Verksamhetsrapport för Internrevisionen 2013.

Transkript

1 RAPPORT Dnr LiU (9) Verksamhetsrapport för Internrevisionen Revisionsplanen för 2013, dnr LiU-2012/02045, beskriver internrevisionens (IR:s) planerade aktiviteter för verksamhetsåret. Nedan redovisas genomförda aktiviteter under året (kap 1) samt en uppföljning av tidigare gjorda granskningar (kap 2). 1. Aktiviteter 2013 Förutom de planlagda uppgifter enligt revisionsplanen för 2013 som redovisas nedan, har internrevisionen under året använt tid för efterfrågade insatser från verksamhet och omvärld, ex granskat SIDA-projekt samt projekt från mindre bidragsgivare, genomfört informationsinsats, besvarat externa remisser, enkäter och frågor samt medverkat i externa och interna nätverk. Internrevisionen består av 3,0 tjänster, varav Malmö högskola köper revisionstjänster motsvarande 0,50 heltidstjänst. I tabellen nedan redovisas tidsåtgången för internrevisionens granskningar och övriga aktiviteter Tidsåtgång (h) Aktivitet 2013 Planerat Utfall Anm. Informationssäkerhet på institutionsnivå Bolag vid Linköpings universitet ägarstyrning, kontroll och uppföljning Miljöledningssystemet vid LiU Institutionsgranskningar Informationssäkerhet - systemförvaltning Pågår Investeringsprocessen Pågår Intern styrning och kontroll NIRUH - Nordisk internrevisionskonferens i Linköping Extern kvalitetsutvärdering Pågår Ospecificerad granskning Rådgivning Riskanalys och planering Uppföljning av tidigare års granskningar Enhetens kompetensutveckling Revisionsintyg (EU-projekt, SIDA, NiCe) 0 44 SUMMA Internrevisionen

2 Differensen i resursinsats mellan planerade aktiviteter och utfall förklaras med att enheten detta år drabbats av oförutsedd och ofrivillig frånvaro. Alla beslutade projekt kommer att genomföras, dock med en senare avrapporteringstidpunkt än vad som tidigare planerats. 2(9) 1.1 Informationssäkerhet på institutionsnivå Rapport , dnr LiU , US-beslut Universitetet har en informationssäkerhetspolicy som bl. a innefattar regler och riktlinjer som syftar till att säkerställa att universitetets informationstillgångar har optimal nivå av konfidentialitet, riktighet och tillgänglighet för verksamhetens behov. IR har granskat informationssäkerheten på institutionsnivå med inriktning på outsourcing av IT-system samt hantering av känslig information med hänsyn tagen till den utveckling som skett de senaste åren avseende så kallade molntjänster och de ökade möjligheterna för medarbetare och studenter att lagra och sprida information Granskningen syftade till att översiktligt undersöka efterlevnaden av informationssäkerhetspolicyns regler och riktlinjer på institutionsnivå samt undersöka universitetets möjligheter att kontrollera och övervaka att information hanteras på ett kontrollerat och godkänt sätt. Internrevisionens iakttagelser visade på stora svårigheter vad gäller styrning och kontroll såväl på central nivå som på institutionsnivå och rekommenderade ett stort antal åtgärder för att förbättra säkerheten. Styrelsen behandlade rapporten i april 2013 och fann granskningen så graverande att en utredning tillsattes. Utredningen lade fram sina iakttagelser och rekommendationer till styrelsen i november 2013 som, i syfte att stärka informationssäkerheten beslutade (LiU ) att uppdra till rektor: - att åstadkomma en gemensam, robust, teknisk hantering av LiU:s IT-verksamhet och infrastruktur - att införa en gemensam IT-organisation på LiU. Uppföljningen visar att systemförvaltningsmodellen är implementerad på de stora administrativa systemen och håller på att implementeras på de tillkommande objekt som efter genomförd riskanalys enligt LIS också ska förvaltas enligt systemförvaltningsmodellen. Avseende en gemensam IT-organisation har rektor beslutat (LiU ) att förändringsarbetet ska bedrivas som ett förändringsprojekt samt som aktiviteter i den gemensamma ITorganisationen. Verkställighet av beslutet kommer att ledas av en utsedd styrgrupp medan övrig projektorganisation, inklusive arbets- och referensgrupper tillsätts i separata beslut. Rektor uppdrar åt universitetsdirektören att senast den 1:a maj 2014 införa en gemensam ITorganisation under ledning av IT-direktören. 1.2 Bolag vid Linköpings universitet ägarstyrning, kontroll och uppföljning Rapport , dnr LiU , US-beslut Regeringen initierade 1994 bildande av holdingbolag vid universitet och högskolor i Sverige. Linköpings universitet ansvarar för Universitetsholding i Linköping AB med dotterbolag. Regeringen har 2011givit expansionsmöjligheter för holdingbolag knutna till vissa universitet. Syftet med granskningen var att bedöma om ägarstyrningen säkerställer att universitetsstyrelsen har en god intern styrning och kontroll av verksamheten i bolagen.

3 Styrelsen behandlade rapporten i april 2013 och uppdrog till universitetets ledning enligt beslut (Dnr LIU ) att: - Utreda och klargöra vilka arbetsuppgifter som tillhör innovationskontoret och vilka som ska kvarstå inom universitetet. Uppföljning visar att förhandlingar om vilka arbetsuppgifter som ska tillhöra innovationskontoret respektive universitetet beräknas vara klara senast februari Det pågår även en av universitetsdirektören tillsatt utredning om hur det specifika samverkansarbetet ska organiseras med avseende på universitetsförvaltningen och vice-rektors roll. Denna utredning beräknas vara klar januari LiU Holding ska utveckla och dokumentera system för den interna styrningen och kontrollen. Resultatet av pågående arbete ska redovisas i samband med holdingbolagets information till universitetsstyrelsen hösten Uppföljning visar att LiU Holding informerade styrelsen om arbetet med den interna styrningen och kontrollen på universitetsstyrelsemötet den 9 december Särskild försäkran i avvaktan på slutlig årsredovisning från LiU Holding. Detta krav ska säkerställas i de ägaranvisningar som styrelsen beslutar om inför verksamhetsåret Uppföljning visar att universitetsstyrelsens förslag till ägaranvisningar som fastställts vid extra bolagsstämma vid LiU Holding innefattar en försäkran av samtliga styrelsemedlemmar i LiU Holding att den interna styrningen och kontrollen i bolaget är tillfredsställande. 3(9) 1.3 Miljöledningssystemet vid LiU Rapport , dnr LiU , US-beslut Revisionen av universitetets miljöledningssystem syftade till att bedöma om universitetet levde upp till kraven i förordning om miljöledning i staten samt hur miljöledningssystemet fungerade i organisationen. IR bedömde att LiU i det väsentliga lever upp till kraven i förordningen, men att det fanns brister avseende hur miljöledningssystemet fungerade. Främst återfanns brister och utrymme för förbättringar i styrningen av det centrala miljöledningsarbetet samt i uppföljning och dokumentation av resultat. Styrelsens beslut innehåller ledningens avsikter till åtgärder med anledning av IR:s rekommendationer. Arbetet med att utveckla universitets miljöledningssystem kommer att presenteras för styrelsen i juni Institutionsgranskningar En institutionsgranskning omfattar genomgång och diskussion kring institutionens viktigaste processer inom styrning och administration. Områden som behandlas är mål, uppgifter, ekonomi, personal och studentfrågor samt miljö. Granskningen syftar till att undersöka om styrning och kontroll är tillfredsställande, om behov finns av förbättringsåtgärder i form av ex vis kompletterande utbildningar mm. IR har genomfört två institutionsgranskningar under verksamhetsåret, där avrapportering till en institution sker i början av år Om allvarliga brister uppmärksammas vid en institutionsgranskning redovisas den för universitetsstyrelsen, i annat fall sker avrapportering till resp institutionsstyrelse och prefekt samt till universitetsdirektören. Endast mindre brister har iakttagits som redovisas för resp. institution med begäran om åtgärdsplan.

4 4(9) 1.5 Informationssäkerhet - systemförvaltning Systemförvaltningsmodell för centrala informationssystem har funnits ett antal år. Den ska klargöra roller, ansvar och uppgifter kring driften av respektive systemen. Ur informationssäkerhetsperspektiv är ett systematiskt användande av den beslutade modellen ett sätt att begränsa riskexponeringen i systemen. Revisionens syfte är att utreda om systemförvaltningsmodellen används på avsett sätt i verksamheten och ger de effekter som eftersträvas. Granskningen rapporteras våren Investeringsprocessen Universitetet planerar just nu för en rad förändringar avseende lokaler, ombyggnationer, inredning och infrastruktur inom ramen för ett antal framtidsprojekt. Granskningen syftar till att undersöka investeringsprocessen från initierande av behov till uppföljning/utvärdering av investeringen. Speciell tonvikt kommer att läggs vid beslutsunderlagen. Granskningen rapporteras våren Intern styrning och kontroll Ett flertal viktiga förändringar är under införande inom den närmaste framtiden vid universitetet, ex vis pedagogiska språnget, organisations- och lokalförändringar, förändringar inom ledarskap, generationsväxling av nyckelpersoner samt nya administrativa processer och system. Ansvaret för att ett system finns riggat för den interna styrningen och kontrollen i organisationen vilar ytterst på styrelse och ledning medan den operativa verksamheten ansvarar för att den interna styrningen och kontrollen kommer till stånd. IR är i slutskedet av en övergripande granskning av den interna styrningen och kontrollen vid förändringsprojekt. Granskningen genomföras enl den s k COSO- modellen där komponenter som intern miljö, riskbedömning, kontrollaktiviteter, information/ kommunikation samt uppföljning/utvärdering ingår. Granskningen rapporteras våren NIRUH Nordisk Internrevisionskonferens i Linköping Internrevisorer inom universitet och högskolor i Norden är organiserade i ett nätverk för erfarenhetsutbyte och kompetensutveckling. Nätverket träffas en gång per år vid skilda universitet i ett rullande schema stod Linköpings universitet som värd för tredagarsarrangemanget med interna medverkanden som rektor, universitetsdirektör och tidigare tf rektor samt externa medverkanden som föredragshållare med erfarenhet från regeringskansliet, från internrevisorernas internationella yrkesorganisation IIA och från datasäkerhetsområdet. Konferensen fick mycket goda vitsord från de medverkande.

5 5(9) 1.9 Extern kvalitetsutvärdering Enligt Internrevisionsförordningen ska extern bedömning av internrevisionsfunktionen genomföras en gång vart femte år av kvalificerad extern oberoende granskare eller granskningsteam. Förberedelsearbete är genomfört, återstår själva genomförandet av kvalitetssäkringen av upphandlad extern granskare. Kvalitetsutvärderingen rapporteras till styrelsen Ospecificerad granskning Under året har ingen ospecificerad granskning genomförts Rådgivning I internrevisionens uppgift ingår att ge råd och rekommendationer i olika frågor som berör den interna styrningen och kontrollen. Rådgivningsinsatserna består till övervägande delen av frågor från institutioner och andra enheter samt från andra internrevisorer, statliga myndigheter och organisationer Riskanalys och planering Arbetet med att upprätta riskanalys och planera kommande års arbete utförs delvis löpande under året och delvis genom en mer systematisk genomgång med bl. a. intervjuer och omvärldsanalyser i oktober/november. Riskanalysen bildar underlag till nästkommande års revisionsplan som styrelsen tar ställning till december varje år Uppföljning av tidigare års granskningar Alla granskningar som IR genomför och som beslutats av styrelsen följs upp med avseende på hur långt organisationen har kommit med implementeringen av styrelsens beslutade åtgärder. Endast de granskningar där åtgärdsbesluten inte är implementerade redovisas i IR:s verksamhetrapport, kapitel Enhetens kompetensutveckling Under året har kompetensutveckling skett genom obligatorisk fortbildning inom CISA (Certified Information Systems Auditor) liksom studier för certifiering enl internationell standard (Certified Internal Auditor). Vi har genomfört och medverkat i seminarier/ nätverksträffar inom U/H-området för kunskapsutveckling och erfarenhetsutbyte Årlig kvalitetsbedömning av IR Ekonomistyrningsverket (ESV) utvärderar varje år på regeringens uppdrag de statliga internrevisionsfunktionerna. Bedömningen för 2012 års verksamhet presenterades i mars månad 2013 och innebar högsta poäng för LiU:s del. IR har även genomfört självutvärdering av enhetens verksamhet med upprättad plan för förbättringsåtgärder av den egna verksamheten.

6 6(9) 2. Uppföljning av tidigare beslutade internrevisionsrapporter Av de beslut som universitetsstyrelsen fattat med anledning av internrevisionens granskningar mellan åren och där alla beslutade åtgärder ännu inte är genomförda i organisationen återfinns följande rapporter: 2.1 Studiemiljö Rapport , dnr LiU , US-beslut Revisionen av studenternas studiemiljö syftade till att utvärdera om LiU planerar och följer upp studenternas studiemiljö på ett systematiskt sätt. Styrelsen noterade utifrån universitetsledningens PM avseende revisionsrapporten att det pågår ett arbete med att rätta till merparten av de brister som förs fram i revisionens rapport. När det gäller de punkter där arbetet ännu inte inletts anser styrelsen att de åtgärder som avses genomföras är i överensstämmelse med internrevisionens rekommendationer. Internrevisionen kan konstatera att åtgärder avseende ansvar och riktlinjer enligt arbetsmiljöpolicy är vidtagna samt även arbetet med Nöjd Student Index (NSI). Utvärdering av kursvärderingssystemet KURT har gjorts och ledningen har kommit fram till att systemet inte varit helt fungerande utan återkommer med ett nytt kursvärderingssystem. Ett utvecklingsprojekt har satts igång. Utvecklingen av det nya kursvärderingssystemet har dock tagit längre tid än väntat och pågår fortfarande. 2.2 Utbildningsregelverkets tillämpning registrering, avregistrering samt resultatregistrering av studenter Rapport , dnr LiU , US-beslut Granskningens syfte var att övergripande utvärdera hur utbildningsregelverket regleras och tillämpas med avseende på registrering, avregistrering och resultatrapportering av studenter. Internrevisionens bedömning efter utförd granskning var att tillämpningen av regelverket för registrering, avregistrering och resultatrapportering av studenter i stort fungerar bra. Internrevisionen fann dock att det fanns förbättringsmöjligheter inom området och universitetsstyrelsen beslutade utifrån upprättat PM från universitetsledningen att åtgärder mot så kallade bakdateringar av studieresultat ska göras i form av förändring av gällande föreskrifter samt utbildning av registreringspersonalen. Vidare uppdrogs åt berörda fakultetsstyrelser att rätta de fel och brister som internrevisionen pekat på i revisionsrapporten. Uppföljningen visar att uppdatering av det lokala regelverket inte skett men att beslut från tydligt anger att bakdateringar inte är tillåtna. IR vill dock poängtera vikten av att verksamheterna säkerställer att detta beslut efterlevs. Den interaktiva utbildningen av handläggare som registrerar i Ladok är implementerad och tagen i bruk. Fakultetsstyrelsernas uppdrag att åtgärda av revisionen påpekade fel och brister har genomförts. 2.3 Bisysslor Rapport , dnr LiU , US-beslut Revisionen av bisysslor syftade till att bedöma om universitetets rutiner vid hantering av bisysslor är ändamålsenliga. Granskningen behandlar områden som regelverk, anmälan av bisysslor, underlag för bedömning, förekomst av ekonomiska transaktioner mellan LiU och företag i vilka anställda har personliga intressen. IR konstaterade att det fanns ett antal väsentliga åtgärder att vidta för förbättring av den interna kontrollen. Universitetsledningen delade i stora delar IR:s bedömning och föreslog att endast ett fåtal av rekommendationerna borde ställas åt sidan tills vidare. Styrelsen instämde i ledningens bedömning och beslutade att en redovisning av vidtagna åtgärder och en bedömning av deras effekter skulle lämnas till styrelsen.

7 Styrelsen fick en rapportering i februari Under 2013 har information samlats in från institutionerna. Insamlingen och sammanställningen har steg för steg blivit försenat men i januari 2014 blev den klar. Åtgärderna har genomförts och det finns nu en infrastruktur för att göra den årliga redovisningen och uppföljningen av bisysslor. 7(9) 2.4 Skydd mot oegentligheter Rapport 2011, dnr LiU , US-beslut Granskningen syftade till att bedöma om universitetet har ett ändamålsenligt skydd för att förebygga och upptäcka oegentligheter. Oegentligheter definierades i granskningen som en medveten handling utförd av anställd i syfte att tillskansa sig själv eller annan ekonomiska fördelar på ett brottsligt sätt. IR bedömde att universitetet inte gjort några riskbedömningar och värderingar avseende oegentligheter och således saknas en plan över konkreta åtgärder för att minska risken för oegentligheter samt att det saknades en aktiv uppföljning på ledningsnivå för att säkerställa att rutiner, regler och riktlinjer implementerades och efterlevs. Ledningen bedömde att riskerna för oegentligheter bör uppmärksammas bättre i dialogerna med prefekterna samt att ett beslut bör fattas som klargör universitetets förhållningssätt till inträffade oegentligheter, inklusive rutiner som ska tillämpas vid inträffade eller misstänkta fall. Beslut om dessa rutiner fattades (Dnr LiU ). Verksamheten har även infört en så kallad whistleblower-funktion. Ledningen kommer att lägga fram förslag till ytterligare åtgärder för att uppmärksamma riskerna för korruption och oegentligheter i samband med FISKrapporteringen till universitetsstyrelsens möte i februari Budget- och uppföljningsprocessen Rapport , dnr LiU , US- beslut Granskningen syfte var att undersöka om budget- och uppföljningsprocessen var ändamålsenlig och effektiv. IR konstaterade i sin granskning att det finns ett antal väsentliga åtgärder att vidta för att förbättra budget- och uppföljningsprocessen. En tydligare styrning och bättre samordning av hela budget- och uppföljningsprocessen inom LiU rekommenderades liksom bättre förutsättningar för institutionernas budget- och uppföljningsarbete. Styrelsen beslutade att överlämna IR:s rapport till rektor f.v.b. till den utredning som tillsatts med uppgift att utarbeta ett konkret förslag till ny process för budgetering/verksamhetsplanering, redovisning och uppföljning. Utredningen presenterade sin slutrapport i juni 2012, vilken behandlades i styrelsen samma månad. Styrelsens beslut att godkänna slutrapporten innebar även beslut om kompletterande övergripande riktlinjer för budget- och uppföljningsarbetet avseende budgetstruktur för forskningsmedel samt uppdrag till rektor att implementera riktlinjerna och i övrigt ta initiativ till fortsatt utredningsarbete inom identifierade problemområden samt att till styrelsen återkomma med rapporter om implementeringen av projektet och det fortsatta utredningsarbetet. Den nya budget- och uppföljningsmodellen är nu i princip implementerad i organisationen, nu kvarstår att trimma in och göra modellen säker och robust.

8 8(9) 2.6 Uppföljning av myndighetskapitalet Rapport , dnr LiU , US-beslut Styrelsen godkände i samband med universitetets budgetbeslut för 2010 ett ianspråktagande av myndighetskapitalet med det primära syftet att stimulera och stärka forskningen vid LiU. Internrevisionens granskningen avsåg LiU:s hantering och uppföljning av den beslutade avsättningen av myndighetskapitalet. IR fann i sin granskning att hantering och uppföljning av strategiska satsningar och myndighetskapital behöver förbättras främst med avseende på budgetdisciplin, uppföljning samt tydliga och konsistenta regler för hantering av myndighetskapitalet på de skilda nivåerna i organisationen. Styrelsen hänvisade i beslutet om rapporten till pågående arbete inom universitetsledningen och budgetprocessprojektet och lade därefter rapporten till handlingarna. Beslut har tagits om begränsningar av balanserad kapitalförändring vid institutionerna och ytterligare åtgärder är planerade. 2.7 Kvalitetsutvecklingsprogram för utbildning Rapport , dnr LiU , US-beslut Granskningen av kvalitetsutvecklingsprogrammet för utbildning visade att det finns utrymme att bättre fånga upp och redovisa resultat från det befintliga kvalitetsarbetet i organisationen och i högre grad systematiskt återföra dessa resultat i processen med att utforma nya mål och åtgärder. Universitetsstyrelsen förutsatte att internrevisionens rekommendationer beaktas i det fortsatta arbetet med såväl universitetets strategikarta som översynen av universitetets kvalitetsutvecklingsprogram. Mot denna bakgrund överlämnade universitetsstyrelsen internrevisionens rapport till universitetets rektor som underlag för detta arbete. Under 2013 beslutades ett dokument om struktur för kvalitetsarbetet vid LiU som i stort hanterar internrevisionens rekommendationer. 2.8 Forskarutbildning individuell studieplan Rapport , dnr LiU , US-beslut Revisionens syfte var att undersöka tillämpningen av och följsamheten i beslutade bestämmelser gällandes de individuella studieplanerna i forskarutbildningen. Granskningen visade att det till stor del fungerade bra. Det fanns dock utrymme att vara mer tydlig i informationen till de forskarstuderande, främst gällandes de individuella studieplanernas betydelse, syftet med uppföljningen av studieplanerna samt tillgänglighet till information på engelska. Det visade sig även att anvisningarna för registreringen i Ladok inte följs konsekvent. Styrelsen beslutade att rekommendationerna i görligaste mån ska beaktas i det fortsatta arbetet att förbättra utbildningen på forskarnivå. IR:s rekommendationer har diskuterats i Forum för forskarutbildning under Ansvar för att hantera rekommendationerna har fördelats mellan fakulteterna och central nivå. Anvisningar om vikten av korrekt inrapportering har skickats till institutionerna. Information på engelska till de internationella forskarstuderande har inte bedömts kunna göras utan svårigheter.

9 2.9 Upphandling Rapport 2012, dnr LiU , US-beslut Granskningen visade att förutsättningarna för korrekt upphandlingsverksamhet har förbättrats betydligt sedan IR:s tidigare granskning 2008 genom utökad personalstyrka, ökad informationsspridning och utbildning samt införande av beställningssystemet LiU-inköp. Utifrån återstående brister lämnade Internrevisionen ett antal rekommendationer till förbättringar. Styrelsen konstaterade i beslutet att universitetsledningen och internrevisionen är helt ense om vilka ytterligare förbättringar som bör genomföras. Styrelsen beslutade därför att inte vidta någon åtgärd med anledning av revisionsrapporten. En uppföljning av IR:s rapport presenterades för styrelsen i april 2013, där styrelsen underströk vikten av fortsatt utveckling beträffande upphandlingsverksamheten och uppdrog till rektor att under 2014 återkomma med en rapport om hur arbetet fortskrider. Uppföljning inför IR:s verksamhetsrapport anger att planerade åtgärder har verkställts med undantag av arbetet med centralisering av förenklad upphandling och ett utvecklingsprojekt för integration mellan inköpssystem och fakturasystem. Beslut om hur LiU ska gå vidare med frågan om e-handel beräknas fattas under våren (9) Margareta Fallsvik Revisionschef