Internrevisionens årsrapport Polismyndigheten

Save this PDF as:
 WORD  PNG  TXT  JPG

Storlek: px
Starta visningen från sidan:

Download "Internrevisionens årsrapport Polismyndigheten"

Transkript

1 Internrevisionens årsrapport 2018 Polismyndigheten

2

3 Internrevisionens årsrapport 2018 Internrevisionen

4 RAPPORT 2 (28) Internrevisionens årsrapport 2018 INNEHÅLL 1 ALLMÄNT OM INTERNREVISION INLEDNING UTFÖRT ARBETE UNDER 2018 ENLIGT REVISIONSPLANERNA Granskningar Rådgivningsaktiviteter Övrigt revisionsarbete NEDLAGD TID OCH RESURSER FÖR INTERNREVISIONEN Nedlagd tid Budget RAPPORTER OCH REKOMMENDATIONER LÄMNADE REKOMMENDATIONER RAPPORTER Granskning av polisens tillsynsverksamhet över transporter av farligt gods Granskning av friskvårdssubvention Granskning av hantering av tipspengar informatörsverksamheten Granskning av polisens arbete med lönebildning Granskning av polisens hantering av behörighet till IT-system Polisens inköpskort Granskning av polisens vapenhantering Granskning av Polismyndighetens strategiska styrning inklusive styrmodell Granskning av sekretessförbindelser Granskning av verksamhetsstyrd It-utveckling för den brottsbekämpande verksamheten Granskning av Polismyndighetens informationssäkerhetsarbete Granskning av reformen och omorganisationen Granskning av särskilda satsningar - utsatta områden UPPFÖLJNING AV ARBETET MED ATT GENOMFÖRA BESLUTADE ÅTGÄRDER FÖR REVISIONSRAPPORTER Bedömning av status för beslutade åtgärder Rapporter där uppföljningen är helt avslutad Sammanfattning av internrevisionens uppföljning INTERNREVISIONENS KVALITETSARBETE Internt kvalitetsarbete Extern kvalitetsbedömning ORGANISATORISKT OBEROENDE OCH EFTERLEVNAD AV ETISK KOD Bilaga 1 Status för föreslagna granskningar i revisionsplanerna Bilaga 2 Budget och utfall för IR 2018 och 2017

5 RAPPORT 3 (28) 1 Allmänt om internrevision Internrevisionen är en fristående organisatorisk enhet som arbetar på direkt uppdrag av rikspolischefen. Internrevisionen stödjer Polismyndigheten i arbetet med att öka tryggheten och minska brottsligheten genom att granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. Internrevisionen lämnar även råd och stöd. Internrevisionen utför sitt uppdrag i enlighet med: internrevisionsförordningen (2006:1228) internationellt ramverk 2017 (International Professional Practice Framework/IPPF) utgivet av den internationella yrkesföreningen för internrevisorer, Institute of Internal Auditors (IIA). I fortsättningen omnämnt internationella standards. 2 Inledning Internrevisionens årscykel omfattar följande aktiviteter: Enligt Polismyndighetens riktlinjer för internrevisionen ska en årsrapport upprättas och överlämnas till rikspolischefen varje år i samband med undertecknandet av årsredovisningen. Årsrapporten ska bl.a. innehålla en sammanställning av genomfört arbete enligt revisionsplanen, sammanfattning av de mest väsentliga iakttagelserna från årets granskningar, uppföljning av tidigare granskningar och bedömning av vidtagna åtgärder samt bedrivet kvalitetsarbete.

6 RAPPORT 4 (28) 3 Utfört arbete under 2018 enligt revisionsplanerna Under 2018 har arbete bedrivits enligt revisionsplanen för och revisionsplanen Granskningar Arbetet har utförts i enlighet med revisionsplanerna. Under året har tretton rapporter expedierats (föreg. år sjutton) och tolv rapporter är föremål för åtgärdsinhämtning (föreg. år tre). Ytterligare nio granskningar pågår (föreg. år elva). Status för granskningarna enligt revisionsplanerna framgår av bilaga 1. I avsnitt 7 sammanfattas internrevisionens iakttagelser för de granskningar som har expedierats under Granskningarna är överlag försenade i förhållande till planeringen, vilket beror på flera orsaker. Uppföljningen har visat att granskningar inte har kommit igång vid den tidpunkt som planerades men även att granskningarna tar längre tid att genomföra än planerat. Detta i sin tur beror på att: Den inledande uppstartsfasen tar förhållandevis lång tid. Det gäller att få kontakt med rätt personer i myndigheten och att få tillgång till relevant material. Flera medarbetare vid internrevisionen är relativt nyanställda, vilket medför att fler personer deltar i granskningarna och att mer tid har lagts på granskningsarbetet. Tid för sakgranskning av utkast till rapporter tar tid då processen ännu inte är helt känd i verksamheten och att svarstider inte respekteras. Tiden för att inhämta åtgärder med anledning av internrevisionens rekommendationer är lång. Ansvaret för inhämtandet av åtgärderna har under året övergått från internrevisionen till rikspolischefens kansli. Processen är ännu inte helt intrimmad och processen innehåller flera moment med många personer och funktioner involverade. Det förekommer att åtgärdsinhämtningen pågår under längre tidsperiod än genomförandet av själva granskningen. 3.2 Rådgivningsaktiviteter Under året har internrevisionen blivit ombedd av verksamheten att utföra oberoende granskningar av tre EU-projekt som Polismyndigheten har varit involverad i. Det gäller: Airpol III (A /2018) Airpol Training (A /2018) Storm (A /2018). För dessa tre projekt har internrevisionen avlämnat revisionsintyg. Förutom de ovan angivna granskningarna har oplanerade rådgivningsaktiviteter genomförts bl.a. inom områdena intern styrning och kontroll samt redovisningsfrågor. 1 A / A /2017

7 RAPPORT 5 (28) 3.3 Övrigt revisionsarbete Under året har internrevisionen uppdaterat riskanalysen, vilken utgör grunden för planering av de granskningar som internrevisionen föreslår ska genomföras enligt revisionsplanen. I revisionsarbetet ingår att följa upp och rapportera vilka åtgärder som har vidtagits med anledning av iakttagelser och rekommendationer i tidigare revisionsrapporter. Under året har för första gången genomförts en halvårsuppföljning som presenterades i en delårsrapport (A /2018). En tillsynsfunktion inrättades vid polisen under Tillsynsfunktionen genomför inspektioner och internrevisionen granskningar men det finns ingen skarp skiljelinje mellan de olika ansvarsområdena. Internrevisionen och tillsynsfunktionen har därför samverkat löpande under året för att undvika dubbelarbete. Internrevisionen har under året samarbetat med andra myndigheter och en gemensam granskning har genomförts tillsammans med internrevisorn från Åklagarmyndigheten (se bilaga 1). Internrevisionsfunktionerna för de myndigheter som ingår i RIF-arbetet har samarbetat i syfte att följa arbetet och genomföra riskanalys. Internrevisionen har även samverkat med andra statliga myndigheters internrevisorer, informationsutbyte har förekommit och kompetensutvecklingsinsatser har genomförts. I likhet med tidigare år har en gemensam erfarenhetsutbytesdag anordnats med deltagare från Polismyndigheten, Skatteverket, Försvarsmakten, Domstolsverket och Tullverket. Polismyndighetens internrevision anordnade ett uppskattat seminarium för övriga myndigheter om internrevisionens kvalitetsarbete. Ett samarbete har inletts med internrevisionsfunktionerna i polisorganisationerna i de nordiska länderna och internrevisionscheferna träffades i Stockholm under våren Under året har internt utvecklingsarbete bedrivits för att förbättra och dokumentera arbetssätt och metoder. Under 2018 har rutinerna uppdaterats. En strategisk plan har tagits fram för åren och arbete har bedrivits för att planera och genomföra förbättringsaktiviteter kopplade till den strategiska planen. Aktivitetsplanen innehåller också åtgärder för att hantera de högsta riskerna för internrevisionsfunktionen. En internrevisor ska förbättra sina kunskaper och färdigheter genom kontinuerlig yrkesmässig utveckling. Under året har några nya medarbetare rekryterats, både internt och externt. Detta har medfört att tid har lagts på grundutbildning och introduktion. Ett antal medarbetare har påbörjat certifieringar via Institute of Internal Auditors och en revisor har erhållit certifieringen CGAP (Certified Government Auditing Professional). Medarbetare deltar aktivt i de kurser, seminarier, workshops och nätverksträffar som arrangeras av internrevisorernas förening. Samtliga medarbetare vid internrevisionen är medlemmar i denna yrkesförening.

8 RAPPORT 6 (28) 4 Nedlagd tid och resurser för internrevisionen 4.1 Nedlagd tid Vid ingången av året fanns tolv tjänster vid internrevisionen. Under året har ytterligare två personer rekryterats externt och en internt. Två personer har lånats ut till verksamheten för ett projekt. Medelantalet anställda under året har uppgått till 14 personer (föreg. år 12). Därutöver har två personer haft timanställning vid internrevisionen. Vid behov anlitar internrevisionen personer, såväl internt som externt, med sakkunskap inom det område som ska granskas. Antalet faktiskt arbetade timmar enligt tidredovisningen uppgår till ca timmar, vilka har disponerats i enlighet med följande. Aktiviteter i timmar Utfall 2018 Utfall 2017 Planering Revisioner Uppföljning Samarbete med IR andra myndigheter Rådgivning Kompetensutveckling Övrigt Totalt antal arbetade timmar Under 2018 har antalet timmar som har lagts på rådgivningsgranskningar ökat medan nedlagd tid på riskbaserade revisioner har minskat. Ökningen av tid nedlagd för rådgivning är i viss mån i enlighet med planeringen men posten har ökat mer än vad som ursprungligen prognosticerades. Detta beror framförallt på de revisionsintyg som internrevisionen har hjälpt verksamheten med. Posten övrigt har också ökat, vilket beror på att nedlagd tid för internt utvecklingsarbete har ökat. I huvudsak har detta arbete omfattat uppdatering av internrevisionens rutiner, ändrade rutiner för att inhämta åtgärder och fatta beslut med anledning av internrevisionens rekommendationer samt aktiviteter kopplade till aktivitetsplanen. 4.2 Budget Internrevisionen har tilldelats en budget om tkr som ska täcka löner, utgifter för inköp av konsulttjänster, resor och utbildning. Utöver detta har ett överföringsbelopp från 2017 om tkr disponerats. Under 2018 har kostnader uppgått till tkr, vilket har resulterat i oförbrukade medel om tkr. Orsaken till överskottet i förhållande till budget är framförallt personalrörligheten med in- och utlåningar till/från verksamheten. Se bilaga 2 för närmare detaljer. Såsom har nämnts i tidigare revisionsplaner har internrevisionens uppdrag utökats i och med bildandet av Polismyndigheten. I beslut från Genomförandekommittén om huvuddragen i den nya Polismyndighetens detaljorganisation angavs att hur internrevisionens organisation skulle komma att se ut och principerna för dess ledning och styrning skulle komma att preciseras när tillträdande chef var på plats. Någon behovsanalys inför dimensionering gjordes inte av Genomförandekommittéen och har inte heller genomförts senare av myndigheten.

9 RAPPORT 7 (28) Internrevisionen har lämnat flera planer för utveckling av internrevisionsfunktionen. Planerna har diskuterats med rikspolischefen och internrevisionen har fått nivåökningar, dock inte i den omfattning som har äskats. Dimensioneringen av internrevisionsfunktionen ligger inte i nivå med de riktvärde som används inom området. Enligt internationella nyckeltal ska en internrevisionsfunktion vid en organisation av Polismyndighetens storlek uppgå till ca personer. Sedan 2015 har dock antalet anställda vid internrevisionen ökats successivt från fyra till fjorton tjänster. I revisionsplanen för angavs att internrevisionen inte har resurser att granska alla de områden som bedömts ha den högsta risken under ett kalenderår. I revisionsplanen fanns 29 granskningar avseende de högsta riskerna och internrevisionen har inte haft resurser att granska samtliga dessa risker under kalenderåret. Internrevisionen har därför valt att frångå modellen med årlig revisionsplan och planerar istället granskningarna under längre tidsperiod än ett kalenderår. 5 Rapporter och rekommendationer I internrevisionens rapporter redovisas iakttagelser, bedömningar och rekommendationer. För respektive rekommendation som lämnas bedöms även väsentlighetsgraden för den iakttagna bristen vid tidpunkten för granskningen. Bedömningen innehåller tre nivåer: Bedömning Röd - Mycket väsentlig brist Orange - Väsentlig brist Gul - Mindre väsentlig brist Beskrivning Brist som allvarligt påverkar Polismyndighetens måluppfyllelse enligt instruktion eller regleringsbrev och/eller medför stora negativa konsekvenser för Polismyndighetens verksamhet och/eller innebär att Polismyndigheten inte uppfyller myndighetsförordningens krav på effektivitet, lagenlighet, redovisning och hushållning. Brist som påverkar den granskade verksamheten så att uppställda mål inte nås och/eller medför betydande negativa konsekvenser för verksamheten. Brist som inte påverkar den granskade verksamhetens måluppfyllelse men som medför negativa konsekvenser för verksamheten. För samtliga rapporter som internrevisionen har expedierat har rikspolischefen fattat beslut om vilka åtgärder som ska vidtas med anledning av de rekommendationer som har lämnats. Internrevisionen sammanställer samtliga rekommendationer och åtgärder från granskningarna i en revisionslogg, vilken är uppdelad per revisionsplan. I revisionsloggen finns rekommendationer med tillhörande åtgärder från revisionsplanerna 2015, , och För dessa revisionsplaner har internrevisionen upprättat 43 rapporter. I tabellen nedan visas fördelningen av antalet expedierade rapporter och rekommendationer per revisionsplan för dessa år.

10 RAPPORT 8 (28) Revisionsplan Antal rapporter Antal rekommendationer Totalt Nedanstående tabell visar fördelningen av lämnade rekommendationer per bedömningsnivå och revisionsplan. Revisionsplan Bedömningsnivåer Totalt antal rekommendationer/bedömningsnivå Mycket väsentlig brist Väsentlig brist Mindre väsentlig brist Totalt antal lämnade rekommendationer/revisionsår De rekommendationer som har lämnats har varit av varierande väsentlighetsgrad men majoriteten av rekommendationerna har bedömts avse väsentlig brist. 6 Lämnade rekommendationer 2018 I de rapporter som internrevisionen har expedierat under 2018 har sammanlagt 80 rekommendationer lämnats (föreg. år 66). Väsentlighetsgraden för de iakttagelser som internrevisionen har gjort fördelas i enlighet med nedan: 5% % 61% Mycket väsentlig Väsentlig Mindre väsentlig Till antalet uppgår de mycket väsentliga bristerna till fyra och de är hänförliga till granskningarna om: polisens hantering av behörighet till it-system (en rekommendation) Polismyndighetens informationssäkerhetsarbete (en rekommendation) särskilda satsningar utsatta områden (två rekommendationer).

11 RAPPORT 9 (28) Färre rekommendationer avseende mycket väsentliga brister har lämnats i årets revisionsrapporter (fyra jämfört med nio föreg. år nio). Detta kan bero på att andelen rådgivningsgranskningar (dvs. granskningar som inte är riskbaserade) utgör en större andel av de rapporter som har avslutats under Expedierade rapporter Granskning av polisens tillsynsverksamhet över transporter av farligt gods 3 Internrevisionen har granskat intern styrning och kontroll vad gäller polisens tillsyn och kontroll av farliga godstransporter. Granskningen har omfattat polisens tillsynsverksamhet över transporter av farligt gods. I granskningen framkom att ansvar och roller behöver tydliggöras och kommuniceras beträffande processansvar. Styrningen av kontroller av farligt gods behöver ses över, främst i de polisregioner där trafikverksamheten är placerad på LPO. Fördelningen av de kvantitativa målen till polisregionerna behöver ses över och istället fördelas efter infrastrukturen för flödet av farligt gods i landet. Internrevisionen ser positivt på att de kvantitativa målen dokumenteras och följs upp. Vidare anser internrevisionen att det är väsentligt att rekryteringen till trafikpolisverksamheten säkerställs framöver. Internrevisionen bedömer även att en dokumenterad nationell strategi för bemanning och rekrytering inom trafikverksamheten skulle säkerställa efterlevnaden av Polismyndighetens strategi för trafik som metod på längre sikt. 7.2 Granskning av friskvårdssubvention 4 Granskningen har genomförts med syfte att bedöma den interna styrningen och kontrollen för polisens hantering av friskvårdssubventioner. Internrevisionen bedömer att polisens interna regler och de faktiskt utbetalda beloppen till medarbetarna följer Skatteverkets regler. Granskningen har dock visat på avvikelser från det interna regelverket i den administrativa hanteringen vilka leder till att redovisningen av kostnaderna inte blir korrekt och att uppföljning av friskvårdskostnaderna är svår att genomföra. Internrevisionen anser att den lathund och beräkningsverktyg som har tagits fram är lätta att följa och om medarbetarna använder dessa finns det goda förutsättningar för att korrekt belopp redovisas. Om dessa hjälpmedel inte används finns däremot flera möjliga alternativ för medarbetaren att välja mellan, vilket kan leda till en felaktig redovisning. Internrevisionen bedömer sammantaget att det finns förbättringsmöjligheter vad gäller polisens interna styrning och kontroll av hantering av friskvårdssubventionen men att de brister som internrevisionen har noterat inte bedöms vara väsentliga. Det finns dock områden att förenkla och förtydliga i syfte att effektivisera samt att förbättra kvaliteten på redovisningen. 7.3 Granskning av hantering av tipspengar informatörsverksamheten 5 Internrevisionen har granskat Polismyndighetens hantering av tipspengar med syfte att bedöma om hanteringen följer aktuella riktlinjer och rutiner. Informatörsverksamheten 3 A / A / A /2018

12 RAPPORT 10 (28) är en starkt reglerad och kontrollerad verksamhet och internrevisionens bedömning är att rutiner för utbetalning av gratifikationer och omkostnadsersättningar i huvudsak är betryggande. Risker finns främst avseende källskyddet, personlig säkerhet för berörda personer, informatörer och polisanställda. I granskningen framkom att regionkontrollanter, som har till uppgift att utöva intern tillsyn, kontrollera och fortlöpande följa upp informatörsverksamheten, saknades i tre regioner. Vissa problem finns med penninghanteringen och bankomatuttag och internrevisionen rekommenderar att ny rutin för betalkort implementeras samt att det följs upp att tidigare problem får en rimlig lösning. 7.4 Granskning av polisens arbete med lönebildning 6 Internrevisionen har granskat om den interna styrningen och kontrollen i polismyndighetens lönepolitiska arbete genomförs ändamålsenligt. I granskningen noteras ett antal iakttagelser som pekar på att myndigheten arbetar proaktivt med lönebildningsfrågor. I granskningen har rekommendationer lämnats kring behov av översyn av myndighetens lönepolitiska strategi och att myndighetens individrelaterade lönekriterier behöver anpassas bättre till verksamhetens olika funktioner. Utbildningsinsatser för chefer vad gäller den individuella och differentierade lönesättningen behöver prioriteras. Uppföljningsrutiner behöver tas fram för att säkerställa att kalibreringssamråd genomförs. HR-avdelningen rekommenderas att analysera konsekvenserna av nationella satsningars inverkan på individuell lönesättning. Vidare rekommenderas HR att utvärdera hur 9 RALS tillämpas samt genomföra systematiska uppföljningsrutiner av paragrafen. HR rekommenderas även att förbättra efterlevnaden av den fastställda styrningen av lönerevisionsprocessen. Inför kommande lönerevisioner är det viktigt att myndigheten säkerställer att behoven för den beslutade inriktningen inte enbart identifieras från den övergripande nivån utan även från polisens verksamheter i regioner och avdelningar. Cheferna bör även involveras före, under och efter vid fastställande av inriktning för en lönerevision. Under granskningen har noterats att ett förbättringsarbete har påbörjats vad gäller instruktioner som skickas ut i samband med kvalitetssäkring av löneuppgifter, inklusive förenkling av Excelfiler. Behov finns dock av att identifiera systematiska kontroller för att effektivisera kvalitetssäkringsarbetet. Internrevisionen rekommenderar att utvärdering och uppföljning av den årliga lönerevisionen samt den lönepolitiska strategin prioriteras. 7.5 Granskning av polisens hantering av behörighet till it-system 7 Syftet med granskningen har varit att bedöma om den interna styrningen och kontrollen av polisens hantering av it-behörigheter är ändamålsenlig. Granskningen har omfattat processen för hantering av it-behörigheter. Internrevisionen anser att det finns förbättringsmöjligheter i den interna styrningen och kontrollen beträffande hanteringen av itbehörigheter. Internrevisionen gör den övergripande bedömningen att processen för tilldelning och revision av it-behörigheter inte är tillräcklig för att säkerställa kraven på att behörighet till polisens it-system endast ska ske på grundval av lämplighet, kunskap och behov i sitt arbete. Fördelningen av ansvar och roller inte är tillräckligt tydlig vad gäller hur processägarens/informationsägarens ansvar och roll förhåller sig till övriga chefers ansvar och roll. I flertalet fall saknas riktlinjer från informationsägare som regle- 6 A / A /2017

13 RAPPORT 11 (28) rar tilldelning av it-behörigheter. I stickprovsgranskningen som internrevisionen genomförde i granskningen framkom att många anställda har onödigt många it-behörigheter och i vissa fall högre it-behörigheter än nödvändigt för tjänsten. Detta kan medföra en ökad risk att anställda använder behörigheterna på ett otillbörligt sätt, t.ex. genom att göra slagningar i systemen. Det finns även en kostnadsaspekt att beakta. Internrevisionen gör bedömningen att effektivitetsförbättringar kan åstadkommas genom att all behörighetshantering så långt möjligt styrs till behörighetscenter, att alla ansökningar går via polisens administrationsportal (PAP), att fler it-system blir helintegrerade, genom att vidareutveckla utformningen av ansökningsförfarandet samt utarbeta fler behörighetsprofiler. 7.6 Polisens inköpskort 8 Granskningen har syftat till att bedöma om Polismyndigheten har en tillfredställande intern kontroll av inköpskort. Internrevisionens bedömning är att kontrollen behöver förstärkas. Det finns ingen beslutad process för hantering av inköpskort och det går därför inte att säkerställa enhetlighet. Polismyndighetens riktlinjer för betal- och inköpskort behöver förtydligas så att det klart framgår hur de olika kontokorten ska användas och hanteras. Avsaknad av syftesbeskrivning har försvårat möjligheten att bedöma huruvida inköp och kontantuttag är inköp för verksamheten och därmed säkerställa att inköpen inte är för privat bruk. Granskningen har visat att det inte finns någon översyn av vad som köps in och med vilka belopp. Enligt polisens interna riktlinjer ska inköpskorten användas till inköp i tjänsten men det har förekommit att korten har använts till kontantuttag. 7.7 Granskning av polisens vapenhantering 9 Syftet med granskningen var att granska den interna styrningen och kontrollen för att bedöma ändamålsenligheten i polisens vapenhantering. Internrevisionen anser att det finns förbättringsmöjligheter i den interna styrningen och kontrollen vad gäller polisens vapenhantering. Den interna styrningen och kontrollen kan bland annat förbättras genom en uppföljning av efterlevnaden av FAP I granskningen noterades bland annat att det inte finns en nationell samordningsansvarig inom området. Regioner och avdelningarnas ansvar enligt FAP behöver tydliggöras och kommuniceras. På grund av avsaknad av nationella styrdokument för myndighetens vapenhantering utöver FAP och förekomst av regionala styrdokument bedöms myndighetens vapenhantering inte vara enhetlig eller effektiv. Förbättringsmöjligheter finns även kring avdelningarnas och regionernas rutiner för kompetensprov samt återtagande av vapen. 7.8 Granskning av Polismyndighetens strategiska styrning inklusive styrmodell 10 Syftet med granskningen var att granska styrningen av polisen genom den strategiska planerings- och uppföljningsprocessen. Granskningen har utgått ifrån Kaplan Nortons modell för ändamålsenlig styrning. Enligt internrevisionen har polisens styrning sedan 2015 präglats av att genomföra ombildningen. Ledningsgruppen har haft ett operativt 8 A / A / A /2017

14 RAPPORT 12 (28) fokus snarare än strategiskt. Internrevisionens sammantagna bedömning är att polisens styrningsprocess har förbättringsmöjligheter men att de aktiviteter som pågår i form av 2024 förefaller vara en utveckling i rätt riktning. Enligt internrevisionen bör arbete genomföras för att åstadkomma en inriktning och ägarskap av styrningen som uppfattas som tydlig. Förenklingar och förtydligande behöver åstadkommas i styrmodellen. Ett flertal av de mått som används riktar sig i huvudsak mot återrapportering och enligt intervjuerna används dessa inte i styrningen för att t.ex. göra prioriteringar. Få av dessa mått är verksamhetsnära och värdeorienterade och internrevisionen anser att de inte ger en balanserad bild av önskade effekter och förändringar. Sannolikheten är stor för att komplexitetsnivån i styrningen kvarstår eller ökar om enkelhet och överblickbarhet inte beaktas i det fortsatta utvecklingsarbetet. 7.9 Granskning av sekretessförbindelser 11 Granskningen har syftat till att bedöma om Polismyndighetens hantering av sekretessinformation och sekretessförbindelser sker med en tillräckligt hög grad av intern styrning och kontroll. Internrevisionens sammanfattande bedömning är att den interna styrningen och kontrollen behöver förstärkas. Grunderna för detta är att chefer i större utsträckning bör lämna information om sekretess till nyanställda medarbetare och se till att sekretessförbindelser används samt att hanteringen följs upp Granskning av verksamhetsstyrd it-utveckling för den brottsbekämpande verksamheten 12 Syftet med granskningen har varit att granska den interna styrningen och kontrollen för utvecklingen av polisens it-relaterade verksamhetsstöd. I granskningen har konstaterats att en processbeskrivning av den verksamhetsstyrda it-utvecklingen saknas. Modellen bestod snarast av en organisatorisk struktur med ett antal definierade roller. Det saknades därmed en tydlig struktur för intern styrning och kontroll för att säkerställa att målen med modellen uppnås. Granskningen har inriktats på att bekräfta att modellen har implementerats och är känd i de verksamheter som de omfattar. Den sammanfattande slutsatsen som internrevisionen gör efter granskningen är att modellen är beslutad, att det finns ett ägarskap och att modellen är inarbetad framför allt i it-avdelningens processer. Dock har inte informationen till verksamheterna om modellen varit tillräcklig. Graden av implementering varierar också mellan olika regioner. I granskningen har följande brister kring implementeringen av modellen noterats. Information till verksamheterna om modellen har inte varit tillräcklig, LPO-cheferna har inte omfattats av modellen, risk för att modellen rundas genom direkta kontaktytor mellan chefer och it samt att utbildning om modellen har inte genomförts eller genomförs i mycket begränsad omfattning. Vidare framkom att risk finns att nyckelrollen RIFA inte kan utföras i önskvärd utsträckning då RIFA vanligen har rollen på halvtid i konkurrens med annan tjänstgöring. Verksamhetsstyrd it-utveckling har inte beskrivits som en verksamhetsprocess vilket kan ha medfört svårigheter avseende styrning och kontroll i modellen samt med att säkerställa modellens effektivitet. Ägarskapet för modellen har varit otydligt vilket även medfört att ansvaret för modellens effektivitet blivit otydligt. Ut- 11 A / A /2017

15 RAPPORT 13 (28) vecklingsförslagen loggas effektivt först när de har beslutats som utvecklingsprojekt och lagts upp i IT-avdelningens Jira-system. Det saknas ofta en nyttovärdering av förslagen, och därmed kan inte någon strukturerad nyttouppföljning ske Granskning av Polismyndighetens informationssäkerhetsarbete 13 Granskningen har syftat till att bedöma den interna styrningen och kontrollen av Polismyndighetens informationssäkerhetsarbete. Granskningen har omfattat det myndighetsövergripande informationssäkerhetsarbetet exklusive säkerhetsskyddsarbetet som regleras av andra regelverk än MSB:s föreskrifter. Internrevisionen anser att det finns risker förknippade med den interna styrningen och kontrollen beträffande det myndighetsövergripande informationssäkerhetsarbetet. Internrevisionens bedömning är att myndigheten inte har en ändamålsenlig process för styrning av informationssäkerhetsarbetet. Dels är processansvaret för informationssäkerhet delad mellan två funktioner, dels har styrningen av informationssäkerheten fördelats efter lagringsmedia/form och inte efter skyddsvärde och mål för myndighetens informationssäkerhet. Internrevisionen bedömer att ledningen och ansvaret för myndighetens sammantagna informationssäkerhetsarbete behöver utvärderas och därefter bör ansvar och roller för informationssäkerhetsarbetet fastställas. Denna rekommendation ingick därefter som en del i den externa översynen av myndighetens verksamhetsskydd- och säkerhetsskydd, initierad av rikspolischefen. Vid fasen för åtgärdsinhämtning pågick den externa översynen. Internrevisionen gjorde då bedömningen att det bör inrättas en interimistisk ansvarig för den myndighetsövergripande informationssäkerheten i enlighet med MSB:s föreskrifter Granskning av reformen och omorganisationen 14 Syftet med granskningen var att bedöma polisens interna styrning och kontroll för att genomföra omorganisationen med fokus på formerna för medarbetardriven verksamhets- och aktivitetsplanering. Granskningen har inriktats på polisens kärnverksamhet. Internrevisionens slutsats är att införandet av medarbetarinflytandet och den medarbetardrivna verksamhets- och aktivitetsplaneringen har kommit olika långt i organisationen. I huvudsak beror detta på skillnader i förutsättningar, inställning hos chefer och medarbetare samt tillgång till tid och resurser. Internrevisionen anser att tydligare styrning och uppföljning behöver ske av införandet av den medarbetardrivna verksamhetsoch aktivitetsplaneringen. Anpassning bör göras till de förutsättningar som finns i respektive verksamhet. Förväntningar och ambitioner måste vara rimliga. Innebörden av medarbetardriven verksamhets- och aktivitetsplanering är otydlig och internrevisionen anser att begreppet behöver preciseras. Styrande dokument bör ensas och förtydligas. Chefsnätverk borde finnas där diskussion och erfarenhetsutbyte kan ske om ledning, styrning och medarbetarinflytande. Vid rekrytering och tillsättning av chefer och medarbetare föreslår internrevisionen att polisens styrfilosofi regelmässigt kommuniceras. Ekonomiavdelningens planerade dialogarbete med regioner och avdelningar bör prioriteras och systematisk uppföljning av införandet av den medarbetardrivna verksamhetsoch aktivitetsplaneringen bör ske. 13 A / A /2017

16 RAPPORT 14 (28) 7.13 Granskning av särskilda satsningar - utsatta områden 15 Syftet med granskningen var att bedöma om polisens interna styrning och kontroll för arbetet i utsatta områden är effektiv och ändamålsenlig. Granskningen har omfattat de områden som anses särskilt utsatta och i huvudsak fokuserat på polisens arbete och åtgärder där polisen har möjligheter att påverka. Internrevisionen anser att den interna styrningen och kontrollen behöver förbättras för att säkerställa att arbetet i utsatta områden är effektivt och ändamålsenligt. Internrevisionen har lämnat bedömningar för följande delområden: resurser, lokal organisation, kommunpoliser och områdespoliser, nationell styrning, regional och lokal styrning, metodstöd, uppföljning, samverkan med andra samhällsaktörer, underrättelseverksamhet, utredningsverksamhet, kompetensförsörjning, utrustning och arbetsmiljö. 8 Uppföljning av arbetet med att genomföra beslutade åtgärder för revisionsrapporter I internrevisionens rapporter lämnas iakttagelser och rekommendationer. För varje rekommendation ska ansvarig verksamhet inom polisen inkomma med förslag på åtgärder till rikspolischefen. Efter beredning av de föreslagna åtgärderna fattar rikspolischefen beslut om åtgärderna. Verksamheten ansvarar därefter för att genomföra de beslutade åtgärderna. Internrevisionen följer upp att de åtgärder som har beslutats med anledning av lämnade rekommendationer genomförs i enlighet med den tidsplan som fastställts samt bedömer om vidtagna åtgärder är tillräckliga för att rätta till den brist som har identifierats i granskningen. Formerna för uppföljningen varierar och vad som är lämpligt får avgöras i det enskilda fallet. Uppföljningen kan till exempel göras genom att ett avstämningsmöte genomförs med ansvariga för verksamheten eller att skriftliga svar begärs av internrevisionen på ett antal frågor som riktas till ansvarig verksamhet. För att internrevisionen ska kunna bedöma om en rekommendation ska anses vara åtgärdad eller inte behövs vanligen dokumentation som styrker de uppgifter som ansvarig verksamhet har lämnat. Det ställs ofta högre krav på verifiering av åtgärder för de rekommendationer som avser brister som internrevisionen har bedömt som mycket väsentliga (dvs. röd rekommendation) jämfört med mindre väsentliga iakttagelser (orange eller gul rekommendation). Under uppföljningen bedömer internrevisionen om åtgärderna anses vara genomförda eller inte. Om åtgärderna anses vara genomförda avslutas de i den revisionslogg som internrevisionen har upprättat. Vid uppföljningen kan det dock framkomma att verksamheten är försenad med genomförandet av åtgärderna och att internrevisionen anser att rikspolischefen kan behöva informeras om detta. Eventuellt kan ett nytt beslut om tidsplan behöva fattas. Det kan också vara så att beslutad åtgärd är genomförd men att internrevisionen ändå bedömer att risken kvarstår och att ytterligare åtgärder skulle behövas. I detta fall kan det vara lämpligt att be ansvarig verksamhet att inkomma med nya förslag till åtgärder för beslut av rikspolischefen. Det kan förekomma att internrevisionen gör bedömningen att uppföljningen ska avslutas trots att samtliga åtgärder inte har vidtagits. Detta kan t.ex. inträffa om de förutsättningar som gällde när rekommendationen lämnades inte längre föreligger. I detta fall kan det vara lämpligt att uppföljningen avslutas och kvarstående risker förs in i internrevisionens riskregister för kom- 15 A /2017

17 RAPPORT 15 (28) mande granskningar. Det kan också förekomma situationer när internrevisionen gör bedömningen att en uppföljningsgranskning kan behöva genomföras för att bedöma kvarstående risker. Internrevisionens uppföljningsarbete har resulterat i följande bedömningar. Diagrammet nedan visar fördelningen mellan rekommendationer som internrevisionen har avslutat i revisionsloggen och rekommendationer som inte är avslutade. 48% 52% Avslutade Ej avslutade I revisionsloggen finns 187 rekommendationer. Av dessa rekommendationer har 98 avslutats dvs. 52 % (föreg. år 40 %). Huvuddelen av dessa rekommendationer med tillhörande åtgärder är hänförliga till revisionsplanerna och Merparten av rekommendationerna från revisionsplan 2015 har bedömts vara avslutade. Sex rekommendationer från revisionsplanen har bedömts vara genomförda vid tidpunkten för genomförandet av uppföljningsarbetet. Nedanstående tabell visar antalet avslutade rekommendationer fördelat per bedömningsnivå och revisionsplan. Revisionsplan - avslutade Bedömningsnivåer Totalt antal rekommendationer/bedömningsnivå Mycket väsentlig brist Väsentlig brist Mindre väsentlig brist Totalt antal avslutade rekommendationer/revisionsår Efter genomförd uppföljning kvarstår 89 rekommendationer i revisionsloggen som inte anses vara avslutade. Dessa rekommendationer är hänförliga till samtliga revisionsplaner varav merparten är hänförliga till revisionsplan Nedanstående tabell visar antalet ej avslutade rekommendationer fördelade per bedömningsnivå och revisionsplan.

18 RAPPORT 16 (28) Revisionsplan - pågående Bedömningsnivåer Totalt antal rekommendationer/bedömningsnivå Mycket väsentlig brist Väsentlig brist Mindre väsentlig brist Totalt antal kvarstående rekommendationer/revisionsår Orsakerna till att åtgärder ännu inte har genomförts kan vara flera. Exempelvis kan verksamheten ha genomfört delar av åtgärden men att ytterligare arbete behövs för att avsluta åtgärden. Det kan även vara så att tidplanen för att genomföra rekommendationen med tillhörande åtgärder ännu inte har förfallit eller att genomförandet av åtgärden blivit försenad. 8.1 Bedömning av status för beslutade åtgärder För de revisionsrapporter som internrevisionen upprättade fram till och med 2014 fattades inte några beslut om åtgärder med anledning av lämnade rekommendationer. Internrevisionen har trots detta valt att gå igenom granskningarna från 2013 och 2014 för att avgöra om granskningar innehåller risker som bedömts vara relevanta att följa upp. För en av dessa granskningar pågår uppföljning av de iakttagelser och rekommendationer som lämnades. Det gäller: Revisionsplanen 2014 Polisens tillämpning av Polisutbildningsförordningen (A /2014) Status för beslutade åtgärder Uppföljningen pågår och är inte avslutad. Från och med 2015 fattar rikspolischefen beslut om åtgärder med anledning av de rekommendationer som internrevisionen lämnar och revisionsrapporterna innehåller de åtgärder som rikspolischefen har beslutat ska genomföras. Nedan redovisas internrevisionens bedömningar vid uppföljningsarbetet. Tabellerna innehåller de granskningar där beslutade åtgärder inte bedömdes vara avslutade i årsrapporten års revisionsplan Status för beslutade åtgärder Registervård (A /2015) NOA och andra nationella avdelningar har bedrivit ett omfattande arbete med att ta fram respektive komplettera riktlinjer materiellt. Åtgärder har vidtagits för att efterhöra de synpunkter som framförts av internrevisionen. När rättsavdelningen har färdigställt den grundläggande ordningen finns förutsättningar att snabbt färdigställa återstående åtgärder. Rättsavdelningen bedömer att de sista åtgärderna i

19 RAPPORT 17 (28) Avgiftsbelagd verksamhet (A /2015) granskningsärendet kan genomföras före utgången av juni Samråd om avgifter kommer att göras med ESV under Därefter kan rekommendationen avslutas. Revisionsplan Organisation och gränssnitt (A /2015) Polisens service (A /2015) Attestrutiner - Agresso (A /2015) Attestrutiner - Palasso (A /2016) Beslutshierarkier kallades granskningen i revisionsplanen. Under granskningens gång omformulerades granskningen till att avse Granskning av polisens beslutsprocesser (A /2016) Brottsförebyggande arbete inom ramen för samverkansöverenskommelser (A /2015) Egenutvecklade immateriella anläggningstillgångar (A /2015) Bevakning och uppföljning av pågående förundersökningar (kallad påminnelser i revisionsplanen) (A /2016) Kontinuitetshantering (A /2015) Status för beslutade åtgärder Efter uppföljningen 2018 kvarstod en utestående rekommendation för vilken åtgärder pågick. Åtgärden är nu genomförd och därmed avslutar internrevisionen uppföljningen av rapporten. Arbetet med åtgärderna har gått trögt. I och med tillkomsten av serviceprogrammet kommer fokus att finnas på dessa frågor. Internrevisionen kommer att följa arbetet i programmet. Vid internrevisionens halvårsuppföljning 2018 avslutades uppföljning av den sista kvarvarande åtgärden. Åtgärderna anses vara genomförda. En rekommendation avseende underlag/räkenskaper är inte åtgärdad. Internrevisionen kommer att fortsätta med att genomföra uppföljning. Granskningen har följts upp under året och tre rekommendationer är fortfarande till fullo inte genomförda. Åtgärderna är således försenade men enligt internrevisionens bedömning arbetar man på olika områden med genomförande. Vid internrevisionens halvårsuppföljning 2018 avslutades uppföljning av den sista kvarvarande åtgärden. Åtgärderna anses vara genomförda. En ny granskning av området kan dock komma att behöva göras eftersom internrevisionen gör bedömningen av vissa risker kvarstår. Innan uppföljning av granskningen avslutas behöver substansgranskning genomföras, vilket planeras att göras under våren En rekommendation återstår. Arbetet pågår och ett utkast till riktlinje finns framtaget och polisen inväntar svar/förslag från Åklagarmyndigheten, vilket dröjer. Eventuellt bör nytt beslut om åtgärder fattas av RPC. Åtgärderna är försenade men arbetet

20 RAPPORT 18 (28) Ekonomi i balans (A /2016) Kompetensutveckling (A /2016) Ekonomistyrning för it-avdelningen (A /2016) Utredningsverksamheten DNA analys (topsning) (A /2016) Utredningsverksamheten Granskning av polisregionernas handläggning av bedrägeriärenden (A /2016) Flyktingmottagandet. Under granskningens gång omformulerades granskningen till att omfatta verkställigheter av beslut om avvisning och utvisning (A /2016) Externt finansierade projekt (A /2016) Gob - Granskning av arbetet mot organiserad brottslighet myndigheter i samverkan (A /2016) Revisionsplan Rekrytering och bemanning (A /2016) har tagit fart under hösten En rekommendation (rek 1) anses dock inte till fullo vara åtgärdad varför ytterligare uppföljning kommer att genomföras. Arbete återstår med två av de rekommendationer som lämnades. Arbetet är försenat. Internrevisionen kommer att fortsätta att genomföra uppföljning. Flera åtgärder är genomförda men för vissa pågår arbetet fortfarande och delar ingår i tillväxtplanen för Internrevisionen har identifierat flera tillkommande risker inom området varför det är möjligt att en ny granskning kommer att inledas. Vid den uppföljning som genomfördes under våren sommaren 2018 bedömdes att de åtgärder som beslutats hade genomförts. Uppföljningen är därmed avslutad. Arbete med en av rekommendationerna återstår. Området ingår i tillsynsfunktionen tillsynsplan för Internrevisionen kommer att avvakta denna rapport för bedömning om rekommendationen kan avslutas. Arbete med åtgärder har pågått men enligt internrevisionen kvarstår de risker som internrevisionen identifierade under granskningen. En uppföljningsgranskning kommer att genomföras under Arbete med en av rekommendationerna återstår. Arbete har genomförts med anledning av beslutade åtgärder. Internrevisionen bedömer att två av rekommendationerna ännu inte är åtgärdade, varför uppföljning kommer att fortsätta. En rekommendation är inte åtgärdad enligt internrevisionens bedömning. För närvarande granskar Riksrevisionen området. Efter det att rapporten är klar kommer internrevisionen bedöma om rekommendationen kan avslutas. Status för beslutade åtgärder Arbete med åtgärderna pågår men allt är inte slutfört. RPC har fattat nytt beslut om åtgärder för två av

21 RAPPORT 19 (28) Omställning av personal. Under granskningen omformulerades granskningen till Granskning av Polismyndighetens arbete med omställning och intern rörlighet (A /2016) Tillsyn av arrester (A /2016) Hantering av tjänstekort (A /2017) Representation (A /2016) Utlämnande av allmän handling (A /2016) Polisens vapenhantering (A /2017) Polisens hantering av behörigheter till it-system (A /2017) Särskilda satsningar utsatta områden (A /2017) Sekretessförbindelser (A /2017) Polismyndighetens strategiska styrning inklusive styrmodell (A /2017) Verksamhetsstyrd IT-utveckling (A /2017) rekommendationerna i januari Uppföljning kommer att fortsätta under Åtgärderna bedöms vara genomförda, varför uppföljningen kommer att avslutas. De flesta åtgärderna (t.ex. införande av nationell arresthandbok, ensning av dokumentationsunderlag och rutiner för incidentrapportering) är redan genomförda och arbete pågår med resterande (t ex. nationell utbildning och nationell enhetlig egenkontroll). Internrevisionen kommer att genomföra ytterligare uppföljning under senare delen av Arbete med åtgärderna pågår men är inte slutförda. Uppföljning kommer att göras under fösta halvåret Åtgärder genomförda (översyn av riktlinjer, information/dialog/utbildning). Arbete pågår med att ta fram rutiner för hur underlag ska sparas. Internrevisionen kommer att följa upp detta under våren Arbetet med åtgärderna pågår. Tidpunkten för när vissa av åtgärderna ska vara genomförda har i flera fall ännu inte inträffat. Uppföljning kommer att fortsätta genomföras under En fördjupad uppföljning av granskningen pågår och kommer att avrapporteras under våren Arbetet med åtgärderna pågår. Tidpunkten för när åtgärder ska vara genomförda har i något fall ännu inte inträffat. Uppföljning kommer att fortsätta genomföras under Uppföljningen pågår och är inte avslutad. Arbete med åtgärderna har pågått. Mycket är åtgärdat men visst arbete återstår. Några rekommendationer är åtgärdade men för några har tidpunkten för när åtgärderna ska vara genomförda ännu inte inträffat. Uppföljning kommer att fortsätta genomföras under Arbete med åtgärderna pågår. Upp-

22 RAPPORT 20 (28) följning kommer att göras under våren Revisionsplan Friskvårdssubvention (A /2019) Hantering av tipspengar informatörsverksamheten (A /2018) Status för beslutade åtgärder Samtliga beslutade åtgärder är genomförda, varför någon ytterligare uppföljning inte kommer att genomföras. Samtliga beslutade åtgärder har genomförts. Dessutom finns det några rapporter där beslut om åtgärder har fattats men uppföljning har ännu inte påbörjats. Det gäller granskningar av: informationssäkerhetsarbetet (A /2017) arbetet med lönebildning (A /2017) reformen och omorganisationen (A /2017). Orsaken till att uppföljning inte har påbörjats för dessa granskningar är att tidpunkten för när åtgärderna ska vara genomförda ännu inte har inträffat. 8.2 Rapporter där uppföljningen är helt avslutad Vid uppföljningsarbetet har internrevisionen bedömt att samtliga åtgärder är genomförda för några av granskningarna och därmed kan uppföljningen avslutas. Det gäller: 2015 Dnr Granskning av polisens beslagshantering A /2015 Polisens arbete mot livsstilskriminellas brottslighet A / Dnr Organisation och gränssnitt inom Polismyndigheten A Granskning av Polismyndighetens attestrutiner A /2015 Granskning av polisens BF-arbete A /2015 Granskning av it-avdelningens ekonomistyrning A /2016 Granskning av arbetet mot organiserad brottslighet - myndigheter A /2016 i samverkan. Del Dnr Granskning av Polismyndighetens arbete med omställning A459/302/2016 och intern rörlighet Granskning av polisens arbete mot hatbrott A /2016 Granskning av polisens A /2017 inköpskort

23 RAPPORT 21 (28) Granskning av polisens tillsynsverksamhet över transporter av farligt gods A / Sammanfattning av internrevisionens uppföljning Uppföljning visar att arbetet med att genomföra de beslutade åtgärderna pågår i verksamheten. Takten för att genomföra åtgärderna varierar och i vissa fall genomförs åtgärden i nära anslutning till att revisionsrapporten beslutas och i andra fall tar genomförandet längre tid. För en del åtgärder har iakttagits att delar av åtgärderna har genomförts men att ytterligare arbete kan behövas. Dessa åtgärder kvarstår som ej avslutade tills att hela den beslutade åtgärden är genomförd. 9 Internrevisionens kvalitetsarbete 9.1 Internt kvalitetsarbete Vid internrevisionen ska det finnas ett program för kvalitetssäkring och kvalitetsförbättring som täcker in alla aspekter av internrevisionsverksamheten. Syftet med det interna kvalitetsarbetet är att säkerställa att funktionen bedrivs enligt god internrevisions- och god internrevisorssed. Det interna kvalitetsarbetet ska dessutom bidra till lärande genom att identifiera eventuella brister och avvikelser och ge förutsättningar att åtgärda dessa. Internrevisionens program för kvalitetsäkring och förbättringar innehåller följande delar: Årlig självutvärdering. Grundläggande är att bedöma om internrevisionen följer internrevisionsförordningen och ESV:s föreskrifter och allmänna råd, IPPF, Polismyndighetens riktlinjer för internrevisionen och rutiner för internrevisionens arbete. Utvärderingsenkät till ledningsgruppen. Internrevisionen genomför vartannat år en enkät till ledningsgruppen som ett led i internrevisionens förbättringsarbete. Uppföljning och uppdatering av rutiner för internrevisionens arbete. Arbetet med att uppdatera rutinerna sker minst en gång per år. Fortlöpande uppföljning och övervakning av internrevisionsverksamheten. Vid internrevisionens löpande interna möten diskuteras pågående och planerade granskningar, kompetensutveckling, utveckling av interna rutiner etc. Kvalitetssäkring av enskilda granskningsuppdrag. För samtliga granskningsuppdrag genomförs en kvalitetssäkring, som sker löpande under respektive gransknings genomförande av internrevisionens medarbetare. Resultatet från utförd kvalitetssäkring används för att säkerställa god kvalitet i granskningarna samt att utveckla och förbättra internrevisionens arbete. Intern granskningsutvärdering. Revisionsteamet inklusive kvalitetssäkraren genomför en utvärdering efter granskningens slutförande i förbättringssyfte.

24 RAPPORT 22 (28) Utvärderingsenkät av enskilda uppdrag. IR-chefen avgör vid varje enskilt uppdrag om en utvärderingsenkät ska skickas ut till ansvariga för granskningsområdet. Under 2018 har inte någon självutvärdering genomförts p.g.a. av att en extern utvärdering gjordes Den interna utvärderingen omfattar samma moment som den externa och därför bedömdes den inte som nödvändig att genomföra. Enkät till ledningsgruppen genomfördes 2017 och kommer att göras på nytt En relativt stor uppdatering har gjorts av internrevisionens rutiner. En ny modell för utvärdering av det enskilda granskningsuppdraget har tagits fram. Mallen för utvärdering som revisionsteamen ska genomföra har också utvecklats. Åtgärdsinhämtningen har under året har tagit längre tid än normalt. Detta har fått till följd att färre rapporter har avslutats och på grund av detta har internrevisionen valt att göra en variant av utvärderingsenkäten för de enskilda uppdragen. Enkäten har i år kompletterats med att ett antal intervjuer har genomförts med berörda för att internrevisionens ska få en fördjupad bild. I vissa fall har enkät och intervju avsett granskningar som ännu inte är avslutade, dvs. beslut om åtgärder har inte fattats, vilket inte var fallet förra året. Enkät och intervjuer har omfattat sex granskningar och har avsett både ansvariga chefer och övriga intervjupersoner. Enkäten innehåller frågor om information, planering, genomförande och revisionsrapporten. Totalt har tio svar erhållits (19 föreg. år). På grund av det begränsade antalet svar är svårt att dra några långtgående slutsatser men svaren kan ändå ge en bild av verksamhetens uppfattning om internrevisionens arbete. Det genomsnittliga omdömet för samtliga frågor och svarande personer är svarsalternativen instämmer till stor del, vilket innebär att majoriteten har en positiv bild av internrevisionens arbete. I likhet med förra året fick internrevisionen bäst omdöme för frågorna om att internrevisorerna lämnat tillräcklig information om granskningens syfte, mål och omfattning samt att internrevisorerna gav goda möjligheter att lämna synpunkter på granskningens inriktning. Lägst omdömen av de frågor som ställdes fick internrevisorernas kompetens och revisionsrapporterna. I analysmaterialet är det en granskning som avviker från övriga svar, vilket medför svårigheter att dra några långtgående slutsatser. Ytterligare analys kommer dock att göras av denna granskning för att dra lärdom av resultatet. 9.2 Extern kvalitetsbedömning Enligt International Professional Practices Framework (IPPF), ska en extern kvalitetsutvärdering genomföras av internrevisionens verksamhet minst en gång vart femte år. Utvärderingen ska utföras av en kvalificerad oberoende extern granskare eller av ett granskningsteam. Den senaste extern kvalitetssäkringen genomfördes Internrevisionen upphandlade därför en extern part (PWC) för att genomföra en ny extern kvalitetssäkring och uppdraget genomfördes under juni till september Syftet med utvärderingen var att utvärdera i vilken omfattning som Polismyndighetens internrevision bedriver sin verksamhet i överensstämmelse med internrevisionsförord-

25 RAPPORT 23 (28) ningen, ESV:s föreskrifter till densamma samt IIA:s International Standards for the Professional Practice of Internal Auditing (Standards). PWC:s samlade bedömning är att polisens internrevisionsfunktion och det arbetssätt internrevisionen tillämpar står i överensstämmelse med Internrevisionsförordningen, ESV:s föreskrifter och allmänna råd samt IIA:s Riktlinjer för yrkesmässigt utförande av internrevision. Baserat på de intervjuer som PWC har genomfört med internrevisionen och representanter från ledning och verksamhet är det PWC:s uppfattning att internrevisionens arbete är uppskattat inom myndigheten och att funktionen bidrar med värde till att förbättra väsentliga processer. PWC lämnade två observationer för förbättringsåtgärder samt två övervägande för ytterligare förbättringar. Internrevisionen kommer att vidta åtgärder för att arbeta med de förbättringsområden som PWC har identifierat. Dessa har lagts in i internrevisionens aktivitetsplan. 10 Organisatoriskt oberoende och efterlevnad av etisk kod Internrevisionen har under året rapporterat direkt till rikspolischefen. Internrevisionens bedömning är att verksamheten, i enlighet med internationella standards, har haft ett organisatoriskt oberoende som har medfört att det har varit möjligt att utföra uppdrag och skyldigheter i övrigt. Internrevisionen ska även uttala sig om efterlevnad av de etiska principerna, vilka enligt internationella standards är integritet, objektivitet, tystnadsplikt samt kompetens. Dessa fyra principer diskuteras regelbundet inom internrevisionen i samband med utförda granskningar. Eftersom efterlevnad av integritet är särskilt svårt att påvisa har internrevisionen valt att låta alla medarbetare underteckna ett intyg om efterlevnad av samtliga etiska principer för Internrevisionens bedömning är att de etiska principerna efterlevs. Internrevisionen har utvecklat revisionsprocessen så att bedömning och dokumentation av efterlevnad av etiska principer framöver kommer att utföras i utvärderingen av varje enskilt granskningsuppdrag. INTERNREVISIONEN Stina Nilsson Kristiansson

26 RAPPORT 24 (28) Bilaga 1 Status för föreslagna granskningar i revisionsplanerna Revisionsplan PKC/RLC Reformen och omorganisationen (A /2017) Styrmodellen för Polismyndigheten. Granskningen har döpts om och heter Granskning av strategisk styrning inklusive styrmodell (A /2017) Kärnverksamheten Särskilda satsningar utsatta områden (A /2017) Utredning Systemgranskning av polisens utredningsverksamhet Trafik Granskning av polisens tillsyn över transporter av farligt gods (A /2017) Status Överflyttad till revisionsplanen Granskningen kommer enbart att omfatta RLC och är nu påbörjad. Rapporten expedierades Rapporten expedierades Rapporten expedierades Har lagts ihop med Handläggningsrutiner för utredningsverksamheten. Granskningen är klar och åtgärdsinhämtning pågår. Beräknas bli klar T Rapporten expedierades Vapenhantering (A /2017) Rapporten expedierades Gemensamt Informationssäkerhet (A /2017) Verksamhetsstöd Verksamhetsstyrd it-utveckling för den brottsbekämpande verksamheten (A /2017) Inköp och upphandling I revisionsplanen benämndes granskningen Etik och oegentligheter men har under granskningens gång inriktats mot polisens förmåga att förebygga, upptäcka och hantera oegentligheter i polisens itsystem Lön Lönebildningen Rapporten expedierades Rapporten expedierades Granskningen är klar och under åtgärdsinhämtning. Rapporten beräknas bli klar T Rapport är ute för åtgärdsinhämtning och beräknas bli klar T Rapporten expedierades (A /2017) Granskning tillsammans med ÅM Flyttad till revisionsplanen Riskanalys RIF Arbete pågår och kommer att fortsätta under Revisioner i reserv Lokalpolisområden Granskningen är under åtgärdsinhämtning och

27 RAPPORT 25 (28) Regelverk för facklig verksamhet Polismyndighetens kultur Planerad rådgivning Behörigheter till it-system (A /2017) rapporten beräknas bli klar T Åtgärdsinhämtning är klar och rapporten beräknas bli klar T Åtgärdsinhämtning pågår och rapporten beräknas beslutas T Rapporten expedierades Inköpskort (A /2017) Rapporten expedierades Tillkommande rådgivning Inpasseringskort Sekretessförbindelser (A /2017) Utkast till rapport är klar och åtgärdsinhämtning pågår. Rapporten beräknas vara klar T Rapporten expedierades Revisionsplanen Revisioner från revisionsplanen Regionledningscentralerna (RLC) Utredning Systemgranskning av polisens utredningsverksamhet Ombildningen Effekter av reformarbetet Kärnverksamheten Prioriteringar Målkonflikter Resurser UL/BF Forensiska undersökningar Utredning av grova våldsbrott Ensamhandläggning Styrningen av arbetet mot it brott Arbete mot barnpornografi Organisation polisområden Strategiska initiativ trygghet i lokalsamhället Processansvar för Noa Status Granskningen är påbörjad och beräknas bli klar T Har lagts ihop med Handläggningsrutiner för utredningsverksamheten. Granskningen är klar och åtgärdsinhämtning pågår. Beräknas vara klart T Åtgärdsinhämtning pågår. Rapporten beräknas att expedieras T Granskningen pågår och beräknas bli klar T Granskningen pågår och beräknas bli klar T

28 RAPPORT 26 (28) Gemensamt och stödverksamheterna Kompetensutveckling operativ tjänst Otillbörlig påverkan Kvalitet i beslutsunderlag Chefers roll och ansvar Samordning verksamhetsstyrning Tre ansvarslinjer modell för intern styrning och kontroll Myndighetens hantering av oegentlighetsrisker Harmonisering och uppföljning av styrdokument Ny säkerhetsskyddslag Beredningsprocess för att fatta beslut Strategisk plan (personal, kompetens och lokalförsörjning) Fungerande it-stöd - Granskning av verksamhetsstyrd it-utveckling för de nationella avdelningarna Uppföljning som signalsystem Verksamhetsskydd och säkerhetsärenden Intern styrning och kontrollprocess inom myndigheten Granskning tillsammans med ÅM och övr. myndigheter Överenskommelser mellan Polismyndigheten och Åklagarmyndigheten Riskanalys RIF Uppföljningsgranskning Polisens arbete mot brottsaktiva Planerad rådgivning Arbetsmiljöarbete Granskningen har påbörjats och beräknas bli klar T Utkast till rapport är upprättad för åtgärdsinhämtning. Rapporten beräknas att expedieras under T Granskningen pågår och beräknas bli klar T Granskningen är ihoplagd med granskningen ovan Kvalitet i beslutsunderlag. Utkast till rapport är upprättad och åtgärdsinhämtning pågår. Rapporten beräknas att expedieras under T Granskningen pågår och beräknas bli klar T Utkast till rapport har upprättats och åtgärdsinhämtning pågår. Rapporten beräknas att expedieras T Utkast till rapport har upprättats och är under åtgärdsinhämtning. Rapporten beräknas bli klar under T Pågår löpande Granskningen pågår och beräknas bli klar T

29 RAPPORT 27 (28) Förmåner Friskvårdssubvention (A /2018) Diarie/arkiv Utläggsredovisning Resor Tipspengar informatörsverksamheten (A /2018) Löner Bisyssla Semester Jämställdhet och likabehandling Åtgärdsinhämtning pågår och rapporten beräknas att expedieras T Rapporten expedierades Rapporten expedierades Granskningen pågår och beräknas bli klar T

30 RAPPORT 28 (28) Bilaga 2 Budget och utfall för IR 2018 och 2017 Budget 2018 tkr Utfall 2018 tkr Budget 2017 tkr Utfall 2017 tkr Intäkter Löner Inköp av konsulttjänster Resor m.m Kompetensutveckling och utbildning Övrigt Totalt

31 Medarbetare på internrevisionen

32

33

34

35 Utgivare Polismyndigheten Produktion Beställning Polismyndigheten, Internrevisionen Diarienr. A /2019 Upplaga 100 ex Tryck Polisens Tryckeri, Stockholm, 2019 Grafisk form Foto Stefan Carp