Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen. Linköpings universitet

Extern validering av intern kvalitetsutvärdering av

internrevisionsfunktionen

Linköpings universitet

20 november 2014

Sammanfattning

I enlighet med § 7 Internrevisionsförordningen (2006:1228) skall internrevisionen bedrivas enligt god internrevisionssed. Det innebär att en internrevisionsfunktion utvärderas vart femte år av en kvalificerad och oberoende part. En sådan utvärdering kan ske antingen som en extern kvalitetsutvärdering eller som en extern validering av genomförd intern kvalitetsbedömning. Internrevisionen vid Linköpings universitet har beslutat sig för att göra en intern kvalitetsbedömning och önskar därför en extern validering av den egna bedömningen. Lind Andersson har fått i uppdrag att genomföra den externa valideringen.

Denna rapport innehåller våra observationer och slutsatser efter genomförd validering.

Internrevisionschefen har, efter att hon genomfört sin självutvärdering av internrevisions- funktionen, bedömt att internrevisionen väl svarar upp till internationella standarders för yrkesmässig internrevision, men att förbättringsområden finns inom några områden.

Efter att vi genomfört vår validering av den interna kvalitetsbedömningen anser vi att internrevisionsfunktionen vid Linköpings universitet är etablerad i överensstämmelse med Internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt accepterade riktlinjer från yrkesmässig internrevision. Det tillämpade arbetssättet står väl i överensstämmelse med god internrevisionssed. Internrevisionen verkar i överensstämmelse med IIA:s Yrkesetiska kod.

Vår uppfattning är att internrevisionsfunktionen vid Linköpings universitet upplevs som relevant och kompetent av styrelse och ledning, tillför ett mervärde och hjälper universitetet att uppnå sina mål. Utan att dra ner helhetsintrycket vill vi också framföra några rekommendationer för fortsatt utveckling av internrevisionsfunktionen:

 Överväg att synkronisera tidpunkten för ledningens och internrevisionens riskanalys

 Överväg att ge styrelsens ordförande uppdraget att ansvara för utvecklingssamtal

med internrevisionschefen

 Utveckla arbetsprogrammen för enskilda granskningsuppdrag

Göteborg 20 november 2014

Mikael Andersson Johan Norrback

Certifierad internrevisor

Ackrediterad kvalitetssäkrare, IIA

Innehåll

1. Inledning ... 1

1.1 Bakgrund ... 1

1.2 Syfte ... 1

1.3 Angreppssätt ... 1

2. Resultat ... 2

2.1 Sammanfattande bedömning ... 2

3. Rekommendationer ... 4

3.1 Överväg att synkronisera tidpunkten för ledningens och internrevisionens riskanalys .. 4

3.2 Överväg att ge styrelsens ordförande uppdraget att ansvara för utvecklingssamtal med internrevisionschefen ... 4

3.3 Utveckla arbetsprogrammen för enskilda granskningsuppdrag ... 4

Bilaga A Detaljerad bedömning ... 6

Utvärderingskriterier ... 6

Detaljerad analys ... 6

Bilaga B Koppling mellan internrevisionsförordningen samt Ekonomistyrningsverkets

föreskrifter och allmänna råd mot IIA:s riktlinjer ...16

1. Inledning

1.1 Bakgrund

I enlighet med § 7 Internrevisionsförordningen (2006:1228) skall internrevisionen bedrivas enligt god internrevisionssed. Det innebär att en internrevisionsfunktion utvärderas vart femte år av en kvalificerad och oberoende part. Internrevisionschefen är ansvarig för att en sådan utvärdering genomförs. En utvärdering kan ske antingen som en extern kvalitetsutvärdering eller som en extern validering av genomförd intern kvalitetsbedömning. Internrevisionen vid Linköpings universitet har beslutat sig för att göra en intern kvalitetsbedömning och önskar därför en extern validering av den egna bedömningen. Lind Andersson har fått i uppdrag att genomföra den externa valideringen. Uppdraget har utförts av Mikael Andersson, som är ackrediterad kvalitetssäkrare och Johan Norrback. Denna rapport innehåller våra observationer och slutsatser efter genomförd utvärdering.

1.2 Syfte

Syftet med den externa valideringen är att bedöma huruvida Linköpings universitets internrevision följer Internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt accepterade riktlinjer från yrkesmässig internrevision (the Institute of Internal Auditors (IIA) Standards). Vidare är syftet att, i förekommande fall, lämna rekommendationer kring hur internrevisionen kan förbättras för att vara ett effektivt stöd för styrelsen i myndighetens process för god intern styrning och kontroll.

1.3 Angreppssätt

Den externa valideringen har genomförts i enlighet med IIA:s metod för extern validering.

Valideringen är genomförd i fyra steg:



Planering



Intervjuer och insamling av dokumentation



Analys



Rapportering

1.3.1 Planering

Den externa valideringen planerades tillsammans med internrevisionschefen Margareta Fallsvik. Tillsammans bestämdes vilka personer som skulle intervjuas, när valideringen skulle äga rum, vad som skulle granskas samt vilka personer som skulle genomföra arbetet.

1.3.2 Intervjuer och insamling av dokumentation

Internrevisionschef, samtliga medarbetare på internrevisionsfunktionen, myndighetsledning samt medarbetare som omfattats av en internrevisionsgranskning har intervjuats. Dessutom har den granskningsledare hos Riksrevisionen som ansvarar för revisionen av Linköpings universitet intervjuats.

Vi har tagit del av dokumentation kring internrevisionens organisation, dess plats i

myndigheten, internrevisionens planeringsprocess samt rapportering och uppföljning. Vidare

har vi tagit del av granskningsdokumentation kring enskilda internrevisionsprojekt.

Intervjuade personer Internrevisionen

 Margareta Fallsvik Internrevisionschef

 Leif Blomberg Internrevisor

 Mattias Pettersson Internrevisor

Myndigheten

 Anna Ekström Styrelsens ordförande

 Helen Dannetun Rektor

 Kent Waltersson Universitetsdirektör

 Margarita Nikoltjeva-Hedberg Prefekt matematiska institutionen

Riksrevisionen

 Samuel Ershammar Granskningsledare

1.3.3 Analys

Vi har därefter genomfört en analys av den insamlade informationen för att bedöma om internrevisionen vid Linköpings universitet följer Internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt accepterade riktlinjer från yrkesmässig internrevision. De observationer som identifierades i samband med utvärderingen har lett till rekommendationer som ges i syfte att utveckla och stärka internrevisionsfunktionen.

1.3.4 Rapportering

Vår sammanfattande bedömning samt rekommendationer presenteras i denna rapport, vilken också diskuterats med internrevisionschefen.

2. Resultat

2.1 Sammanfattande bedömning

Internrevisionschefen har, efter att hon genomfört sin självutvärdering utifrån IIA:s standards av internrevisionsfunktionen vid Linköpings universitet, bedömt att internrevisionen väl svarar upp till IIA standards, men att förbättringsområden finns inom några områden.

Internrevisionschefen har därefter gjort en separat självutvärdering gentemot internrevisionsförordningen (2006:1228) samt ESV:s föreskrifter och allmänna råd till denna.

Även här är internrevisionschefens bedömning att internrevisionen väl svarar upp till dessa.

Några förbättringsområden har dock noterats av internrevisionschefen; bättre dokumentation av det interna kvalitetssäkringsarbetet, en extern kvalitetssäkring behöver ske senast 2014 samt att internrevisionen kan bli bättre på att i riskanalysen bedöma risker för otillbörlig påverkan, bedrägerier och annan oegentlighet.

Efter att vi genomfört vår validering av den genomförda interna kvalitetsbedömningen anser

vi att internrevisionsfunktionen är etablerad i överensstämmelse med Internrevisions-

förordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt

accepterade riktlinjer från yrkesmässig internrevision. Det tillämpade arbetssättet står väl i

överensstämmelse med god internrevisionssed. Internrevisionen verkar i överensstämmelse

med IIA:s Yrkesetiska kod.

Nedan presenteras en sammanfattning av vår oberoende valideringen av självutvärderingen.

Bedömning har gjorts huruvida internrevisionsfunktionens verksamhet sker i överensstämmelse med IIA:s standarder och etiska riktlinjer. Bedömningen är graderad i en tregradig skala i enlighet med IIA:s metod för utvärdering av internrevisionsfunktioner.

Utvärderingskriterierna presenteras i Bilaga A nedan där också en utförlig beskrivning av utvärdering mot respektive standard återfinns.

Bedömningen har även gjorts mot Internrevisionsförordningen samt Ekonomistyrnings- verkets föreskrifter och allmänna råd. Då dessa i många fall sammanfaller med IIA:s riktlinjer och yrkesetisk kod har vi kommenterat eventuella avvikelser i Bilaga A under respektive standard. I Bilaga B visar vi översiktligt under vilka riktlinjer utvärderingen mot internrevisionsförordningen samt Ekonomistyrningsverkets föreskrifter och allmänna råd återfinns i denna utvärderingsrapport.

GC = Generally conforms PC = Partly conforms DNC = Does not conform

Lind Anderssons

bedömning

Intern- revisions-

chefens bedömning Riktlinjer avseende egenskaper

1000 Syfte befogenhet och ansvar GC

utsträckning

1100 Oberoende och objektivitet GC

utsträckning

1200 Kompetens och vederbörlig yrkesskicklighet GC

1300 Kvalitetssäkring och kvalitetsförbättringsprogram GC

Riktlinjer avseende utförande

2000 Leda internrevisionsverksamhet GC

utsträckning

2100 Arbetets beskaffenhet GC

utsträckning

2200 Planering av åtagande GC

utsträckning

2300 Genomförande av åtagande GC

utsträckning

2400 Rapportera resultat GC

utsträckning

2500 Övervaka process och resultat GC

utsträckning

2600 Uttalande rörande ledningens riskacceptans GC

Sammanfattande omdöme GC

utsträckning

Yrkesetisk kod GC

utsträckning

3. Rekommendationer

Vår uppfattning är att internrevisionsfunktionen vid Linköpings universitet upplevs som relevant och kompetent av styrelse och ledning, tillför ett mervärde och hjälper universitetet att uppnå sina mål. Utan att dra ner helhetsintrycket vill vi också framföra några rekommendationer för fortsatt utveckling av internrevisionsfunktionen. Rekommendationerna riktar sig till såväl internrevisionsfunktionen som styrelsen och ledningen.

3.1 Överväg att synkronisera tidpunkten för ledningens och internrevisionens riskanalys

Internrevisionen upprättar årligen en riskanalys som ligger till grund för revisionsplanen.

Denna riskanalys görs under hösten. Universitets riskanalys antas av styrelsen årligen i samband med undertecknandet av årsredovisningen. Eftersom internrevisionens revisionsplan presenteras för styrelsen vid årets sista möte behöver internrevisionens riskanalys vara färdigställd före universitets riskanalys. Därför har internrevisionen utgått från universitets riskanalys föregående år.

Rekommendation

Riskanalysens karaktär är att bedöma framtida risker och är därför inte med nödvändighet kopplad till årsredovisningen som har ett fokus på historisk information. Därför är vår rekommendation att universitetet gör sin riskanalys mot verksamhetsplanen i samband med fastställande av budget för kommande verksamhetsår och inte vid fastställandet av bokslut.

Om denna förändring görs kan internrevisionen också dra större nytta av ledningens riskanalys, som då tidsmässigt kan synkroniseras med internrevisionens riskanalys.

3.2 Överväg att ge styrelsens ordförande uppdraget att ansvara för utvecklingssamtal med internrevisionschefen

Internrevisionen är organiserad som en oberoende enhet under universitetsstyrelsen.

Administrativt är internrevisionen placerad under rektor. Universitetsdirektören sätter internrevisionschefens lön. I ESV:s handledning Statlig internrevision för myndigheter sägs att det lämpligt att internrevisionschefen har utvecklingssamtalet med sin uppdragsgivare, det vill säga styrelsens ordförande.

Rekommendation

Styrelsen bör överväga att styrelsens ordförande i fortsättningen håller utvecklingssamtal med internrevisionschefen. Det bör även diskuteras i vilken mån styrelsens ordförande också ska involveras i lönesättning av internrevisionschefen.

3.3 Utveckla arbetsprogrammen för enskilda granskningsuppdrag

Enligt god internrevisionssed ska internrevisor utarbeta ett arbetsprogram som leder till att uppdragets mål nås.

I de uppdrag vi särskilt granskat har granskningsprogrammet utgjorts av ett avsnitt i

granskningsplanen som kallas granskningens metod och urval. Här beskrivs översiktligt hur

uppdragets målsättningar ska nås. Utifrån denna information är det svårt att i efterhand

bedöma om de aktiviteter som genomförts i ett enskilt granskningsuppdrag motsvarar dem

som faktiskt har planerats skulle genomföras.

Rekommendation

Vår bedömning är att arbetsprogrammen behöver bli mer detaljerade och innefatta aktiviteter

för att identifiera, analysera, utvärdera och dokumentera information under uppdraget för att

det ska vara möjligt att följa upp att det som godkänts i planeringsfasen faktiskt har

genomförts.

Bilaga A Detaljerad bedömning

Utvärderingskriterier

GC - Generally conforms

Internrevisionens struktur, principer, rutiner och processer är i allt väsentligt i enlighet med de krav som finns fastställda för respektive standard.

Omdömet "generally conforms" innebär inte att det inte finns förbättringsmöjligheter.

Innebörden är att den allmänna målsättningen för standarden är uppfylld, men därutöver finns det alltid möjlighet att förbättra ytterligare.

PC - Partially conforms

Verksamheten bedrivs i linje med de krav som finns för respektive standard. Dock uppfyller internrevisionen inte vissa av de huvudmålsättningar som finns specificerade for respektive standard.

Partially conforms innebär att det finns betydande förbättringsmöjligheter. Det bör även uppmärksammas att en del av de iakttagna bristerna kan avse ledningen snarare än intern- revisionen.

DNC - Does not conform

Internrevisionen uppfyller inte flera eller samtliga av respektive målsättningar för standarderna.

I de fall omdömet DNC har erhållits är det sannolikt att bristen kommer att ha en väsentlig inverkan på internrevisionens arbete. Vidare finns ett antal viktiga områden som bör förbättras. Det bör även uppmärksammas att en del av de iakttagna bristerna kan avse ledningen snarare än internrevisionen.

Detaljerad analys

Nedan presenteras vår detaljerade analys där jämförelse skett mellan internrevisionens nuvarande arbetssätt och IIA:s riktlinjer.

1000 Syfte, befogenheter och ansvar Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

1000 Syfte,

befogenhet och ansvar

Universitetsstyrelsen beslutade 2014-04-23 om en uppdaterad "Instruktion för Internrevisionen vid Linköpings universitet” med anledning av ESV:s förändringar i föreskrifter och allmänna råd till internrevisionsförordningen (2006:1228).

I denna instruktion definieras internrevisionens syfte, befogenhet och ansvar.

Av instruktionen framgår hur internrevisionen ska placeras organisatoriskt. Instruktionen bemyndigar

GC

även tillgång till information och personal som är relevanta för att genomföra uppdrag samt definierar omfattningen av internrevisionens verksamhet.

1010 Igenkännandet i instruktionen av Definitionen av internrevision, Yrkesetisk Kod och Riktlinjerna

I instruktionen går det att känna igen Institute of Internal Auditor’s (IIA) definition av internrevision samt att internrevisionen ska beakta IIA:s yrkesetiska kod och riktlinjer.

GC

1100 Oberoende och objektivitet Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

1110 Organisatoriskt oberoende

Internrevisionen är organiserad som en oberoende enhet under universitetsstyrelsen.

Administrativt är internrevisionen placerad under rektor.

Internrevisionen är av naturliga skäl inte oberoende gentemot styrelsen men intern- revisionen är oberoende gentemot den verksam- het som ska granskas vilket är i enlighet med internrevisionsförordningen och god intern- revisionssed.

Universitetsdirektören sätter internrevisions- chefens lön. Enligt tolkningen till IIA:s standard 1110 sägs att ett exempel på funktionell rapportering till styrelsen är när styrelsen godkänner internrevisionschefens lön och andra förmåner. I ESV:s handledning Statlig

internrevision för myndigheter sägs att det lämpligt att internrevisionschefen har utvecklingssamtalet med sin uppdragsgivare, det vill säga styrelsens ordförande. En sådan förändring är något styrelsen bör överväga.

Enligt god internrevisionssed ska internrevisions- chefen åtminstone årligen bekräfta intern- revisionsverksamhetens organisatoriska oberoende. I internrevisionschefens

självutvärdering har det noterats att en sådan årlig bekräftelse inte har avgivits. Detta avser

internrevisionschefen åtgärda i samband med presentationen av internrevisionens

Verksamhetsrapport för 2014.

GC 3.2

1111 Direkt

samverkan med styrelsen

Av såväl internrevisionens instruktion och våra genomförda intervjuer framgår att

internrevisionschefen rapporterar och samverkar direkt med styrelsen. Detta sker bland annat genom att internrevisionschefen har närvarorätt och yttranderätt på styrelsemötena, att styrelsen fastställer revisionsplanen samt att rapportering efter avslutad granskning görs till styrelsen.

GC

1120 Individuell objektivitet

Enligt internrevisionens gällande

Revisionshandbok ska den enskilde revisorns objektivitet och oberoende bedömas innan ett gransknings- eller rådgivningsuppdrag påbörjas.

GC

Detta sker genom att internrevisionschefen och granskningsledare går igenom ”internrevisionens checklista för uppstart” där den enskilde revisorns oberoende och objektivitet bedöms.

Vår bedömning är att internrevisionen bedrivs med hänsyn tagen till individuell objektivitet.

1130 Begränsning av oberoende eller objektivitet

Om oberoende eller objektivitet är faktiskt eller synbarligen begränsad ska information lämnas till berörda parter.

Vi har i vår genomgång inte noterat några tillfällen då oberoendet eller objektiviteten har varit

begränsad.

GC

1200 Kompetens och vederbörlig yrkesskicklighet Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

1210 Kompetens Instruktionen för internrevisionen anger inget om kompetenskrav eller kompetensmål för

internrevisionsverksamheten. Det nämns endast att ”internrevisionen ska förbättra sina kunskaper och färdigheter genom fortlöpande yrkesmässig utveckling”.

För närvarande har internrevisionsfunktionen två och en halv heltidsresurser till sitt förfogande.

Revisionschefen tjänstgör 80% vid Linköpings universitet och 20% vid Malmö högskola.

Revisionschefen har över tio års erfarenhet som revisionschef vid Linköpings universitet.

Dessförinnan har hon innehaft andra

chefspositioner. Därutöver finns det två ytterligare medarbetare vid internrevisionen varav en innehar en CISA-certifiering och den andre har erfarenhet bland annat från Riksrevisionen.

I revisionsplanen för 2014 identifieras ett behov av att någon inom internrevisionsfunktionen

certifieras enligt internationell standard (Certified Internal Auditor). Det finns även ett behov av fortbildning för att behålla CISA-certifiering.

Sammantaget uppvisar nuvarande bemanning vid internrevisionen en bredd både vad gäller kunskap och erfarenhet om den organisation som ska granskas och inom revisionsmetodik. Ambitionen att skaffa certifiering enligt internationell standard ligger i linje med ESV:s uttalande om

kompetensprofil för statliga internrevisorer.

Vid våra intervjuer har det också framkommit att internrevisionen uppfattas som kompetent av organisationen.

Samverkan med Malmö högskola bidrar även till kompetensen hos revisorerna genom möjlighet till breddad erfarenhet och jämförelse med annan myndighet inom sektorn.

GC

1220 Vederbörlig yrkesskicklig- het

Både i intervjuer och genom den granskning av specifika projekt vi gjort har det framkommit att internrevisionen tillämpar den omsorg och

GC

skicklighet som kan förväntas av en omdömesgill och kompetent internrevisor.

1230 Fortlöpande professionell utveckling

Enligt Revisionsplanen för 2014 avsätts 280 timmar för kompetensutveckling. Detta motsvarar 93 timmar per anställd. Enligt ESV:s rapport

”Redovisning av den statliga internrevisionen 2014” är genomsnittet för kompetensutveckling mellan 70 och 80 timmar per internrevisor och år de senaste två åren. Detta innebär att

internrevisionen vid Linköpings universitet sätter av tid för kompetensutveckling som är väl i paritet med andra statliga internrevisionsfunktioner.

GC

1300 Kvalitetssäkring och kvalitetsförbättringsprogram Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

1310 Krav på kvalitets- säkrings- och kvalitetsför- bättrings- program

Internrevisionens rutiner för kvalitetssäkring framgår av internrevisionens revisionshandbok.

Kvalitetssäkringsprogrammet är uppdelat på tre delar: 1) Intern kvalitetssäkring – fortlöpande intern kvalitetskontroll, 2) Intern kvalitetssäkring – självutvärdering och 3) Extern kvalitetssäkring I den första delen är kvalitetssäkringsaktiviteter samlade som sker löpande under året. Detta omfattar uppföljning och utveckling av funktionen, kvalitetssäkring av årsprocessen, kvalitetssäkring av egna revisionsprojekt, enkät till de reviderade, periodisk projektbedömning och intern

projektutvärdering.

Den andra delen av kvalitetssäkringsprogrammet sker en gång per år då avdelningen genomför en självutvärdering baserad dels på upplevelsen och följsamheten utifrån IIA standarder, dels en uppföljning utifrån Internrevisionsförordningen (2006:1228) och ESV:s föreskrifter och allmänna råd till denna. Även internrevisionens egna mål och måluppfyllelse utvärderas.

Den tredje delen av kvalitetssäkringsprogrammet redogör för den externa kvalitetsgranskningen som genomförs vart femte år.

GC

1320 Rapportera om kvalitets- säkrings- och kvalitetsför- bättrings- programmet

Internrevisionen rapporterar i den årliga verksamhetsrapporten till styrelsen att en självutvärdering av verksamheten har utförts.

Någon bedömning huruvida arbetet bedrivits i enlighet med god sed och enligt internrevisions- förordningen (2006:1228) rapporteras dock inte till styrelsen. Detta är något som också bör ske.

GC

2000 Leda internrevisionsverksamhet Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

2010 Planering Internrevisionen upprättar årligen en riskanalys som ligger till grund för revisionsplanen. Denna riskanalys görs under hösten och innefattar intervjuer med styrelsens ordförande, ledande befattningshavare och personer på olika nivåer i

GC 3.1

organisationen, kunskaper och erfarenheter från tidigare gransknings- och rådgivningsuppdrag samt generella risker från andra motsvarande organisationer.

Internrevisionen har anpassat sin riskanalys till den struktur som används av universitetet i enlighet med förordningen (2007:603) om intern styrning och kontroll.

Universitets riskanalys antas av styrelsen årligen i samband med undertecknandet av

årsredovisningen. Eftersom internrevisionens revisionsplan presenteras för styrelsen vid årets sista möte behöver internrevisionens riskanalys vara färdigställd före universitets riskanalys.

Därför har internrevisionen utgått från universitets riskanalys föregående år. Genom att

internrevisionen genomför intervjuer med ledande befattningshavare inför sin riskanalys bedömer vi att internrevisionen har rimliga förutsättningar att fånga upp förändringar i ledningens sätt att se på risker under året även om styrelsen ännu inte fattat beslut om riskanalysen för året.

2020 Kommunikation och

godkännande

Den av internrevisionen utarbetade revisions- planen fastställs av styrelsen årligen.

Revisionsplanen innehåller såväl årets planerade aktiviteter som förväntat resursbehov.

Om internrevisionsplanen behöver förändras väsentligt under innevarande år ska

internrevisionschefen ta upp detta med styrelsens ordförande och rektor. Styrelsen ska sedan fatta beslut om revisionsplanen ska ändras.

Under de senaste åren har det inte varit aktuellt med några väsentliga förändringar av planen.

GC

2030 Resurshante- ring

Internrevisionen utgörs för närvarande av en internrevisionschef som tjänstgör till 80% vid Linköpings universitet (resterande 20% är internrevisionschefen anställd vid Malmö

högskola) samt två heltidsanställda medarbetare.

Motsvarande 30% av en heltidstjänst säljs till Malmö högskola. Totalt har internrevisionen därmed 2,5 heltidstjänster till förfogande.

Normalbudgeten för internrevisionen innehåller små möjligheter att under löpande år anlita ytterligare kompetens.

I revisionsplanen ingår en sammanställning av internrevisionens totala verksamhet för budgetåret i form av en tidplan över planerade projekt samt bedömd resursåtgång för varje projekt. Tid avsätts också för uppföljning av att åtgärder vidtas med anledning av resultatet av tidigare gjorda granskningar samt i viss mån även för rådgivningsuppdrag.

Vår bedömning är att internrevisionens totala

GC

resurser är tillräckliga för att uppnå den godkända planen.

2040 Principer och rutiner

Enligt Instruktion för Internrevisionen vid

Linköpings universitet ska verksamheten bedrivas enligt god internrevisions- och internrevisorssed.

Det innebär att internrevisionschefen ska fastställa principer och rutiner för att vägleda

internrevisionsverksamheten.

Internrevisionschefen har beslutat om

internrevisionens Revisionshandbok, som består av 30 avsnitt som fastställts 2013 och därefter reviderats vid behov.

Vår bedömning är att internrevisionschefen har utarbetat lämpliga riktlinjer så att internrevisions- verksamheten kan genomföras i enlighet med god internrevisionssed och god internrevisorssed.

GC

2050 Samordning Instruktion för Internrevision vid Linköpings universitet hänvisar till internrevisionsförordningen (2006:1228) om att internrevisionen kan

samordnas med andra myndigheter.

En sådan samordning sker med Malmö högskola, som använder sig av resurser från Linköpings universitet motsvarande 0,3% heltidstjänster.

Vår uppfattning är att denna samordning är till gagn för både Linköpings universitet och Malmö högskola.

Vi har vidare noterat att internrevisionschefen har regelbundna möten med Riksrevisionen för att informera om varandras planerade gransknings- uppdrag.

Det har i övrigt inte framkommit synpunkter på att internrevisionen i sitt arbete överlappar någon annan intern eller extern leverantörer av säkrings- och rådgivningstjänster.

GC

2060 Rapportering till ledning och styrelse

Internrevisionschefens rapportering till

uppdragsgivaren beskrivs utförligt i instruktionen.

För varje universitetsövergripande aktivitet i revisionsplanen skrivs en sammanfattande rapport som ställs till styrelse och rektor. Vid en

institutions-/avdelningsgranskning upprättas en separat rapport som ställs till

prefekt/avdelningschef. Årligen skrivs en sammanfattande rapport över utförda revisioner samt övriga arbetsuppgifter under året. Rapporten tillställs styrelsen.

Baserat både på den granskade dokumentationen och på våra intervjuer bedömer vi att rapportering till uppdragsgivaren fungerar väl.

GC

2100 Arbetets beskaffenhet Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

2110 2120 2130

Ledning, Riskhantering och Styrning och kontroll

Av instruktionen för internrevision framgår att internrevisionens uppgift är att granska och lämna förslag till förbättringar av universitetets processer för riskhantering, styrning, kontroll och ledning vilket står i överensstämmelse med god internrevisionssed.

Vi har tagit del av revisionsplaner med

internrevisionens granskningar och uppföljningar 2012-2014 och kan konstatera att internrevisionen genomför granskningar inom samtliga tre områden styrning, riskhantering och kontrollprocesser i enlighet med allmänt accepterade riktlinjer från yrkesmässig internrevision.

Enligt IIA:s standard ska internrevisionen utvärdera risken för att bedrägerier inträffar och hur organisationen hanterar bedrägeririsker. ESV föreskriver att i analysen av verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier och annan oegentlighet. I

självanalysen kommenterade

internrevisionschefen att internrevisonen kan bli bättre på att bedöma sådana risker. Vi har också noterat att internrevisionens riskanalys avseende oegentligheter är knapphändig instämmer därmed i internrevisionschefens bedömning.

GC

2200 Uppdragsplanering Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

2201 Planerings- överväganden

I internrevisionens Revisionshandbok framgår att inför en granskning ska bakgrundsinformation insamlas. Denna innebär bland annat att

internrevisionen tar del av riskanalysen som låg till grund för granskningsuppdraget, samlar in

information om policys, planer, lagstiftning mm.

samt gör en förnyad riskbedömning.

I de uppdrag vi granskat har vi kunnat konstatera att det gjorts en granskningsplan för respektive uppdrag. I de tematiska uppdragen har det även gjorts en fördjupad riskanalys. I

institutionsgranskningarna har ett standardrevisionsprogram tillämpats.

GC

2210 Målsättningar för åtagandet

I planeringsfasen utarbetas målsättningar för uppdraget och den specifika revisionsfrågan fastställs. Målsättningen för åtagandet är

fastställda i granskningsplanerna och koppling till den identifierade risken är tydlig.

GC

2220 Åtagandets omfattning

Granskningarnas omfattning beskrivs tydligt i granskningsplanen där också avgränsningar redovisas.

GC

2230 Resursallo- kering för åtagandet

I granskningsplanen görs en beräkning på

planerad tidsåtgång för uppdraget. Enligt den mall som finns i Revisionshandboken ska även en nedbrytning av resurser göras på delmoment.

GC

Detta infördes 2014. I de två uppdrag vi särskilt granskat finns en beräkning av totala planerade resursåtgången men ingen nedbrytning av tiden på delmoment eftersom dessa uppdrag gjordes 2013.

Av granskningsplanen framgår vilka medarbetare som ska delta i uppdraget samt vilken roll som respektive medarbetare ska ha.

2240 Arbetsprogram för åtagandet

Enligt god internrevisionssed ska internrevisor utarbeta ett arbetsprogram som leder till att uppdragets mål nås.

I de uppdrag vi särskilt granskat har

granskningsprogrammet utgjorts av ett avsnitt i granskningsplanen som kallas granskningens metod och urval. Här beskrivs översiktligt hur uppdragets målsättningar ska nås. I ett av uppdragen beskrivs exempelvis att ”tester och kontroller kommer att ske utifrån bedömda riskområden”.

Vår bedömning är att arbetsprogrammen behöver bli mer detaljerade och innefatta aktiviteter för att identifiera, analysera, utvärdera och dokumentera information under uppdraget för att en uppföljning ska vara möjlig att göra så att det som godkänts i planeringsfasen faktiskt har genomförts.

PC 3.3

2300 Genomförande av åtagande Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

2310 Identifiera information

Den insamlade informationen ska vara tillräcklig, tillförlitlig, relevant och användbar för att uppnå uppdragets målsättning.

För de uppdrag som vi tagit del av bedömer vi att informationen har varit tillförlitlig, relevant och användbar.Vi har sett att det finns dokumentation som stöder de observationer som lyfts i intern- revisionens rapporter och informationen är tydligt kopplad till granskningsfrågorna.

GC

2320 Analys och utvärdering

Internrevisionen baserar sina slutsatser på den granskning som utförts, vilket också framgått i uppdragsdokumentation som vi tagit del av.

GC

2330 Dokumentera information

Internrevisionens revisionshandbok anger tydligt vilka dokument som ska sparas och hur de arkiveras. De uppdrag vi tagit del av har också varit väldokumenterade och tydliga.

GC

2340 Övervakning av åtagandet

Internrevisionschefen har ett övergripande ansvar för att övervaka uppdrag, men kan också utse lämpliga medarbetare inom internrevisionen för att utföra denna uppföljning.

Internrevisionen har använt en checklista för denna kvalitetsbedömning som finns bifogad i dokumentationen för varje uppdrag.

GC

2400 Rapportera resultat Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

2410 Kriterier för rapportering

Enligt god internrevisionssed ska internrevisio- nens rapporter innehålla uppdragets målsättning och omfattning liksom slutsats och eventuella rekommendationer.

Vi har tagit del av ett urval rapporter från intern- revisionen. Rapporterna har varit väldisponerade och de observationer och rekommendationer som görs är relevanta och anknyter till granskningens syfte.

Enligt god internrevisionssed uppmuntras intern- revisorer att också erkänna tillfredsställande prestationer. Vi har noterat att detta också sker i internrevisionens rapporter.

GC

2420 Rapporte- ringens kvalitet

Internrevisionens rapportering ska vara korrekt, objektiv, tydlig, koncis, konstruktiv, fullständig och i rätt tid.

Rapporterna vi tagit del av har varit väldisponera- de och beskrivningen koncis och med tydliga hänvisningar till källmaterial och koppling till faktiska observationer.

GC

2430 Användning av

"Utfört i överens-

stämmelse med Internationella Riktlinjer för Yrkesmässig internrevision"

Internrevisionen använder sig inte av detta uttryck i sin revisionsrapportering.

E/T

2440 Spridning av resultaten

Efter genomfört uppdrag utarbetas ett rapport- utkast som delges intervjupersoner för sakgranskning. Efter att rapporten varit ute för sakgranskning och synpunkter tagits tillvara fastställs rapporten av internrevisionschefen.

Därefter sänds den till styrelsen och rektor. I normalfallet sker även en presentation för styrelsen. Om det är en institutionsgranskning sänds rapporten till institutionsstyrelsen med kopia till universitetsdirektören.

Vi noterar att den fastlagda rutinen har följts.

GC

2500 Övervaka process och resultat Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

2500 Övervaka process och resultat

I internrevisionens riktlinjer står att den årliga sammanfattande verksamhetsrapporten ska innehålla ett avsnitt om uppföljning av de åtgärder som styrelsen beslutat med anledning av tidigare års granskningar.

I de årliga verksamhetsrapporter vi tagit del av framgår det tydligt att det varje år görs en uppföljning av granskningar som genomförts tidigare år. Internrevisionens uppföljningar synes

GC

fungera väl.

2600 Uttalande rörande ledningens riskacceptans Bedömning: GC

Nr Riktlinje Observation Bedömning Ev. rek.

2600 Uttalande rörande ledningens riskacceptans

Vid våra diskussioner med internrevisionschefen har vi inte fått några indikationer på att internrevi- sionen har bedömt att myndigheten accepterat en risknivå som kan vara oacceptabel för organisa- tionen.

GC

Bilaga B Koppling mellan internrevisionsförordningen samt

Ekonomistyrningsverkets föreskrifter och allmänna råd mot IIA:s riktlinjer

Eftersom internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återspeglas i IIA:s riktlinjer har vi valt att presentera utvärderingen utifrån IIA:s riktlinjer.

Nedanstående tabell syftar till att visa under vilka riktlinjer som internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återfinns.

Tabell som beskriver under vilka riktlinjer som utvärderingen mot Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återfinns

IIA:s Riktlinjer avseende egenskaper Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd 1000 Syfte befogenhet och ansvar Internrevisionsförordningen 3, 5, 6, 10, 11 §§

ESV:s allmänna råd till 5, 10 §§

1100 Oberoende och objektivitet ESV:s föreskrifter till 2 § 1200 Kompetens och vederbörlig

yrkesskicklighet 1300 Kvalitetssäkring och

kvalitetsförbättringsprogram

IIA:s Riktlinjer avseende utförande Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd

2000 Leda internrevisionsverksamhet Internrevisionsförordningen 2, 4, 6, 7, 9, 10 §§

2100 Arbetets beskaffenhet Internrevisionsförordningen 3 §

ESV:s föreskrifter till 4 § 2200 Planering av åtagande

2300 Genomförande av åtagande

2400 Rapportera resultat Internrevisionsförordningen 9, 10 §§

ESV:s allmänna råd till 9 § 2500 Övervaka process och resultat

2600 Uttalande rörande ledningens riskacceptans

Lind Andersson Consulting AB • Teknologgatan 6 • 411 32 Göteborg • Tulegatan 12 • 113 53 Stockholm Telefon 031-234 500 • 08-234 425 • E-post info@lindandersson.se • www.lindandersson.se