Regeringsuppdrag
Rapport
Redovisning av den statliga
internrevisionen 2015
ESV:s rapporter innehåller regeringsuppdrag, uppdrag från myndigheter och andra instanser eller egeninitierade utredningar.
Publikationen kan laddas ner som pdf.
Datum: 2015-03-25 Dnr: 3.2-1034/2014 ESV-nr: 2015:23 Copyright: ESV
Rapportansvarig: Patrick Freedman
Förord
Ekonomistyrningsverket (ESV) har sedan 2008 årligen lämnat en rapport till regeringen om den statliga internrevisionen. De åtta rapporter som har lämnats fram till år 2015 har visat att efterlevnaden av internrevisionsförordningen har stabiliserat sig på en hög nivå. Det talar för att internrevisionen är etablerad vid de myndigheter som ska följa internrevisionsförordningen (2006:1228).
I detta ärende har generaldirektören Mats Wikström beslutat. Utredare Patrick Freedman har varit föredragande. I den slutliga handläggningen har också
avdelningschef Eva Lindblom och enhetschef Tina J Nilsson samt utredarna Annika Alexandersson, Catrin Lind Ebert och Tomas Kjerf deltagit.
Innehåll
Förord ... 3
1 Sammanfattning ... 6
2 ESV:s uppdrag ... 10
2.1 Bakgrund ... 10
2.2 Vilka myndigheter omfattas av ESV:s redovisning till regeringen ... 10
2.3 Av ESV lämnat undantag ... 10
2.4 Genomförande och tillvägagångssätt ... 10
3 Tillämpningen av bestämmelserna om internrevision ... 12
3.1 Myndigheterna följer bestämmelserna om internrevision ... 12
3.2 Få avvikelser från bestämmelserna om internrevision ... 13
4 Vad gör internrevisionen ... 14
4.1 Få förändringar av internrevisionens resurser ... 14
4.2 Hur fördelar sig arbetstiden för internrevisionen ... 14
4.3 Vilka områden granskar internrevisionen ... 15
4.4 Vilken inriktning och innehåll har granskningarna ... 15
4.4.1 Granskning av ledningsprocesser ... 16
4.4.2 Granskning av kärnprocesser ... 17
4.4.3 Granskning av stödprocesser ... 17
4.4.4 Exempel från myndighetsbesök ... 19
4.4.5 Granskning för att motverka bedrägerier och oegentligheter ... 20
4.1 Internrevisionen ger råd och stöd... 22
4.1 Internrevisionen får tillgång till uppgifter ... 23
4.2 Fler myndigheter inrättar whistleblowerfunktion ... 23
5 Resultatet av internrevisionens rapportering ... 24
5.1 Internrevisionens rekommendationer accepteras av ledningen ... 24
5.2 Det finns en process för att ta hand om myndighetsledningens beslut ... 25
5.3 Granskningar har varit till stöd för uttalandet i årsredovisningen ... 26
5.4 Internrevisionen ger nytta till myndighetsledningen ... 26
5.4.1 Internrevisionens kommunikation och rapportering är ändamålsenlig ... 26
5.4.2 Internrevisionens möten med myndighetens ledning ... 27
6 Samverkan och nätverk ... 28
6.1 Internrevisionschef som är anställd på mer än en myndighet ... 28
6.2 Internrevisionsmyndigheter samverkar ... 29
6.3 Internrevisorer upprättar nätverk ... 31
7 Kvalitetssäkring av internrevision ... 32
7.1 Internrevisorer utvecklar sin kompetens ... 32
7.2 Internrevisionen genomför intern kvalitetssäkring ... 32
7.3 Internrevisionen genomför extern kvalitetssäkring ... 33
7.1 Uppfyller myndigheterna kravet på att genomföra en extern kvalitetssäkring? ... 35
7.2 Uppgifter om internrevision från Riksrevisionens akter ... 36
7.3 Internrevisionens samarbete med Riksrevisionen ... 36
8 Omvärldsbevakning ... 37
8.1 PIC-konferens i Haag ... 37
8.2 Europeiska kommissionens internrevisionskonferens ... 37
8.3 GRC-dagarna... 38
8.4 IIA:s internationella årliga internrevisionskonferens ... 38
9 Slutsatser, trender och utveckling ... 41
9.1 Sammanfattande slutsatser ... 41
9.2 Tankar om trender och utveckling ... 42
Lagar och förordningar ... 44
Bilaga 1 – Internrevisionsmyndigheter 2014 ... 45
Bilaga 2 – Utfall av tillämpning av bestämmelserna ... 47
Bilaga 3 – Internrevisionen ger råd och stöd ... 49
Bilaga 4 – Internrevisionens dimensionering ... 51
Bilaga 5 – Internrevisionens arbete och granskningens inriktning ... 54
Bilaga 6 – Sammanställning av förbättringsområden från kvalitetssäkring ... 60
Externa kvalitetssäkringar ... 60
Intern kvalitetssäkring ... 62
Ordlista ... 64
1 Sammanfattning
Myndigheterna tillämpar bestämmelserna om internrevision
Den generella bilden som ESV har fått av internrevisionen är att den fungerar väl.
Internrevisionen utgör enligt ESV:s uppfattning det stöd till myndighetsledningen som det är tänkt. Utifrån myndigheternas redovisning bedömer ESV att
myndigheterna tillämpar bestämmelserna om statlig internrevision i mycket hög utsträckning. Endast ett fåtal avvikelser från bestämmelserna som rör
internrevisionen har rapporterats. Av dessa är det framförallt avvikelser inom två områden som ESV vill lyfta fram.
Läkemedelsverket har under 2014 inte har haft någon internrevisor anställd och inte heller bedrivit någon internrevision. Ett fåtal andra myndigheter har under en kortare eller längre tidsperiod saknat anställd internrevisionschef när tidigare
internrevisionschef har slutat och ny internrevisionschef ännu inte har tillträtt.
Det förekommer i enstaka fall att internrevisionen på styrelsemyndigheter inte är inrättad under myndighetens ledning utan är placerad under myndighetschefen eller liknande. ESV anser inte att en sådan placering är i enlighet med ESV:s föreskrift till 2 § internrevisionsförordningen där det framgår att internrevisionen ska inrättas direkt under myndighetens ledning.
Internrevisionsförordningen ställer krav på att internrevisionschefen ska vara anställd vid myndigheten. ESV anser, som redovisats i rapporten 2014, att det kan finnas skäl till att ge undantag från kravet i de fall då påtänkt internrevisionschef redan är anställd som internrevisionschef vid en annan myndighet.
Internrevisionen lägger största delen av sin tid på granskning
Internrevisionens huvudsakliga tid, drygt 60 procent, används för granskning. Av den tiden har ungefär en tredjedel av tiden använts för att granska ledningsprocesser, en tredjedel att granska kärnprocesser och en tredjedel att granska stödprocesser.
Vi har av enkätsvaren kunnat konstatera att den statliga internrevisionen har en stor bredd vad gäller inriktningen på sin granskning. Det kan även konstateras att internrevisionen, utöver sin granskande roll också ger råd inom ett stort antal områden.
Rådgivning tar drygt åtta procent av arbetad tid. I enkäten uppger 51 myndigheter att internrevisionen har lämnat råd och stöd till myndighetens ledning.
Myndighetsledningarna vid 71 procent av styrelsemyndigheterna har fått råd och stöd
jämfört med 87 procent av enrådighetsmyndigheterna. I 60 procent av styrelsemyndigheterna har internrevisionen dessutom gett råd och stöd till myndighetens chef.
Drygt tio procent av internrevisorernas tid används till planering och uppföljning av internrevisionens verksamhet. Cirka fem procent av tiden används till egen
kompetensutveckling.
Hälften av myndigheterna har granskat oegentligheter
Drygt hälften av myndigheterna har angivit att granskningar har innefattat arbetet med att motverka bedrägerier och oegentligheter. Enligt ESV:s uppfattning behöver det inte tolkas som att det finns brister i internrevisionens roll kopplat till arbetet mot otillbörlig påverkan, bedrägerier och annan oegentlighet då frågan har beaktats i samband med analysen av verksamhetens risker. ESV kommer att inhämta mer kunskap om detta och fördjupa frågeställningen i nästa redovisning.
ESV har ställt frågan om myndigheten har inrättat en funktion (en så kallad
whistleblowerfunktion) för att ta emot misstanke om otillbörlig påverkan, bedrägeri och annan oegentlighet i verksamheten. Av de 65 myndigheterna har 13 myndigheter svarat ja på frågan. Tre myndigheter berättar att de arbetar med att ta fram en
whistleblowerfunktion under 2015. ESV kommer att fortsätta följa hur
myndigheterna organiserar sitt arbete rörande oegentligheter m.m. i verksamheten.
Ändamålsenliga rekommendationer
Det framgår av enkätsvaren att myndigheternas ledning i 95 procent av fallen har accepterat de av internrevisionen lämnade rekommendationerna. Enligt ESV:s bedömning utgör detta en tydlig indikation på att myndighetsledningar har uppfattat att ändamålsenligheten i de rekommendationer som internrevisionen har lämnat är hög.
ESV har även ställt frågan till internrevisionsmyndigheterna om myndigheten har en fastställd process för att ta om hand myndighetsledningens beslut om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Av de 65 myndigheter som har svarat uppger 85 procent att myndigheten har en fastställd process. Motsvarande resultat för 2013 var 80 procent. ESV har tidigare framfört att myndigheten bör ha en genomtänkt och dokumenterad process för hur iakttagelserna och rekommendationerna i internrevisionens rapporter ska tas om hand.
55 myndigheter har angivit att internrevisionen har genomfört granskningar som har varit till stöd för myndighetsledningens bedömning i årsredovisningen om intern styrning och kontroll.
Det finns inte någon skillnad i hur ofta små eller stora internrevisionsfunktioner träffar myndighetsledningen. Det som däremot framgår är att myndighetscheferna i enrådighetsmyndigheter har en mycket tätare kontakt med internrevisionen än ledningen i styrelsemyndigheter. ESV anser att det kan finnas anledning för ledningar i styrelsemyndigheter att särskilt överväga om det finns behov av mer frekventa kontakter mellan ledning och internrevision och hur dessa kan utformas.
Samverkan och nätverk är värdefullt
Det finns ett stort antal nätverk och många samverkansaktiviteter inom den statliga internrevisionskåren. ESV anser att det finns mycket stora fördelar med samverkan och att det vore värdefullt om fler myndighetsledningar aktivt övervägde att samverka i större omfattning. För den del av internrevisionsfunktionerna som är enmansfunktioner är det extra värdefullt med samverkan.
Kvalitetssäkring av internrevisionen
Enligt god sed ska internrevisionschefen utveckla och upprätthålla ett program för kvalitetssäkring och kvalitetsförbättring som ska omfatta både intern och extern utvärdering. På ESV:s fråga om internrevisionen har genomfört en fortlöpande intern kvalitetskontroll av internrevisionsverksamheten svarade 91 procent (80 procent 2013) av myndigheterna ja och 9 procent (20 procent 2013) nej. Området intern kvalitetssäkring är alltså ett område där det har skett stora förbättringar under senare år. Det är viktigt att den positiva utvecklingen fortsätter och det kan finnas anledning för ESV att bevaka utvecklingen inom området.
Enligt god internrevisionssed ska en extern kvalitetssäkring genomföras minst en gång vart femte år. Under 2014 har tolv kvalitetssäkringar genomomförts. För elva av de tolv genomförda kvalitetssäkringarna har den externa
kvalitetssäkraren/valideraren lämnat det övergripande omdömet att
internrevisionsfunktionens verksamhet helt eller i huvudsak överensstämmer med internrevisionsförordning med föreskrifter och allmänna råd och IIA:s standards. Den tolfte, Kungliga tekniska högskolan, har genomfört en självutvärdering följt av en Administrative Assessment Exercise (AAE) som beställts av universitetets ledning.
En AAE genomförs av en bedömargrupp som består av utsedda sakkunniga kollegor, liknande en Peer Review. Tre aspekter bedömdes nämligen kompetens, service och kostnad. Bedömningen följer i huvudsak kraven för en extern kvalitetssäkring men motsvarar inte en regelrätt extern kvalitetssäkring.Bedömargruppens omdöme blev att KTH har en väl fungerande internrevisionsprocess som bedrivs med god kvalitet.
Under åren 2010-2014 är det 76 procent som har uppfyllt kraven på en extern bedömning av internrevisionen. Vid utgången av 2013 var motsvarande andel
71 procent. Av de 14 internrevisionsfunktioner som borde ha genomfört en extern kvalitetssäkring men som inte gjort det under 2014 är det åtta av myndigheter där ESV påpekade bristen redan 2014. ESV anser att det är angeläget att de myndigheter som inte har genomfört en extern kvalitetssäkring inom denna tidsram snarast åtgärdar denna brist och säkerställer att en extern kvalitetssäkring genomförs så snart som möjligt.
Förändringar i ramverket för internrevision på gång
IIA har påbörjat ett arbete med att se över det internationella ramverket för internrevisionen (IPPF). Enligt den planering som finns ska ramverket vara
färdigställt i början av 2016. Förslaget består av en ny målformulering (mission) för internrevision, tolv nya principer för internrevision, att Practice Advisory omarbetas till Implementation Guidance och att Practice Guides tas bort och att Supplemental Guidance införs i stället. Förändringarna i ramverket kan innebära ett utökat behov av kompetensutveckling för internrevisorer under 2016.
2 ESV:s uppdrag
2.1 Bakgrund
ESV ska utveckla, förvalta och samordna den statliga internrevisionen samt årligen lämna en redovisning över den statliga internrevisionen till regeringen senast den 31 mars.1 Ett led i samordningen av den statliga internrevisionen är att ESV i
redovisningen av den statliga internrevisionen analyserar och bedömer statusen på internrevisionen. ESV har dock ingen tillsynsroll eller några sanktionsmöjligheter kopplade till sitt åtagande. Syftet med samordningen är att den statliga
internrevisionen ska agera och verka i enlighet med svensk normering och god internrevisors- och internrevisionssed.
2.2 Vilka myndigheter omfattas av ESV:s redovisning till regeringen
ESV:s redovisning av den statliga internrevisionen omfattar de myndigheter under regeringen som efter beslut av regeringen ska följa internrevisionsförordningen. Vid utgången av 2014 var det 66 myndigheter som skulle ha en inrättad internrevision och därmed tillämpa internrevisionsförordningen. Ungefär hälften av myndigheterna är enrådighetsverk och hälften är styrelsemyndigheter. De myndigheter som har inrättat internrevision på eget initiativ omfattas inte av internrevisionsförordningen och ingår därmed inte heller i ESV:s redovisning. Internrevisionsmyndigheterna vid utgången av 2014 framgår av bilaga 1.
2.3 Av ESV lämnat undantag
Läkemedelsverket omfattas av internrevisionsförordningen och ska därför besvara ESV:s internrevisionsenkät men eftersom Läkemedelsverket under 2014 inte har haft någon internrevisor anställd så har Läkemedelsverket begärt undantag från att besvara enkäten.2
2.4 Genomförande och tillvägagångssätt
För redovisningen av den statliga internrevisionen har ESV hämtat in information via en enkät från de myndigheter som efter beslut av regeringen ska följa
internrevisionsförordningen. ESV har riktat sig till myndigheten eftersom det är myndigheten som har skyldighet att lämna informationen. Uppgiftslämnandet kan ske genom delegation till tjänsteman.
1 Förordningen (2010:1764) med instruktion för Ekonomistyrningsverket, 3 § 4 p. och 27 § 9 p.
2 Begäran om undantag från att besvara internrevisionsenkäten i Hermes/IRE. 2014-12-19. Dnr 3.2-1034/2014. ESV.
Uppgifterna i internrevisionsenkäten har lämnats till ESV via
koncerninformationssystemet (Hermes) under perioden 12 januari – 10 februari 2015. Frågorna i enkäten publicerades dessförinnan på ESV:s webbsida den 12 december 2014. Frågorna e-postades även till myndigheternas registratorer och internrevisionschefer. I de allra flesta fall är det internrevisionschefen som har besvarat enkäten å myndighetens vägnar.
Sammanställningar av inhämtad information via enkäterna redovisas i bilagorna 2 - 5.
ESV har under 2014 besökt internrevisionen vid elva internrevisionsmyndigheter.
Under besöken har ESV ställt frågor utifrån ett antal ämnesområden. Syftet med frågorna har varit att belysa hur internrevisionsverksamhet bedrivs i praktiken.
Frågeområdena har varit råd och stöd, uppföljning och rekommendationer, arbetet med riskanalys och revisionsplan, oberoende och objektivitet, internt och externt kvalitetsarbete, granskningsinriktning, rapportering, riktlinjer och dokumentation.
Svaren har använts för att fördjupa analyserna i rapporten.
ESV har i möjligaste mån kvalitetssäkrat uppgifterna som lämnats i
internrevisionsenkäten genom att jämföra med andra informationskällor som är tillgängliga, exempelvis externa kvalitetssäkringar, besök som har gjorts på myndigheter och de kommentarer som myndigheterna har lämnat i enkäten.
Rimlighetsbedömningar har gjorts av lämnade uppgifter.
3 Tillämpningen av bestämmelserna om internrevision
I detta kapitel redovisar vi i huvudsak myndigheternas följsamhet till bestämmelserna i internrevisionsförordningen (2006:1228) till vilken ESV får meddela föreskrifter, se även bilaga 2. Nya och ändrade föreskrifter och allmänna råd trädde i kraft 2014 vilket påverkar jämförelser över tiden. Förändringarna innebar en regelförenkling med färre bestämmelser som ger mer utrymme för myndighetsledningen att med riktlinjer för internrevision anpassa den till den egna verksamheten.3
ESV kan i enskilda fall pröva och meddela undantag från föreskrifterna till internrevisionsförordningen. ESV har under 2014 inte erhållit någon ansökan om eller prövat något undantag från föreskrifterna.
3.1 Myndigheterna följer bestämmelserna om internrevision
ESV har i sin enkät om internrevision inhämtat uppgifter om i vilken utsträckning internrevisionsmyndigheterna följer den normering som styr internrevisionen.
Regleringen finns i huvudsak i internrevisionsförordningen med föreskrifter och allmänna råd men också i andra bestämmelser för offentlig förvaltning som till exempel tryckfrihetsförordningen, myndighetsförordningen med flera författningar.
Den statliga internrevisionen ska också tillämpa god sed.
ESV bedömer att myndigheterna tillämpar bestämmelserna om statlig internrevision i mycket hög utsträckning. Myndigheterna redovisar få avvikelser från
bestämmelserna.
ESV har följt upp bestämmelserna om att:
− internrevisionen leds av en chef
− internrevisionens chef är anställd av myndigheten
− internrevisionen är inrättad direkt under myndighetsledningen
− internrevisionen är självständig i förhållande till den granskade verksamheten
− internrevisionen granskar och lämnat förslag till förbättringar av myndighetens process för intern styrning och kontroll
− internrevisionen granskat utifrån en analys av verksamhetens risker
− analysen av verksamhetens risker omfattar en bedömning av otillbörlig påverkan, bedrägeri eller annan oegentlighet
3 Mer om bakgrunden finns i utredningen Om internrevision. 2012-12-21, Dnr 52-850/2012, ESV.
− internrevisionen har självständigt granskat om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen
− internrevisionen har lämnat råd och stöd till styrelsen och chefen för myndigheten
− internrevisionen omfattar den verksamhet som myndigheten bedriver eller ansvarar för
− internrevisionen bedrivs enligt såväl god internrevisionsed som god internrevisorssed
− myndigheten har verkat för samarbete om internrevision med annan myndighet för att ta till vara de fördelar som kan vinnas för staten som helhet
− internrevision har redovisat resultatet av granskningen i form av iakttagelser och rekommendationer
− internrevisionen har rapporterat rekommendationerna och iakttagelserna till myndighetsledningen
− myndighetsledningen har beslutat om riktlinjer för internrevisionen
− myndighetsledningen har beslutat om en revisionsplan för internrevisionen
− myndighetsledningen beslutat om åtgärder med anledning av de iakttagelser och rekommendationer som internrevisionen rapporterat
− myndighetsledningen har, i den utsträckning det inte mött hinder på grund av bestämmelse om sekretess, sett till att internrevisionen fått tillgång till de uppgifter och upplysningar som den behövt för att fullgöra sitt uppdrag
3.2 Få avvikelser från bestämmelserna om internrevision
Endast ett fåtal avvikelser från bestämmelserna som rör internrevisionen har rapporterats. Av dessa är det framförallt två områden som ESV vill lyfta fram.
Läkemedelsverket har under 2014 inte har haft någon internrevisor anställd och inte heller bedrivit någon internrevision. Ett fåtal andra myndigheter har under kortare eller längre tidsperiod saknat anställd internrevisionschef när tidigare
internrevisionschef har slutat och ny internrevisionschef ännu inte har tillträtt.
Möjligheten att tillförordna chef för internrevisionen i avvaktan på att en ny chef tillträder har endast utnyttjas i begränsad omfattning.
Det förekommer i enstaka fall att internrevisionen på styrelsemyndigheter inte är inrättad under myndighetens ledning utan är placerad under myndighetschefen eller liknande. ESV anser inte att en sådan placering är i enlighet med ESV:s föreskrift till 2 § internrevisionsförordningen där det framgår att internrevisionen ska inrättas direkt under myndighetens ledning.
4 Vad gör internrevisionen
4.1 Få förändringar av internrevisionens resurser
Nedan redovisas en kortare sammanställning av hur internrevisionens resurser fördelar sig under åren 2013 och 2014.4
2014 2013
Antalet internrevisionsmyndigheter 66 66
Antal myndigheter med revisionsutskott 9 7
Årsarbetskrafter inklusive konsulter 146 149
Antalet statliga internrevisorer 139 148
Medelantalet anställda 2,1 2,3
Antalet enmansrevisorer 36 36
Antalet myndigheter med enmansrevisorer 40 39
Antal myndigheter med samordnad internrevision 11 11
Arbetad egen tid (timmar) 215 800 224 100
Arbetad tid konsulter (timmar) 9 500 9 700
Kompetensutveckling per anställd (timmar i genomsnitt) 88 75 Varit verksam som internrevisor tre år eller mer (%) 82 85 Andel kvinnor (%), andel kvinnliga internrevisionschefer (%) 41, 45 45, 43 Ålder mellan 51 och 60 år (%), ålder över 60 år (%) 38, 20 40, 19
Uppgifterna som avser resurserna visar att antalet årsarbetskrafter för 2014 minskat med tre personer jämfört med 2013. Antalet statliga internrevisorer har minskat med nio personer (6 %) jämfört med föregående år. Skillnaden beror främst på en
minskning av antalet anställda internrevisorer på större internrevisionsfunktioner.
Nedlagd tid per anställd för kompetensutveckling uppgår till i genomsnitt 88 timmar/år vilket är en ökning med 17 % jämfört med föregående år.
För fler uppgifter om resurser och använd tid m.m.se bilaga 4.
4.2 Hur fördelar sig arbetstiden för internrevisionen
Av internrevisionens totala tid används cirka 63 procent av tiden för granskning, vilket är något lägre jämfört med andelen granskning föregående år. Rådgivning utgör drygt åtta procent av arbetad tid och planering och uppföljning utgörs av drygt tio procent. Nedlagd tid inom dessa områden är ungefär densamma som föregående år. Internrevisorerna använder sex procent av tiden till egen kompetensutveckling vilket motsvarar ett genomsnitt på 88 timmar per år och anställd. Detta är en ökning
4 Tabellen återges även i bilaga 4.
med 13 timmar jämfört med föregående år då knappt fem procent av den totala tiden gick till egen kompetensutveckling.
4.3 Vilka områden granskar internrevisionen
Vid en uppdelning av genomförda granskningar i granskning av ledningsprocesser, kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat regeringsbeslut) och stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.) har ungefär en tredjedel av tiden lagts på varje område.
Fördelning av tid för internrevisionens granskningsområden
Granskningsområde Alla myndigheter Enrådighetsmyndigheter Styrelsemyndigheter
Ledningsprocesser 33 % 34 % 32 %
Kärnprocesser 39 % 40 % 37 %
Stödprocesser 28 % 26 % 30 %
För de myndigheter som har internrevisioner som består av fem medarbetare eller fler går att utläsa att en något större andel av nedlagd tid (45 %) har använts för att granska kärnprocesser och en något mindre andel (28 %) har använts för att granska ledningsprocesser. För de små internrevisionsenheterna som består av en revisor har en något större andel av nedlagd tid (36 %) lagts på att granska ledningsprocesser och en något mindre (35 %) lagts på kärnprocesserna. Andel nedlagd tid för granskning av stödprocesserna är densamma för de två grupperna.
4.4 Vilken inriktning och innehåll har granskningarna
Internrevisionens granskning ska utgå från risk och väsentlighet. Genom att fatta beslut om det förslag till revisionsplan som internrevisionen tagit fram beslutar myndighetsledningen om vilka granskningar som ska genomföras under
revisionsåret. Internrevisionens verksamhet ska bedrivas enligt god internrevisors- och internrevisionssed.
När ESV har inhämtat uppgifter om vilken inriktning och vilket innehåll internrevisionens granskningar har haft har vi utgått från de krav som ställs på myndigheter genom olika förordningar och i enstaka fall lagar. Inom ramen för inriktningen på genomförda granskningar beskrivs vilka områden granskningen har berört samt vilka frågeställningar som har belysts. Myndigheterna har vid besvarande av enkäterna kunnat svara ja eller nej på frågan om de har beaktat de angivna
områdena. Myndigheterna har haft möjlighet att under rubriken ”övrigt” beskriva annan inriktning eller innehåll på genomförda granskningar än de som har varit fördefinierade.
Eftersom granskningarna ska genomföras utifrån risk och väsentlighet kan det inte förväntas att samtliga internrevisionsmyndigheter genomför granskningar inom samtliga områden som ESV har lyft fram i enkäten. Av samma anledning och mot bakgrund av den goda internrevisionsseden kan det inte heller förväntas att granskningarnas innehåll innefattar samtliga punkter som ESV har specificerat i enkäten.
4.4.1 Granskning av ledningsprocesser
Inom ramen för granskningen av ledningsprocesser har en stor majoritet av myndigheterna, drygt fyra femtedelar, genomfört granskningar av
myndighetsledningens ansvar för verksamheten (organisation, arbetsfördelning, delegering, former för verksamheten och verksamhetsplan). Nästan lika många myndigheter har genomfört granskningar av myndighetens riskhantering (riskanalys, kontrollåtgärder, skadeförebyggande åtgärder, riskfinansiering och skadereglering, uppföljning och bedömning samt dokumentation).
Ungefär hälften av myndigheterna har under året genomfört granskningar av myndighetens allmänna uppgifter (utveckla verksamheten, samarbete med
myndigheter och andra, tillhandhålla information om verksamheten samt följa sådana förhållanden utanför myndigheten som har betydelse för verksamheten) och
myndigheternas informationssäkerhet.
Under året har ungefär en tredjedel av myndigheterna genomfört granskningar som beaktar myndighetens handläggning av ärenden (kostnadsmässiga konsekvenser, föredragning, och beslut) samt myndighetens arbetsgivarpolitik (samverkan med andra myndigheter för att utveckla och samordna den statliga arbetsgivarpolitiken, se till att de anställda är väl förtrogna med målen för verksamheten, skapa goda
arbetsförhållanden och ta till vara och utveckla medarbetarnas kompetens och erfarenhet).
Vid granskning av ledningsprocesser har drygt nio av tio myndigheter beaktat om verksamheten bedrivs effektivt och nästan lika många har granskat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer. Knappt nio av tio har i granskningar beaktat om verksamheten bedrivs enligt gällande rätt och drygt fyra av fem har beaktat uppföljningen och bedömningen av den interna styrningen och kontrollen.
Knappt fyra av fem myndigheter har också redovisat att granskningar har haft fokus på hushållning, att verksamheten utvecklas och delegering av ansvar.
För drygt hälften av myndigheterna har granskningarna berört om de anställda är väl förtrogna med målen för verksamheten, om de anställdas kompetens och erfarenhet tillvaratas och utvecklas och etik och värderingar i organisationen. Ungefär en
tredjedel av myndigheterna har i granskningen av ledningsprocesserna granskat om verksamheten bedrivs enligt förpliktelser till EU.
4.4.2 Granskning av kärnprocesser
Vid granskningen av myndighetens kärnprocesser har tre av fyra myndigheter granskat myndighetens uppgifter enligt instruktion, regleringsbrev eller annat regeringsbeslut. Vad gäller granskning av myndigheters medverkan i EU-arbetet och annat internationellt samarbete har en av sex myndigheter genomfört en sådan granskning. Knappt en av fyra har angivit att de har genomfört granskningar inom kategorin övrigt. Inom denna kategori ryms områden såsom:
− Intern styrning och kontroll
− Samverkan med kommuner
− Förebygga fusk inom utbildning
− Forskningssamverkan och centrumbildningar
− E-lärande
− Kvalitet i forskningsansökningar
− Regelefterlevnad (compliance och följsamhet)
− Remisshanteringen
− Projektstyrning (byggprojekt)
− Processer kopplade till forskningsverksamhet
− Granskning av leverantörer
Vid granskningen av kärnprocesser har drygt fyra av fem myndigheter angivit att granskningarna har beaktat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer, uppföljning och bedömning av den interna styrningen och kontrollen och om verksamheten bedrivs effektivt. Ungefär tre av fyra myndigheter har redovisat att granskningar har innefattat om verksamheten bedrivs enligt gällande rätt, delegering av ansvar och genomförandet av riskhanteringen.
Knappt två av tre myndigheter har inom ramen för sina granskningar också beaktat om verksamheten redovisas rättvisande och tillförlitligt och att de anställda är väl förtrogna med syfte och mål för verksamheten. Något färre än hälften av
myndigheterna har i sina granskningar beaktat om de anställdas kompetens och erfarenhet tillvaratas och utvecklas, om goda arbetsförhållanden upprätthålls och etik och värderingar i organisationen. Knappt en tredjedel av myndigheterna har beaktat om verksamheten bedrivs enligt förpliktelser till EU.
4.4.3 Granskning av stödprocesser
Vad gäller granskningar av myndigheternas stödprocesser har knappt hälften av myndigheterna granskat myndighetens upphandling. Ungefär en fjärdedel av myndigheterna har genomfört granskningar som berör inköpssamordning,
betalningar och medelsförvaltning, allmänna handlingar, årsredovisning,
redovisningssystem och elektroniskt informationsutbyte. Två av tre myndigheter har redovisat att de har genomfört granskningar under rubriken övrigt och då har följande områden specificerats:
− It (it-säkerhet, it-drift, it-kostnader, outsourcing av it-drift)
− Informationssäkerhet
− Risker i upphandling
− Fysisk säkerhet
− E-lärande
− Styrdokument inom det ekonomiadministrativa området
− Myndighetens representation
− Rutiner för hantering av bisyssla
− Kontroll över tjänsteresor
− Personal- och kompetensförsörjning
− Jävsfrågor
− Donationer och bidrag
− Informations- och kommunikationsarbete
− Projektstyrning
− Mångfaldsarbete
− Intern styrning och kontroll i dotterbolag
− Lönehanteringsprocesser
Ingen myndighet har genomfört någon granskning av arbetet med konsekvensutredning vid regelgivning.
Vid granskningarna av stödprocesserna har fyra av fem myndigheter redovisat att de har beaktat om verksamheten bedrivs effektivt. För ungefär tre av fyra myndigheter har granskningarna innefattat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer, genomförandet av riskhantering, delegering av ansvar och om
verksamheten bedrivs enligt gällande rätt. Drygt två av tre myndigheter har redovisat att granskningar har innefattat om verksamheten utvecklas och om den upprätthålls med god hushållning.
Lite drygt hälften av myndigheterna har i granskningar beaktat om verksamheten har redovisats rättvisande och tillförlitligt, arbetet med att motverka bedrägeri och oegentligheter och om de anställda är väl förtrogna med syfte och mål för
verksamheten. Cirka en tredjedel av myndigheterna har följt upp om de anställdas kompetens och erfarenhet tillvaratas och utvecklas, etik och värderingar i
organisationen och om goda arbetsförhållanden upprätthålls. En fjärdedel av myndigheterna har i granskningar beaktat om verksamheten bedrivs enligt
förpliktelser till EU och en femtedel om verksamheten verkar för samarbete med annan myndighet.
4.4.4 Exempel från myndighetsbesök
På de myndighetsbesök som ESV har genomfört under hösten 2014 har vi ställt frågor om vilken inriktning myndigheterna har haft på de granskningar de har genomfört under året. Eftersom granskningarna på varje myndighet utgår från risk och väsentlighet skiljer sig granskningsområdena från myndighet till myndighet utifrån varje specifik myndighets uppgift och riskbedömning. De exempel ESV redovisar nedan ger tillsammans en bild av de olika granskningarna som genomförs på myndigheter i statsförvaltningen.
CSN pekar bland annat på att samtliga granskningar som har genomförts har haft kopplingar till intern styrning och kontroll och att man bland annat har granskat eller haft rådgivningsuppdrag kopplat till förändringsarbete, systemförnyelse, frågor om kontroller i ärendehantering, återkrav och utbetalning av studiestöd. Vid besöket hos Statens pensionsverk framkom att deras internrevision hade genomfört granskningar som liknade den som CSN hade gjort, dock med undantag för återkrav.
Uppsala universitet berättar att de inför beslutet om den senaste revisionsplanen underlättade för konsistoriet att göra ett aktivt val av granskningar genom att förslaget till revisionsplan innehöll flera granskningsförslag som ledamöterna fick välja bland. Ledamöterna diskuterade kort för- och nackdelar med några olika förslag innan de valde vilka granskningar som skulle genomföras. Konsistoriet uttryckte uppskattning över att de fick välja och inte ställdes ”inför fullbordat faktum” vad internrevisionen skulle granska. Internrevisionen har under året bland annat
genomfört en granskning av universitetets process för att upprätthålla en betryggande intern styrning och kontroll.
Domstolsverket berättar att de genomför domstolsbesök där de granskar de olika domstolarna. Alla domstolar kan inte besökas samma år men generaldirektören kommer med förslag på vilka domstolar som ska besökas. Domstolarna gör egna utvärderingar av sitt interna styr- och kontrollarbete som internrevisionen granskar.
Kungl. Tekniska Högskolan är indelad i tio enheter, skolor. Internrevisionen genomför två till tre skolgranskningar per år. Internrevisionen arbetar också mot de centrumbildningar5 som finns på högskolan.
5 En centrumbildning är ett samarbete mellan högskolan och externa parter.
Statiska centralbyrån berättar att typiska områden som internrevisionen inriktar sin granskning på kan vara it, projektgranskning eller granskning av
verksamhetsprocesser. Internrevisionen försöker sprida ut granskningarna på olika områden inom myndigheten. Enligt den strategiska revisionsplanen görs granskning av compliance som ett komplement till granskningarna som faller ut från
riskanalysen. Internrevisionen granskar också underlagen som ligger till grund för generaldirektörens uttalande om intern styrning och kontroll.
Statens lantbruksuniversitets internrevision har tidigare genomfört ett flertal granskningar på fastighetsområdet, men för närvarande fokuserar de istället på granskningar inom forsknings-, grundutbildnings- samt miljöområdena. De har också ett större fokus riktat mot institutionerna.
4.4.5 Granskning för att motverka bedrägerier och oegentligheter I föreskrift till 4 § internrevisionsförordningen framgår att i analysen av
verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier och annan oegentlighet. Utifrån den bedömning som sedan har gjorts av risk och väsentlighet tar myndigheten ställning till vilket fokus granskningar ska ha på otillbörlig påverkan, bedrägerier och andra oegentligheter.
I enkäten har ESV begärt att myndigheter som har beaktat arbetet med att motverka bedrägeri och oegentligheter i sina granskningar ska beskriva vad som har beaktats och omfattningen av granskningen. Drygt hälften av myndigheterna har angivit att granskningarna har innefattat arbetet med att motverka bedrägeri och oegentligheter.
I granskningar av ledningsprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till:
− Affärsprocesser
− Avtal
− Befogenheter i it-system
− Felaktiga utbetalningar
− Funktionalitet i whistleblowersystem
− Förtroendeskadligt agerande
− Informationssäkerhet
− Inköp
− Jäv och oberoende
− Muta
− Rutiner för delegationer samt kontroll
− Upphandling
I granskningar av kärnprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till:
− Fusk inom utbildning
− Följsamhet mot interna regelverk
− Förtroendeskadlig bisyssla
− Hantering av kontonummer
− Hantering av t.ex. tillfälliga pass
− Informationssäkerhet
− Inköp
− Jävsfrågor
− Kontanthantering
− Kontroller i bidragsärenden
− Medelshantering hos samarbetspart i annat land
− Oredlig forskning
− Otillbörliga erbjudande
− Registerkvalité och återkravshantering
− Representation
− Upphandling
− Utbetalningar
I granskningar av stödprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till:
− Attester
− Betalningsflöden
− Funktionaliteter i it-system
− Hantering och redovisning av kontanter och kreditkort
− Inköp
− Regelefterlevnad
− Representation
− Skydd och hantering av forskningsmaterial
− Systembehörigheter
− Upphandling
− Utbetalningar
Hur myndigheter har genomfört sina granskningar kopplade till bedrägerier och oegentligheter skiljer sig åt. Utifrån de myndighetsbesök som ESV har genomfört under året har väljer vi att redovisa några olika perspektiv på hur myndigheter väljer att beakta bedrägeri och oegentligheter i sina granskningar. CSN berättar i samband med ESV:s myndighetsbesök att de har följt upp arbetet med att bygga upp en ny gruppering som ska arbeta med frågor om rutiner för hantering av misstänkta
bidragsbrott och hur myndigheten utvecklar sitt arbete för att motverka externa och interna oegentligheter.
Domstolsverket beaktar bedrägerier och oegentligheter i alla sina granskningar.
Internrevisionen på Kungliga Tekniska Högskolan följer upp frågor om bedrägerier och oegentligheter inom ramen för sina granskningar. De försöker bland annat följa upp uppdrag och sidoverksamheter som kan vara problematiska. Riksgäldens
internrevision berättar att området bedrägerier och andra oegentligheter beaktas i alla granskningar när internrevisionen kartlägger kontroller.
4.1 Internrevisionen ger råd och stöd
Internrevisionen ska ge råd och stöd till myndighetens ledning och chefen för
myndigheten. Råd och stöd kan också lämnas till andra än myndighetens ledning och chefen för myndigheten om det framgår av internrevisionens riktlinjer.
I enkäten uppger 51 myndigheter att internrevisionen har lämnat råd och stöd till myndighetens ledning. Av de 14 som inte har gett råd och stöd till sin
myndighetsledning var tio styrelsemyndigheter och fyra enrådighetsmyndigheter. Det innebär att myndighetsledningarna vid 71 procent av styrelsemyndigheterna har fått råd och stöd jämfört med 87 procent av enrådighetsmyndigheterna. Vid 60 procent av de totalt 35 styrelsemyndigheterna har internrevisionen även gett råd och stöd till myndighetens chef.
En förutsättning för att internrevisionen ska kunna ge råd och stöd till styrelse och/eller generaldirektör är att det efterfrågas. Vi har vid våra besök ute hos
internrevisionsfunktioner (elva myndigheter) under 2014 förstått att inte alla styrelser och generaldirektörer efterfrågar rådgivning. Det beror i vissa fall på att
myndighetsledningen prioriterar granskningsuppdrag framför rådgivningsuppdrag.
De flesta av de internrevisionsfunktioner vi besökte har inskrivet i sina riktlinjer att de får ge råd och stöd även till andra än styrelse och generaldirektören. De flesta av internrevisionsfunktionerna säljer dock inte aktivt in rådgivningsuppdrag. Det beror, enligt uppgift, på att internrevisionsfunktionernas resurser är begränsade och att man därför är rädda för att internrevisionen ska ”drunkna” i uppdrag och inte hinna med granskningarna i revisionsplanen.
Utifrån de svar som har lämnats går det att konstatera att internrevisionen utöver sin granskande roll också ger råd inom ett stort antal områden. Vissa områden som bedömning av myndighetens interna styrning och kontroll återkommer hos flera myndigheter. Likaså uppdrag kopplade till risk, ledning, styrning och organisation. I övrigt är det en väldigt stor spridning av områdena. Områdena finns specificerade i bilaga 3.
4.1 Internrevisionen får tillgång till uppgifter
ESV har genom internrevisionsenkäten tillfrågat internrevisionsmyndigheterna om internrevisionen på grund av sekretess inte har fått tillgång till uppgifter som internrevisionen har haft behov av för genomförandet av ett uppdrag. Samtliga svarande myndigheter har uppgivit att denna situation inte uppkommit.
4.2 Fler myndigheter inrättar whistleblowerfunktion
ESV har ställt frågan om myndigheten har inrättat en funktion (en så kallad
whistleblowerfunktion) för att ta emot misstanke om otillbörlig påverkan, bedrägeri och annan oegentlighet i verksamheten. Av de 65 myndigheterna har 13 myndigheter svarat ja på frågan. Ytterligare en myndighet uppger att de inte har en sådan funktion men att de anställda kan vända sig till chefsjuristen om en fråga uppstår. Tre
myndigheter berättar att de arbetar med att ta fram en whistleblowerfunktion under 2015.
Det är olika vilka som är mottagare av anmälningarna. I några fall är det chefsjuristen. I andra fall är det en tillsynsenhet, en internutredningsfunktion, säkerhetsenheten/säkerhetsstaben, GD-kansliet, en särskild utredningsgrupp internrevisionschefen/säkerhetschefen/ personalchefen eller ett externt företag.
Internrevisionens roll varierar från att inte ha någon del i hanteringen av
anmälningarna till att vara förberedande instans och/eller bollplank till en annan funktion som hanterar anmälningarna ända till att det i något enstaka fall är
internrevisionen som hanterar anmälningarna. En myndighet skriver att bedömningen av anmälningarna är en operativ uppgift som inte bör ligga på internrevisionen och att arbetet med anmälningarna är mycket resurskrävande för en liten funktion som internrevisionen.
5 Resultatet av internrevisionens rapportering
5.1 Internrevisionens rekommendationer accepteras av ledningen
ESV har i enkäten till internrevisionsmyndigheterna ställt frågor om vad som händer med anledning av de iakttagelser och rekommendationer som internrevisionen lämnar i sin rapportering till myndighetsledningen.
Det framgår av enkäten att myndigheternas ledning i 95 procent av fallen har accepterat de av internrevisionen lämnade rekommendationerna. Enligt ESV:s bedömning utgör detta en tydlig indikation på att myndighetsledningarna har uppfattat att ändamålsenligheten i de rekommendationer som internrevisionen har lämnat är hög. En högre andel accepterade granskningar vid en myndighet jämfört med ett lägre antal vid en annan myndighet medför dock inte att man kan dra slutsatsen att kvaliteten på internrevisionens rekommendationer varit högre i det första fallet. Det kan finnas många olika orsaker till skillnaderna.
I enkäten har skälen till varför ledningen har valt att inte acceptera en lämnad rekommendation kommenterats. De skäl som angivits var att:
− Myndigheten har en större översyn på gång
− Myndigheten vill ha en annan lösning än den internrevisionen föreslår
− Myndighetsledningen avstår på grund av kostnads- och/eller effektivitetsskäl
− Myndighetsledningen gör en annan bedömning och/eller prioritering
− Myndighetsledningen är beredd att acceptera risken
− Styrelsen har inte tagit slutlig ställning än
− Verksamheten har ett uppdrag att återkoppla med förslag till handlingsplan
− Verksamheten har redan åtgärdat internrevisionens iakttagelse
− Internrevisionens rekommendationer ligger fel i tid
Vid besöken hos de elva myndigheternas internrevisionsfunktioner kunde ESV konstatera att processen för myndighetsledningens beslut ser olika ut. Det beror på att processen är anpassad till de enskilda myndigheternas organisation, verksamhet och synsätt.
När det gäller beslutet om åtgärder som myndighetens ledning ska fatta så görs det i praktiken på flera olika sätt. Det förekommer att internrevisionen inkluderar den granskade funktionens åtgärdsförslag i sin rapport för att styrelsen ska få ett bättre beslutsunderlag. I vissa fall lämnar generaldirektören ett skriftligt yttrande, antingen samtidigt med det att internrevisionens rapport dras eller vid ett senare möte.
Generaldirektörens yttrande kan då bli ett underlag för styrelsens åtgärdsbeslut.
Dokumentationen av styrelsens beslut görs i styrelseprotokollet men beslutet formuleras olika. Det kan till exempel stå att rapporten har behandlats, föredragits eller lagts till handlingarna eller beslutet kan referera till förslagen i rapporten eller till åtgärdsförslaget.
Även när myndigheten är en enrådighetsmyndighet och det är generaldirektören som ska fatta beslut om åtgärder med anledning av internrevisionens rekommendationer kan det gå till på olika sätt. Åtgärdsförslaget från den granskade funktionen kan vara inkluderad i internrevisionens rapport eller tas fram i efterhand av avdelningschef eller någon central funktion på myndigheten. Status på åtgärderna ska följas upp och rapporteras till generaldirektören. I de fall det inte finns mer utarbetade
åtgärdsförslag utöver internrevisionens rekommendationer i rapporten kan det även här ses som att generaldirektören, åtminstone till viss del, godkänner åtgärderna i efterhand.
Det förekommer enstaka fall där det kan ifrågasättas om styrelsen alls har fattat något beslut om åtgärder. Det är när iakttagelser och rekommendationer inte föredras för styrelsen utan lämnas direkt till lägre chefsnivåer inom myndigheten eller enbart behandlas i revisionsutskottet.6 Ett fall ESV noterade var en myndighet där styrelsen inte önskade löpande rapportering och där de väsentligaste åtgärderna redovisades för styrelsen i efterhand i en så kallad årlig rapport från internrevisionen. Det kan då möjligen ses som att styrelsen har godkänt åtgärderna i efterhand. ESV anser dock inte att ett sådant förfarande är i överensstämmelse med föreskrifterna till 9 § Internrevisionsförordning (2006:1228).
5.2 Det finns en process för att ta hand om myndighetsledningens beslut
ESV har i enkäten ställt frågan till internrevisionsmyndigheterna om myndigheten har en fastställd process för att ta om hand myndighetsledningens beslut om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Av de 65 myndigheter som har svarat uppger 85 procent att myndigheten har en fastställd process. Motsvarande resultat för 2013 var 80 procent. Att myndigheten bör ha en genomtänkt och dokumenterad process för hur iakttagelserna och
rekommendationerna i internrevisionens rapporter ska tas om hand är någonting som ESV har fört fram särskilt i tidigare regeringsrapporter.
6 9 § internrevisionsförordningen (2006:1228).
5.3 Granskningar har varit till stöd för uttalandet i årsredovisningen
ESV har i enkäten ställt frågan om internrevisionen genomfört granskningar som har varit till stöd för myndighetsledningens uttalande om intern styrning och kontroll i årsredovisningen. I enkäten svarar 55 myndigheter att internrevisionen har genomfört granskningar som har varit till stöd för myndighetsledningens bedömning i
årsredovisningen om intern styrning och kontroll.
I kommentarer pekar några myndigheter bland annat på att all granskning sker med utgångspunkt i myndighetens interna styrning och kontroll och att internrevisionens rapporter därför alltid är ett stöd för myndighetsledningens uttalande i
årsredovisningen. Två myndigheter svarar att de i sin årsrapport till
myndighetsledningen har skrivit ett sammanfattande omdöme om intern styrning och kontroll för de granskningar som genomförts under året.
5.4 Internrevisionen ger nytta till myndighetsledningen
Myndighetens ledning är internrevisionens uppdragsgivare och internrevisionen ska rapportera resultatet av sitt arbete direkt till ledningen i form av iakttagelser och rekommendationer. Myndighetens ledning utgörs av styrelsen på en
styrelsemyndighet och av myndighetschefen på en enrådighetsmyndighet.
Internrevisionens uppgift är att granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. Den ska utifrån en analys av verksamhetens risker självständigt granska om den interna styrningen och kontrollen är utformad så att myndigheten med rimlig säkerhet bedriver en verksamhet som är effektiv och rättsenlig, redovisas på ett tillförlitligt sätt samt hushållar väl med statens medel. Internrevisionen ska också ge råd och stöd till myndighetens ledning.
Vid en styrelsemyndighet ska råd och stöd även ges till myndighetens chef.
5.4.1 Internrevisionens kommunikation och rapportering är ändamålsenlig
ESV har under 2014 besökt elva myndigheters internrevisionsfunktioner. Vi kunde då konstatera att rutinerna kring rapporteringen varierar från myndighet till
myndighet. De flesta av de internrevisionsfunktioner vi besökte rapporterar löpande till myndighetsledningen men det förekommer också att myndighetsledningen vill ha rapporteringen samlat vid ett eller två tillfällen.
De flesta av internrevisionsfunktionerna lämnar en årsrapport till myndighetsledningen. Årsrapporten sammanfattar de granskningar som internrevisionen genomfört under året men kan även innehålla annat som internrevisionen vill fästa ledningens uppmärksamhet på. Många av
internrevisionsfunktionerna verkar ha tänkt mycket på formerna för rapporteringen och försöker aktivt anpassa rapporteringen till mottagarens behov och önskemål.
Några av funktionerna graderar sina rekommendationer efter angelägenhetsgrad för att göra det lättare för läsaren. Vissa av internrevisionsfunktionerna arbetar med övergripande omdömen om de områden de granskar, andra inte. I något fall har internrevisionsfunktionen medvetet avstått från att lämna övergripande omdömen eftersom man ansåg att det tar bort ledningens fokus från internrevisionens rekommendationer.
5.4.2 Internrevisionens möten med myndighetens ledning
I de 35 styrelsemyndigheterna är internrevisionen närvarande på styrelsens möten i genomsnitt 4,5 gånger per år. Den internrevision som träffar styrelsen minst gör det en gång per år och den som träffar styrelsen mest gör det sju gånger per år. För de nio styrelsemyndigheter som har ett revisionsutskott så träffar internrevisionen revisionsutskottet i genomsnitt fem gånger per år. Den internrevision som träffar utskottet minst gör det två gånger per år och den som gör det vid flest tillfällen gör det elva gånger per år.
I de 30 myndigheter som leds av en myndighetschef träffas myndighetschef och internrevision i genomsnitt 15 gånger per år för föredragningar och arbetsmöten. Den internrevision som träffar utskottet minst gör det fyra gånger per år och den som gör det vid flest tillfällen gör det i stort sett varje vecka.
Några skillnader i frekvens för myndighetskontakter mellan enmansfunktioner och internrevisionsfunktioner med flera medarbetare har inte kunnat läsas ut av
enkätsvaren. Det som däremot framgår är att myndighetscheferna i
enrådighetsmyndigheter har en mycket tätare kontakt med internrevisionen än ledningen i styrelsemyndigheter. ESV anser att det kan finnas anledning för ledningar i styrelsemyndigheter att särskilt överväga om det finns behov av mer frekventa kontakter mellan ledning och internrevision och hur dessa kan utformas.
6 Samverkan och nätverk
6.1 Internrevisionschef som är anställd på mer än en myndighet
Vid årsskiftet 2014/2015 hade 11 myndigheter under regeringen en
internrevisionschef som var anställd på två myndigheter. Myndigheterna som hade en internrevisionschef som också var anställd på en annan myndighet var:
− Finansinspektionen/Sveriges Riksbank7
− Linköpings universitet/Malmö högskola
− Umeå universitet/Örebro universitet
− Karlstads universitet/Mittuniversitetet
− Universitet och högskoleverket/Myndigheten för yrkeshögskolan
− Uppsala universitet/Riksgäldskontoret
Utöver de elva myndigheterna så har internrevisionen vid Länsstyrelsen i Västerbotten gett stöd till Länsstyrelsen i Jämtland där tjänsten som
internrevisionschef varit vakant. Internrevisionschefen i Västerbotten har inte varit anställd vid Länsstyrelsen i Jämtland.
Totalförsvarets forskningsinstitut (FOI) uppger att de är samordnade med
Försvarsexportmyndigheten (FXM). FOI:s internrevisionschef lägger ned 40 % av sin tid på FXM. FXM har en internrevisionsfunktion med på sin organisationsskiss på hemsidan. Vad ESV kan utläsa är inte FXM en internrevisionsmyndighet i
internrevisionsförordningens mening. FXM har inget krav på internrevision vare sig i instruktionen eller i regleringsbrevet.
Internrevisionschefernas nedlagda tid på de olika myndigheterna varierar mellan 20 till 60 procent.
Internrevisionsförordningen ställer krav på att internrevisionschefen ska vara anställd vid myndigheten. Det gör att det blir nödvändigt med anställning vid varje
myndighet för de internrevisionschefer som åtagit sig uppdrag vid flera myndigheter för att uppfylla internrevisionsförordningens krav på anställd chef. Det medför en mer komplicerad situation för den enskilde och kan försvåra myndighetens rekrytering. Undantag från kravet på anställd chef i förordningen kan beviljas av regeringen efter framställan från myndigheten. ESV anser, som redovisats i rapporten 2014, att det kan finnas skäl till undantag i de fall då påtänkt internrevisionschef redan är anställd som internrevisionschef vid en annan myndighet.
7 Sveriges Riksbank lyder inte under Internrevisionsförordning (2006:1228).
6.2 Internrevisionsmyndigheter samverkar
I internrevisionsenkäten har 30 myndigheter uppgivit att de samverkar med en annan myndighets internrevision. Av de 65 myndigheter som svarat har 35 svarat nej på frågan om myndighetens ledning har övervägt för- och nackdelar med samverkan.
Av de 30 myndigheterna är det 18 som uppger att de har ingått en överenskommelse om samverkan. De som har ingått överenskommelser är:
− De sex länsstyrelserna med internrevision
− Centrala studiestödsnämnden/ Statens tjänstepensionsverk
− Statens servicecenter/Statistiska centralbyrån
− Skatteverket/Kronofogdemyndigheten
− Statens jordbruksverk/Skogsstyrelsen
− Statens skolverk/Myndigheten för yrkeshögskolan8 De områden där samverkan förekommer är främst:
− Utbildningar och erfarenhetsutbyten
− Kvalitetssäkring och kvalitetsarbete
− Metodutveckling och metodfrågor
− Bollplank i arbetet med riskanalys, revisionsplan, granskning och rådgivning
− Samarbete i granskningsuppdrag som berör flera myndigheter ESV har i internrevisionsenkäten ställt frågan vilka för- och nackdelar myndigheterna ser med samverkan och vilka hinder för samverkan de ser.
Bland fördelarna angavs bland annat att:
− Samverkan är breddande och kompetenshöjande
− Det är ett bra sätt att lära av varandra
− Det ger möjlighet för enmansrevisorer att få en kollega att kommunicera med
− Det ger möjlighet för enmansfunktioner att kunna genomföra en intern kvalitetssäkring
− Det kan ge möjlighet till en indirekt benchmarking
− Internrevisionsfunktionerna kan bistå varandra med extern validering av självutvärdering
− Det ger minskad sårbarhet
− Det ger möjlighet till gemensamt utnyttjande av resurser och specialister
− Samverkan höjer den professionella nivån
Flera myndigheter skrev att de bara såg fördelar med samverkan.
8 Statens skolverk har svarat att det finns en samverkansöverenskommelse medan Myndigheten för yrkeshögskolan har svarat nej på frågan.
De nackdelar som bland annat nämndes var att:
− Samverkan enbart bedrivs i syfte att minska kostnaderna
− Det kan bli splittrat med planering och avrapportering vid flera myndigheter
− Samverkan kan ta mycket tid från grunduppdraget De hinder för samverkan som nämndes var:
− Svårigheten att hitta en myndighet med liknande verksamhet inom rimligt avstånd
− Att det kan uppstå praktiska problem med exempelvis sekretess
− Att det tar tid att sätta sig in i en annan myndighets verksamhet
− Att samverkan kan försvåras av olika kulturer i arbetssätt och kommunikation
− Logistiska problem med planeringen
− Brist på hjälp och samordning från Regeringen/ESV
− Tidsbrist
− Ovilja från ledningen att ta in internrevisorer utifrån
De flesta som har svarat har inte uppgivit att de ser några hinder för samverkan.
ESV har under 2014 besökt internrevisionsfunktionerna vid Centrala
studiestödsnämnden och Statens tjänstepensionsverk. Myndigheternas internrevisorer började båda 2012 med bara några månaders mellanrum. Internrevisonscheferna har inte dubbla anställningar men det står uttalat i deras arbetsbeskrivningar att de ska samverka med varandra.
Internrevisionscheferna anser att de har haft ett bra samarbete hela tiden och att det är en fördel att ha dubbla resurser. I myndigheternas revisionsplaner fördelas
granskningarna vid respektive myndighet på båda myndigheternas internrevisorer.
Internrevisionscheferna läser och kvalitetsgranskar varandras rapporter. De har tagit fram sina revisionshandböcker samtidigt. Revisionshandböckerna är lika i sin grundutformning men har lite olika profiler utifrån respektive myndighets särart.
ESV anser att det finns fördelar med samverkan och att det vore värdefullt om fler myndighetsledningar aktivt övervägde fördelarna. För den del av
internrevisionsfunktionerna som är enmansfunktioner är det extra värdefullt med samverkan. Många av de myndigheter som har svarat ja på att de samverkar med annan myndighets internrevision tillhör den här kategorin.
6.3 Internrevisorer upprättar nätverk
I internrevisionsenkäten nämndes ett antal nätverk.
− Inom universitets- och högskoleområdet finns bland annat nätverket NIRUH (internrevisorer vid universitet och högskolor inom Norden).
− Det har under 2013 startats ett nätverk för statliga enmansrevisorer som Kammarkollegiets internrevisor är sammankallande för.
− Det är även vanligt att internrevisorerna är medlem i Internrevisorernas förening. Internrevisorernas förening har ett nätverk för internrevisorer i offentlig sektor.
Det finns även internationella nätverk kopplade till de enskilda myndigheternas sakverksamhet.
7 Kvalitetssäkring av internrevision
7.1 Internrevisorer utvecklar sin kompetens
Den enskilda revisorns förmåga och möjlighet att bibehålla och utveckla sin kompetens inom revisionsområdet är en förutsättning för att upprätthålla en god kvalitet inom den statliga internrevisionen. Certifieringar kan utgöra ett bra stöd för internrevisorernas kompetensutveckling. För närvarande har 41 myndigheter minst en internrevisor med någon form av certifiering. För mer uppgifter se tabell i bilaga 5.
ESV har i internrevisionsenkäten ställt frågan vilka för- och nackdelar
internrevisionscheferna ser med certifieringar. De flesta av revisorerna uppgav att de ser fördelar med certifieringar. Certifiering ses som ett bevis på erfarenhet och kunskap och ger kunskap i metoder kring planering och genomförande av revisionen.
Genom att internrevisionen innehar olika certifieringar kan myndighetens ledning förlita sig på att det föreligger en viss kunskapsnivå bland internrevisorerna. Som nackdelar angavs att det är dyrt att vidmakthålla certifieringen och att den ger en begränsad nytta då kunskap kan inhämtas på annat sätt och att det är kunskapen som är viktig, inte certifieringen i sig.
IIA har tagit fram en ny certifiering för ledare ”Qualification in Internal Audit Leadership (QIAL). Kraven för att ta certifieringen är bland annat CIA, 15 års generell erfarenhet av ledarskap inklusive 3 år som internrevisionschef.
7.2 Internrevisionen genomför intern kvalitetssäkring
Enligt god sed ska internrevisionschefen utveckla och upprätthålla ett program för kvalitetssäkring och kvalitetsförbättring som ska omfatta både intern och extern utvärdering. På frågan om internrevisionen har genomfört en fortlöpande intern kvalitetskontroll av internrevisionsverksamheten svarade 91 procent (80 procent 2013) av myndigheterna ja och 9 procent (20 procent 2013) nej.
Enligt god sed ska internrevisionschefen informera myndighetsledning och styrelse om resultaten av kvalitetsutvärderings- och kvalitetsutvecklingsprogrammet. Av de som uppgivit att de genomfört en fortlöpande intern kvalitetskontroll svarade 7 procent (20 procent 2013) att de inte rapporterat slutsatserna från det interna kvalitetsarbetet till myndighetens ledning.
Området intern kvalitetssäkring är ett område som ESV under flera år har
uppmärksammat särskilt eftersom det är ett område där ESV under flera år noterat att det finns brister även om det har skett stora förbättringar under senare år. Det är
viktigt att den positiva utvecklingen fortsätter och det kan finnas anledning för ESV att bevaka utvecklingen inom området. För att upprätthålla och förbättra kvaliteten på internrevisionens arbete är det interna kvalitetsarbetet en viktig del. Utvärdering av internrevisionens kvalitetssäkrings- och kvalitetsförbättringsprogram ingår som en del av den externa kvalitetssäkringen.
I samband med ESV:s besök hos internrevisionsfunktioner har vi fått intrycket att det är vanligt att internrevisionsfunktionerna använder checklistor för att dokumentera det interna kvalitetsarbetet. Många av de funktioner vi besökte hade tagit fram egna revisionshandböcker med bland annat rutinbeskrivningar och mallar.
Exempel på förbättringsförslag som lämnats i enkäten utifrån
internrevisionsfunktionernas interna kvalitetsarbete framgår av bilaga 6.
7.3 Internrevisionen genomför extern kvalitetssäkring
Internrevisionen ska enligt god internrevisionssed omfattas av ett program för kvalitetssäkring och kvalitetsförbättring. Den externa bedömningen ska genomföras minst en gång vart femte år av kvalificerad extern oberoende granskare eller granskningsteam.9 Extern kvalitetssäkring kan även genomföras genom
självutvärdering (av internrevisionsfunktionen) som sedan utvärderas/valideras av en extern oberoende granskare.
Under 2014 genomfördes tolv externa kvalitetssäkringar. Fem av de tolv genomförda externa kvalitetssäkringarna genomfördes av en konsult som en fullständig extern utvärdering. Två genomfördes som en självutvärdering med en konsult som extern validerare. Fyra externa kvalitetssäkringar (varav en självutvärdering) genomfördes som peer review det vill säga att den externa kvalitetssäkringen/valideringen har genomförts av internrevisionschefer vid andra myndigheter. Internrevisionscheferna vid tre myndigheter, Tillväxtverket, Kammarkollegiet och Totalförsvarets
forskningsinstitut har genomfört en extern kvalitetssäkring åt varandra och Rikspolisstyrelsens dåvarande internrevisionschef har validerat de genomförda kvalitetssäkringarna. Den fjärde myndigheten som genomfört en peer review är Domstolsverket. Domstolsverket har genomfört en självutvärdering som internrevisionschefen vid Statens Energimyndighet har validerat.
Kungliga tekniska högskolan har genomfört en självutvärdering följt av en
Administrative Assessment Exercise (AAE) som beställts av universitetets ledning.
En AAE genomförs av en bedömargrupp som består av utsedda sakkunniga kollegor, liknande en peer review. Bedömargruppen bestod av internrevisionschefen från
9 Samma krav ställs i den goda seden genom de internationella riktlinjerna för yrkesmässig internrevision.
