och rådgivningstjänster.
GC
2060 Rapportering till ledning och styrelse
Internrevisionschefens rapportering till
uppdragsgivaren beskrivs utförligt i instruktionen.
För varje universitetsövergripande aktivitet i revisionsplanen skrivs en sammanfattande rapport som ställs till styrelse och rektor. Vid en
institutions-/avdelningsgranskning upprättas en separat rapport som ställs till
prefekt/avdelningschef. Årligen skrivs en sammanfattande rapport över utförda revisioner samt övriga arbetsuppgifter under året. Rapporten tillställs styrelsen.
Baserat både på den granskade dokumentationen och på våra intervjuer bedömer vi att rapportering till uppdragsgivaren fungerar väl.
GC
2100 Arbetets beskaffenhet Bedömning: GC
Av instruktionen för internrevision framgår att internrevisionens uppgift är att granska och lämna förslag till förbättringar av universitetets processer för riskhantering, styrning, kontroll och ledning vilket står i överensstämmelse med god internrevisionssed.
Vi har tagit del av revisionsplaner med
internrevisionens granskningar och uppföljningar 2012-2014 och kan konstatera att internrevisionen genomför granskningar inom samtliga tre områden styrning, riskhantering och kontrollprocesser i enlighet med allmänt accepterade riktlinjer från yrkesmässig internrevision.
Enligt IIA:s standard ska internrevisionen utvärdera risken för att bedrägerier inträffar och hur organisationen hanterar bedrägeririsker. ESV föreskriver att i analysen av verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier och annan oegentlighet. I
självanalysen kommenterade
internrevisionschefen att internrevisonen kan bli bättre på att bedöma sådana risker. Vi har också noterat att internrevisionens riskanalys avseende oegentligheter är knapphändig instämmer därmed i internrevisionschefens bedömning.
GC
2200 Uppdragsplanering Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
2201 Planerings-överväganden
I internrevisionens Revisionshandbok framgår att inför en granskning ska bakgrundsinformation insamlas. Denna innebär bland annat att
internrevisionen tar del av riskanalysen som låg till grund för granskningsuppdraget, samlar in
information om policys, planer, lagstiftning mm.
samt gör en förnyad riskbedömning.
I de uppdrag vi granskat har vi kunnat konstatera att det gjorts en granskningsplan för respektive uppdrag. I de tematiska uppdragen har det även gjorts en fördjupad riskanalys. I
institutionsgranskningarna har ett standardrevisionsprogram tillämpats.
GC
2210 Målsättningar för åtagandet
I planeringsfasen utarbetas målsättningar för uppdraget och den specifika revisionsfrågan fastställs. Målsättningen för åtagandet är
fastställda i granskningsplanerna och koppling till den identifierade risken är tydlig.
GC
2220 Åtagandets omfattning
Granskningarnas omfattning beskrivs tydligt i granskningsplanen där också avgränsningar redovisas.
GC
2230 Resursallo-kering för åtagandet
I granskningsplanen görs en beräkning på
planerad tidsåtgång för uppdraget. Enligt den mall som finns i Revisionshandboken ska även en nedbrytning av resurser göras på delmoment.
GC
Detta infördes 2014. I de två uppdrag vi särskilt granskat finns en beräkning av totala planerade resursåtgången men ingen nedbrytning av tiden på delmoment eftersom dessa uppdrag gjordes 2013.
Av granskningsplanen framgår vilka medarbetare som ska delta i uppdraget samt vilken roll som respektive medarbetare ska ha.
2240 Arbetsprogram för åtagandet
Enligt god internrevisionssed ska internrevisor utarbeta ett arbetsprogram som leder till att uppdragets mål nås.
I de uppdrag vi särskilt granskat har
granskningsprogrammet utgjorts av ett avsnitt i granskningsplanen som kallas granskningens metod och urval. Här beskrivs översiktligt hur uppdragets målsättningar ska nås. I ett av uppdragen beskrivs exempelvis att ”tester och kontroller kommer att ske utifrån bedömda riskområden”.
Vår bedömning är att arbetsprogrammen behöver bli mer detaljerade och innefatta aktiviteter för att identifiera, analysera, utvärdera och dokumentera information under uppdraget för att en uppföljning ska vara möjlig att göra så att det som godkänts i planeringsfasen faktiskt har genomförts.
PC 3.3
2300 Genomförande av åtagande Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
2310 Identifiera information
Den insamlade informationen ska vara tillräcklig, tillförlitlig, relevant och användbar för att uppnå uppdragets målsättning.
För de uppdrag som vi tagit del av bedömer vi att informationen har varit tillförlitlig, relevant och användbar.Vi har sett att det finns dokumentation som stöder de observationer som lyfts i intern-revisionens rapporter och informationen är tydligt kopplad till granskningsfrågorna.
GC
2320 Analys och utvärdering
Internrevisionen baserar sina slutsatser på den granskning som utförts, vilket också framgått i uppdragsdokumentation som vi tagit del av.
GC
2330 Dokumentera information
Internrevisionens revisionshandbok anger tydligt vilka dokument som ska sparas och hur de arkiveras. De uppdrag vi tagit del av har också varit väldokumenterade och tydliga.
GC
2340 Övervakning av åtagandet
Internrevisionschefen har ett övergripande ansvar för att övervaka uppdrag, men kan också utse lämpliga medarbetare inom internrevisionen för att utföra denna uppföljning.
Internrevisionen har använt en checklista för denna kvalitetsbedömning som finns bifogad i dokumentationen för varje uppdrag.
GC
2400 Rapportera resultat Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
2410 Kriterier för rapportering
Enligt god internrevisionssed ska internrevisio-nens rapporter innehålla uppdragets målsättning och omfattning liksom slutsats och eventuella rekommendationer.
Vi har tagit del av ett urval rapporter från intern-revisionen. Rapporterna har varit väldisponerade och de observationer och rekommendationer som görs är relevanta och anknyter till granskningens syfte.
Enligt god internrevisionssed uppmuntras intern-revisorer att också erkänna tillfredsställande prestationer. Vi har noterat att detta också sker i internrevisionens rapporter.
GC
2420 Rapporte-ringens kvalitet
Internrevisionens rapportering ska vara korrekt, objektiv, tydlig, koncis, konstruktiv, fullständig och i rätt tid.
Rapporterna vi tagit del av har varit väldisponera-de och beskrivningen koncis och med tydliga hänvisningar till källmaterial och koppling till faktiska observationer.
GC
2430 Användning av
"Utfört i
Internrevisionen använder sig inte av detta uttryck i sin revisionsrapportering.
E/T
2440 Spridning av resultaten
Efter genomfört uppdrag utarbetas ett rapport-utkast som delges intervjupersoner för sakgranskning. Efter att rapporten varit ute för sakgranskning och synpunkter tagits tillvara fastställs rapporten av internrevisionschefen.
Därefter sänds den till styrelsen och rektor. I normalfallet sker även en presentation för styrelsen. Om det är en institutionsgranskning sänds rapporten till institutionsstyrelsen med kopia till universitetsdirektören.
Vi noterar att den fastlagda rutinen har följts.
GC
2500 Övervaka process och resultat Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
2500 Övervaka process och resultat
I internrevisionens riktlinjer står att den årliga sammanfattande verksamhetsrapporten ska innehålla ett avsnitt om uppföljning av de åtgärder som styrelsen beslutat med anledning av tidigare års granskningar.
I de årliga verksamhetsrapporter vi tagit del av framgår det tydligt att det varje år görs en uppföljning av granskningar som genomförts tidigare år. Internrevisionens uppföljningar synes
GC
fungera väl.
2600 Uttalande rörande ledningens riskacceptans Bedömning: GC
Nr Riktlinje Observation Bedömning Ev. rek.
2600 Uttalande rörande ledningens riskacceptans
Vid våra diskussioner med internrevisionschefen har vi inte fått några indikationer på att internrevi-sionen har bedömt att myndigheten accepterat en risknivå som kan vara oacceptabel för organisa-tionen.
GC
Bilaga B Koppling mellan internrevisionsförordningen samt
Ekonomistyrningsverkets föreskrifter och allmänna råd mot IIA:s riktlinjer
Eftersom internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återspeglas i IIA:s riktlinjer har vi valt att presentera utvärderingen utifrån IIA:s riktlinjer.
Nedanstående tabell syftar till att visa under vilka riktlinjer som internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återfinns.
Tabell som beskriver under vilka riktlinjer som utvärderingen mot Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återfinns
IIA:s Riktlinjer avseende egenskaper Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd 1000 Syfte befogenhet och ansvar Internrevisionsförordningen 3, 5, 6, 10, 11 §§
ESV:s allmänna råd till 5, 10 §§
1100 Oberoende och objektivitet ESV:s föreskrifter till 2 § 1200 Kompetens och vederbörlig
yrkesskicklighet 1300 Kvalitetssäkring och
kvalitetsförbättringsprogram
IIA:s Riktlinjer avseende utförande Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd
2000 Leda internrevisionsverksamhet Internrevisionsförordningen 2, 4, 6, 7, 9, 10 §§
2100 Arbetets beskaffenhet Internrevisionsförordningen 3 §
ESV:s föreskrifter till 4 § 2200 Planering av åtagande
2300 Genomförande av åtagande
2400 Rapportera resultat Internrevisionsförordningen 9, 10 §§
ESV:s allmänna råd till 9 § 2500 Övervaka process och resultat
2600 Uttalande rörande ledningens riskacceptans
Lind Andersson Consulting AB • Teknologgatan 6 • 411 32 Göteborg • Tulegatan 12 • 113 53 Stockholm Telefon 031-234 500 • 08-234 425 • E-post info@lindandersson.se • www.lindandersson.se