Handledning Att hantera verksamhetsrisker. Processen enligt förordningen om intern styrning och kontroll 2012:47

Save this PDF as:
 WORD  PNG  TXT  JPG

Storlek: px
Starta visningen från sidan:

Download "Handledning Att hantera verksamhetsrisker. Processen enligt förordningen om intern styrning och kontroll 2012:47"

Transkript

1 Handledning Att hantera verksamhetsrisker Processen enligt förordningen om intern styrning och kontroll 2012:47

2 ESV:s handledningar ska vara ett stöd vid tolkning av föreskrifter och allmänna råd inom områden där ESV är normerande. Publikationen kan laddas ner som PDF och beställas från Beställningar kan även göras via: Ekonomistyrningsverket, Publikationsservice Box 45316, Stockholm Fax: Datum: Dnr: /2012 ISBN: Copyright: ESV Författare: Tomas Kjerf och Patrick Freedman Omslag: istockphoto/gehring János Tryckeri: Taberg Media Group AB, Taberg 2013

3 Förord Av budgetpropositionen för 2013 framgår att riskhanteringen hos flera myndigheter har integrerats i myndighetens modell för verksamhetsstyrning och uppföljning. För myndigheterna har dessa förändringar inneburit ökade möjligheter till överblick av risker samt en bättre prioritering mellan risker och åtgärder inom olika delar av myndigheten. 1 Intern styrning och kontroll kan sägas ta sin början med 1 kapitlet 6 regeringsformen som säger att regeringen ansvarar inför Riksdagen för hur regeringen styr landet. I flera författningar framgår att statlig förvaltning ska vara effektiv, produktiv, rättssäker och spårbar. Myndighetsledningen är ansvarig inför regeringen för detta. Riskhantering enligt förordningen om intern styrning och kontroll är ett sätt att stödja myndighetsledningens i att ta ansvar. Denna handledning är tänkt som ett stöd i arbetet med att hantera verksamhetsrisker inom myndigheternas styrning och bidra till ett effektivt fungerande regelverk. Stockholm december 2012 Eva Lindblom 1 Regeringens proposition 2012/13:1, Budgetpropositionen för 2013, s. 456

4 4 att hantera verksamhetsrisker

5 Innehåll Förord 3 1 Inledning Sammanfattning Syfte, avgränsning och målgrupp Innehållet i respektive kapitel 8 2 Effektiv verksamhetsstyrning Riskhantering för en effektiv verksamhet Målen är centrala i arbetet med riskhantering Hur riskhanteringen kan organiseras Processen beskriver riskhantering Vad kan ingå i riskhanteringen? Säkerställa med rimlig säkerhet vad innebär det? Vissa risker är mer relevanta än andra Vad är en principiell risk? Ska frågan hanteras av ledningen eller inte? 12 3 Riskanalys i verksamheten Riskanalys av ansvaret för verksamheten Vilka omständigheter påverkar verksamheten? Så identifierar ni händelser och förhållanden Värdera hur hotfulla riskerna är Bedöm riskens konsekvenser och sannolikheten för att den inträffar Acceptera möjligheter och hantera hot Uppdatera er riskanalys vid behov När ska riskanalysen uppdateras? Uppdateringen kan ofta samordnas med verksamhetsplaneringen Otillbörlig påverkan och brottslighet är också risker 21 4 Kontrollåtgärder för att hantera risker Vidta nödvändiga åtgärder Vad är en nödvändig åtgärd? Välj åtgärd utifrån riskernas sannolikhet och konsekvens Prioritera utifrån åtgärdernas komplexitet och kostnad Identifiera åtgärderna genom att se på orsakerna till risken Exempel på åtgärder Väg kostnaden mot nyttan när ni väljer åtgärd 25 5 Att följa upp och bedöma Utvärdera systematiskt och regelbundet Samordna gärna med annan uppföljning Bedöm om processen fungerar betryggande Väg in iakttagelser från revision i er bedömning 28 6 Dokumentera riskhantering och uppföljning Dokumentationen ger spårbarhet till riskerna 29 att hantera verksamhetsrisker 5

6 6.2 Risker ska gå att följa från riskanalys till bedömning Dokumentationen är underlag för bedömning Beskriv bristerna för myndighetsledningens bedömning Vad räknas som en brist? Sammanställ riskerna för att få överblick 31 7 Undantag från bestämmelserna 33 Referenser 35 Bilaga 1 Krav på riskhantering 37 Bilaga 2 Krav på kontrollåtgärder utan föregående riskanalys 39 Bilaga 3 Sammanställda risker 41 Ordlista 43 6 att hantera verksamhetsrisker

7 inledning 1 Inledning 1.1 Sammanfattning När ni på er myndighet arbetar med risker finns ett tydligt syfte. Ni ska ta fram och införa åtgärder som kan påverka de omständigheter som begränsar era möjligheter att fullgöra ansvaret för verksamheten. Riskhanteringen syftar till att ni ska kunna uppnå era mål. Till att börja behöver ni därför identifiera vilka målen är, det vill säga vilka uppgifter, mål och uppdrag er myndighet har. Ni ska därefter göra en riskanalys för att identifiera och kartlägga vilka omständigheter som hindrar er verksamhet att nå önskat resultat. En omständighet utgör ett hot när den medför att myndigheten inte fullgör sina uppgifter, når sina mål eller utför sina uppdrag på avsett vis. Nästa steg i riskanalysen är att ni värderar riskerna. Er värdering påverkar om ni ska acceptera risken eller försöka åtgärda den. De risker som är så allvarliga att ni inte kan acceptera dem, ska ni alltså hantera med någon form av kontrollåtgärd. För att ni ska kunna införa en åtgärd behöver ni utse någon som är ansvarig för åtgärden. Åtgärderna bör också utarbetas mot bakgrund av en kostnads- och nyttovärdering. Ni ska regelbundet följa upp risker och åtgärder, för att försäkra er om att den interna styrningen och kontrollen fungerar på ett betryggande sätt. Slutligen ska ni dokumentera er riskhantering för att ge en sammanhängande, översiktlig och begriplig bild av hur arbetet har gått till och om den har gett önskat resultat. Dokumentationen fungerar också som ett underlag för ledningens bedömning av er myndighets interna styrning och kontroll. 1.2 Syfte, avgränsning och målgrupp Denna handledning vänder sig till de myndigheter som omfattas av kraven på riskhantering, och särskilt till de handläggare som har till uppgift att arbeta med riskanalys, kontrollåtgärder och uppföljning. Dessa handläggare kan ha befattningar som chef, controller, koordinator eller samordnare, alla vilka innebär en kontroll över verksamheten i något avseende. De metoder och riktlinjer som vi här beskriver syftar till att ge er vägledning i hur ni ska följa bestämmelserna om riskanalys, kontrollåtgärder, uppföljning och dokumentation enligt 2 6 förordningen (2007:603) om intern styrning och kontroll. Handledningen behandlar inte myndighetsledningens ansvar att säkerställa intern styrning och kontroll i övrigt enligt myndighetsförordningen (2007:515). Inte heller tar vi här upp myndighetsledningens bedömning av om det är en betryggande intern styrning och kontroll enligt förordningen (2000:605) om att hantera verksamhetsrisker 7

8 inledning årsredovisning och budgetunderlag eller myndighetsledningens internrevision enligt internrevisionsförordningen (2006:1228). Det hittar ni i handledningen Ansvaret för intern styrning och kontroll 2. I denna handledning diskuterar vi inte heller praktikfall av tillämpning. Detta hittar ni i stället i publikationen Systematiserat sunt förnuft 3, där det finns ett antal exempel på hur ni kan gå till väga för att hitta arbetssätt att arbeta med intern styrning och kontroll. För fördjupning i specifika modeller och metoder för riskanalys, riskhantering, riskledning etc. hänvisar vi till annan forskningseller utvecklingsinriktad litteratur Innehållet i respektive kapitel I kapitel två beskriver vi utgångspunkten för arbetet med risker och hur ni kan införa riskhantering i planering, genomförande och uppföljning av verksamheten. Kapitel tre tar upp riskanalys och hur ni kan identifiera omständigheter som utgör ett hot i verksamheten. Kapitel fyra behandlar åtgärder för att hantera risker i verksamheten. Kapitel fem beskriver hur ni kan följa upp och bedöma om riskanalysen är aktuell och om åtgärderna är effektiva. Det sjätte kapitlet berör dokumentationskraven för spårbarhet i riskhantering. I det sjunde kapitlet behandlar vi undantag från bestämmelserna. I referenserna finns andra publikationer samt utredningar som också behandlar riskhantering. Där finns även hänvisningar till författningar. Ordlistan tar upp begrepp som behandlas med dessa metoder och riktlinjer. Fler begrepp förklaras i ESV:s ordbok om ekonomisk styrning i staten 5. 2 Ansvaret för intern styrning och kontroll 2012:46 3 Systematiserat sunt förnuft. ESV 2011:2 4 COSO, FERMA, IIA, ISO, IFAC med flera är förkortningar för utgivare av utredningar i ämnet. 5 ESV:s ordbok om ekonomisk styrning i staten 2011:9 8 att hantera verksamhetsrisker

9 effektiv verksamhetsstyrning 2 Effektiv verksamhetsstyrning 2.1 Riskhantering för en effektiv verksamhet Syftet med intern styrning och kontroll är att fullgöra ansvaret för verksamheten. Så här står det i förordningen om intern styrning och kontroll: Med intern styrning och kontroll avses den process som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av myndighetsförordningen. 6 Myndighetsledningen är ansvarig för verksamheten enligt myndighetsförordningen. Verksamhet är ett samlande begrepp som kan innefatta allt från verksamhetens process till formerna för handläggningen eller verksamhetens mål. Riskhanteringen sker i verksamheten. För att göra det konkret kan verksamheten beskrivas genom att svara på frågor som: Var och Vart, Vad och Varför, Vilka och för Vem samt När och Hur. Mer vägledning om att beskriva verksamheten finns i publikationen Verksamhetslogik 7. Där presenteras en metod som kan användas som stöd i samband med planering, styrning, uppföljning, utvärdering och kommunikation av verksamheter Målen är centrala i arbetet med riskhantering Målen är det som ska utföras i form av prestationer eller det som ska uppnås i form av effekter. Dessa är beskrivna i era instruktioner och regleringsbrev som uppgifter, mål och uppdrag. Mål kan också uttryckas i andra lagar och förordningar som styr verksamheten. Alla anställda på er myndighet ska göras förtrogna med målen för verksamheten. Om ni förlorar fokus på målen i verksamheten kan er interna styrning och kontroll stanna vid att ni behärskar en teoretisk modell, som ni inte kan omsätta i praktiken. Det finns inga bestämmelser om att målen i verksamheten ska följa en viss struktur med mätbara kriterier eller kriterier ur flera perspektiv. Det kan dock göra målen konkretare och som en effekt av det kan ert arbete med risker bli mer effektivt Hur riskhanteringen kan organiseras Det kan vara en uppgift för en stab att stödja myndighetschefens styrning av linjeorganisationen. Stabsfunktionen äger då de närmare föreskrifter som reglerar arbetet med risker, ger det stöd som behövs och sammanställer underlag för 6 2 förordning (2007:603) om intern styrning och kontroll 7 Verksamhetslogik 2001:16 att hantera verksamhetsrisker 9

10 effektiv verksamhetsstyrning myndighetsledningens bedömning av om den interna styrningen och kontrollen är betryggande. Stabsfunktionen får rollen att förmedla den styrning av verksamheten som myndighetsledningen och myndighetschefen har beslutat, men får även inom sin delegation fatta de beslut som behövs. 2.2 Processen beskriver riskhantering Riskhantering ingår i de obligatoriska momenten i arbetet med intern styrning och kontroll, som också brukar kallas för processen för intern styrning och kontroll. 8 Följande moment ingår i riskhanteringsprocessen: 1. Att göra en riskanalys för att identifiera omständigheter som hotar verksamheten. 2. Att vidta åtgärder som är nödvändiga för att fullgöra ansvaret för verksamheten. 3. Att systematiskt och regelbundet följa upp och bedöma den interna styrningen och kontrollen. 4. Att dokumentera allt som beskrivits i punkterna ovan. Begränsningen till den formella processen utesluter inte att ni också arbetar med vardagsrationalisering och ständiga förbättringar. Dessutom kan ni låta fler delar ingå i processen, till exempel att definiera målen i verksamheten och att informera om mål, risker, åtgärder samt uppföljning och bedömning. Men processen kan bli ett ändlöst arbete om det inte finns något som avgränsar inriktningen och omfattningen. I riskanalysen är målen i verksamheten (uppgift, mål, uppdrag) och kraven (generella mål) om effektivitet, produktivitet, rättsenlighet och spårbarhet i verksamhetens genomförande avgränsande. En annan avgränsning är att kostnaden aldrig får överstiga nyttan av att vidta en åtgärd Vad kan ingå i riskhanteringen? Riskhantering sker inom myndigheternas processer för verksamheten och är ett stöd vid verksamhetens genomförande. De interna stödprocesserna (till exempel lönehantering, upphandling och bokföring) till den egentliga verksamheten omfattas också av riskhantering på samma sätt som verksamheten i övrigt. Även en kostnad eller intäkt (kostnadsslag) kan vara föremål för riskhantering. Så kan också vara fallet med löner och hyror, oavsett vilken verksamhet de hänför sig till. Andra kostnader som kan vara föremål för riskhantering är representation, resor och presentation av myndigheten. Dessutom kan riskhantering röra aktiviteter som är gemensamma för flera verksamheter till exempel arkivbildning, betalning och finansiering. 8 Allmänna råd till 2 förordning (2007:603) om intern styrning och kontroll anger att i processen ingår att hantera verksamhetsrisker

11 effektiv verksamhetsstyrning 2.3 Säkerställa med rimlig säkerhet vad innebär det? Fel kan inträffa hur oönskade de än är. Kravet på säkerhet i det interna styr- och kontrollarbetet är inte heller absolut på så sätt att fel inte får inträffa. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Rimlig säkerhet innebär att en ändamålsenligt utformad och väl införd process för intern styrning och kontroll inte kan garantera fullständig säkerhet. 9 Rimlig säkerhet är för myndighetsledningen att kunna säkerställa en intern styrning och kontroll som fungerar betryggande. Myndighetsledningen säkerställer en betryggande intern styrning och kontroll med direktiv och riktlinjer till myndighetschefen 10 att sköta den löpande verksamheten, med de närmare föreskrifter som behövs i arbetsordningen samt med riktlinjer och revisionsplan för internrevision. Ni väljer på er myndighet vilka risker som ska accepteras i verksamheten. För att sedan uppnå en rimlig säkerhet ska ni bedöma vad som är väsentliga fel i förvaltningen, och sedan åtgärda dessa. Rimlig säkerhet kan därför innebära olika saker i olika myndigheter och verksamheter. Ibland kan riskerna vara större än vad verksamheten accepterar och verksamheten ändå fortgår. Vi har då att göra med risktolerans. Myndigheter som arbetar med en nollvision kan antas ha en riskacceptans som är mycket låg men det är inte det samma som att verksamheten inte kan fortgå om fel inträffar. Ofta finns förmågan att hantera fel som uppkommer. Det gör att den rimliga säkerheten vanligtvis hamnar mellan vad som är accepterat i verksamheten och vad som kan tolereras i verksamheten. Ändamålsenligt är här vad myndigheten beslutar om för former för riskanalys, kontrollåtgärder, uppföljning och dokumentation. Genomförandet kan skilja sig åt mellan myndigheter och mellan verksamheter. Det som är gemensamt är att alla identifierar och värderar risker, och därefter tar ställning till om risken kan accepteras eller behöver hanteras. Denna riskhantering ska löpande och systematiskt följas upp och bedömas. Det finns inte något självändamål med att lägga mer resurser än nödvändigt på att identifiera och värdera risker. Ni bör i stället lägga ett större fokus på nödvändiga åtgärder. För att kunna bestämma vad som är en nödvändig åtgärd behöver ni oftast identifiera orsaken till händelsen vad är det som gör att händelsen uppkommer? 9 Allmänna råd till 2 förordning (2007:603) om intern styrning och kontroll 10 Exemplet beskriver en styrelsemyndighet. I en enrådighetsmyndighet är myndighetsledningen och myndighetschefen samma person. att hantera verksamhetsrisker 11

12 effektiv verksamhetsstyrning Vissa risker är mer relevanta än andra Det kan finnas anledning att sätta särskilt fokus på risker inom en viss del av verksamheten eller vissa typer av risker utifrån de prioriteringar regeringen gör. De myndigheter som förvaltar välfärdssystem eller på annat sätt genomför transfereringar kan till exempel ha som mål att minska felaktiga utbetalningar. Det kan vara ändamålsenligt att anpassa riskhanteringen till utbetalningarna istället för verksamheten som den förekommer i. Utbetalningar som transfereringar, leverantörsfakturor eller löner är normalt sett centraliserade och standardiserade till en stödfunktion, kassan. Utbetalningar omfattas också av ett eget krav på riskanalys. 11 Mål som jämställdhet, regional utjämning och uthållig miljö är inte heller begränsade till en viss verksamhet och kan bli föremål för en övergripande riskhantering. Ett exempel på ändamålsenlig anpassning är när delegering av beslutanderätt om att acceptera risker eller vidta åtgärder följer samma ordning som gäller för verksamhetens genomförande. När en risk är av principiell karaktär eller av större betydelse kan det dock vara en fråga för myndighetsledningen. Om ni har identifierat en sådan risk inom linjen ska ni redovisa den till myndighetsledningen i enlighet med den ordning för rapportering som gäller för er verksamhet Vad är en principiell risk? En principiell risk rör grunden för verksamheten. Det räcker dock inte för att göra risken till en fråga för myndighetsledningen. Om risken också berör ett mål som regeringen satt för verksamheten eller om risken berör ett specifikt krav på återrapportering är det mer troligt att risken är principiell. Ett annat sätt att avgöra om det är en fråga för myndighetsledningen är att bedöma om det hot en risk medför innebär att myndighetsledningen inte kan fullgöra ansvaret för verksamheten om skadan uppkommer. Så kan vara fallet när ni i årsredovisningen behöver kommentera resultatet med anledning av att risken inträffat eller om ni anser att det är väsentlig information för regeringen i deras uppföljning eller prövning av verksamheten. Om åtgärden berör arbetsordningen, verksamhetsplanen eller styrelsens direktiv och riktlinjer till myndighetschefen är det principiella frågor som ska tas till myndighetsledningen Ska frågan hanteras av ledningen eller inte? Det är en uppgift för varje berörd chef inom myndigheten att bedöma om beslut om riskhantering faller utanför den egna befogenheten och det egna ansvaret. Ett sätt att underlätta för cheferna att göra sådana bedömningar är att inom 11 6 förordning (2006:1097) om statliga myndigheters betalningar och medelsförvaltning 12 att hantera verksamhetsrisker

13 effektiv verksamhetsstyrning myndig heten informera och kommunicera om de olika fall som uppkommer när det blir ett beslut för myndighetsledningen. När det går att beräkna kostnaden för den skada en risk kan medföra är det också möjligt att med delegationsbeslut fastställa beloppsgränser för när en risk ska hanteras av chefer i verksamheten och när det är en fråga för myndighetsledningen. att hantera verksamhetsrisker 13

14 14 att hantera verksamhetsrisker

15 riskanalys i verksamheten 3 Riskanalys i verksamheten 3.1 Riskanalys av ansvaret för verksamheten Riskanalys handlar om att identifiera omständigheter som hotar verksamheten. Så här står det i förordningen om intern styrning och kontroll: En riskanalys ska göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av myndighetsförordningen inte fullgörs. 12 När ni gör en riskanalys ska ni identifiera och värdera risker samt ta ställning till om en risk behöver vara lägre för att ni ska kunna fullgöra ert ansvar för verksamheten. Genom att ta en risk eller mer egentligt ta en chans finns också en möjlighet 13. Det senare är dock inte en del av riskanalysen enligt förordningen om intern styrning och kontroll, men utgör en naturlig del i styrningen av en verksamhet. Att riskanalysen enligt förordningen om intern styrning och kontroll endast ska beakta de negativa aspekterna av risk framgår av ordet inte ovan i 3 förordningen om intern styrning och kontroll. Kravet på riskanalys omfattar den verksamhet som myndighetsledningen ansvarar för. Det gäller således också verksamhet som utförs av någon annan, och oavsett hur verksamheten finansieras. Finansiering med anslag, avgift, bidrag eller lån påverkar inte kravet på att utföra riskanalys. Om ni köper tjänster från en leverantör (till exempel Statens servicecenter) påverkar det inte ert ansvar för verksamheten. Er myndighet är ändå ansvarig för att verksamheten fullgörs, och att den omfattas av riskanalys. 14 Den som utför verksamheten kan identifiera och värdera risker, men inte avgöra om en risk kan accepteras eller inte. Det senare ligger alltid på er som beställare av tjänsten. 3.2 Vilka omständigheter påverkar verksamheten? Riskanalysen avser omständigheter som påverkar verksamheten. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Omständigheter utgör en risk när de påverkar myndighetens möjlighet att fullgöra uppgifterna, nå målen eller genomföra uppdragen för verksamheten förordning (2007:603) om intern styrning och kontroll hänvisar till 3 myndighetsförordning (20007:515) 13 Enligt ISO 31000:2009, Riskhantering, ses risken som neutral och den kan leda till positiva eller negativa konsekvenser för en verksamhet. 14 Om ansvaret ska gå över till utföraren krävs ett tydligt ställningstagande från regeringen i ansvarsfrågan. 15 Allmänna råd till 3 Förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 15

16 riskanalys i verksamheten Omständigheter är både händelser och förhållanden som har en viss effekt och som kan fordra en åtgärd. Effekten kan vara positiv eller negativ för verksamheten men i det följande behandlar vi bara det som är negativt. Händelser inträffar och förhållanden uppkommer inom eller utom den egna verksamheten och kan medföra ett hot mot att fullgöra ansvaret för verksamheten. Interna händelser och förhållanden kan åtgärdas av myndigheten i den egna verksamheten. De externa händelserna och förhållandena, förutom de åtgärder som kan vidtas inom den egna verksamheten, kan hanteras genom att informera den som kan vidta en åtgärd, exempelvis en annan myndighet eller regeringen. 16 Händelser och förhållanden berör ofta människor i verksamheten och närmare hur anställda, konsulter och allmänheten agerar i olika situationer. Händelser och förhållanden kan också beröra saker och ting som lokaler, maskiner och inventarier eller mer abstrakt infrastruktur. Risk för att tilldelade medel visar sig otillräckliga i myndighetens prognoser hanteras enligt 9 anslagsförordningen (2011:223) och behöver inte tas upp i riskanalysen enligt förordningen om intern styrning och kontroll. Medlen är också tillräckliga när regleringsbrevet beslutas och verksamheten ska bedrivas inom den finansiella ram som regeringen anger. 3.3 Så identifierar ni händelser och förhållanden Riskanalys börjar med att leta risker. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Riskanalys innebär att identifiera risker. 17 När riskanalysen är avgränsad till en viss verksamhet börjar arbetet med att identifiera händelser och förhållanden som utgör ett hot. Det är ett hot om konsekvensen av händelsen eller förhållandet är att: verksamheten inte kan genomföras alls eller effektivt (ofta eller snabbt når avsedd kvantitet och kvalitet), verksamheten inte genomförs med god hushållning (produktivt), verksamheten inte genomförs enligt gällande rätt (rättssäkert) eller verksamheten inte blir rättvisande och tillförlitligt redovisad (spårbart i allmänna handlingar). Effektiv, produktiv, rättssäker och spårbar är generella mål eller krav på verksamheten som går att finna i flera författningar. Det framgår av budgetlagen att hög effektivitet ska eftersträvas i statlig verksamhet. Regeringsformen fastställer att den offentliga makten utövas under lagarna och förvaltningslagen säger att handläggningen ska vara rättssäker. Det framgår av budgetlagen att god hushållning ska iakttas i statlig verksamhet och förvaltningslagen anger att handläggningen ska vara så billig och enkel som möjligt. Förvaltningslagen ställer ett allmänt 16 Se även ESV:s handledning 2012:17 Samarbete om risker i verksamheten. 17 Allmänna råd till 3 förordning (2007:603) om intern styrning och kontroll 16 att hantera verksamhetsrisker

17 riskanalys i verksamheten dokumentationskrav på uppgifter som har betydelse för utgången av ett ärende. I förlängningen handlar det om allas rätt att ta del av allmänna handlingar för ett fritt meningsutbyte och allsidig upplysning, i enlighet med vad som föreskrivs i tryckfrihetsförordningen. Ett sätt att identifiera händelser och förhållanden är att göra en inventering. De medarbetare som har stor erfarenhet av verksamheten bör delta i inventeringen, kanske med stöd av någon i staben. Riskinventeringen innebär att medarbetarna beskriver de händelser och förhållanden som är kända. De behöver inte ha inträffat inom verksamheten för att fångas upp i inventeringen. Det kan ha inträffat inom en annan verksamhet. Inventeringen kan bestå av intervjuer med och enkäter till handläggare inom verksamheten. Den kan också göras genom arbetsmöten och fritt tänkande. Ett enklare tillvägagångsätt är att gå igenom vad som är skrivet om tidigare erfarenheter i till exempel omvärldsanalyser och resursanalyser. 3.4 Värdera hur hotfulla riskerna är Nästa steg i riskanalysen är att värdera hur hotfulla riskerna är, och hur sannolikt det är skadan inträffar. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Riskanalys innebär att värdera risker. 18 Innan ni bestämmer er för hur ni ska värdera era risker, det vill säga vilken riskvärderingsmodell ni väljer, bör ni överväga vad resultatet ska användas till. Den modell ni väljer bör inte vara mer (eller mindre) komplex och komplicerad än att den ger ett resultat som tillfredsställer syftet. Ska riskvärdet endast vara ett stöd i er prioritering mellan de identifierade riskerna kan en enklare riskvärderingsmodell vara tillräcklig. Ibland kan det räcka med konsekvensanalys i stället för riskanalys om inte sannolikheten behöver bedömas 19. Finns en tanke att använda resultatet i mer komplexa valsituationer, kan det finnas anledning att kombinera olika metoder med riskanalys, som till exempel resultatanalys mot mål, omvärldsanalys av möjligheter och hinder, och resursanalys av styrkor och svagheter 20. Riskvärderingen är ett stöd för de ansvariga när de ska ta ställning till om, hur och när de identifierade riskerna ska åtgärdas. Om riskerna kan relateras till varandra och sättas i en prioriteringsordning är värderingen enklare att göra. Riskvärderingen leder fram till en översikt som visar vilka risker er myndighet hanterar tillräckligt bra redan i dag och vilka risker ni behöver hantera bättre. Det är viktigt att ni bedömer risken utifrån det nuvarande läget, och då väger in de 18 Allmänna råd till 3 förordning (20007:603) om intern styrning och kontroll 19 Det gäller till exempel för mål som innebär nollvision. 20 De olika exemplen på analyser är hämtade från 9 kap. 5 förordning (2000:605) om årsredovisning och budgetunderlag. att hantera verksamhetsrisker 17

18 riskanalys i verksamheten kontrollåtgärder som redan är på plats den så kallade kvarvarande risken. Om ni i stället värderar risken utifrån ett tänkt förhållande, där ni bortser från de införda kontrollåtgärderna, har ni värderat den så kallade inneboende risken. Den inneboende risken är dock mindre intressant och kan inte vara någon grund för att vidta åtgärder. Ni behöver inte värdera den inneboende risken i er riskanalys Bedöm riskens konsekvenser och sannolikheten för att den inträffar Risk är konsekvensen av något oönskat och sannolikhetet för detta att inträffa. När ni bedömer konsekvenserna är huvudfrågan hur allvarligt det oönskade är. Innebär det att er myndighet inte kan utföra sin uppgift, nå sina mål och genomföra sina uppdrag effektivt, produktivt, rättsenligt och spårbart? Det är en subjektiv bedömning. När ni bedömer sannolikheten undersöker ni hur troligt det är att det oönskade inträffar. Sannolikheten kan bestämmas mindre subjektivt genom empiriska skattningar direkt utifrån tidigare inträffade händelser. Detta förutsätter att ett omfattande observationsmaterial finns tillgängligt. Sannolikheten kan också bedömas med hjälp av ett logiskt system som en felträdsanalys 21 eller motsvarande. En sådan analys innebär att tekniska och mänskliga fel som kan leda till den aktuella händelsen undersöks, och att sannolikheten för händelsen beräknas med hjälp av empiriska data för sådana fel. Ytterligare ett sätt är att göra expertbedömningar där personer med (mer eller mindre) god kännedom om de aktuella förhållandena får göra subjektiva uppskattningar av sannolikheten. Expertbedömningar ingår ofta (eller nästan alltid) som en del av logiska system. 22 En konsekvens kan beskrivas med ord som försumbar, lindrig, kännbar eller allvarlig och sannolikhet med ord som osannolik, möjlig, sannolik eller säker. Det går även att använda andra värden som låg, medel och hög, eller att värdera med tal. Det senare ger möjlighet att uttrycka värdet av en risk som produkten av konsekvens och sannolikhet, R = (c p) 23. Fördelen med ekvationen är att den enkelt kan hantera olika kombinationer av konsekvens och sannolikhet och ge entydiga värden. Ett förenklat sätt att bedöma konsekvens och sannolikhet är att välja mellan mer eller mindre. Innebär konsekvensen mer eller mindre skada än vad ni kan acceptera i verksamheten? Är det mer eller mindre sannolikt att konsekvensen inträffar oftare än vad ni kan acceptera i verksamheten? Det kan ge riskvärdena mer eller mindre riskfyllt men också ett värde för varken eller. När skalan är lika för alla värderade risker hanterar skalan olikheter och gör dem jämförbara. En jämförelse över tiden påverkas dock av vad som vid varje tillfälle var den accepterade risknivån, viljan att ta risker (riskstrategi) och annat som kan variera över tiden. 21 Det är en metod som visar logiska samband mellan orsak, delhändelse och fel (huvudhändelse). 22 Handbok för riskanalys, Räddningsverket, s. 22 f 23 R=risk, p=probability (sannolikhet), c=consequence (konsekvens) 18 att hantera verksamhetsrisker

19 riskanalys i verksamheten Modellen för riskanalys kan göras mer komplex om det behövs för att anpassas till verksamheten. Till exempel kan faktorerna viktas olika. Om ni arbetar med en nollvision är det ett uttryck för att konsekvensen väger tungt. Det är också möjligt att lägga till ytterligare faktorer som till exempel aktualitet. Hur länge sen sist var det omständigheten förekom? Det går också att välja varianter av olika faktorer som frekvens av istället för sannolikhet för. Ni behöver inte följa en absolut skala med fasta gränsvärden för att ange risker. Riskerna kan istället uttryckas i förhållande till varandra inom en verksamhet. Det gör det möjligt att inom varje verksamhet ange vilken risk som är den mest hotfulla. På så sätt kan ni sträva efter att alltid hantera det mest riskfyllda inom respektive verksamhet. Alla problem i verksamheten uppfattas inte nödvändigtvis som risker. Så kallad vardagsrationalisering eller ständiga förbättringar innebär att ni kan ta till vara möjligheter och hantera hot utan att formalisera hanteringen. Avståndet mellan idé och verklighet får gärna förbli kort. Denna hantering behöver inte följa det formaliserade sättet som förordningen om intern styrning och kontroll föreskriver. 3.5 Acceptera möjligheter och hantera hot Resultatet av riskanalys är att ta ställning till risken. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Riskanalys innebär att ta ställning till om riskerna ska accepteras eller hanteras. 24 Även om det inte är uttalat tar ni ständigt risker i er verksamhet. Det finns alltså accepterade hot eller skador. Ni kan inte undvika risker som innebär att ni skulle behöva avstå från en verksamhet som ni har till uppgift att utföra. Uppbörd och transfereringar måste till exempel fortgå även när det finns en risk för felaktiga betalningar. Riskhanteringen leder ofta till målkonflikter. En sådan är möjligheten till enkel, snabb och billig (effektiv och produktiv) handläggning som kan krocka med hot om att säkerheten (följa regler) eftersätts. Här ger dock förvaltningslagen vägledning: Varje ärende där någon enskild är part ska handläggas så enkelt, snabbt och billigt som möjligt utan att säkerheten eftersätts 25. När det finns en målkonflikt är det ert ansvar att välja och därmed acceptera konsekvensen av valet. Om ni har gjort en värdering av riskens konsekvens och sannolikhet kan alla risker som till exempel har värdet lågt (låg/låg) förbli accepterade i verksamheten, 24 Allmänna råd till 3 förordning (2007:603) om intern styrning och kontroll 25 7 Förvaltningslag (1986:223) att hantera verksamhetsrisker 19

20 riskanalys i verksamheten medan alla risker med värdet hög i någon position måste åtgärdas. Då har myndigheten också en riskstrategi, att ta alla risker som inte har ett högt värde. Ni bör dock ha en handlingsberedskap för hur ni ska agera om en accepterad risk faller ut. Dessutom kan er riskacceptans förändras över tiden, eller skilja sig åt mellan olika verksamheter inom myndigheten. Förmågan att hantera skador och förluster kan sägas vara ett uttryck för er myndighets risktolerans. Den kan vara större (men inte mindre) än er riskacceptans. 3.6 Uppdatera er riskanalys vid behov En del i arbetet med riskanalys är att uppdatera den så att den förblir aktuell. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Myndigheten ska vid behov uppdatera genomförd riskanalys för att säkerställa att den omfattar aktuella risker När ska riskanalysen uppdateras? Ni ska uppdatera riskanalysen när omständigheterna har förändrats så mycket att de påverkar de tidigare värderade riskerna. Ni behöver bara uppdatera de delar där det finns anledning att pröva den tidigare genomförda riskanalysens giltighet. Om ni gör löpande och systematiska uppföljningar och bedömningar får ni ett underlag för att uppdatera riskanalysen. Internrevisionens förslag till förbättringar kan också motivera en uppdatering. Om er myndighet får en ny uppgift bör ni göra en ny riskanalys för denna verksamhet Uppdateringen kan ofta samordnas med verksamhetsplaneringen När ni fastställer er verksamhetsplan kan det vara lämpligt att också ta ställning till om det finns information som ger anledning att uppdatera eller göra en ny riskanalys. En samordning med verksamhetsplaneringen är ofta rationell, eftersom riskanalysen också kan vara ett stöd när ni planerar vilka åtgärder som behöver genomföras. Men riskanalysen kan inte uteslutande kopplas ihop med verksamhetsplaneringen; när behovet av riskanalys uppstår ska ni uppdatera riskanalysen. 26 Föreskrifter till 3 förordning (2007:603) om intern styrning och kontroll 20 att hantera verksamhetsrisker

21 riskanalys i verksamheten 3.7 Otillbörlig påverkan och brottslighet är också risker Händelser och förhållanden som kan medföra otillbörlig påverkan och brottslighet bör ingå i er riskanalys. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Om ledningen bedömer att verksamheten kan komma att utsättas för otillbörlig påverkan och brottslighet bör myndigheten upprätta rutiner och handlingsplaner för att upptäcka och begränsa konsekvensen av sådana händelser. 27 Otillbörlig påverkan och brottslighet kan hota era möjligheter att fullgöra ansvaret för verksamheten. Om vi ser på detta i en vidare mening kan vi kalla det för oegentligheter som kan beröra områdena effektiv verksamhet som verksamhet enligt gällande rätt och med god hushållning. Oegentligheter innefattar även handlingar som inte är brottsliga, men ändå innebär ett brott mot myndighetens bestämmelser. Jäv kan vara oegentligt och ska hanteras enligt förvaltningslagen 28. Myndighetsutövning och upphandling innebär risker för brottslighet och otillbörlig påverkan. Det kan beröra regler om till exempel mutor och bestickning samt jäv. När en handläggare sysslar med ett enskilt ärende kan hen få syn på omständigheter som leder till misstankar om brott. När ni gör er riskanalys kan ni värdera risken för att ni inte upptäcker sådana omständigheter. Det kan till exempel handla om knapphändiga eller bristfälliga underlag, och uppgifter som ändras, är svävande eller oklara. Riskanalys är dock inte en brottsutredande metod och inte heller ett sätt att avgöra vad som är ett brott. Brottslighet ska istället hanteras enligt brottsbalken 29. Om ni misstänker ett brott, så ska ni lämna ärendet till polisen. 27 Allmänna råd till 3 förordning (2007:603) om intern styrning och kontroll Förvaltningslag (1986:223) 29 brottsbalk (1962:700) att hantera verksamhetsrisker 21

22 22 att hantera verksamhetsrisker

23 kontrollåtgärder för att hantera risker 4 Kontrollåtgärder för att hantera risker 4.1 Vidta nödvändiga åtgärder Om ni vidtar åtgärder för att hantera de risker ni inte accepterar, så minskar ni vanligen sannolikheten för att den oönskade händelsen inträffar. I annat fall minskar ni konsekvensen om den inträffar. Så här står det i förordingen om intern styrning och kontroll: Med ledning av riskanalysen ska åtgärder vidtas som är nödvändiga Vad är en nödvändig åtgärd? Det är ni som avgör vad som är en nödvändig åtgärd i varje fall. Vanligen handlar det om att minska risken genom att förebygga eller förhindra att den oönskade händelsen kan inträffa eller att ett visst förhållande kan bestå. Mer sällan handlar det om att avstå från den verksamhet där risken finns. Myndigheter kan ju normalt sett inte själva välja sin verksamhet 31. Att dela risken med en annan myndighet är ibland möjligt. Läs mer om detta i förordningen om statliga myndigheters riskhantering 32. Det är oftast möjligt att dela risken när den har hög konsekvens och låg sannolikhet. Risker med hög konsekvens för verksamheten kan dock vara rena krissituationer och de ska ni istället hantera enligt förordningen om krisberedskap och höjd beredskap 33. Det är svårare att säga när en risk ska undvikas eller begränsas. Eftersom det inte alltid går att undvika en risk, kan det bästa alternativet vara att begränsa risken både när den har hög konsekvens och när den har hög sannolikhet Välj åtgärd utifrån riskernas sannolikhet och konsekvens När en risk har hög sannolikhet och låg konsekvens kan ni hantera den genom att minska sannolikheten. Även om konsekvensen är låg enligt er värdering, kan det finnas goda skäl att minska risken. Risken kan till exempel handla om en förtroendeskada, och då vägleder inte ett riskvärde beräknat efter konsekvens och sannolikhet. Risker med hög konsekvens och hög sannolikhet kan vid första anblicken vara något ni vill undvika helt och hållet. Men normalt sett kan ni inte avstå från att utföra er verksamhet som regeringen har beslutat på grund av en risk. Om er 30 4 förordning (2007:603) om intern styrning och kontroll 31 Tjänsteexport kan vara en sådan verksamhet som en myndighet kan avstå från förordning (1995:1300) om statliga myndigheters riskhantering. För risker där överenskommelse kan ske om att annan myndighet övertar myndighetens risker se Kammarkollegiets webbplats. 33 Förordning (2006:942) om krisberedskap och höjd beredskap att hantera verksamhetsrisker 23

24 kontrollåtgärder för att hantera risker myndighet genomgår en fördjupad prövning kan ni dock föreslå att verksamheten avvecklas Prioritera utifrån åtgärdernas komplexitet och kostnad Det är inte alltid självklart att de risker som är högst prioriterade ska åtgärdas först. Det finns alltid andra bevekelsegrunder, som hur komplicerad åtgärden är och kostnaden för åtgärden, som påverkar bedömningen. Det kan vara rationellt att åtgärda lägre prioriterade risker tidigt om åtgärderna är okomplicerade och kostar litet, samtidigt som man väntar med en åtgärd för en högre prioriterad risk för att den är mer komplex och kostar mycket Identifiera åtgärderna genom att se på orsakerna till risken Det kan vara svårt att direkt identifiera lämpliga kontrollåtgärder för riskerna. Det blir troligen lättare om ni först tar ställning till vad som orsakar riskerna, för att därefter identifiera åtgärder som kan påverka dessa orsaker. Åtgärderna bör vara av konkret karaktär. Detta främst för att ni ska kunna se ett orsakssamband mellan riskbeskrivningen och kontrollåtgärden när ni i ett senare skede utvärderar om kontrollåtgärden fått avsedd effekt Exempel på åtgärder Åtgärder kan vara kontroller som är förebyggande eller som sker i efterhand. Exempel på förebyggande kontroller är delegering av beslutanderätt, arbetsfördelning, riktlinjer för godkännande och representationspolicy. Exempel på efterhandskontroller är inventeringar, avstämningar och resultatanalys. Att en efterhandskontroll fångat upp en avvikelse innebär att den kontrollen har fungerat. En förebyggande kontroll fungerar tvärtom, avvikelsen ska inte uppkomma. Det kan till exempel vara att ett beslutsunderlag har otillräcklig information i något avseende och behöver kompletteras innan beslut. Eftersom kontrollåtgärderna är en del i myndighetens verksamhet är det respektive chef inom verksamheten som normalt är ansvarig och bör ha befogenhet att mer i detalj utforma åtgärderna. 34 Regeringen beslutar om vilka verksamheter som ska genomgå fördjupad prövning enligt 9 kap. 4 förordning (2000:605) om årsredovisning och budgetunderlag. 24 att hantera verksamhetsrisker

25 kontrollåtgärder för att hantera risker 4.2 Väg kostnaden mot nyttan när ni väljer åtgärd Om en åtgärd är nödvändig eller inte beror också på hur mycket den kostar i förhållande till den nytta den förväntas göra. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Myndigheten bör göra en avvägning mellan den kostnad en viss åtgärd för med sig och den förväntade nyttan av åtgärden. 35 Ni bör undvika åtgärder med hög kostnad och låg förväntad effekt. Det kan då finnas alternativa åtgärder som sammantaget är att föredra. Det har inte så stor betydelse vilken kalkylmodell ni väljer för att beräkna åtgärdernas lönsamhet. Nyttorna kan ju vara andra än monetära, och då kan de inte användas i en beräkning såvida ni inte ger dem ett siffervärde. Ett exempel på en icke-monetär nytta är medborgarnas förtroende för det allmänna. 35 Allmänna råd till 4 förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 25

26 26 att hantera verksamhetsrisker

27 att följa upp och bedöma 5 Att följa upp och bedöma 5.1 Utvärdera systematiskt och regelbundet Ni ska regelbundet följa upp den riskanalys ni har gjort, och de åtgärder ni har valt, för att bedöma om riskanalysen är aktuell och åtgärderna ändamålsenliga. Så här står det i förordningen om intern styrning och kontroll: Den interna styrningen och kontrollen ska systematiskt och regelbundet följas upp och bedömas. 36 När ni följer upp er riskanalys ska ni se om kända omständigheter har blivit föremål för riskanalys. Men uppföljningen är inte en metod för att identifiera händelser och förhållanden. För detta krävs en riskanalys. När ni följer upp åtgärderna räcker det inte att undersöka om åtgärden finns. Ni bör även mäta om åtgärderna fungerar som planerat. Om de inte fungerar bör ni förändra dem. Om de fungerar vet ni att ni fått den effekt på verksamheten som ni eftersträvade Samordna gärna med annan uppföljning Ni kan samordna er uppföljning av den interna styrningen och kontrollen med annan uppföljning, för att minimera arbetsinsatsen. Ni kan till exempel rapportera om resultatet av uppföljningen samtidigt som ni rapporterar om uppföljning av anslagsutnyttjandet, förhållanden utanför myndigheten och annan uppföljning av verksamheten. 5.2 Bedöm om processen fungerar betryggande I er uppföljning ska ni också bedöma om processen för intern styrning och kontroll på er myndighet fungerar betryggande. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Uppföljningen ska omfatta myndighetens process för intern styrning och kontroll för att bedöma om den fungerar på ett betryggande sätt. 37 Processen ska följas upp för att garantera att den fungerar på ett över tiden hållbart sätt. Bedömningen är en försäkran till myndighetsledningen om att processen fungerar tillfredsställande, och det i sin tur ger ledningen en indikation på att den interna styrningen och kontrollen i sin helhet fungerar betryggande förordning (2007:603) om intern styrning och kontroll 37 Föreskrifter till 5 förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 27

28 att följa upp och bedöma Er bedömning är också underlag för den bedömning som myndighetsledningen lämnar i årsredovisningen. När ni gör er uppföljning kan ni göra det för en verksamhet i taget, och gå från de identifierade riskerna till de vidtagna åtgärderna. Några viktiga frågor i er bedömning är om den modell ni valt för riskanalys omfattar hela verksamheten och om den fångar de väsentliga riskerna. Ni ska även bedöma om kontrollåtgärderna har genomförts och fungerat på det sätt som ni avsåg. Därefter bör ni ha underlag för att besluta om riskanalysen behöver uppdateras och kontrollåtgärderna revideras. Ni kan även följa upp övriga aspekter på intern styrning och kontroll. Ni kan bland annat utvärdera hur information om verksamheten kommuniceras inom er myndighet. Ni kan också följa upp den interna miljön i den mån detta går att göra på ett ändamålsenligt sätt. 5.3 Väg in iakttagelser från revision i er bedömning Ni ska ta hänsyn till iakttagelser från extern revision och internrevision, när ni gör er bedömning. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Vid bedömningen ska iakttagelser som lämnas vid extern revision och internrevision beaktas. 38 Internrevisionen lämnar förslag till förbättringar och resultatet rapporteras som iakttagelser och rekommendationer. När ni beslutar om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer bidrar det till förbättringar av myndighetens process för intern styrning och kontroll. Internrevisionen ska sedan följa upp om ni har vidtagit nödvändiga åtgärder, och detta väger in i deras bedömning av om ni har säkerställt en betryggande intern styrning och kontroll. Iakttagelser från extern revision kommer från: Riksrevisionens granskning för att bedöma om redovisningen och den underliggande redovisningen är tillförlitliga, om räkenskaperna är rättvisande samt om ledningens förvaltning följer föreskrifter och särskilda beslut. Ekonomistyrningsverkets (revisionsmyndigheten för EU-medel) granskning av system för intern styrning och kontroll förordning (2007:515) om intern styrning och kontroll 28 att hantera verksamhetsrisker

29 dokumentera riskhantering och uppföljning 6 Dokumentera riskhantering och uppföljning 6.1 Dokumentationen ger spårbarhet till riskerna En samlad dokumentation gör det möjligt att följa er process för intern styrning och kontroll. Dokumentationen ska tydligt visa sambandet mellan denna process och bedömningen ni gör i årsredovisningen. Dokumentationen är också ett verktyg för att sprida information om hur processen för intern styrning och kontroll fungerar. Dokumentationen gör det också möjligt att informera och kommunicera om riskerna i verksamheten för att öka medvetenheten och förståelsen för den riskacceptans ni har på er myndighet. 6.2 Risker ska gå att följa från riskanalys till bedömning Dokumentationen ska följa ordningen för riskhanteringen. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Dokumentationen ska upprättas så att det ska gå att följa myndighetens process för intern styrning och kontroll från riskanalys till beslut om kontrollåtgärder och till uppföljning och bedömning. 39 Det formella kravet i regelverket är att dokumentationen ska omfatta processen för intern styrning och kontroll enligt 3 5 i förordningen om intern styrning och kontroll. Dokumentationen av processen för intern styrning och kontroll kan jämföras med den systemdokumentation med beskrivningar, instruktioner med mera som gör det möjligt att förstå hur bokföringssystemet är uppbyggt. När ni dokumenterar riskanalysen, kontrollåtgärderna, uppföljningen och bedömningen kan ni strukturera texten så att den följer organisationen, arbetsfördelningen och delegeringen för respektive verksamhet. När ni beskriver riskanalysen ska ni visa de omständigheter eller händelser och förhållanden som utgör ett hinder i verksamheten, i den meningen att ni inte kan uppfylla era uppgifter, nå era mål eller fullgöra era uppdrag. Ni ska också visa hur risken har värderats (exempelvis produkten av konsekvensen och sannolikheten) eller prioriterats, om risken är accepterad eller ska hanteras, hur ni har utformat de kontrollåtgärder som risken föranleder, vem som ansvarar för genomförandet och när kontrollåtgärden ska vara införd. Slutligen ska ni redovisa resultatet av er uppföljning och bedömning av riskanalys och åtgärder. 39 Föreskrifter till 6 förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 29

30 dokumentera riskhantering och uppföljning 6.3 Dokumentationen är underlag för bedömning Ledningens bedömning sker med stöd av underlag. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Dokumentationen ska ligga till grund för ledningens bedömning av den interna styrningen och kontrollen. 40 Denna bedömning ska göras i anslutning till underskriften i årsredovisningen. Det är framför allt dokumentationen om den löpande och systematiska uppföljningen och bedömningen som ska ligga till grund för er bedömning. Ni bör i dokumentationen tydligt beskriva vad som hänt (eller inte hänt) med riskerna efter införda åtgärder. Har risken minskat till en accepterad nivå? Har åtgärderna haft avsedd effekt? Om det av någon anledning inte gått att införa några åtgärder bör ni beskriva också detta. Ni bör också dokumentera vad ni kommit fram till när ni följt upp åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Detsamma gäller för åtgärder med anledning av anmärkningar och reservationer från externrevision. 6.4 Beskriv bristerna för myndighetsledningens bedömning Dokumentationen ska även beskriva brister, så att de kan ligga till grund för er bedömning och regeringens uppföljning och prövning av verksamheten. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Om det föreligger brister i den interna styrningen och kontroll, ska dessa brister beskrivas i dokumentationen. 41 Gör tydligt vilket av momenten riskanalys, kontrollåtgärder eller uppföljning som bristen avser. Bristen kan vara att ett visst moment inte är genomfört till fullo, eller att det inte omfattar hela verksamheten Vad räknas som en brist? Här är en kortfattad förklaring till vad som räknas som brister. Ni kan läsa mer om brister i handledningen Ansvaret för intern styrning och kontroll 42. En risk blir till en brist om den inte värderas eller er myndighet inte väljer om risken ska accepteras eller hanteras. En beslutad åtgärd blir till en brist om den inte införs som planerat. Uppföljningen blir till en brist om den inte genomförs. 40 Föreskrifter till 6 förordning (2007:603) om intern styrning och kontroll 41 Föreskrifter till 6 förordning (2007:603) om intern styrning och kontroll 42 Ansvaret för intern styrning och kontroll 2012:46 30 att hantera verksamhetsrisker

Handledning Ansvaret för intern styrning och kontroll. Ansvaret enligt myndighetsförordningen och förordningen om årsredovisning och budgetunderlag

Handledning Ansvaret för intern styrning och kontroll. Ansvaret enligt myndighetsförordningen och förordningen om årsredovisning och budgetunderlag Handledning Ansvaret för intern styrning och kontroll Ansvaret enligt myndighetsförordningen och förordningen om årsredovisning och budgetunderlag 2012:46 ESV:s handledningar ska vara ett stöd vid tolkning

Läs mer

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet BESLUT 1(7) Avdelning Ledningskansliet Handläggare Agnes Ers 08-563 086 63 agnes.ers@uka.se Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet Bakgrund Syftet med

Läs mer

Regler och riktlinjer för intern styrning och kontroll vid KI

Regler och riktlinjer för intern styrning och kontroll vid KI Riktlinjer Dnr: 1795/2009-010 2009-06-01 Sid: 1 / 9 Universitetsförvaltningen Ledningskansliet Regler och riktlinjer för intern styrning och kontroll vid KI Riktlinjerna är fastställda av konsistoriet

Läs mer

Frågor om internrevision

Frågor om internrevision 1/16 Datum Handläggare 2015-12-03 Tomas Kjerf ESV-dnr 3.2-412/2015 Frågor om internrevision Frågor om internrevision... 1 Frågor om internrevision... 3 Varför hämtar vi in information?... 3 Vad hämtar

Läs mer

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll Revisionsrapport Örebro universitet Fakultetsgatan 1 701 82 Örebro Datum Dnr 2009-03-30 32-2008-0701 Örebro universitets årsredovisning 2008 Riksrevisionen har granskat Örebro universitets årsredovisning,

Läs mer

Uppgifter till redovisningen över internrevisionen

Uppgifter till redovisningen över internrevisionen 1/19 Datum Handläggare 2015-06-29 Tomas Kjerf ESV-dnr 3.2-412/2015 Uppgifter till redovisningen över internrevisionen Myndighetens tillämpning av bestämmelser om internrevision?... 3 1. Organisering av

Läs mer

Tillväxtverkets riktlinjer för intern styrning och kontroll

Tillväxtverkets riktlinjer för intern styrning och kontroll Dokumentnamn Dokumenttyp Datum Tillväxtverkets riktlinjer för intern styrning och kontroll 2016-02-02 Diarienr/Projektnr Upprättad av Godkänd av Version 1.3.6-Ä 2015-1717 Kjell Wenna/Håkan Karlsson/ Gunilla

Läs mer

Internrevisionsförordning (2006:1228)

Internrevisionsförordning (2006:1228) Internrevisionsförordning (2006:1228) Ekonomistyrningsverkets föreskrifter och allmänna råd1 Tillämpningsområde 1 Denna förordning gäller för förvaltningsmyndigheter under regeringen i den omfattning som

Läs mer

Intern styrning & kontroll samt internrevision i staten

Intern styrning & kontroll samt internrevision i staten Intern styrning & kontroll samt internrevision i staten Thomas Küchen Per Johansson 2008-04-03 Ramverk för intern styrning och kontroll Myndighetsförordningen (MF) [I] Förordning om intern styrning och

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

Rapport Säkerställd intern styrning och kontroll Myndighetsledningarnas bedömning av intern styrning och kontroll i årsredovisningen för 2014

Rapport Säkerställd intern styrning och kontroll Myndighetsledningarnas bedömning av intern styrning och kontroll i årsredovisningen för 2014 Rapport Säkerställd intern styrning och kontroll 2015 Myndighetsledningarnas bedömning av intern styrning och kontroll i årsredovisningen för 2014 2015:22 ESV:s rapporter innehåller regeringsuppdrag, uppdrag

Läs mer

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning Revisionsrapport Linköpings universitet 581 83 Linköping Datum Dnr 2009-04-03 32-2008-0698 Linköpings Universitets årsredovisning 2008 Riksrevisionen har granskat Linköpings Universitets (LiU:s) årsredovisning,

Läs mer

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015 Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015 Att integrera RSA i arbetet med intern styrning och kontroll samt i myndighetens styrprocess Michael Lindstedt Myndigheten

Läs mer

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14 Revisionen i finansiella samordningsförbund seminarium 2014 01 14 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam

Läs mer

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Anvisningar för intern styrning och kontroll vid Karolinska Institutet Anvisningar för intern styrning och kontroll vid Karolinska Institutet Universitetsförvaltningen Fastställda av rektor 2012-05-29 Dnr: 2740/2012-010 INNEHÅLL 1 Institutionernas och styrelsernas arbete

Läs mer

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll KIRUNA KOMMUN Bilaga 1 Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll Innehåll sida 1. Intern styrning och kontroll 2 2. Riskanalys 3 - Övergripande

Läs mer

Frågor om internrevision och intern styrning och kontroll 2017

Frågor om internrevision och intern styrning och kontroll 2017 1/14 Datum Handläggare 2016-12-05 Annika Alexandersson ESV dnr 3.2-475/2016 Frågor om internrevision och intern styrning och kontroll 2017 2/14 Innehåll Frågor om internrevision... 3 Varför hämtar vi in

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016 REGERINGEN 103 33 STOCKHOLM Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016 Rapport om årsredovisningen Uttalanden Riksrevisionen har enligt 5 lagen (2002:1022) om revision av

Läs mer

Riktlinjer för internrevisionen vid Sida

Riktlinjer för internrevisionen vid Sida Riktlinjer för internrevisionen vid Sida Sekretariatet för utvärdering och intern revision Riktlinjer för internrevisionen vid Sida Beslutade av Sidas styrelse 2007-06-01. Sekretariatet för utvärdering

Läs mer

Ledamot av myndighetsstyrelse

Ledamot av myndighetsstyrelse Ledamot av myndighetsstyrelse Till Dig som är styrelseledamot eller som erbjuds att bli det De statliga myndigheternas styrelser har en viktig uppgift. De är ett instrument för regeringens styrning av

Läs mer

Riktlinje för riskhantering

Riktlinje för riskhantering KOMMUNLEDNINGSKONTORET Riktlinje för riskhantering Ett normerande dokument som kommunstyrelsen fattade beslut om 14 september 2016 Dokument-ID Dokumentnamn Fastställd av Gäller från Sida Riktlinje för

Läs mer

Revisionsberättelse för Linköpings universitet 2016

Revisionsberättelse för Linköpings universitet 2016 REGERINGEN 103 33 STOCKHOLM Revisionsberättelse för Linköpings universitet 2016 Rapport om årsredovisningen Uttalanden Riksrevisionen har enligt 5 lagen (2002:1022) om revision av statlig verksamhet m.m.

Läs mer

Revisionsberättelse för Pensionsmyndigheten 2016

Revisionsberättelse för Pensionsmyndigheten 2016 REGERINGEN 103 33 STOCKHOLM Revisionsberättelse för Pensionsmyndigheten 2016 Rapport om årsredovisningen Uttalanden Riksrevisionen har enligt 5 lagen (2002:1022) om revision av statlig verksamhet m.m.

Läs mer

Revisionsberättelse för Myndigheten för yrkeshögskolan 2014

Revisionsberättelse för Myndigheten för yrkeshögskolan 2014 1 Revisionsberättelse för Myndigheten för yrkeshögskolan 2014 Rapport om årsredovisningen Riksrevisionen har enligt 5 lagen (2002:1022) om revision av statlig verksamhet m.m. granskat årsredovisningen

Läs mer

Frågor att ställa om IK

Frågor att ställa om IK Frågor att ställa om IK Hur fungerar den? Vad grundas svaret på? Varför fungerar den? Är kontrollen effektiv? Används kontrollresurserna rätt? Vem styr prioriteringarna? Var finns de största riskerna?

Läs mer

Revisionsrapport avseende granskning av Folke Bernadotteakademin

Revisionsrapport avseende granskning av Folke Bernadotteakademin Revisionsrapport Folke Bernadotteakademin 872 64 SANDÖVERKEN Datum 2004-02-09 Dnr 32-2003-0783 Revisionsrapport avseende granskning av Folke Bernadotteakademin Riksrevisionen har granskat verksamheten

Läs mer

Revisionsplan för Linnéuniversitetet 2015

Revisionsplan för Linnéuniversitetet 2015 Ärende 11 Universitetsstyrelsen Datum: 2015-02-19 Dnr: 2015/32-1.2 Föredragande: Carina Rydstedt Revisionsplan för Linnéuniversitetet 2015 1. Inledning Internrevisionen vid Linnéuniversitetet bedrivs enligt

Läs mer

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll Kommunledning Ärendenr: 2016/61 Fastställd: KS 2016-03-09 Reviderad: KS 2017-06-28 RIKTLINJE Intern kontroll 2/8 Innehållsförteckning Innehållsförteckning... 2 1. Inledning... 3 1.1 Syfte... 3 1.2 God

Läs mer

Frågor om internrevision och intern styrning och kontroll 2018

Frågor om internrevision och intern styrning och kontroll 2018 1/15 PM Datum Handläggare 2017-11-28 Catrin Lind Ebert ESV dnr 3.2-426/2017 Frågor om internrevision och intern styrning och kontroll 2018 Enkätfrågorna avser 2017 2/15 Innehåll Frågor om internrevision

Läs mer

Revisionen i finansiella samordningsförbund. seminarium

Revisionen i finansiella samordningsförbund. seminarium Revisionen i finansiella samordningsförbund seminarium 2015 10 13 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Revisionsberättelse för Regionala etikprövningsnämnden i Göteborg 2016

Revisionsberättelse för Regionala etikprövningsnämnden i Göteborg 2016 REGERINGEN 103 33 STOCKHOLM Revisionsberättelse för Regionala etikprövningsnämnden i Göteborg 2016 Rapport om årsredovisningen Uttalanden Riksrevisionen har enligt 5 lagen (2002:1022) om revision av statlig

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Riktlinje för riskanalys och intern kontroll

Riktlinje för riskanalys och intern kontroll KOMMUNLEDNINGSKONTORET Riktlinje för riskanalys och intern kontroll Ett normerande dokument som kommunstyrelsen fattade beslut om 17 juni 2015. Dokument-ID Dokumentnamn Fastställd av Gäller från Sida [XX-00-00]

Läs mer

Reglemente för intern kontroll

Reglemente för intern kontroll Reglemente för intern kontroll Strategi Plan/program Riktlinje Regler och instruktioner Fastställt av: Kommunfullmäktige Datum: 2014-06-17 För revidering av reglementet ansvarar: Kommunfullmäktige För

Läs mer

REVISIONSPLAN FÖR ÅR 2012

REVISIONSPLAN FÖR ÅR 2012 Internrevisionen Till styrelsen vid Göteborgs universitet Jan Sandvall 2012-02-20 Dnr V 2012/89 REVISIONSPLAN FÖR ÅR 2012 Styrelsesammanträde 2012-02-20, punkt 8 1 Inledning Internrevisionen vid Göteborgs

Läs mer

Ny revisionsberättelse

Ny revisionsberättelse 1 Ny revisionsberättelse ESV 26 november 2014 Stefan Andersson Ny revisionsberättelse 2014 2 Anpassning till internationell utveckling Separerar uttalande om använt regelverk och rättvisande bild Anpassning

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Överlämnande av revisionsberättelse för Konsumentverkets årsredovisning för 2016

Överlämnande av revisionsberättelse för Konsumentverkets årsredovisning för 2016 MISSIV REGERINGEN 103 33 STOCKHOLM DATUM: 2017-03- 20 Överlämnande av revisionsberättelse för Konsumentverkets årsredovisning för 2016 Riksrevisionen har i enlighet med lagen (2002:1022) om revision av

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014

Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014 1 (3) MILJÖ- OCH HÄLSOSKYDDSNÄMNDEN Datum Diarienummer 2014-01-08 2013-005797- AD Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014 Reglemente för intern kontroll 1 ger anvisningar för hur intern

Läs mer

Revisionsberättelse för Pensionsmyndigheten 2014

Revisionsberättelse för Pensionsmyndigheten 2014 1 Revisionsberättelse för Pensionsmyndigheten 2014 Rapport om årsredovisningen Riksrevisionen har enligt 5 lagen (2002:1022) om revision av statlig verksamhet m.m. granskat årsredovisningen för Pensionsmyndigheten

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

Ledamot av styrelsen för ett universitet eller en högskola

Ledamot av styrelsen för ett universitet eller en högskola Ledamot av styrelsen för ett universitet eller en högskola Innehåll Ledamot av styrelsen för ett universitet eller en högskola 3 Universitet och högskolor 3 Universitet och högskolors verksamhet 3 Akademisk

Läs mer

REGLEMENTE INTERN KONTROLL

REGLEMENTE INTERN KONTROLL REGLEMENTE INTERN KONTROLL Dokumentbeskrivningar Policy En policy ska ange viljeinriktningen för ett specifikt område. Den ska vara vägledande för beslut och styrning. En policy som är av principiell beskaffenhet

Läs mer

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan 0 Sammanfattning Förslaget till revisionsplan baseras på en risk- och väsentlighetsanalys som internrevisionen genomfört. Analysen bygger

Läs mer

Revisionsberättelse för Riksdagens ombudsmän 2016

Revisionsberättelse för Riksdagens ombudsmän 2016 RIKSDAGEN Revisionsberättelse för Riksdagens ombudsmän 2016 Rapport om årsredovisningen Riksrevisionen har enligt 5 lagen (2002:1022) om revision av statlig verksamhet m.m. granskat årsredovisningen för

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Riktlinje för Riskanalys och Intern kontroll

Riktlinje för Riskanalys och Intern kontroll Diarienummer: 2015/560-KS-004 Riktlinje för Riskanalys och Intern kontroll Beslutad av kommunstyrelsen 2015 XX - XX program policy handlingsplan riktlinje 1 Riktlinje för Riskanalys och Intern kontroll

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Tillämpningsanvisningar för intern kontroll, teknik- och servicenämnden

Tillämpningsanvisningar för intern kontroll, teknik- och servicenämnden 1/8 Beslutad: Teknik- och servicenämnden 2015-03-24 36 Gäller fr o m: 2015-04-01 Myndighet: Teknik- och servicenämnd Diarienummer: TSN/2015:136-012 Ersätter: - Ansvarig: Teknik- och servicekontoret Tillämpningsanvisningar

Läs mer

Remissvar: Konsekvensutredning med remiss. ESVs förslag på nya föreskrifter och allmänna råd inför 2013.

Remissvar: Konsekvensutredning med remiss. ESVs förslag på nya föreskrifter och allmänna råd inför 2013. CARIN RYTOFT DRANGEL PKE Registrator@esv.se Datum Dnr Ert datum Er referens 2012-10-09 15-2012-1233 2012-09-26 49-642/2012 Remissvar: Konsekvensutredning med remiss. ESVs förslag på nya föreskrifter och

Läs mer

Arbetsordning Högskolan Dalarna

Arbetsordning Högskolan Dalarna Arbetsordning Högskolan Dalarna Beslut: Högskolestyrelsen 2011-12-15 Reviderad: 2013-12-19, 2014-12-15 Dnr: DUC 2011/2027/10 Gäller fr o m: 2014-12-15 Ersätter: Arbetsordning, DUC 2011/2027/10, 2013-12-19

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Sida 1(8) Regler för internkontroll. Styrdokument

Sida 1(8) Regler för internkontroll. Styrdokument Sida 1(8) Regler för internkontroll Styrdokument 2(8) Styrdokument Dokumenttyp Regler Beslutad av Kommunfullmäktige 201-10-0 154 Dokumentansvarig Kommunchefen Reviderad av (8) Innehållsförteckning Regler

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Ledamot av insynsråd

Ledamot av insynsråd Ledamot av insynsråd Till Dig som är ledamot av ett insynsråd eller som erbjuds att bli det Insynsråden vid de statliga myndigheterna har en viktig uppgift. Insynsrådets uppgift är att utöva insyn och

Läs mer

Revisionsberättelse för Sveriges riksbank 2015

Revisionsberättelse för Sveriges riksbank 2015 Bilaga K Direktionens protokoll 160316 12c R I K S D A G E N Revisionsberättelse för Sveriges riksbank 2015 Rapport om årsredovisningen Riksrevisionen har enligt 5 lagen (2002:1022) om revision av statlig

Läs mer

Revisionsrapport Kammarkollegiet Box 2218 103 15 STOCKHOLM

Revisionsrapport Kammarkollegiet Box 2218 103 15 STOCKHOLM Revisionsrapport Kammarkollegiet Box 2218 103 15 STOCKHOLM Datum Dnr 2010-06-11 32-2009-0520 Kammarkollegiets årsredovisning 2009 Riksrevisionen har granskat Kammarkollegiets årsredovisning, daterad 2010-02-22.

Läs mer

Regeringen. Rapport Säkerhet i statens betalningar. Slutrapport

Regeringen. Rapport Säkerhet i statens betalningar. Slutrapport Regeringen Rapport Säkerhet i statens betalningar Slutrapport ESV:s rapporter innehåller regeringsuppdrag, uppdrag från myndigheter och andra instanser eller egeninitierade utredningar. Publikationen kan

Läs mer

Myndighetsvärdesfrågor för remiss EA-värdering för 2016

Myndighetsvärdesfrågor för remiss EA-värdering för 2016 1/19 Datum Handläggare 2016-09-29 Anne-Marie Ögren ESV-dnr Eva Engdahl Gäfvert 4.1-813/2016 Anna Kindberg Myndighetsvärdesfrågor för remiss EA-värdering för 2016 1 Finansiella befogenheter... 2 M1 Hantering

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Policy för intern kontroll

Policy för intern kontroll Grästorps kommun Kommunförvaltningen Allmän verksamhet Styrdokument Dnr 160/2016 Policy för intern kontroll Fastställd av Kommunfullmäktige 2016-06-13 50. Uppdateras före 2020-12-31. 1/6 Inledning I kommunallagen

Läs mer

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: 080918. Författare: Jonas Eriksson Carin Norberg

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: 080918. Författare: Jonas Eriksson Carin Norberg Revisionsrapport Attestrutiner Östhammars kommun Datum: 080918 Författare: Jonas Eriksson Carin Norberg Sammanfattning Komrev inom Öhrlings PricewaterhouseCoopers har fått i uppdrag av de förtroendevalda

Läs mer

Kommittédirektiv. Utveckling i staten genom systematiska. jämförelser, Dir. 2014:120. Beslut vid regeringssammanträde den 21 augusti 2014

Kommittédirektiv. Utveckling i staten genom systematiska. jämförelser, Dir. 2014:120. Beslut vid regeringssammanträde den 21 augusti 2014 Kommittédirektiv Utveckling i staten genom systematiska jämförelser Dir. 2014:120 Beslut vid regeringssammanträde den 21 augusti 2014 Sammanfattning En särskild utredare ska utreda hur utveckling och effektivisering

Läs mer

Revisionsrapport. Skatteverkets årsredovisning 2010

Revisionsrapport. Skatteverkets årsredovisning 2010 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2011-05-04 32-2010-0578 Skatteverkets årsredovisning 2010 Riksrevisionen har granskat Skatteverkets (SKV:s) årsredovisning, daterad 2011-02-21. Syftet

Läs mer

Revisionsplan för Linköpings universitet 2008.

Revisionsplan för Linköpings universitet 2008. 1(6) Revisionsplan för Linköpings universitet 2008. 1. Inledning (IR) vid Linköpings universitet bedrivs enligt Internrevisionsförordningen (2006:1228) samt internrevisionens instruktion, Dnr LiU 220/07-10,

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Riktlinjer för intern kontroll i Örebro kommun

Riktlinjer för intern kontroll i Örebro kommun PROGRAM POLICY STRATEGI HANDLINGSPLAN RIKTLINJER Riktlinjer för intern kontroll i Örebro kommun Örebro kommun 2014-09-12 KS114/2012 orebro.se 2 RIKLTLINJER FÖR INTERN KONTROLL I ÖREBRO KOMMUN PROGRAM Uttrycker

Läs mer

Revisionsrapport. Rådet för Europeiska socialfonden i Sverige årsredovisning 2008. Sammanfattning

Revisionsrapport. Rådet för Europeiska socialfonden i Sverige årsredovisning 2008. Sammanfattning Revisionsrapport Rådet för Europeiska socialfonden i Sverige Box 47141 100 74 Stockholm Datum Dnr 2009-04-22 32-2008-0693 Rådet för Europeiska socialfonden i Sverige årsredovisning 2008 Riksrevisionen

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Internkontrollplan, Miljönämnden

Internkontrollplan, Miljönämnden Dnr. 2013-MN0199 Dnr 2013-KS0247 / 003 Internkontrollplan, 2013-2014 Miljönämnden Fastställt av: Kommunfullmäktige Datum: 2013-08-28 73 För revidering ansvarar: Kommunfullmäktige Dokumentet gäller för:

Läs mer

Rev. Revisionsplan 2014. Antagen av Solna stads revisorer 14-02-19

Rev. Revisionsplan 2014. Antagen av Solna stads revisorer 14-02-19 Rev Revisionsplan 2014 Antagen av Solna stads revisorer 14-02-19 Revisionens övergripande inriktning och arbetssätt I vårt arbete strävar vi efter effektivitet och mervärde. Revisionens arbete fokuserar

Läs mer

Dokumentnamn Dokumenttyp Datum Arbetsordning med styrelsens delegationer för Tillväxtverket

Dokumentnamn Dokumenttyp Datum Arbetsordning med styrelsens delegationer för Tillväxtverket Dokumentnamn Dokumenttyp Datum Arbetsordning med styrelsens delegationer för Tillväxtverket Arbetsordning 2016-02-15 Diarienr/Projektnr Upprättad av Godkänd av Version D-2016-20 Jenny Forkman Styrelsen

Läs mer

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB 2012-10-02 Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 2 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Arbetsförmedlingens Återrapportering 2014

Arbetsförmedlingens Återrapportering 2014 Arbetsförmedlingens Återrapportering 2014 INTERN STYRNING OCH KONTROLL PLANERING OCH GENOMFÖRDA INSATSER 2014-05-15 Sida: 3 av 38 Dnr: Af-2013/508922 Datum: 2014-05-15 kontroll planering och Arbetsförmedlingen

Läs mer

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1(5) ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1 Omfattning För att upprätthålla en god intern kontroll krävs bl.a. ändamålsenliga regelverk och rutiner för kontroll av verifikationer. Kontroller i enlighet med

Läs mer

Revisor i samordningsförbund enligt lag om finansiell samordning av rehabiliteringsinsatser.

Revisor i samordningsförbund enligt lag om finansiell samordning av rehabiliteringsinsatser. Revisor i samordningsförbund enligt lag om finansiell samordning av rehabiliteringsinsatser. Revisors uppgifter Ett samordningsförbunds räkenskaper och årsredovisning samt styrelsens förvaltning ska granskas

Läs mer

Arbetsordning för Finansinspektionen

Arbetsordning för Finansinspektionen I N T E R N T R E G E L V E R K Gäller från: 2015-05-18 FI Dnr 15-6817 Dokumentägare: Chefsjuristen (Anges alltid vid svar) Finansinspektionen Box 7821 SE-103 97 Stockholm [Brunnsgatan 3] Tel +46 8 787

Läs mer

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1(6) Styrelsen för konsult- och service Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1. Syftet med den interna kontrollen Intern kontroll

Läs mer

Riktlinje för intern styrning och kontroll

Riktlinje för intern styrning och kontroll Riktlinje 2015-03-30 Riktlinje för intern styrning och kontroll KS 2015/0144 Beslutad av kommunfullmäktige den 30 mars 2015. Denna riktlinje ersätter, tillsammans med Riktlinje för ekonomistyrning, det

Läs mer

Revisorerna. Revisionsstrategi. Antagen

Revisorerna. Revisionsstrategi. Antagen Revisorerna Revisionsstrategi 2017 2018 Antagen 2017-06-15 Innehållsförteckning 1 BAKGRUND... 3 1.1 Den kommunala revisionens uppgift utgår från fullmäktige... 3 1.2 Skillnader mellan privat och kommunal

Läs mer

Granskning av årsredovisning

Granskning av årsredovisning Diskussionsunderlaget redogör för hur granskning av kommunala årsredovisningar kan utföras. Förutom en redogörelse för hur granskningen genomförs finns förlag på vilka uttalanden som bör göras och hur

Läs mer

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN jan.isberg.bransell@lm.se gunnar.jansson@kronofogden.se stephan.sandelin@pensionsmyndigheten.se Revision av outsourcad verksamhet Vad menar vi

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

Revisionsrapport. Årsredovisning för Linköpings universitet 2006. Sammanfattning. Linköpings universitet 581 83 LINKÖPING 2007-04-20 32-2006-0596

Revisionsrapport. Årsredovisning för Linköpings universitet 2006. Sammanfattning. Linköpings universitet 581 83 LINKÖPING 2007-04-20 32-2006-0596 Revisionsrapport Linköpings universitet 581 83 LINKÖPING Datum Dnr 2007-04-20 32-2006-0596 Årsredovisning för Linköpings universitet 2006 Riksrevisionen har granskat årsredovisningen för Linköpings universitet

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Gent Jansson, Finansinspektionen, Box 6750, 113 85 Stockholm. Beställningsadress: Thomson Fakta AB, Box 6430, 113 82 Stockholm. Tfn 08-587 671 00, Fax

Läs mer

Samma krav gäller som för ISO 14001

Samma krav gäller som för ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS är samma som ingår i ISO 14001. Dessutom

Läs mer

Vägledning Oegentligheter och intern styrning och kontroll. Att komma vidare i arbetet med att förebygga och upptäcka oegentligheter ESV 2016:24

Vägledning Oegentligheter och intern styrning och kontroll. Att komma vidare i arbetet med att förebygga och upptäcka oegentligheter ESV 2016:24 Vägledning Oegentligheter och intern styrning och kontroll Att komma vidare i arbetet med att förebygga och upptäcka oegentligheter ESV 2016:24 Publikationen kan laddas ner från ESV:s webbplats esv.se.

Läs mer

Revisionsplan för internrevisionen vid Sida Verksamhetsåret 2009

Revisionsplan för internrevisionen vid Sida Verksamhetsåret 2009 Revisionsplan för internrevisionen vid Sida Verksamhetsåret 2009 STYRELSEN FÖR INTERNATIONELLT UTVECKLINGSSAMARBETE Revisionsplan för internrevisionen vid Sida Verksamhetsåret 2009 Fastställd av Sidas

Läs mer

Granskning av Försvarshögskolan 2010

Granskning av Försvarshögskolan 2010 Revisionsrapport Försvarshögskolan Box 27 805 115 93 STOCKHOLM Datum Dnr 2011-04-19 32-2010-0703 Granskning av Försvarshögskolan 2010 Riksrevisionen har som ett led i den årliga revisionen av Försvarshögskolan

Läs mer

Nya regler för AP-fonderna (Ds 2015:34)

Nya regler för AP-fonderna (Ds 2015:34) REMISSVAR DNR: 5.1.1-2015- 1004 ERT DATUM:2015-06- 26 ER REFERENS: FI2015/3429 Finansdepartementet 103 33 Stockholm Nya regler för AP-fonderna (Ds 2015:34) Riksrevisionen har beretts möjlighet att yttra

Läs mer

Intern styrning och kontroll

Intern styrning och kontroll Intern styrning och kontroll Fastställd av rektor 2014-02-04 Innehållsförteckning Inledning 3 1 Processen för intern styrning och kontroll 3 1.1 Riskanalyser 4 1.1.1 Riskidentifikation 4 1.1.2 Riskvärdering

Läs mer

REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN

REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN Reglemente för intern kontroll 1 Syfte Reglementet syftar till att säkerställa att styrelsen, nämnden och de kommunala bolagen upprätthåller en tillfredsställande

Läs mer

Revisionsrapport. Uppföljande granskning av internkontrollen i samlingarna. 1. Sammanfattning

Revisionsrapport. Uppföljande granskning av internkontrollen i samlingarna. 1. Sammanfattning Revisionsrapport Moderna museet Box 16382 103 27 Stockholm Datum Dnr 2010-05-20 32-2009-0704 Uppföljande granskning av internkontrollen i samlingarna Riksrevisionen har, som ett led i den årliga revisionen,

Läs mer

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen, nämnder och bolagsstyrelser upprätthåller en tillfredsställande

Läs mer