• No results found

Revisionsrapport Intern styrning och kontroll

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Revisionsrapport Intern styrning och kontroll"

Copied!
7
0
0

Loading.... (view fulltext now)

Download now ( 7 Page )

Full text

(1)

Styrelse och rektor

Revisionsrapport Intern styrning och kontroll  1. Bakgrund

Internrevisionen (IR)har i enlighet med fastställd revisionsplan för verksamhetsåret 2008 utfört granskning av Intern styrning och kontroll.

Regeringen har under en lång period på olika sätt arbetat med att stärka den interna styrningen och kontrollen vid de statliga myndigheterna. ”Förordning om intern styrning och kontroll” (SFS 2007:603) trädde i kraft januari 2008. Det svenska ramverket för intern styrning och kontroll har främst påverkats av det internationella ramverket Committe of Sponsoring Organisations of the Treadway Commission (COSO).

Med intern styrning och kontroll avses de processer som syftar till att myndigheten med rimlig säkerhet fullgör kraven att verksamheten bedrivs effektivt, att lagar och förordningar samt andra regler följs, att det finns en tillförlitlig, rättvisande rapportering av verksamheten, samt att myndigheten hushåller väl med statens medel.

Myndighetsförordningen (SFS 2007:515) liksom högskoleförordningen (SFS 1993:100) tydliggör myndighetsledningens ansvar. Förordningen om årsredovisning och budgetunderlag (SFS 2007:604) har ändrats vad gäller innebörden av styrelsens undertecknande av

årsredovisningen. Myndighetens ledning intygar att dokumentet ger en rättvisande bild av verksamhetens resultat och av kostnader, intäkter och av myndighetens ekonomiska ställning.

Härutöver ska ledningen i samband med årsredovisningen göra en skriftlig bedömning om den interna styrningen och kontrollen vid myndigheten är betryggande. Av ”Förordningen om intern styrning och kontroll” (FISK) framgår att den interna styrningen och kontrollen

systematiskt och regelbundet skall följas upp och bedömas. För att denna bedömning ska kunna göras måste ledningen ha tillgång till universitetets dokumenterade riskanalys, kontrollåtgärder och uppföljning

2. Riskbedömning

I alla organisationer oavsett storlek finns en risk för att oönskade situationer ska inträffa. Om risken realiseras, påverkas organisationens möjlighet att nå sina mål. LiUs finansiella

utveckling och de stora förändringar av organisation, IT-system och rutiner som genomförs innebär att verksamheten är förenad med risker vilket ställer krav på en fungerande intern styrning och kontroll.

(2)

3. Granskningens inriktning och omfattning

Med anledning av de nya krav som förändringarna i ovan nämnda förordningar innebär har IR granskat hur LiU arbetar med att anpassa verksamheten till dessa krav. Vidare har IR följt upp hur de fakulteter, institutioner och enheter som omfattas av granskningen i dag arbetar med den interna styrningen och kontrollen på en övergripande nivå.

Följande frågeställningar har under granskningen följts upp;

- Internmiljö, råder en kultur där anställda vet vad vilka regler som gäller i fråga om intern styrning och kontroll?

- Riskanalys, hur arbetar LiU med att ta fram en risk och väsentlighetsanalys för att kartlägga och analysera befintliga risker och åtgärda dessa?

- Kontrollaktiviteter/åtgärder, har LiU definierat vilka kontrollaktiviteter som ska finnas utifrån den gjorda riskanalysen?

- Information och kommunikation, hur säkerställer ledningen att de får den information som krävs för att styra, följa upp och rapportera verksamheten?

- Uppföljning och tillsyn, hur följer ledningen upp och utvärderar processen för intern styrning och kontroll för att säkerställa att den fungerar på avsett vis?

4. Metod och genomförande

Granskningen har genomförts i följande steg enligt nedan:

• Intervjuer med administrativ direktör, fakultetsdirektör och kanslichef för två fakultetskanslier (HU, TEKFAK), fem prefekter (IEI, TEMA, MAI, IKE, IBL), controller, avdelningschef VI, enhetschef Lokalservice, två administrativa chefer (TEMA, IDA).

• Analys och sammanställning av genomförda intervjuer och övrigt material, såsom för granskningen relevanta förordningar samt interna styrdokument.

COSO- modellens fem komponenter kontrollmiljö, riskanalys, kontrollåtgärder, information och kommunikation, uppföljning och utvärdering, har används som bedömningskriterier för att utvärdera ledningens system för intern styrning och kontroll på olika organisatoriska nivåer.

Sakavstämning av innehållet i revisionsrapporten har skett med de intervjuade.

5. Granskningens iakttagelser 5.1 Intern miljö

Det finns flera olika faktorer som påverkar den interna miljön, såsom samverkan mellan individerna i organisationen, kompetensen samt en öppen dialog om problem, etik, moral, ledarstil, ansvar och befogenhet. Den interna miljön är också beroende av strategier, riktlinjer och policy dokument. Sammanfattningsvis kan sägas att utan en fungerande intern miljö blir det svårt att få till stånd en fungerande intern styrning och kontroll.

(3)

Iakttagelser

Begreppet intern styrning och kontroll är inte allmänt känt i vår organisation.

Information angående innebörden av de berörda förordningarna avseende intern styrning och kontroll har getts till universitetsstyrelsen (US), ledningsrådet,

prefektgruppen och på ett intendentmöte. Någon utbildning/information härutöver är inte inplanerad.

Ansvar och befogenheter är inte alltid tydligt definierade på olika nivåer i

organisationen. Här pågår en förvaltningsrättslig översyn vilken bl.a. ämnar förtydliga arbetsordningen för LiUs övergripande organisation.

Arbete har lagts ner på att göra den centralt framtagna strategikartan för LiU känd och förankrad i organisationen. Rektor har besökt institutioner och enheter för att ge alla anställda möjlighet att få direkt information. Det pågår ett arbete på institutioner och andra enheter att ta fram sina mål och strategier. Här har man hunnit olika långt, vissa följer upp och reviderar tidigare framtagna mål och strategier, andra arbetar med framtagande och förankring i olika personalgrupper.

Det interna regelverket samt LiUs övergripande styr- och policydokumenten känner de intervjuade till. Flera menar att det är svårt att hitta i regelverket och ibland finns en osäkerhet om funna beslut är det mest aktuella. Flertalet uppger att de i första hand vänder sig till ”experter” inom det område som de behöver information om. I FISK- arbetet finns inplanerat en översyn av befintliga styrdokument, rutinbeskrivningar och policys på övergripande nivå hösten 2008.

5.2 Riskanalys

Riskanalys görs med verksamhetens mål som utgångspunkt. Riskerna/hoten ska identifieras, därefter värderas och slutligen ska värderingen leda till

riskhanteringsbeslut. Riskhanteringsbeslutet kan delas in i fyra olika åtgärder:

acceptera, begränsa, dela eller undvika.

Iakttagelser

På universitetsstyrelsens sammanträde i juni redovisade den arbetsgrupp som universitetsledningen utsett en riskkarta på övergripande nivå och förslag till årlig process för fortsatt arbete med FISK. I handlingarna föreslås att en mer permanent arbetsgrupp skapas. Denna grupp föreslås ha representation från fakulteter, institutioner samt några centralt placerade tjänstemän. Avsikten är att det ska vara en gemensam arbetsgrupp för arbetet med FISK:en och kvalitetsarbetet så att de båda ”processerna”

kan samköras. Arbetet med att ta fram ytterligare dokumentation som FISK:en kräver kommer att fortgå under hösten och presenteras för universitetsstyrelsen i november.

5.3 Kontrollaktiviteter/åtgärder

Kontrollaktiviteter är de åtgärder som vidtas för att förebygga, upptäcka och korrigera fel. Riktlinjer och rutiner fastställs och genomförs för att säkerställa att riskåtgärderna genomförs på ett effektivt sätt. Det kan handla om att fördela ansvar och befogenheter, upphandlingsregler, uppföljning av verksamhet, avstämningar, attestrutiner, kontroller i IT-system m.fl. Kontrollaktiviteterna ska stödja huvudmålen för den interna styrningen och kontrollen;

(4)

• Ändamålsenlig och kostnadseffektiv verksamhet

• Tillförlitlig finansiell rapportering och information om verksamheten

• Efterlevnad av tillämpliga förordningar, lagar, riktlinjer m.fl.

• Myndigheten ska hushålla väl med statens medel Iakttagelser

Arbetsgruppen för FISK:en har funnit sammanlagt 100 risker. Därefter har rektor och ledningsrådet bedömt att endast fem är så pass allvarliga och övergripande att styrelsen aktivt bör ta ställning till dem. IR har noterat att det i den framtagna riskkartan finns ett par risker som har graderats med en högre total tyngd än vad som i den tillhörande beskrivande texten är möjlig. Vidare finns det i materialet inte någon ansvarig utsedd för de framtagna riskerna. I den framtagna totala riskkartan finns bl.a. ett antal IT-risker upptagna vilka inte har värderats i riskanalysen.

Några av de åtgärder som vidtagits under de senaste åren eller som pågår för att stärka den interna styrningen och kontrollen inom LiU är:

• Införandet av LiUs strategikarta och implementering kring denna, utveckling och uppföljning av tillhörande styr- och måltal,

• Strategi för rekrytering till anställning som professor o universitetslektor vid LiU,

• De årliga institutionsdialogerna med respektive institution mellan rektor, universitetsdirektör och institutionsledningen,

• Framtagande av kvalitetsutvecklingsprogram för utbildning inklusive forskning, pågår,

• En förvaltningsrättslig översyn av LiUs övergripande organisation och uppgifter, pågår.

• NMI- Nöjd Medarbetarenkät,

• NSI- Nöjd Student- Index,

• Ny IT-organisation fr.o.m. januari 2008,

• Personalsidorna på webben har uppdaterats,

• Rutinhandbok för löneadministratörer,

• En översyn av ekonomi sidorna på webben, pågår,

• En översyn av upphandlingshandboken på webben, pågår,

• Utveckla och anpassa projektredovisningen till SUHF - modellen,

Det har i granskningen framkommit att dokumentation av rutiner inte alltid finns.

5.4 Information och kommunikation

En viktig förutsättning för intern styrning och kontroll är att det finns en fungerande information och kommunikation mellan de organisatoriska nivåerna. Relevant

information måste identifieras och förmedlas inom en tidsram till de anställda så att de kan utföra sina arbetsuppgifter. Ledningen på olika nivåer i organisationen måste säkerställa att de får den information som krävs för att kunna styra, följa upp och rapportera verksamheten. Informationsvägarna är både formella och informella.

(5)

Iakttagelser

En stor del av informationsöverförings sker via möten med olika personalgrupper och nätverksträffar på olika nivåer i organisationer. En del institutioner/enheter har egna intranät. LiU webben är inte alltid uppdaterad med den senaste informationen och ibland uppges det att är svårt att hitta på webben.

Det uppges att det i bland råder oklarhet om vem som ansvarar för

informationsspridning. Som exempel kan nämnas personer som ingår i någon

projektgrupp också förutsätts ansvara för informationsspridning medan den personen tycker att åtagandet stannar vid sin delaktighet i projektet.

Befattningsstrukturen ser olika ut på fakulteter, institutioner och enheter vilket också bidrar till att försvåra informationsspridningen. Resultatet av den inom LiU pågående utredningen kring befattningsstrukturen kommer förhoppningsvis att underlätta informationsspridningen i framtiden.

5.5 Uppföljning och tillsyn

Ledningen måste följa upp och utvärdera den interna styrningen och kontrollen för att kunna avgöra om den fungerar. Ledningen ska bilda sig en uppfattning om riskanalyser och kontrollåtgärder är tillräckliga för att ligga till grund för bedömning avseende den interna styrningen och kontrollen. Uppföljningen ska ske kontinuerligt och syftet med regelbundet återkommande tillsyn är att utvärdera om kontrollsystemet fungerar på avsett sätt.

Iakttagelser

Arbetet med FISK är pågående. Verktyg och dokument som krävs för att ledningen på ett systematiskt sätt ska kunna utvärdera om de kontrollaktiviteter/åtgärder som finns i verksamheten fungerar på avsett vis är under framtagande och ska presenteras för ledningen i november.

Uppföljning av verksamheten sker bl.a. genom rektors årliga institutionsdialoger, budgetdialoger, uppföljning av kursutvärderingarna, Högskoleverket utvärdering av utbildningar, nöjd medarbetarenkät, nöjd student index. Därutöver tillkommer ekonomiska uppföljningar, uppföljningar av studentprestationer, uppföljning av arbetsmiljö och miljö m.m.

Det saknas ett tillfredsställande LiU - gemensamt budgetuppföljningssystem, vilket det uppges finnas behov av. Några institutioner har själva utarbetat egna

budgetuppföljningssystem. Inom Liu pågår projektet ”Ekonomi 2008” i vilken bl.a.

införandet av en budgeteringsmodul i Agresso är inplanerad.

Fakulteterna arbetar på olika sätt avseende budget och fördelning av anslag, vilket försvårar för de institutioner som arbetar mot flera fakulteter.

6 Internrevisionens kommentar

Det påbörjade arbetet med FISK:en är en bra början. Utveckling av den interna

styrningen och kontrollen är en ständigt pågående process. Interna kontrollsystem måste uppdateras allteftersom det sker organisationsförändringar, förändringar i lagstiftningen

(6)

m.m. Det är positivt att en permanent arbetsgrupp inrättas för det fortsatta arbetet med FISK:en.

Intern styrning och kontroll angår inte bara ledningen utan samtliga anställda. Det framgår i ”Instruktion för prefekt” att prefekten ansvarar för att det inom institutionen tillämpas metoder och rutiner för en god intern kontroll. IR rekommenderar därför att fakulteter, institutioner och övriga enheter involveras i arbetet med den intern styrning och kontroll för att undvika att det blir en ”central produkt”.

Internmiljö

Det yttersta ansvaret för intern styrning och kontroll har ledningen

(universitetsstyrelsen), men för att arbetet med FISK ska få effekt i vår organisation måste begreppet intern ”styrning och kontroll” levandegöras och det måste också framgå att det är ett gemensamt ansvar för all personal på alla nivåer. Intern styrning och

kontroll omfattas av arbetsrutiner som dagligen utförs inom olika verksamhetsområden.

IR bedömer att det är viktigt att begreppet blir känt och levande inom hela

organisationen. Utbildning avseende intern styrning och kontroll bör därför ske på olika nivåer i organisationen.

IR anser att den pågående förvaltningsrättsliga översynen är angelägen. För att uppnå en effektiv intern styrning och kontroll är det nödvändigt att ha en tydlig ansvars – och befogenhetsfördelning mellan olika befattningshavare på ledningsnivå samt en fungerande delegationsordning. IR kommer att följa resultatet av detta arbete.

Det har skett många organisatoriska förändringar inom LiU de senaste åren. Att bättre kunna följa upp och styra verksamheten är en viktig del för att åstadkomma

måluppfyllelse. IR anser att de bokslutsenheter som inte har tagit fram sina strategier bör prioritera detta arbete. IR betonar att vikten av att bokslutsenheternas framtagna strategier kopplas till LiUs strategikarta. Vidare anser IR att det i samband med årsbokslut finns utvecklingsmöjligheter för bokslutsenheterna att bli bättre på att analysera hur verksamheten har bedrivits i relation till de strategier - och mål som finns fastställda.

Det är viktigt att ha ett aktuellt och tydligt regelverk. Det är nödvändigt att med en viss regelbundenhet följa upp de gemensamma strategier och policies för att fastställa vilka som är aktuella. Det bör finnas handlingsplaner eller liknande till upprättade

styrdokument. Likaså bör det tydligt framgå vilken beslutsnivå som gäller för de olika dokumenten. IR kommer att följa upp den översyn av befintliga styrdokument på övergripande nivå som planeras hösten 2008.

Riskanalys

LiU har kommit en bit på väg i sitt påbörjade arbete med riskanalys.

LiU befinner sig nu i början av en ständigt pågående process vad gäller intern styrning och kontroll. Det tar tid att gå igenom alla risker och LiU är i ett initialt skede. Med erfarenhet från såväl interna som andra offentliga incidenter är IT ett område som utifrån risker är ett prioriterat område. IR anser att arbetsgruppen för FISK bör beakta de IT-risker som finns med på riskkartan och värdera även dessa i riskarbetet.

(7)

IR anser att när det gäller värdering av framtagna risker måste dessa värderas på samma sätt. Om ledningen anser att vissa risker är extraordinärt stora måste det beaktas vid värderingen enligt den skala som man beslutat att följa. I annat fall måste skalan ändras och samtliga risker omvärderas. Detta medför också ändringar av texten i det tillhörande dokumentet med beskrivning över metodiken över framtagandet av riskkartan.

Kontrollaktiviteter/åtgärder

Det genomförs olika kontrollaktiviteter inom de flesta områden inom LiU även om de tidigare inte varit systematiserade och följts upp. Eftersom dessa inte tidigare varit dokumenterade och inte heller värderats i en riskanalys är det svårt att i dagsläget bedöma om de varit tillräckliga för att hantera de risker som kan hindra LiU att nå sina mål.

IR föreslår att de viktigaste rutinerna utifrån risk och väsentlighet bör dokumenteras skriftligt på enheterna. Detta för att förhindra att kunskap och kännedom om rutiner faller bort vid sjukdom och personalskiften. Ett led i att ytterligare stärka den interna styrningen och kontrollen är att med viss regelbundenhet följa upp om rutinerna följs.

Information och kommunikation

Informationsspridning är svårt, att rätt personer får rätt information i rätt tid är inte lätt i en stor organisation. IR rekommenderar ett förtydligande av ansvaret av

informationsspridningen såväl centralt inom LiU som ute på fakulteter, institutioner och enheter.

IR föreslår att webben utvecklas och förbättras, en mer enhetlig struktur och tydligare ansvar för att hålla sidorna uppdaterade.

Uppföljning och tillsyn

En god dokumentation ger bra förutsättningar för uppföljningar av hög kvalitet vilket ger ledningen möjligheter att bedöma statusen på den interna styrningen och kontrollen.

Dokumentation är en viktig förutsättning för ledningens dialog kring risk- och

kontrollfrågor. En regelbunden utvärdering av väsentliga rutiner och processer leder till en kvalitetssäkring.

Att ha bra verktyg till analyser och uppföljningar är viktigt. IR kommer att följa resultatet av projektet ”Ekonomi 2008”.

För institutionerna försvåras det ekonomiska arbetet av att fakulteterna har olika arbetssätt med budget och anslagsfördelning. IR anser att en universitetsgemensam modell för fördelning av anslagen skulle gagna organisationen.

Margareta Fallsvik Helena Blackert Anna Weiding

Revisionschef Internrevisor Internrevisor

References

Download now ( PDF - 7 Page - 84.66 KB )

Related documents

Systembeskrivning år Intern styrning och kontroll

Rektor ansvarar under universitetsstyrelsen för arbetet med att säkerställa att universitetet har en god intern styrning och kontroll som genomsyrar hela verksamheten.. Rektor

Arbete på samma villkor som andra

Det innebär att de krav som Inspektionen för Vård och omsorg (IVO) idag ställer för att bevilja anordnare tillstånd för att få bedriva assistans behöver kompletteras med krav

Revisionsrapport Intern kontroll i bemannings- och rekryteringsprocessen

Vi bedömer att kontrollmålet avseende om det finns dokumenterade regler och rutiner för kontroll av legitimation, utbildning och referenser vid anställning och inhyrning av läkare

Intern styrning och kontroll för riksdagens myndigheter

Enligt 2 § första stycket 1–3 och 7 lagen med instruktion för riksdagsför- valtningen gäller att riksdagsförvaltningen ska om annat inte är särskilt föreskrivet dels

REVISIONSRAPPORT. Granskning av Barn- och utbildningsnämndens. styrning, uppföljning och kontroll av verksamheten. Åtvidabergs kommun

Nämnden har på ett förtjänstfullt sätt skapat delvis nya och väl fungerande rutiner för att kontinuerligt kunna följa upp den ekonomiska situationen och utvecklingen inom

Styrning och intern kontroll av verksamheten

När det gäller organisation och ansvar avseende den interna kontrollen utgår ansvaret för internkontroll, enligt de intervjuade, från förvaltningschefen som fångar upp frågor

Revisionsrapport. Kalix kommun. Nämndernas styrning och interna kontroll av verksamheten

Vår sammanfattade bedömning är att båda nämnderna i det fortsatta målarbetet och arbetet med intern kontroll bör framarbeta rutiner och riktlinjer för hur dessa system ska följas

Granskning av intern styrning och kontroll

Vidare visar vår granskning att den regionövergripande kontrollplanen och nämndernas kontrollplaner (både 2017 och 2018) följer de anvisningar som framgår av reglementet för intern