Handledning
En introduktion till den statliga
internrevisionen
ESV:s handledningar ska vara ett stöd vid Datum: 2015-03-31
Förord
Regeringen avgör vilka myndigheter som får i uppdrag att inrätta en internrevi- sion. Syftet med att inrätta internrevision är att internrevisionen ska ge uppdrags- givaren en oberoende och objektiv gransknings- och rådgivningsverksamhet.
Internrevisionens uppgift är att tillföra värde och förbättra verksamheten för myndigheten.
Regleringen av internrevision och stöd för hur dessa regler kan tolkas finns i:
− Internrevisionsförordningen med Ekonomistyrningsverkets (ESV:s) föreskrifter och allmänna råd
− ESV:s handledningar
− Frågor och svar på ESV:s webbplats samt
− Institute of Internal Auditors (IIA:s) internationella riktlinjer och yrkesetiska kod.
Informationen ovan hittar du på ESV:s webbplats. Utöver dessa regler och riktlinjer finns ofta även myndighetsinterna dokument som styr internrevisionens arbete.
Utifrån ESV:s uppdrag att utveckla, förvalta och samordna den statliga intern- revisionen har vi tidigare publicerat handledningen om statlig internrevision för myndighetsledningar (2014:1). Den ger en övergripande kunskap om statlig internrevision. Den här handledningen vänder sig i första hand till statliga in- ternrevisorer men även till andra som är intresserade att ta del av hur den statliga internrevisionen fungerar, exempelvis internrevisionens uppdragsgivare och myndighetshandläggare i Regeringskansliet. Syftet med handledningen är att ge en introduktion till statlig internrevision med redogörelse över de viktigaste regelverken, vissa specifikt statliga företeelser samt internrevisionsprocessen.
I första delen av handledningen beskriver vi de regelverk som styr internrevi- sionen inom staten samt ger vägledning i frågor som är relevanta för den statliga sektorn. Den andra delen behandlar översiktligt delarna i internrevisionsproces- sen med utgångspunkt från de styrande regelverken och riktlinjerna.
Delar av ESV:s Handledning om internt kvalitetsarbete för statliga internre- visorer (2010:34) har blivit inaktuell och har därmed reviderats och inarbetats i denna handledning.
Under arbetets gång är det många statliga internrevisorer som bidragit med värdefulla synpunkter utifrån sina kunskaper och erfarenheter om internrevision.
Vi vill tacka för er insats samt till Skatteverkets internrevision som bidragit med mallar till stöd för internrevisionsarbetet.
Avdelningschef Eva Lindblom har beslutat om handledningen och utredaren Catrin Lind Ebert har varit föredragande. I beredningen har också enhetschefen
Tina J Nilsson samt utredarna Annika Alexandersson, Patrick Freedman och Tomas Kjerf deltagit.
Frågor om denna handledning kan du skicka till internrevision@esv.se
Innehåll
1 Inledning och handledningens upplägg _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 7 1.1 Internrevision i staten _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 7 1.2 Målgrupp och handledningens upplägg _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 8 2 Bestämmelser om den statliga internrevisionen _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 11 2.1 Tillämpning av regelverken och begreppet god sed _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _11 2.2 Regler för internrevisionen enligt internrevisionsförordningen _ _ _ _ _ _ _ _ _ _ _11 2.2.1 Myndighetens ledning är internrevisionens uppdragsgivare _ _ _ _ _ _ _ _ _11 2.2.2 Internrevisionen ska vara placerad under myndighetens ledning _ _ _ _ _ _12 2.2.3 Internrevisionen ska rapportera till styrelsen eller myndighetens chef _ _ _13 2.2.4 Internrevisionens omfattning _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _13 2.2.5 Granskningens inriktning är intern styrning och kontroll _ _ _ _ _ _ _ _ _ _ _14 2.2.6 Att samordna en internrevision med en annan myndighets internrevision _15 2.2.7 Internrevisionen ska ge råd och stöd _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _16 2.2.8 Internrevisionen behöver tillgång till uppgifter _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _16 2.3 Regler för internrevisionen enligt myndighetsförordningen _ _ _ _ _ _ _ _ _ _ _ _ _16
2.3.1 Myndigheten ska ha föreskrifter om internrevision
i arbetsordningen och i riktlinjerna _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _17 2.3.2 Myndigheter ansvarar för att utveckla internrevisionen _ _ _ _ _ _ _ _ _ _ _ _17 2.3.3 Begränsa kostnaderna för att hämta in uppgifter _ _ _ _ _ _ _ _ _ _ _ _ _ _ _17 2.3.4 Internrevisionen hos värdmyndigheter kan
granska allt som myndighetsledningen ansvarar för _ _ _ _ _ _ _ _ _ _ _ _ _ _17 2.4 Att säkerställa intern styrning och kontroll med internrevision _ _ _ _ _ _ _ _ _ _ _18 3 Rådgivning _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 21 3.1 Vem får internrevisionen ge stöd till? _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _21 3.2 Vad är råd och stöd? _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _21 3.3 Rådgivning kräver kompetens och resurser _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _21 4 Offentlighet och sekretess samt arkivering _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 23 4.1 Internrevisionens granskningar blir offentliga _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _23 4.2 Internrevision är ingen sekretessgrund _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _25 4.3 Arkivering av internrevisionens handlingar _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _25 5 Kvalitetsarbete, kompetens och kompetensutveckling _ _ _ _ _ _ _ _ _ _ _ _ 27 5.1 Vad det interna kvalitetsarbetet ska omfatta _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _27 5.1.1 Följ regelbundet upp ert arbete och era styrdokument _ _ _ _ _ _ _ _ _ _ _ _27 5.1.2 Internrevisionens riktlinjer _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _27 5.1.3 Internrevisionschefen bör besluta
om internrevisionens arbetssätt och processer _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _28 5.2 Återkoppling från uppdragsgivare och de granskade _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _29 5.2.1 Återkoppling från uppdragsgivaren _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _29 5.2.2 Återkoppling från de granskade _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _29 5.3 Uppföljning och utvärdering av internrevisionens prestationer och nyckeltal _ _ _30 5.4 Externt kvalitetsarbete _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _31
inledning och handledningens upplägg
5.5 Kompetens och kompetensutveckling _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _31 6 Internrevisionsprocessen _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 33 6.1 Riskanalys _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _33 6.1.1 Utformning av riskanalysen _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _34 6.1.2 Prioritera vilka risker som ska med i revisionsplanen _ _ _ _ _ _ _ _ _ _ _ _ _ _36 6.2 Att ta fram en revisionsplan _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _36 6.2.1 Myndighetsledningen fattar beslut om förslaget till revisionsplan _ _ _ _ _ _37 6.3 Att genomföra revisionen _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _38 6.3.1 Planering av revisionsaktiviteterna _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _38 6.3.2 Genomför revisionen i enlighet med granskningsplanen _ _ _ _ _ _ _ _ _ _ _39 6.3.2.1 Internrevisionen granskar myndighetens olika processer _ _ _ _ _ _39 6.3.2.2 Granskningen ska dokumenteras _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _41 6.3.3 Lämna rapportering _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _41 6.3.3.1 Lämna rapporter till myndighetens ledning _ _ _ _ _ _ _ _ _ _ _ _ _ _42 6.3.3.2 Vad ska internrevisionsrapporten innehålla? _ _ _ _ _ _ _ _ _ _ _ _ _42 6.3.3.3 Myndighetsledningens fattar beslut om åtgärder
utifrån internrevisionens rekommendationer _ _ _ _ _ _ _ _ _ _ _ _ _43 6.4 Uppföljning av tidigare rekommendationer _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _44
6.4.1 Myndigheten måste hantera internrevisionens
iakttagelser och rekommendationer _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _44 6.4.2 Lämna återrapportering minst en gång per år _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _45 6.5 Löpande kvalitetsarbete _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _45 6.5.1 Regelbundna utvärderingar av egna revisioner _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _45 Referenser _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 49 Bilaga 1 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 51 Checklista för internrevisionens interna kvalitetsarbete _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _51 Bilaga 2 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 53 Exempel på enkätfrågor om internrevisionens granskning _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _53 Bilaga 3 – Exempel från Skatteverket _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 56 Processbeskrivning – Löpande hantering _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _56 Bilaga 4 – Exempel från Skatteverket _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 57 Processbeskrivning – Riskanalysprocessen _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _57 Bilaga 5 – Exempel från Skatteverket _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 58 Processbeskrivning – Genomförande av en revision _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _58 Bilaga 6 – Exempel från Skatteverket _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 59 Processbeskrivning – Uppföljningsprocessen _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _59 Bilaga 7 – Exempel från Skatteverket _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 60 1. Övergripande fråga att hantera under revisionens gång _ _ _ _ _ _ _ _ _ _ _ _ _ _ _60 2. Planering _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _61 3. Genomförande _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _61 4. Rapportering _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _62 5. Avslutande aktiviteter – färdigställa granskningsakt för arkivering m.m. _ _ _ _ _ _63 6. Uppföljning av tid- och resursplanering (internrevisionschefen) _ _ _ _ _ _ _ _ _ _ _63 Ordlista _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 65
inledning och handledningens upplägg
1 Inledning och handledningens upplägg
1.1 Internrevision i staten
Myndigheter som har fått i uppdrag att inrätta internrevision ska följa Internrevi- sionsförordningen (2006:1228). Internrevision definieras av IIA1 enligt följande:
Internrevision är en oberoende, objektiv säkrings- och rådgivningsverksamhet med upp- gift att tillföra värde och förbättra verksamheten i olika organisationer. Internrevisionen hjälper organisationen att nå sina mål genom att systematiskt och strukturerat värdera och öka effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesser.
Myndighetens ledning är internrevisionens uppdragsgivare. Om myndigheten har en styrelse är det styrelsen som är internrevisionens uppdragsgivare. Om myn- digheten är en enrådighetsmyndighet, och alltså saknar styrelse, är myndighets- chefen internrevisionens uppdragsgivare.
För att säkra internrevisionens organisatoriska oberoende är det nödvändigt att internrevisionen är fristående från de verksamheter som ska granskas. För att in- ternrevisionens oberoende gentemot organisationen ska upprätthållas ska intern- revisionsfunktionen organisatoriskt placeras direkt under myndighetens ledning.
Det finns en modell som definierar en organisations tre nivåer av ansvar. Mo- dellen kan användas för att beskriva roller och ansvar i organisationens styrning och kontroll. Av modellen framgår de tre ansvarslinjerna2 inom myndigheten.
Ansvarslinjerna kan användas för att beskriva vilka som ansvarar för vad inom riskhantering och intern styrning och kontroll.
Den första ansvarslinjen är myndighetens dagliga verksamhet och processer. I myndigheten ska det finnas en god intern kontroll i samtliga delar av den ope- rativa verksamheten. Ansvar och befogenheter ska vara tydliga. Någon tar fram
1 International Professional Practice Framework (IPPF) 2013.
2 Modellen som beskriver de tre ansvarslinjerna används både inom privat och statlig sektor. I IIA:s position paper ”Three lines of defense” används ordet försvarslinje. Detaljerna i modellen kan se olika ut beroende på hur användarna av modellen har anpassat den till sin verksamhet.
Tredje ansvarslinjen
Internrevisionens granskning och bedömning av att den interna kontrollen och uppföljningen i myndigheten har fungerat på avsett vis.
Andra ansvarslinjen
Myndighetens egen uppföljning av den operativa verksamheten.
Första ansvarslinjen
Den interna kontrollen i myndighetens operativa verksamhet.
inledning och handledningens upplägg inledning och handledningens upplägg
beslutsunderlaget och någon annan kontrollerar. Den interna kontrollen ska fö- rebygga fel, avsiktliga eller oavsiktliga, i det som myndigheten gör. Handläggare och chefer är en del i den här ansvarslinjen.
I den andra ansvarslinjen ligger myndighetens regelbundet återkommande uppföljning och efterkontroller. Det kan vara manuella eller maskinella efterkon- troller. Det kan till exempel vara att någon kontrollerar att månadsavstämningar- na är gjorda eller att utfallet ser rimligt ut. Chefer, controllers och funktioner som arbetar med risker är en del i den här ansvarslinjen. Uppföljning och efterkontrol- ler görs även av andra funktioner och i olika sammanhang – med andra ord kan många personer ingå i andra ansvarslinjen. Exempelvis personer i stödverksamhe- ten som arbetar med uppföljningar och utvärderingar i ett bredare perspektiv.
Den tredje ansvarslinjen är internrevisionen. Internrevisionen har ingen del i myndighetens dagliga arbete, uppföljning eller efterkontroller. Internrevisionen ska fungera oberoende i förhållande till de två första ansvarslinjerna. Internrevi- sionen granskar och gör en bedömning av om de första två ansvarslinjerna har fungerat som det var tänkt att de skulle fungera. Om internrevisionen upptäcker att det finns områden som inte fungerar på ett optimalt sätt, och att det kan med- föra risker för myndigheten, rapporterar internrevision det till myndighetens led- ning och kommer med förslag till hur myndigheten kan förbättra sin verksamhet.
Man brukar även ibland tala om en fjärde ansvarslinje – externrevisionen. Riks- revisionen granskar myndighetens verksamhet utifrån ett årsredovisningsperspek- tiv3 men det kan även förekomma att myndighetens verksamhet blir granskad av Riksrevisionen ur ett effektivitetsperspektiv4.
Internrevisionen ska följa såväl god internrevisionssed som god internrevisors- sed och ska vara en oberoende granskare av myndighetens verksamhet. Vi vill framhålla att internrevisionen inte är oberoende gentemot sin uppdragsgivare, myndighetsledningen, men ska däremot vara oberoende i förhållande till den verksamhet som granskas och även i sin rapportering.
1.2 Målgrupp och handledningens upplägg
Denna handledning redogör för de förutsättningar som gäller för internrevisio- nen inom staten och ska ge vägledning för er som statliga internrevisorer.
ESV bedömer att handledningen framförallt kan ge stöd till nyanställda statliga internrevisorer med varierande bakgrund och erfarenhet men även till internrevi- sorer som är internt rekryterade och som saknar tidigare revisionsbakgrund.
Handledningen hänvisar endast i några fall till enskilda riktlinjer i enlighet med
3 I den årliga revisionen granskar och bedömer Riksrevisionen om de statliga myndigheternas årsredovisningar är tillförlitliga och korrekta, om räkenskaperna är rättvisande och om myndigheterna följer aktuella regler och beslut. Den årliga revisionen granskar även myndigheternas delårsrapporter i de fall de är skyldiga att lämna sådana.
4 Effektivitetsrevision innebär att Riksrevisionen granskar hur effektiv den statliga verksamheten är.
Granskningarna utgår från riksdagens beslut och omfattar regeringens genomförande, styrning, uppföljning och rapportering till riksdagen. Riksrevisionen granskar också myndigheternas genomförande och rapportering till regeringen.
inledning och handledningens upplägg
International Professional Practice Framework (IPPF) vilket är i de fall då det förekommer större avvikelser från internrevisionsförordningen.
Efter det inledande kapitlet om internrevisionen i staten beskriver vi de regel- verk och förutsättningar som gäller för statlig internrevision. Vi redogör för in- ternrevisionsförordningen, myndighetsförordningen och förordningen om intern styrning och kontroll. Sedan följer en beskrivning i kapitel 3 av vad rådgivning är och olika aspekter på rådgivning. Kapitel 4 redogör för principerna för offentlig- het, sekretess och arkivering. Kapitel 5 behandlar internrevisionens interna och externa kvalitetsarbete samt kompetens och kompetensutveckling. Den delen som handlar om det interna och externa kvalitetsarbetet ersätter den tidigare handled- ningen Internt kvalitetsarbete för statliga internrevisorer5 som till vissa delar blivit inaktuell. Därefter behandlar vi ESV:s syn på internrevisorernas kompetens och kompetensutveckling. Avslutningsvis beskrivs internrevisionsprocessen i kapi- tel 6. Beskrivningen tar sin utgångspunkt i både internrevisionsförordningen och god sed. I bilagor finns även mallar som kan vara ett stöd i internrevisionsarbetet.
Vi vill betona vikten av att ni gör en egen bedömning av vilka mallar som kan vara relevanta att använda och i vilken omfattning.
5 ESV 2010:34, Handledning Internt kvalitetsarbete för statliga internrevisorer.
bestämmelser om den statliga internrevisionen bestämmelser om den statliga internrevisionen
bestämmelser om den statliga internrevisionen bestämmelser om den statliga internrevisionen
2 Bestämmelser om den statliga internrevisionen
Den statliga internrevisionen regleras av lagar och förordningar men påverkas av internationella regelverk och utvecklas i handledningar vilka tillsammans ger ut- tryck för god internrevisionssed och god internrevisorssed.
2.1 Tillämpning av regelverken och begreppet god sed
I den svenska rättsordningen gäller att lagar och förordningar, med föreskifter och allmänna råd, tillämpas i första hand. Därefter kommer handledningar och god sed som den kommer till uttryck i internationella regelverk. Detta finns ut- tryckt i ESV:s allmänna råd till 7 § internrevisionsförordningen där det står att för utfyllande tolkning av god internrevisions- och internrevisorssed kan du hämta vägledning från allmänt accepterade riktlinjer för yrkesmässig internrevision.
Det innebär att om det inte går att få svar på en fråga i internrevisionsförord- ningen med föreskrifter och allmänna råd, i ESV:s handledningar eller under frågor och svar på ESV:s hemsida bör du gå vidare till the Institute of Internal Auditors (IIA:s) internationella riktlinjer6 för yrkesmässig internrevision för att få vägledning. Dessa riktlinjer består av Yrkesetisk kod, Riktlinjer för utmärkande egenskaper och Riktlinjer för utförande. Riktlinjerna använder huvudsakligen ordet ska men i några undantagsfall används ordet bör.
Vägledning för god internrevisorssed hämtas från IIA:s beskrivning av yrkes- etisk kod. Med god internrevisorssed menas att internrevisorn följer de grundläg- gande värderingar och principer som utgår från etiska och yrkesmässiga krav. Den yrkesetiska koden ska verka för ett etiskt förhållningssätt inom internrevisionsyrket.
Den omfattar ett antal principer som är relevanta för internrevisorsyrket samt till- lämpningsregler som beskriver normer för hur en internrevisor förväntas uppträda.
2.2 Regler för internrevisionen enligt internrevisionsförordningen I första avsnittet redogörs för internrevisionens uppdragsgivare och hur lednings- formerna i myndigheten inverkar på internrevisionens oberoende. Vi redogör även för revisionsutskott och vad de kan bidra med. Därefter redogörs för intern- revisionens placering, rapportering, omfattning och granskning utifrån internre- visionsförordningen. Avslutningsvis beskriver vi innebörden av samordning och uppdraget att ge råd och stöd.
2.2.1 Myndighetens ledning är internrevisionens uppdragsgivare Myndighetens ledning är internrevisionens uppdragsgivare, det framgår av 10 § internrevisionsförordningen. Om myndigheten har en styrelse (styrelse-
6 International Professional Practice Framework (IPPF) Svensk översättning.
bestämmelser om den statliga internrevisionen bestämmelser om den statliga internrevisionen
myndighet) är det styrelsen som leder myndigheten och är internrevisionens uppdragsgivare. En styrelsemyndighet har alltid en myndighetschef som är ansvarig för det löpande arbetet. Myndighetschefen ingår alltid i styrelsen men fungerar inte som styrelsens ordförande.
Om myndigheten saknar styrelse och därmed är en enrådighetsmyndighet är myndighetschefen den som leder myndigheten och är er uppdragsgivare, se 12 § internrevisionsförordningen.
Internrevisionen är inte oberoende gentemot myndighetsledningen (uppdrags- givaren) men ska vara oberoende i förhållande till den verksamhet som granskas.
Om myndigheten leds av en styrelse kan styrelsen besluta att utse ett revisions- utskott. Ett revisionsutskott består av personer ur styrelsen, som oftast är externa ledamöter. Det kan vara olämpligt att ha med generaldirektören i revisionsutskot- tet, även om denne är styrelsemedlem, eftersom en av anledningarna till att ha ett revisionsutskott är att stärka internrevisionens oberoende och att revisionsutskot- tet ska lämna synpunkter och vara ett stöd för internrevisionen. Ett revisionsut- skott förbereder ärenden inför styrelsens beslut men kan inte fatta beslut i styrel- sens namn, eftersom beslut i en myndighetsstyrelse ska fattas kollektivt.
Ett revisionsutskott kan bidra till att ge internrevisionen ett ledningsperspektiv på revisionsfrågorna samt bidra till ett större internt oberoende för internrevisio- nen. Revisionsutskottet kan även ge stöd till det interna och externa revisionsar- betet samt ge ett ökat fokus inom myndigheten på styrning, riskhantering och effektiva kontroller.
Exempel på uppgifter som ett revisionsutskott kan utföra är att lämna synpunk- ter på revisionsplanen, internrevisionens budget och internrevisionens rapporter.
Revisionsutskottet kan även vara delaktigt vid rekrytering av internrevisionschef, vara en diskussionspartner i internrevisionens riskanalysprocess samt förbereda styrelsens beslut om åtgärder med anledning av Riksrevisionens rapporter.
Myndighetens ledning ska besluta om riktlinjer, revisionsplan samt åtgärder med anledning av internrevisionens iakttagelser och rekommendationer enligt 10 § internrevisionsförordningen. Syftet med riktlinjerna är att tydliggöra hur samarbetet mellan myndighetens ledning och internrevisionen bör gå till.7
2.2.2 Internrevisionen ska vara placerad under myndighetens ledning Ett oberoende i förhållande till den verksamhet som granskas ställer också krav på hur internrevisionen är organisatoriskt inplacerad och till vem internrevisionen rapporterar.
Kravet på anställd internrevisionschef regleras i 2 § internrevisionsförord- ningen. För att säkra internrevisionens oberoende bör ni vara organisatoriskt fristående från de verksamheter som ingår i ert granskningsområde. För att internrevisionens oberoende ska begränsas så lite som möjligt ska internrevisions-
7 I handledning Statlig internrevision för myndighetsledningar (2004:1) framgår mer om riktlinjerna och vad de kan innehålla.
bestämmelser om den statliga internrevisionen
funktionen vara organisatoriskt placerad direkt under myndighetens ledning och vara självständig i förhållande till den granskade verksamheten vilket framgår av föreskrifterna till 2 § internrevisionsförordningen. Om myndigheten är en enrådighetsmyndighet ska internrevisionen i organisationsplanen vara inplacerad direkt under myndighetens chef och vid styrelsemyndighet direkt under styrelsen.
Rent organisatoriskt kan inte styrelsen ha anställd personal direkt under sig utan internrevisionschefen bör arbetsrättsligt placeras under myndighetens chef. Myn- dighetens chef har ingen beslutanderätt över internrevisionens verksamhet utan endast ett administrativt ansvar för internrevisionen.
2.2.3 Internrevisionen ska rapportera till styrelsen eller myndighetens chef Internrevisionens rapportering regleras i 9 § internrevisionsförordningen där det framgår att internrevisionen ska rapportera sina iakttagelser och rekommendatio- ner till styrelsen eller, om det inte finns en styrelse, till myndighetens chef.
Det innebär att det inte finns något egentligt stöd i internrevisionsförord- ningen att rikta rapporteringen till olika nivåer inom myndigheten. Hur rappor- teringen ska utföras bör framgå av internrevisionens riktlinjer.
Observera dock att ärenden av större vikt eller av principiell natur alltid ska behandlas av myndighetens ledning i enlighet med 4 § punkten 5 myndighetsför- ordningen.
Enligt IPPF8 ska internrevisionschefen kommunicera och interagera direkt med styrelsen. En viktig del i detta är rapporteringen. IPPF9 anger även att internrevi- sionen ska rapportera till en nivå inom organisationen som gör det möjligt för er att fullgöra era skyldigheter som internrevision. Det innebär att det inte behöver vara styrelsen som är mottagare av alla revisionsrapporter, utan det beror på nivån på iakttagelserna. En mottagare kan till exempel vara ansvarig avdelnings- eller enhetschef på den nivå där granskningen genomförts.
Den slutliga avrapporteringen ska enligt god revisionssed göras skriftligt.10
2.2.4 Internrevisionens omfattning
Internrevisionen ska omfatta den verksamhet som myndigheten bedriver eller ansvarar för vilket framgår av 6 § internrevisionsförordningen. Det är myndig- hetsledningens ansvar för verksamheten som sätter gränsen för omfattningen av internrevisionens uppdrag. Ansvaret för verksamheten kvarstår hos myndighets- ledningen även för den del av myndighetens verksamhet som utförs av en annan myndighet. Exempelvis ansvarar myndighetens ledning för de uppgifter som Statens servicecenter hanterar för myndigheten.
8 IIA Practice Advisory 1111-1.
9 IIA Practice Advisory 1110-1.
10 Vägledning kan erhållas av IPPF 2410 som behandlar kriterier för rapportering och i Practice Advisory 2410-1: Communication Criteria” förtydligas frågan om rapportering ytterligare. Här framgår att den slutliga rapporteringen alltid ska ske i form av en skriftlig rapport men att preliminära rapporter kan behandlas mer informellt. Revisionsresultaten ska dock alltid dokumenteras skriftligt.
bestämmelser om den statliga internrevisionen bestämmelser om den statliga internrevisionen
Internrevisionens granskning omfattar även generaldirektören i de myndighe- ter som har en styrelse. I en enrådighetsmyndighet kan möjligheten till gransk- ning av generaldirektörens lön och förmåner vara begränsad eftersom generaldi- rektören är internrevisionens uppdragsgivare. Internrevisionen kan därmed inte vara oberoende gentemot sin uppdragsgivare. I dessa fall kan det vara lämpligt att anlita en konsult för att genomföra uppdraget. Däremot ingår alltid granskning av genomförande och effekter av generaldirektörens beslut i internrevisionens mandat. Om generaldirektören i en enrådighetsmyndighet vill ha sina förmåner och utgifter granskade av internrevisionen, kan ni genomföra detta som ett råd- givningsuppdrag.
Om en myndighet genomför administrativa tjänster åt en annan myndighet, till exempel Statens servicecenter, har ni inom internrevisionen rätt att få tillgång till allmänna handlingar på myndigheten som utför tjänsterna. Myndigheterna be- höver vara överens om att internrevisionen även får tillgång till den personal och de system med mera som behövs när granskningen utförs på annan myndighet.
Varje myndighet ska också lämna andra myndigheter hjälp inom ramen för den egna verksamheten enligt 6 § förvaltningslagen (1986:223).
2.2.5 Granskningens inriktning är intern styrning och kontroll
Internrevisionen ska enligt internrevisionsförordningens 4 § granska om ledning- ens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen.
Intern styrning och kontroll syftar till att myndigheten ska fullgöra kraven i 3 § myndighetsförordningen, vilket framgår av 2 § förordningen om intern styrning och kontroll (2007:603). Till den paragrafen har ESV i ett allmänt råd förtydligat att processen för intern styrning och kontroll syftar till att myndighe- tens ledning fullgör ansvaret för verksamheten. Verksamheten definieras utifrån uppgifter och mål i instruktion, regleringsbrev eller genom beslut givna i en an- nan ordning från regeringen.
ESV har i handledning11 förtydligat att:
myndighetsledningen har ansvar för att verksamheten genomförs inom vissa förut- sättningar. […]. Myndighetens ledning ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlit- ligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel.12 I handledningen skriver ESV att dessa krav kan kallas för generella målför verk- samheten till skillnad mot specifika mål för en viss verksamhet eller egenskap i
11 Ansvaret för intern styrning och kontroll, (ESV 2012:46), s. 10.
12 3 § myndighetsförordningen (2007:515).
bestämmelser om den statliga internrevisionen
verksamheten. De specifika målen finns angivna i instruktionen, regleringsbrev eller genom beslut givna i en annan ordning från regeringen.
Processen för den interna styrningen och kontrollen syftar alltså till att tillför- säkra att ledningen kan ta ansvaret för verksamheten så att verksamheten med rimlig säkerhet fullgör sina uppgifter och uppnår sina mål. Målen innefattar både de specifika och generella målen.
Med internrevisionens granskning av myndighetens process för intern styrning och kontroll menas att ni, utifrån en analys av myndighetens risker, ska granska att de styr- och ledningsprocesser som ledningen har beslutat fullföljs på ett så- dant sätt att ledningen har kontroll över verksamheten och att ledningen därmed kan fullgöra sitt ansvar för verksamheten inför regeringen.
Bedömer ni att det finns brister i de styr- och ledningsprocesser som finns upprättade på myndigheten som innebär att den interna styrningen och kontrollen inte är betryggande ska ni lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll, det framgår av 3 § internrevisionsförordningen.
Internrevisionens granskning ska genomföras utifrån den revisionsplan myn- dighetens ledning beslutar om. Ni ska utifrån det givna uppdraget självständigt granska och rapportera era iakttagelser och rekommendationer till myndighetens ledning.
Granskningen enligt 4 § internrevisionsförordningen omfattar hur myn- dighetschefen sköter verksamheten enligt de direktiv och riktlinjer som styrel- sen beslutat om för myndighetschefen enligt 13 § myndighetsförordningen (2007:515). När myndigheten har en styrelse där myndighetschefen ingår behöver det inte innebära att internrevisionen inte är självständig i sin granskning av hur myndighetschefen sköter den löpande verksamheten. Granskningen sker enligt de av styrelsen beslutade riktlinjerna och den beslutade revisionsplanen. Ni granskar och rapporterar resultatet till styrelsen. Man måste här skilja på myndig- hetschefens roll som ledamot i styrelsen och som chef för myndigheten. Uppstår en konflikt mellan de två rollerna kan myndighetschefen avstå från att delta i styrelsens arbete i denna situation.
2.2.6 Att samordna en internrevision med en annan myndighets internrevision
Myndigheten får samordna sin internrevision med annan myndighet enligt 8 § internrevisionsförordningen.
Med samordning menas att myndigheternas internrevision inordnas under en gemensam ledning eller internrevisionschef. När internrevisionen är samord- nad med en annan myndighet kan myndigheten använda internrevisorer som är anställda vid eller arbetar på uppdrag för annan myndighet för att utföra internre- visionsuppdrag.
bestämmelser om den statliga internrevisionen bestämmelser om den statliga internrevisionen
2.2.7 Internrevisionen ska ge råd och stöd
Internrevisionen ska ge råd och stöd till styrelsen och chefen för myndigheten13 enligt 5 § internrevisionsförordningen. Ni får även ge råd och stöd till andra än styrelse och generaldirektör utan att uppdraget är medtaget i revisionsplanen. Om ni ska kunna ge råd till andra än myndighetsledningen bör det framgå av internre- visionens riktlinjer. Innan rådgivningsuppdraget antas bör ni bedöma om:
− internrevisionen har kompetens inom det aktuella området,
− risken för eventuella begränsningar av oberoendet i framtida granskningar av det aktuella området samt
− internrevisorn är oberoende och objektiv gentemot den aktuella verksamheten.
Om råd och stöd påverkar ert oberoende ska ni redovisa det i rapporteringen av råd och stöd och i den framtida granskningen, om det blir aktuellt. Rådgivning kan vara ett problem för enmansrevisorer just med hänsyn till framtida gransk- ningar. För att undvika risken för självgranskning kan ni anlita konsulter.
2.2.8 Internrevisionen behöver tillgång till uppgifter
Myndighetsledningen ska se till att internrevisionen får tillgång till de uppgifter och upplysningar som ni behöver för att fullgöra ert uppdrag i den utsträckning det inte möter hinder på grund av bestämmelse om sekretess, vilket framgår av 11 § internrevisionsförordningen. Om ni inte får tillgång till de uppgifter ni be- höver ska ni redovisa detta för myndighetsledningen.
2.3 Regler för internrevisionen enligt myndighetsförordningen Det ansvar en myndighetsledning har gentemot regeringen regleras i 3 § myn- dighetsförordningen. Där framgår att myndighetsledningen är ansvarig för verksamheten och ska se till att den bedrivs och redovisas inom vissa ramar. I 4 § internrevisionsförordningen framgår att internrevisionen utifrån en analys av verksamhetens risker ska granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen. Ramen för er granskning är den verksamhet som myndigheten bedriver och som myndighetsledningen ansvarar för (se avsnitt 2.2.4). En granskning kan genomföras med olika utgångspunkter och med olika perspektiv. All granskning bör dock beakta aspekterna av att verksamheten ska ske författningsenligt och att den ska bedrivas effektivt och med god hushållning samt att redovisningen av verksamheten ska vara tillförlitlig och rättvisande.
13 Med chefen för myndigheten avses här myndighetschef i både enrådighetsmyndighet och styrelsemyndighet.
bestämmelser om den statliga internrevisionen
2.3.1 Myndigheten ska ha föreskrifter om internrevision i arbetsordningen och i riktlinjerna
Myndighetens ledning ska besluta om riktlinjer för internrevisionen enligt 10 § internrevisionsförordningen. En myndighetsledning ska i en arbetsordning besluta om de närmare föreskrifter som behövs för:
− myndighetens organisation,
− arbetsfördelning mellan styrelse och myndighetschef,
− delegering av beslutanderätt inom myndigheten,
− handläggning av ärenden och
− formerna i övrigt för verksamheten.
Dessa uppgifter framgår av 4 § 2 p myndighetsförordningen. Det som ska reg- leras i de två stadgarna kan delvis vara överlappande men är inte identiskt. Vissa aspekter av internrevision ska regleras i arbetsordningen, bland annat frågan om organisation och delegering av beslutanderätt.
2.3.2 Myndigheter ansvarar för att utveckla internrevisionen
Myndigheter har ansvar att utveckla sin verksamhet, samarbeta, stödja reger- ingen med verksamheten inom EU, utveckla arbetsgivarpolitiken med mera. Det innefattar och omfattar internrevisionen precis i samma omfattning som övrig verksamhet på en myndighet. Internrevisionen ska inom ramen för sitt uppdrag beakta innehållet i dessa paragrafer.
2.3.3 Begränsa kostnaderna för att hämta in uppgifter
En myndighet ska begränsa de kostnadsmässiga konsekvenserna för uppgifter som hämtas in till myndigheten, enligt 19 § myndighetsförordningen. Normalt bedriver internrevisionen sitt arbete inom myndigheten och berörs då inte av stadgandet. Om internrevisionen begär in uppgifter från någon verksamhet utan- för myndigheten blir paragrafen tillämplig och det finns då ett krav att begränsa de kostnadsmässiga konsekvenserna för den andra verksamheten.
Kraven i 3 § myndighetsförordningen gäller även för verksamhet inom myn- digheten vilket innebär att även internrevisionen ska eftersträva effektivitet och god hushållning i sin verksamhet.
2.3.4 Internrevisionen hos värdmyndigheter kan
granska allt som myndighetsledningen ansvarar för
För de myndigheter som är värdmyndighet till en nämndmyndighet14 sträcker sig internrevisionens granskningsområde precis lika långt som myndighetsledningens ansvar. Har myndigheten i en överenskommelse med nämndmyndigheten påtagit
14 En myndighet som leds av en nämnd. Myndighetens ledningsform anges i myndighetens instruktion eller i någon annan författning (2 § Myndighetsförordning 2007:515).
bestämmelser om den statliga internrevisionen bestämmelser om den statliga internrevisionen
sig ett ansvar för verksamhet och uppgifter den ska sköta, ligger det inom ramen för vad internrevisionen kan granska. Den verksamhet som däremot exklusivt lig- ger inom nämndmyndighetens ansvarsområde ligger inte inom ramen för vad ni kan granska hos värdmyndigheten.
2.4 Att säkerställa intern styrning och kontroll med internrevision En myndighet definieras genom sin instruktion. Myndigheten får bedriva verksamhet inom de ramar som regeringen har ställt upp. I myndighetsförord- ningen15 framgår att myndighetsledningen är ansvarig för sin verksamhet inför regeringen. Det framgår vidare att myndighetsledningen ska säkerställa att det på myndigheten finns en intern styrning och kontroll som fungerar betryggande.
Den interna styrningen och kontrollen utgörs, enligt förordningen om intern styrning och kontroll, av den process som syftar till att myndighetsledningen med rimlig säkerhet kan upprätthålla sitt ansvar för verksamheten och säkerställa att den bedrivs effektivt, med god hushållning av statens medel, enligt gällande rätt och att verksamheten redovisas på ett tillförligt och rättvisande sätt.
ESV har beskrivit myndighetsledningens ansvar för den interna styrningen och kontrollen i handledningen Ansvaret för intern styrning och kontroll (ESV 2012:46). Där framgår att ledningen kan säkerställa att styrningen och kontrollen är betryggande med ett flertal olika aktiviteter. Först och främst ska myndighetsledningen tydligt delegera ansvar och befogenheter till chefer och medarbetare för verksamheten, enligt budget och plan. Därefter följer ansvaret att upprätta regler och rutiner för verksamheten. Myndighetsledningen ska även upprätta en ändamålsenlig arbetsfördelning inom myndighetens organisation i stab och linje.
Till sitt stöd för att säkerställa en betryggande intern styrning och kontroll har vissa myndigheter internrevision. Internrevisionen arbetar enligt myndighetsled- ningens riktlinjer och revisionsplan och lämnar förslag till förbättringar av den interna styrningen och kontrollen. Internrevisionen är vid sidan av myndighets- ledningen grundläggande för en betryggande intern styrning och kontroll, men det är viktigt att notera att ni inom internrevisionen inte är ansvariga för myndig- hetens interna kontroll utan ni ansvarar för att granska och utvärdera den interna kontrollen.
Ni ska utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att ledningen kan upp- rätthålla sitt ansvar för verksamheten. I en sådan granskning ingår att följa upp de aktiviteter som ledningen har initierat för en betryggande intern styrning och kontroll. Granskningen innefattar både att bedöma ändamålsenligheten i dessa aktiviteter och föreslå förbättringar om ni uppfattar att de inte är ändamålsenliga och upprätthåller kraven i 3 § myndighetsförordningen. Internrevisionen bör
15 3 § myndighetsförordning (2007:515).
bestämmelser om den statliga internrevisionen
därutöver också granska att aktiviteterna har implementerats och efterlevs av verk- samheten.
De myndigheter som har internrevision ska i samband med årsredovisningen lämna en bedömning om den interna styrningen och kontrollen är betryggande eller redovisa de brister i den interna styrningen och kontrollen som ledningen bedömer föreligger. De granskningar som ni har genomfört under året kan vara ett stöd vid ledningens ställningstagande om den interna styrningen och kontrol- len är betryggande. Ledningen använder sig inte enbart av era granskningar, utan ska göra sin bedömning utifrån all tillgänglig information om hur den interna styrningen och kontrollen fungerar på myndigheten.
Detta betyder inte med automatik att internrevisionen granskar myndighetens process för att ta fram underlag för uttalandet i årsredovisningen varje år. Ni genomför era granskningar efter en bedömning av myndighetens risker. Om ni tidigare har gjort bedömningen att processen fungerar väl väljer ni kanske istället att inrikta er på granskningsområden där ni bedömer att en granskning kan bidra till en större nytta för myndigheten. Däremot förekommer det att myndighetens ledning begär att internrevisionen ska granska hela eller delar av processen varje år. Det är i så fall att se som ett rådgivningsuppdrag.
rådgivning rådgivning
rådgivning rådgivning
3 Rådgivning
Utöver internrevisionens uppgift att granska och lämna förslag till förbättringar av myndighetens processer för intern styrning och kontroll ska internrevisionen även ge råd och stöd till styrelsen och chefen för myndigheten inom områden som ligger inom internrevisionens kompetensområde. Nedan framgår IIA:s defi- nition på rådgivning enligt IPPF.
Rådgivningstjänster är rådgivande till sin natur och utförs allmänt på förfrågan från en uppdragsgivare. Karaktären eller omfattningen av ett rådgivningsuppdrag är föremål för en överenskommelse med uppdragsgivaren.
3.1 Vem får internrevisionen ge stöd till?
Internrevisionen ska ge råd och stöd till styrelsen och chefen för myndigheten vilket framgår av avsnitt 2.2.7. Om ni ska kunna ge råd och stöd till andra än myndighetsledningen bör det framgå av internrevisionens riktlinjer.
Av internrevisionens riktlinjer bör det framgå om och under vilka omständig- heter internrevisionen ska ha möjlighet att säga ja eller nej till råd och stöd. Det bör även framgå under vilka premisser som ni får åta er uppdrag från andra än myndighetens ledning. Vilken omfattning får uppdragen ha? Får de här upp- dragen inkräkta på redan planerade granskningar? Ska myndighetens ledning ge sitt tillstånd när uppdraget överstiger en viss tidsram? Om det finns accepterade uppdrag när revisionsplanen fastställs ska de framgå av revisionsplanen.
3.2 Vad är råd och stöd?
Vad är då skillnaden mellan råd och stöd och granskning? Den största skillnaden är att de granskningsaktiviteter som finns upptagna i revisionsplanen bygger på internrevisionens riskanalys medan råd och stöd inte behöver ha en sådan ut- gångspunkt.
Råd och stöd kan bestå av många olika saker. Det kan vara fråga om aktiviteter som är granskningsliknande, det kan vara fråga om utredningar, råd och stöd i samband med att myndigheten startar, avvecklas eller ska bygga upp nya verksam- heter. Det kan vara att internrevisionen får en begäran att ta fram fakta inom olika ämnesområden. Internrevisionschefen har också till uppgift att informera myn- dighetsledningen om vad som gäller enligt god sed, regelverk med mera.
3.3 Rådgivning kräver kompetens och resurser
Det finns inte tydligt uttalat i internrevisionsförordningen eller i IIA:s standarder vilken typ av rådgivning det är lämpligt att internrevisionen ger. En grundför- utsättning för att ni ska kunna lämna råd och stöd är att ni har kompetens inom
rådgivning offentlighet och sekretess samt arkivering
området. Har ni inte det ska ni informera uppdragsgivaren om att den kompetens som krävs för att ge råd saknas. Ni kan då föreslå att myndigheten tar in extern kompetens för att genomföra uppdraget.
En annan viktig aspekt är om internrevisionen har tillräckliga resurser att genomföra uppdraget utan att övriga aktiviteter som finns inplanerade i revi- sionsplanen påverkas. Ni bör även i dessa fall ta upp frågan med myndighetens ledning. Lösningen kan vara att göra omprioriteringar i revisionsplanen eller att tillföra internrevisionen extra resurser.
I vissa fall kan internrevisionens rådgivning vara särskilt värdefull för myndig- heten. Det kan handla om att myndigheten befinner sig i ett uppstartsskede eller bedriver projekt av strategisk betydelse. Ni måste då vara tydliga med att ni inte kan delta i myndighetens beslut och att er roll endast är rådgivande.
Om ni som internrevisorer bedömer att rådgivningsuppdraget har inneburit att ni deltagit operativt i myndighetens verksamhet behöver ni utvärdera hur det kommer begränsa er objektivitet i eventuella framtida granskningar inom det aktuella området. Det här förhållandet kan medföra problem för internrevisionen när det inte finns flera medarbetare att fördela framtida granskningsuppdrag på.
Om internrevisionens objektivitet inte kan säkerställas i samband med ett rådgiv- ningsuppdrag bör ni meddela detta förhållande till myndighetsledningen. Lös- ningen kan istället vara att ta in externa resurser för de rådgivningsuppdrag där internrevisionen saknar lämpliga resurser.
offentlighet och sekretess samt arkivering
4 Offentlighet och sekretess samt arkivering
Myndighetens arkiv, allmänna handlingar och sekretess är företeelser där den goda seden inte alltid överensstämmer med eller ger ledning för hur internrevisio- nen i staten ska hantera dokumentation och där lag och förordning gäller i första hand.
Nedan följer en redogörelse för vad offentlighetsprincipen innebär och hur den påverkar internrevisionens dokumentation. Därefter beskriver vi arbetet med att avsluta revisionsakten innan ni arkiverar och avslutar den i diariet.
4.1 Internrevisionens granskningar blir offentliga
I Sverige har vi offentlighetsprincipen som innebär att myndigheters handlingar ska vara tillgängliga för allmänheten16. Huvudregeln är att alla handlingar som är upprättade hos myndigheten eller som har inkommit till myndigheten är all- männa handlingar. Allmänna handlingar är offentliga förutom när de omfattas av sekretess. För att en handling ska omfattas av sekretess krävs lagstöd. Hela eller delar av en handling kan sekretessbeläggas17. Nedan beskriver vi hur en handling bedöms ur ett offentlighetsperspektiv.
Alla handlingar från internrevisionen som är upprättade hos myndigheten eller som har inkommit till myndigheten är enligt huvudregeln allmänna handlingar oavsett om handlingarna är i papper eller elektronisk form. En handling kan även vara ett inspelat meddelande eller bandupptagning med mera. En handling som enligt huvudregeln är allmän handling blir det genom att den är inkommen, upp- rättad eller expedierad. Handlingar som enligt huvudregeln inte är allmänna kan bli det genom att de ändå tillförs ärendet eller expedieras, till exempel arkiveras
16 2 kap. Tryckfrihetsförordningen, TF.
17 Offentlighets- och sekretesslag (2009:400), OSL.
Handling
Ej allmän handling
(ingen insynsrätt)
Allmän handling
Hemlig handling
(sekretess)
Offentlig handling
(insynsrätt)
offentlighet och sekretess samt arkivering offentlighet och sekretess samt arkivering
med akten. Några exempel på handlingar från internrevisionen som typiskt sett inte är allmänna handlingar är utkast eller koncept eller minnesanteckningar och annan dokumentation som inte tillför ärendet någon sakuppgift.
En handling behöver inte tillhöra en viss granskning för att vara allmän hand- ling, den kan vara det redan genom att vara upprättad inom myndigheten eller inkommen, exempelvis genom e-post.
Den dokumentation som uppstår under internrevisionens granskning blir, som ovan nämnts, allmän handling när dokumentationen är inkommen, upprät- tad, expedierad eller arkiverad. Det kan till exempel vara granskningsprogram som visar granskningens inriktning och omfattning, arbetspapper som innehål- ler iakttagelser från granskningen samt minnesanteckningar från intervjuer och möten. Det är därför oftast inte möjligt att utlova uppgiftslämnare anonymitet.
Detsamma gäller för handlingar som uppkommer vid råd och stöd enligt 5 § in- ternrevisionsförordningen. Innan samtliga handlingar i ärendet blir offentliga (vissa handlingar kan vara allmänna offentliga handlingar redan från början, se ovan) bör ni som internrevisorer ha tagit ställning till vilka dokument som ska finnas i revisionsakten och därefter se till att akten avslutas. De handlingar som är allmänna ska tillföras akten. Observera att arbetsmaterial som tillförs ärendet och läggs i akten i ett avslutat ärende blir allmänna handlingar.
Vid avslutning av en revisionsakt bör ni vidta följande åtgärder:
1. Rensa akten från dubbletter, utkast eller koncept, minnesanteckningar och andra dokument som inte tillför ärendet något i sak. Revisionsbe- visen ska däremot inte rensas bort. Det ska vara möjligt att följa utveck- lingen (den röda tråden) från iakttagelserna i internrevisionsrapporten tillbaka till revisionsbevisen i årsakten.
2. Ta ställning till om någon del eller hela akten bör omfattas av sekretess.
3. Gallra akten på information utifrån myndighetens beslut om gallring.18 Beslutet om gallring kan antingen vara allmänt eller enskilt.
Även myndighetens internrevision omfattas av offentlighetsprincipen. Var och en kan vända sig till myndigheten och begära ut en allmän offentlig handling från er verksamhet, till exempel era revisionsrapporter och granskningsakter.
Även internrevisionens riktlinjer och revisionsplan är allmänna offentliga hand- lingar, samt åtgärderna med anledning av era iakttagelser och rekommendationer enligt 10 § internrevisionsförordningen. Dessa handlingar är beslutade av myn- dighetsledningen och lämnas ut på begäran.
Den version av riskanalysen som är underlag till den beslutade revisionsplanen blir sannolikt offentlig med beslutet om revisionsplan.
Den statliga internrevisionen omfattas av samma regler om handlingars of- fentlighet och sekretess som all annan statlig verksamhet. En statlig internrevisor
18 Riksarkivets föreskrifter och allmänna råd om gallring och utlån av räkenskapshandlingar (RA-FS 2004:3).
offentlighet och sekretess samt arkivering
följer därmed inte den grundläggande principen som gäller för extern och intern revision inom det privata näringslivet, nämligen att en internrevisor alltid har tystnadsplikt. IIA:s yrkesetiska kod tar upp vikten av att internrevisorn hanterar information konfidentiellt men säger också att det kan finnas legala skäl som gör att det inte alltid är möjligt att följa alla delar av standarderna.
4.2 Internrevision är ingen sekretessgrund
Sekretess gäller för uppgift om planläggning av revision, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs i enlighet med 17 kap 1 § OSL. Sekretess hindrar inte att en uppgift lämnas till en myndighet, om uppgiften behövs där för revision hos den myndighet där uppgiften förekom- mer, i enlighet med 10 kap 17 § OSL.
Internrevision är ingen sekretessgrund men bestämmelser om sekretess för skydd av det allmänna intresset eller enskildas personliga eller ekonomiska för- hållanden kan tillämpas även för internrevision. Internrevision kan inte ge löfte om anonymitet som inte har stöd i offentlighets- och sekretesslagen. Detta gäller även material från konsulter vilket lämpligen klarläggs i avtal med konsulterna.
Minnesanteckningar från intervjuer, i likhet med andra handlingar, anses vara en allmän handling under förutsättning att minnesanteckningarna tillför ett sakinne- håll och inte överförts till en slutrapport.
Det är i första hand den som har handlingen i sin vård som ska pröva om en handling ska lämnas ut enligt 6 kap. 3 § OSL. I andra hand är det myndigheten som ska göra denna prövning. Utlämning av handlingar ska ske på stället om inte betydande hinder finns enligt 2 kap. 12 § TF. Myndigheternas interna rutiner för detta kan dock variera.
4.3 Arkivering av internrevisionens handlingar
Internrevisionens handlingar ingår i det nationella kulturarvet och tillgänglig- het till handlingarna är ett uttryck för en demokratisk förvaltning. Det innebär att handlingarna omfattas av höga krav på att bevaras, hållas ordnade och vårdas.
Bestämmelserna om arkiv finns bland annat i arkivlagen (1990:782) och Riks- arkivets föreskrifter (RA-FS) och bestämmelser om allmänna handlingar finns i tryckfrihetsförordningen (1949:105). Internrevision omfattas av myndighetens arkivredovisning. För den ska det finnas en arkivplan med gallringsbestämmelser.
Ni bör vid uppstart av en revision (i planeringsfasen) ta fram ett diarienummer.
Ärendet avslutas när myndighetens ledning har beslutat om åtgärder med anled- ning av revisionen. Därefter lämnas akten, efter att den rensats (se avsnitt 4.1), för arkivering. När akten är klar att arkiveras brukar den bland annat innehålla granskningsplan, granskningsprogram där syfte, utfört arbete och resultat fram- går, revisionsbevis samt slutrapport. Kopior på räkenskapsmaterial, protokoll, rutiner etc. behöver normalt inte tillföras internrevisionens arkiv om de inte har
offentlighet och sekretess samt arkivering kvalitetsarbete, kompetens och kompetensutveckling
tillförts noteringar om iakttagelser under granskningen. Omfattningen av gransk- ningen framgår av hänvisningar till granskat material, vilket ni kan ange i gransk- ningsprogrammet. Det är viktigt att tänka på att de handlingar som till sist finns i akten blir arkivmaterial och därmed allmänna, och som grundregel offentliga handlingar.
kvalitetsarbete, kompetens och kompetensutveckling
5 Kvalitetsarbete, kompetens och kompetensutveckling
Internrevisionen ska ledas av en chef enligt internrevisionsförordningen. En del i det chefsansvaret är att utveckla och upprätthålla ett program för kvalitetssäkring och kvalitetsförbättring som täcker in alla aspekter av internrevisionsverksamhe- ten. Kvalitetssäkringsprogrammet ska inkludera både intern- och extern kvalitets- bedömning.
Syftet med det interna kvalitetsarbetet är att säkerställa att internrevisionens verksamhet överensstämmer med god internrevisions- och internrevisorssed. Det interna kvalitetsarbetet ska fånga upp och identifiera eventuella brister och ge en möjlighet att åtgärda dessa och därigenom behålla och förbättra kvaliteten på internrevisionens arbete. En effektiv och ändamålsenlig verksamhet ger förut- sättningar för att internrevisionen ska kunna bidra till att förbättra myndighetens verksamhet och därigenom leva upp till ledningens förväntningar.
5.1 Vad det interna kvalitetsarbetet ska omfatta
Interna utvärderingar ska genomföras genom fortlöpande övervakning och upp- följning av internrevisionsverksamheten samt genom regelbundna egna utvärde- ringar eller utvärderingar av andra personer inom organisationen med tillräcklig kunskap om internrevisionspraxis. I bilaga 1 framgår en checklista för internrevi- sionens interna kvalitetsarbete.
Resultatet av den interna kvalitetsbedömningen ska ni rapportera till myndig- hetens ledning.
5.1.1 Följ regelbundet upp ert arbete och era styrdokument
Internrevisionens styrdokument är främst internrevisionsförordningen med ESV:s föreskrifter och allmänna råd, IPPF, myndighetsledningens riktlinjer till in- ternrevisionen, internrevisionens fastställda arbetssätt och processer, revisionsplan och kompetensutvecklingsplan.
Internrevisionens arbete kan följas upp och jämföras med internrevisionsför- ordningen och IIA:s standarder med syftet att identifiera förbättringsområden.
Genomgången ska dokumenteras. Den dokumentation som upprättas kan ni kommande år uppdatera med eventuella förändringar.
5.1.2 Internrevisionens riktlinjer
Myndighetens ledning ska besluta om riktlinjer för internrevisionen enligt 10 § internrevisionsförordningen. Riktlinjerna är myndighetsledningens instruk- tioner till internrevisionen.
kvalitetsarbete, kompetens och kompetensutveckling kvalitetsarbete, kompetens och kompetensutveckling
Årligen ska ni inom internrevisionen följa upp om instruktionerna i riktlinjerna har efterlevts. I samband med detta är det lämpligt att ni även gör en bedömning om det finns anledning att uppdatera dem. Om det finns skäl att ändra i riktlinjer- na bör ni upprätta ett ändringsförslag som myndighetsledningen ska fatta beslut om.
I riktlinjerna bör myndighetsledningen ange formerna för internrevisionens rapportering samt hur ofta de vill ha återrapportering från resultatet av det in- terna kvalitetsarbetet.
Myndighetens riktlinjer för internrevisionen ska i första hand utgå från in- ternrevisionsförordningen vad gäller beskrivningen av internrevisionens syfte, befogenhet, ansvar, roll och rapportering med mera. Av handledningen Statlig internrevision för myndighetsledningar (2014:1) framgår vad riktlinjerna kan innehålla.
5.1.3 Internrevisionschefen bör besluta
om internrevisionens arbetssätt och processer
För att vägleda internrevisionsverksamheten bör internrevisionschefen besluta om internrevisionsfunktionens arbetssätt och processer. Det här kan ni inom internre- visionen beskriva och dokumentera i en revisionshandbok. Revisionshandboken är av internrevisionschefen beslutade regler, principer, metoder och rutiner för en enhetlig hantering av internrevisorernas roller och arbetssätt. Revisionshandbo- ken ska vara känd och tillämpas av alla internrevisorer inom internrevisionsfunk- tionen samt av anlitade konsulter.
I en revisionshandbok kan ni bland annat beskriva och dokumentera hur arbe- tet sker med:
1. Riskanalys 2. Revisionsplan
3. Granskningars genomförande 4. Rådgivningsuppdrag
5. Rapportering
6. Uppföljning och utvärdering av granskningsinsatser
7. Uppföljning av tidigare års iakttagelser och rekommendationer 8. Internrevisionens oberoende och objektivitet
9. Kompetensfrågor
10. Sammanfattande årsrapport; innehållsförteckning 11. Samarbete med extern revision
12. Det interna och externa kvalitetsarbetet.
I handboken kan det även vara lämpligt med ett avsnitt om hur internrevisionen granskar oegentligheter. Internrevisionen ska bedöma risken för otillbörlig på- verkan, bedrägerier och annan oegentlighet i enlighet med ESV:s föreskrifter till 4 § internrevisionsförordningen.
kvalitetsarbete, kompetens och kompetensutveckling
Dokumentationen i handboken kan ni komplettera med en processkarta som visar de olika stegen i internrevisionsprocessen. Som dokumentation kan ni också använda olika typer av dokument, till exempel mallar för revisionsplanen eller internrevisionsrapporter. Internrevisionschefen avgör hur detaljrik dokumentatio- nen ska vara. Dokumentationen bör dock vara utformad på ett sådant sätt att en utomstående kan följa de olika stegen utan svårighet.
Oftast upptäcks brister och/eller förbättringsmöjligheter i revisionshandboken i samband med det löpande arbetet under året. Internrevisionschefen avgör om och när bristerna ska åtgärdas. Det är dock lämpligt att minst årligen bedöma om ni bör uppdatera revisionshandboken.
5.2 Återkoppling från uppdragsgivare och de granskade
Syftet med återkoppling från internrevisionens uppdragsgivare och de granskade är att få ta del av deras syn på internrevisionens arbete. Detta kan sedan användas som underlag för att förbättra revisionsarbetet så att det bättre svarar mot verk- samhetens behov. Enligt god internrevisionssed har ni inom internrevisionen även en skyldighet att informera organisationen om vad internrevisionens upp- drag innebär och på så sätt påverka de förväntningar som finns på internrevisio- nen. Återkopplingen på internrevisionens arbete inhämtas främst från myndighe- tens ledning och de som blivit granskade under året.
5.2.1 Återkoppling från uppdragsgivaren
Nedan följer exempel på frågor ni kan ställa till myndighetsledningen:
1. Har internrevisionen levt upp till myndighetsledningens riktlinjer för internrevisionen?
2. Använder internrevisionen sina resurser på ett effektivt sätt?
3. Har internrevisionens verksamhet präglats av kompetens och yrkesskicklighet?
4. Har de iakttagelser och rekommendationer som framförts av internrevisionen varit relevanta?
5. Är internrevisionens rapportering lätt att tolka?
6. Har ni haft nytta av de genomförda revisionerna?
7. Vilka förbättringsområden för internrevisionen ser ni?
Ni bör sammanställa och dokumentera svaren från myndighetsledningen. Många internrevisionsfunktioner föredrar dock att ha en mer informell muntlig uppfölj- ning med sin uppdragsgivare.
5.2.2 Återkoppling från de granskade
Återkoppling från de granskade kan exempelvis erhållas genom uppföljningssam- tal med ledningen för det reviderade området eller enkät till de granskade. Efter
kvalitetsarbete, kompetens och kompetensutveckling kvalitetsarbete, kompetens och kompetensutveckling
varje större granskning eller rådgivningsuppdrag bör ni ha ett uppföljningssam- tal med de ansvariga för det reviderade projektet, enheten eller avdelningen. Ni avgör själva vad som är en större granskning. Syftet är att få del av förväntningar och synen på internrevisionens arbete för att ha som underlag för att förbättra ert revisionsarbete. Här är några exempel på frågor ni kan ställa:
1. Har ni fått information om syftet, målen och omfattningen av revisionen?
(I samband med att en revision startar brukar man ha ett öppningsmöte där dessa frågor behandlas).
2. Har de personer som genomförde revisionen rätt kunskapsnivå inom relevanta områden?
3. Har ni fått rätt bemötande i samband med den genomförda revisionsinsatsen?
4. Är de iakttagelser och rekommendationer internrevisionen framförde i samband med den genomförda revisionsinsatsen relevanta?
5. Har internrevisionen lämnat sin rapport i tid för att förslagen ska vara aktuella för er?
6. Har ni haft nytta av den genomförda revisionen?
7. Finns det förbättringsområden för internrevisionen?
För att säkra återkoppling från de reviderade kan ni även skicka en enkät till utvalda personer inom det reviderade projektet, enheten eller avdelningen. För exempel på en enkät som kan skickas till dessa personer se bilaga 2.
Sammanfattningen av resultatet (från gjorda intervjuer och utskickade enkäter) kan ni sammanställa årligen och presentera för myndighetsledningen.
5.3 Uppföljning och utvärdering av
internrevisionens prestationer och nyckeltal
Internrevisionen ska precis som all annan verksamhet inom en myndighet utföras effektivt, enligt gällande rätt och med god hushållning av myndighetens medel.
För att mäta detta kan ni göra en uppföljning och utvärdering av era prestationer och nyckeltal. En förutsättning för det är att ni har tidredovisning och följer upp er nedlagda tid. Tidredovisningen behöver inte vara alltför detaljerad, men det bör vara möjligt att göra en uppföljning av redovisad tid jämfört med planerad tid.
Varje myndighet och internrevisionsfunktion bestämmer själv eller tillsam- mans med sin uppdragsgivare vilka prestationer och nyckeltal internrevisionen ska styras och mätas mot. Myndighetsledningarnas förväntningar bör utgå från internrevisionens roll enligt internrevisionsförordningen, nämligen att internre- visionen ska granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. För många internrevisionsfunktioner är det fullt tillräckligt med att ha återkoppling från internrevisionens uppdragsgivare och de reviderade i enlighet med avsnitt 5.2.
