Internrevisionens granskning ska utgå från risk och väsentlighet. Genom att fatta beslut om det förslag till revisionsplan som internrevisionen tagit fram beslutar myndighetsledningen om vilka granskningar som ska genomföras under
revisionsåret. Internrevisionens verksamhet ska bedrivas enligt god internrevisors- och internrevisionssed.
När ESV har inhämtat uppgifter om vilken inriktning och vilket innehåll internrevisionens granskningar har haft har vi utgått från de krav som ställs på myndigheter genom olika förordningar och i enstaka fall lagar. Inom ramen för inriktningen på genomförda granskningar beskrivs vilka områden granskningen har berört samt vilka frågeställningar som har belysts. Myndigheterna har vid besvarande av enkäterna kunnat svara ja eller nej på frågan om de har beaktat de angivna
områdena. Myndigheterna har haft möjlighet att under rubriken ”övrigt” beskriva annan inriktning eller innehåll på genomförda granskningar än de som har varit fördefinierade.
Eftersom granskningarna ska genomföras utifrån risk och väsentlighet kan det inte förväntas att samtliga internrevisionsmyndigheter genomför granskningar inom samtliga områden som ESV har lyft fram i enkäten. Av samma anledning och mot bakgrund av den goda internrevisionsseden kan det inte heller förväntas att granskningarnas innehåll innefattar samtliga punkter som ESV har specificerat i enkäten.
4.4.1 Granskning av ledningsprocesser
Inom ramen för granskningen av ledningsprocesser har en stor majoritet av myndigheterna, drygt fyra femtedelar, genomfört granskningar av
myndighetsledningens ansvar för verksamheten (organisation, arbetsfördelning, delegering, former för verksamheten och verksamhetsplan). Nästan lika många myndigheter har genomfört granskningar av myndighetens riskhantering (riskanalys, kontrollåtgärder, skadeförebyggande åtgärder, riskfinansiering och skadereglering, uppföljning och bedömning samt dokumentation).
Ungefär hälften av myndigheterna har under året genomfört granskningar av myndighetens allmänna uppgifter (utveckla verksamheten, samarbete med
myndigheter och andra, tillhandhålla information om verksamheten samt följa sådana förhållanden utanför myndigheten som har betydelse för verksamheten) och
myndigheternas informationssäkerhet.
Under året har ungefär en tredjedel av myndigheterna genomfört granskningar som beaktar myndighetens handläggning av ärenden (kostnadsmässiga konsekvenser, föredragning, och beslut) samt myndighetens arbetsgivarpolitik (samverkan med andra myndigheter för att utveckla och samordna den statliga arbetsgivarpolitiken, se till att de anställda är väl förtrogna med målen för verksamheten, skapa goda
arbetsförhållanden och ta till vara och utveckla medarbetarnas kompetens och erfarenhet).
Vid granskning av ledningsprocesser har drygt nio av tio myndigheter beaktat om verksamheten bedrivs effektivt och nästan lika många har granskat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer. Knappt nio av tio har i granskningar beaktat om verksamheten bedrivs enligt gällande rätt och drygt fyra av fem har beaktat uppföljningen och bedömningen av den interna styrningen och kontrollen.
Knappt fyra av fem myndigheter har också redovisat att granskningar har haft fokus på hushållning, att verksamheten utvecklas och delegering av ansvar.
För drygt hälften av myndigheterna har granskningarna berört om de anställda är väl förtrogna med målen för verksamheten, om de anställdas kompetens och erfarenhet tillvaratas och utvecklas och etik och värderingar i organisationen. Ungefär en
tredjedel av myndigheterna har i granskningen av ledningsprocesserna granskat om verksamheten bedrivs enligt förpliktelser till EU.
4.4.2 Granskning av kärnprocesser
Vid granskningen av myndighetens kärnprocesser har tre av fyra myndigheter granskat myndighetens uppgifter enligt instruktion, regleringsbrev eller annat regeringsbeslut. Vad gäller granskning av myndigheters medverkan i EU-arbetet och annat internationellt samarbete har en av sex myndigheter genomfört en sådan granskning. Knappt en av fyra har angivit att de har genomfört granskningar inom kategorin övrigt. Inom denna kategori ryms områden såsom:
− Intern styrning och kontroll
− Samverkan med kommuner
− Förebygga fusk inom utbildning
− Forskningssamverkan och centrumbildningar
− E-lärande
− Kvalitet i forskningsansökningar
− Regelefterlevnad (compliance och följsamhet)
− Remisshanteringen
− Projektstyrning (byggprojekt)
− Processer kopplade till forskningsverksamhet
− Granskning av leverantörer
Vid granskningen av kärnprocesser har drygt fyra av fem myndigheter angivit att granskningarna har beaktat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer, uppföljning och bedömning av den interna styrningen och kontrollen och om verksamheten bedrivs effektivt. Ungefär tre av fyra myndigheter har redovisat att granskningar har innefattat om verksamheten bedrivs enligt gällande rätt, delegering av ansvar och genomförandet av riskhanteringen.
Knappt två av tre myndigheter har inom ramen för sina granskningar också beaktat om verksamheten redovisas rättvisande och tillförlitligt och att de anställda är väl förtrogna med syfte och mål för verksamheten. Något färre än hälften av
myndigheterna har i sina granskningar beaktat om de anställdas kompetens och erfarenhet tillvaratas och utvecklas, om goda arbetsförhållanden upprätthålls och etik och värderingar i organisationen. Knappt en tredjedel av myndigheterna har beaktat om verksamheten bedrivs enligt förpliktelser till EU.
4.4.3 Granskning av stödprocesser
Vad gäller granskningar av myndigheternas stödprocesser har knappt hälften av myndigheterna granskat myndighetens upphandling. Ungefär en fjärdedel av myndigheterna har genomfört granskningar som berör inköpssamordning,
betalningar och medelsförvaltning, allmänna handlingar, årsredovisning,
redovisningssystem och elektroniskt informationsutbyte. Två av tre myndigheter har redovisat att de har genomfört granskningar under rubriken övrigt och då har följande områden specificerats:
− It (it-säkerhet, it-drift, it-kostnader, outsourcing av it-drift)
− Informationssäkerhet
− Risker i upphandling
− Fysisk säkerhet
− E-lärande
− Styrdokument inom det ekonomiadministrativa området
− Myndighetens representation
− Rutiner för hantering av bisyssla
− Kontroll över tjänsteresor
− Personal- och kompetensförsörjning
− Jävsfrågor
− Donationer och bidrag
− Informations- och kommunikationsarbete
− Projektstyrning
− Mångfaldsarbete
− Intern styrning och kontroll i dotterbolag
− Lönehanteringsprocesser
Ingen myndighet har genomfört någon granskning av arbetet med konsekvensutredning vid regelgivning.
Vid granskningarna av stödprocesserna har fyra av fem myndigheter redovisat att de har beaktat om verksamheten bedrivs effektivt. För ungefär tre av fyra myndigheter har granskningarna innefattat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer, genomförandet av riskhantering, delegering av ansvar och om
verksamheten bedrivs enligt gällande rätt. Drygt två av tre myndigheter har redovisat att granskningar har innefattat om verksamheten utvecklas och om den upprätthålls med god hushållning.
Lite drygt hälften av myndigheterna har i granskningar beaktat om verksamheten har redovisats rättvisande och tillförlitligt, arbetet med att motverka bedrägeri och oegentligheter och om de anställda är väl förtrogna med syfte och mål för
verksamheten. Cirka en tredjedel av myndigheterna har följt upp om de anställdas kompetens och erfarenhet tillvaratas och utvecklas, etik och värderingar i
organisationen och om goda arbetsförhållanden upprätthålls. En fjärdedel av myndigheterna har i granskningar beaktat om verksamheten bedrivs enligt
förpliktelser till EU och en femtedel om verksamheten verkar för samarbete med annan myndighet.
4.4.4 Exempel från myndighetsbesök
På de myndighetsbesök som ESV har genomfört under hösten 2014 har vi ställt frågor om vilken inriktning myndigheterna har haft på de granskningar de har genomfört under året. Eftersom granskningarna på varje myndighet utgår från risk och väsentlighet skiljer sig granskningsområdena från myndighet till myndighet utifrån varje specifik myndighets uppgift och riskbedömning. De exempel ESV redovisar nedan ger tillsammans en bild av de olika granskningarna som genomförs på myndigheter i statsförvaltningen.
CSN pekar bland annat på att samtliga granskningar som har genomförts har haft kopplingar till intern styrning och kontroll och att man bland annat har granskat eller haft rådgivningsuppdrag kopplat till förändringsarbete, systemförnyelse, frågor om kontroller i ärendehantering, återkrav och utbetalning av studiestöd. Vid besöket hos Statens pensionsverk framkom att deras internrevision hade genomfört granskningar som liknade den som CSN hade gjort, dock med undantag för återkrav.
Uppsala universitet berättar att de inför beslutet om den senaste revisionsplanen underlättade för konsistoriet att göra ett aktivt val av granskningar genom att förslaget till revisionsplan innehöll flera granskningsförslag som ledamöterna fick välja bland. Ledamöterna diskuterade kort för- och nackdelar med några olika förslag innan de valde vilka granskningar som skulle genomföras. Konsistoriet uttryckte uppskattning över att de fick välja och inte ställdes ”inför fullbordat faktum” vad internrevisionen skulle granska. Internrevisionen har under året bland annat
genomfört en granskning av universitetets process för att upprätthålla en betryggande intern styrning och kontroll.
Domstolsverket berättar att de genomför domstolsbesök där de granskar de olika domstolarna. Alla domstolar kan inte besökas samma år men generaldirektören kommer med förslag på vilka domstolar som ska besökas. Domstolarna gör egna utvärderingar av sitt interna styr- och kontrollarbete som internrevisionen granskar.
Kungl. Tekniska Högskolan är indelad i tio enheter, skolor. Internrevisionen genomför två till tre skolgranskningar per år. Internrevisionen arbetar också mot de centrumbildningar5 som finns på högskolan.
5 En centrumbildning är ett samarbete mellan högskolan och externa parter.
Statiska centralbyrån berättar att typiska områden som internrevisionen inriktar sin granskning på kan vara it, projektgranskning eller granskning av
verksamhetsprocesser. Internrevisionen försöker sprida ut granskningarna på olika områden inom myndigheten. Enligt den strategiska revisionsplanen görs granskning av compliance som ett komplement till granskningarna som faller ut från
riskanalysen. Internrevisionen granskar också underlagen som ligger till grund för generaldirektörens uttalande om intern styrning och kontroll.
Statens lantbruksuniversitets internrevision har tidigare genomfört ett flertal granskningar på fastighetsområdet, men för närvarande fokuserar de istället på granskningar inom forsknings-, grundutbildnings- samt miljöområdena. De har också ett större fokus riktat mot institutionerna.
4.4.5 Granskning för att motverka bedrägerier och oegentligheter I föreskrift till 4 § internrevisionsförordningen framgår att i analysen av
verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier och annan oegentlighet. Utifrån den bedömning som sedan har gjorts av risk och väsentlighet tar myndigheten ställning till vilket fokus granskningar ska ha på otillbörlig påverkan, bedrägerier och andra oegentligheter.
I enkäten har ESV begärt att myndigheter som har beaktat arbetet med att motverka bedrägeri och oegentligheter i sina granskningar ska beskriva vad som har beaktats och omfattningen av granskningen. Drygt hälften av myndigheterna har angivit att granskningarna har innefattat arbetet med att motverka bedrägeri och oegentligheter.
I granskningar av ledningsprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till:
− Affärsprocesser
− Avtal
− Befogenheter i it-system
− Felaktiga utbetalningar
− Funktionalitet i whistleblowersystem
− Förtroendeskadligt agerande
− Informationssäkerhet
− Inköp
− Jäv och oberoende
− Muta
− Rutiner för delegationer samt kontroll
− Upphandling
I granskningar av kärnprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till:
− Fusk inom utbildning
− Följsamhet mot interna regelverk
− Förtroendeskadlig bisyssla
− Hantering av kontonummer
− Hantering av t.ex. tillfälliga pass
− Informationssäkerhet
− Inköp
− Jävsfrågor
− Kontanthantering
− Kontroller i bidragsärenden
− Medelshantering hos samarbetspart i annat land
− Oredlig forskning
− Otillbörliga erbjudande
− Registerkvalité och återkravshantering
− Representation
− Upphandling
− Utbetalningar
I granskningar av stödprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till:
− Attester
− Betalningsflöden
− Funktionaliteter i it-system
− Hantering och redovisning av kontanter och kreditkort
− Inköp
− Regelefterlevnad
− Representation
− Skydd och hantering av forskningsmaterial
− Systembehörigheter
− Upphandling
− Utbetalningar
Hur myndigheter har genomfört sina granskningar kopplade till bedrägerier och oegentligheter skiljer sig åt. Utifrån de myndighetsbesök som ESV har genomfört under året har väljer vi att redovisa några olika perspektiv på hur myndigheter väljer att beakta bedrägeri och oegentligheter i sina granskningar. CSN berättar i samband med ESV:s myndighetsbesök att de har följt upp arbetet med att bygga upp en ny gruppering som ska arbeta med frågor om rutiner för hantering av misstänkta
bidragsbrott och hur myndigheten utvecklar sitt arbete för att motverka externa och interna oegentligheter.
Domstolsverket beaktar bedrägerier och oegentligheter i alla sina granskningar.
Internrevisionen på Kungliga Tekniska Högskolan följer upp frågor om bedrägerier och oegentligheter inom ramen för sina granskningar. De försöker bland annat följa upp uppdrag och sidoverksamheter som kan vara problematiska. Riksgäldens
internrevision berättar att området bedrägerier och andra oegentligheter beaktas i alla granskningar när internrevisionen kartlägger kontroller.