Arbetet med intern styrning och kontroll

Transkript

1 UFV 2014/684 Arbetet med intern styrning och kontroll Rapport från internrevisionen Till konsistoriet

2 Sammanfattning 3 1 Inledning Granskningsinriktning Metod 4 2 Intern styrning och kontroll enligt förordningar, ramverk och riktlinjer Tillämpliga förordningar och COSO:s ramverk Universitetets riktlinjer 6 3 Praktiskt arbete med intern styrning och kontroll Institutioner, fakulteter och vetenskapsområden FISK Interna riktlinjer Egenbedömningar Universitetsförvaltningen FISK Interna riktlinjer Rektors ledningsråd FISK Interna riktlinjer Rapporter till konsistoriet 12 4 Slutsatser 12 5 Rekommendationer 14 6 Internrevisionens uppföljning 15 Bilaga 1 FISK 16 Bilaga 2 Exempel på blankett för institutionernas arbete 2012 och Bilaga 3 Blankett för institutionernas återrapportering Bilaga 4 Sammanställning av prefekternas svar 23 Bilaga 5 Förslag på hur riskhantering/uppföljning kan integreras i ordinarie verksamhetsstyrning 25 2

3 Sammanfattning Internrevisionen har granskat universitets arbete med intern styrning och kontroll utifrån förordning (2007:603) om intern styrning och kontroll (FISK) samt universitetets interna riktlinjer för tillämpning av förordningen. Konsistoriet är ytterst ansvarig för utformningen av den interna styrningen och kontrollen och har delegerat till rektor att fatta beslut om riktlinjer för tillämpning av FISK. Med intern styrning och kontroll avses enligt FISK en process med momenten riskanalys, kontrollåtgärder, uppföljning och dokumentation som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av myndighetsförordningen, dvs. att ledningen ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt, med god hushållning, enligt gällande rätt och med tillförlitlig och rättvisande redovisning. Med verksamhet avses för universitetets del det arbete som bedrivs enligt högskolelag och högskoleförordning samt myndighetsspecifikt statligt regelverk. Riktlinjerna ställer högre krav på arbetet med intern styrning och kontroll än vad förordningen gör och fokuserar på resultatet av arbetet i form av bl.a. effektiviseringar och förstärkt kvalitetsarbete. Riktlinjerna anger även att arbetet ska vara integrerat i ordinarie verksamhetsplanering och uppföljning i alla delar av verksamheten. Universitetet har sedan FISK infördes 2008 provat olika sätt att arbeta. De senaste två åren har institutionerna fått ange risker och kontrollåtgärder utifrån målen enligt Mål och strategier och redovisningarna har sammanställts på områdesnivå. Riskanalysarbetet vid universitetsförvaltningen har under motsvarande period bedrivits på övergripande nivå. Efter att vetenskapsområdena och universitetsförvaltningen redovisat sin respektive risker och kontrollåtgärder har en universitetsgemensam riskanalys sammanställts för behandling i rektors ledningsråd. Arbetet har sedan beskrivits i två årliga rapporter till konsistoriet. Internrevisionens granskning visar att universitetet har arbetat systematiskt med riskanalyser, kontrollåtgärder och dokumentation, men att momentet uppföljning brister i det särskilda arbete som utformats för att följa FISK. Internrevisionen har dock sett exempel på annat arbete i enlighet med målen i Mål och strategier som bedrivs utanför det formella arbetet med intern styrning och kontroll. En översiktlig bedömning av det arbetet är att momentet uppföljning är utan anmärkning. Internrevisionens sammanfattande bedömning blir därför att universitetet följer FISK. Granskningen visar också att på institutionsnivå har intentionerna i riktlinjerna inte uppfyllts fullt ut eftersom arbetet med intern styrning och kontroll saknar integrering med ordinarie verksamhetsplanering och uppföljning, samt inte upplevs bidra till vare sig effektivisering, förstärkt kvalitetsarbete eller utveckling och förnyelse i någon betydande utsträckning. Däremot har riktlinjernas intentioner uppfyllts bättre på övergripande nivå vid universitetsförvaltningen samt i rektors ledningsråd. I samband med att konsistoriets ledamöter ska bedöma den interna styrningen och kontrollen och underteckna årsredovisningen har konsistoriet fått en årlig rapport om arbetet med intern styrning och kontroll. Konsistoriets användning av rapporten skulle enligt internrevisionens mening kunna öka om rapporten ännu tydligare beskriver områden avseende den interna styrningen och kontrollen som behöver utvecklas. Sammanfattningsvis är internrevisionens intryck att universitetet haft för avsikt att utforma arbetet med intern styrning och kontroll så att det ska upplevas som integrerat och ändamålsenligt på samtliga nivåer. Granskningen visar emellertid att det finns möjligheter till förbättringar. Hur universitetet bör utveckla arbetet med intern styrning och kontroll beror på vilken ambitionsnivå universitetsledningen eftersträvar för riskhanteringen, samt hur man väljer att betrakta FISK relaterat till intern styrning och kontroll i ett bredare perspektiv. Internrevisionen har tagit fram tre alternativa förslag för hur arbetet kan utvecklas och rekommenderar att universitetsledningen beaktar dessa förslag i samband med beslut om fortsatt inriktning för arbetet med intern styrning och kontroll. 3

4 1 Inledning Internrevisionen har i enlighet med revisionsplanen för 2013 granskat universitets arbete med intern styrning och kontroll. Hur arbetet ska bedrivas regleras i en förordning samt i interna riktlinjer. Det är angeläget att universitetet arbetar ändamålsenligt med intern styrning och kontroll, så att arbetet följer tillämpliga regelverk samt är till nytta för verksamheten. 1.1 Granskningsinriktning Granskningen syftar till att besvara följande revisionsfrågor: Följer universitetet den särskilda förordning som finns för arbete med intern styrning och kontroll? Följer universitetet de av rektor beslutade riktlinjerna för tillämpning av förordningen? Är arbetet upplagt så att det bidrar till bästa möjliga nytta på olika nivåer? 1.2 Metod Granskningen har genomförts genom dokumentstudier och intervjuer med nyckelpersoner vid universitetsförvaltningen, samt med universitetsdirektören, prefekter, två f.d. vicerektorer, prorektor och rektor. Konsulten Torbjörn Wikland har anlitas av internrevisionen som rådgivare i frågor som rör intern styrning och kontroll. 2 Intern styrning och kontroll enligt förordningar, ramverk och riktlinjer 2.1 Tillämpliga förordningar och COSO:s ramverk Det finns flera förordningar som samverkar och behandlar vad som avses med intern styrning och kontroll vid statliga myndigheter. Utgångspunkt för universitetets del är högskoleförordningen (1993:100), som reglerar att konsistoriets uppgift är att ska säkerställa att det vid universitetet finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Detta ska tolkas som att konsistoriet är ytterst ansvarig för utformningen av den interna styrningen och kontrollen. Bedömningar av hur den interna styrningen och kontrollen fungerar ska därmed göras med utgångspunkt i hur konsistoriet bestämt att den interna styrningen och kontrollen ska utformas. Konsistoriet har delgerat till rektor att fatta beslut om riktlinjer för tillämpning av förordning (2007:603) om intern styrning och kontroll (FISK). FISK (se bilaga 1) trädde i kraft 2008 och ställer krav på hur riskhanteringen inom universitetet ska skötas. FISK utgår från ett internationellt ramverk för intern styrning och kontroll som utvecklades 1992 av the Committee of Sponsoring Organizations of the Treadway Commission (COSO). COSO:s ramverk illusteras ofta av en kub som visar hur intern styrning och kontroll är en angelägenhet för alla styrnivåer i en organisation utifrån olika typer av mål och att den bedöms utifrån innehållet i de fem komponenterna styr- och kontrollmiljö, riskanalys, kontrollåtgärder, information och kommunikation samt uppföljning, se figur 1. Med intern styrning och kontroll enligt FISK avses en process med momenten riskanalys, kontrollåtgärder, uppföljning och dokumentation som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen (2007:515). I denna står att myndighetens ledning ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. Med verksamhet avses enligt Ekonomistyrningsverkets (ESV) allmänna råd till FISK de 4

5 uppgifter, mål och uppdrag som getts myndigheten i instruktion, regleringsbrev eller beslut i annan ordning från regeringen. För universitetets del betyder det högskolelag och högskoleförordning samt det regelverk som gäller för alla statliga myndigheter, såsom förordning (2000:606) om myndigheters bokföring, arbetsmiljöförordning (1977:1166) och föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) för att nämna några exempel. FISK utgår från COSO, men förordningen behandlar endast tre av de fem komponenterna i ramverket, nämligen riskanalys, kontrollåtgärder och uppföljning. Enligt förarbetet till FISK ansågs det inte lämpligt att i författning reglera förutsättningarna för styr- och kontrollmiljö respektive information och kommunikation. Som tidigare nämnts är det emellertid upp till konsistoriet att bestämma utformningen av den interna styrningen och kontrollen och det finns inget som hindrar att styr- och kontrollmiljö samt information och kommunikation omfattas av riskanalysarbetet. I ESV:s föreskrifter anges att den dokumentation som ska upprättas enligt FISK ska ligga till grund för ledningens bedömning av den interna styrningen och kontrollen som ska göras i anslutning till underskriften i årsredovisningen enligt förordning (2000:605) om årsredovisning och budgetunderlag. Det finns inget som hindrar att bedömningen även grundas på annan information. Arbetet med intern styrning och kontroll enligt FISK behöver emellertid inte hållas skiljt från annat arbete med intern styrning och kontroll eller verksamhetsstyrningen generellt. Tvärtom kan det vara en fördel att betrakta detta som ett och samma arbete för att undvika att arbetet med att följa FISK blir en egen process som verkar kostnadsdrivande. I årsredovisningen ska den interna styrningen och kontrollen antingen bedömas som betryggande ( Vi bedömer att den interna styrningen och kontrollen vid myndigheten är betryggande. ), eller så ska den bedömas som innehållande brister ( Vi bedömer att brister avseende den interna styrningen och kontrollen vid myndigheten föreligger på följande punkter; ). Exempel på brister i den interna styrningen och kontrollen är enligt ESV om riskanalys inte har genomförts för hela verksamheten, om beslutade kontrollåtgärder inte har vidtagits som planerat, om vidtagna kontrollåtgärder inte har följts upp eller om riskanalys, kontrollåtgärder samt uppföljning inte har dokumenterats för att säkerställa spårbarhet och verifiering av genomfört arbete. Innehållet i komponenterna styr- och kontrollmiljö samt information och kommunikation bedöms alltså inte separat, men dessa kan ingå i riskanalysen enligt FISK. Underskriftsmeningen ligger till grund för regeringens uppföljning, prövning och budgetering av myndigheten. Andelen myndigheter som bedömer den interna styrningen och kontrollen som betryggande har ökat successivt sedan FISK infördes och låg för 2013 på 89 procent. 5

6 Figur 1: COSO-kuben anpassad efter myndighetsförordningens målformuleringar samt universitetets organisation. Observera att FISK utgår från COSO, men inte inkluderar komponenterna styr- och kontrollmiljö samt information och kommunikation. 2.2 Universitetets riktlinjer Rektor har på konsistoriets uppdrag utfärdat Riktlinjer för tillämpning av förordning (2007:603) om intern styrning och kontroll (UFV 2009/1486). Syftet med riktlinjerna är att tydliggöra regelverket kring intern styrning och kontroll och klargöra ansvar och roller på olika nivåer inom universitetet. Av riktlinjerna framgår också att riskanalysarbetet har två avsikter; det förväntas leda till effektiviseringar i verksamheten och det ska ge konsistoriet och universitetsledningen en samlad och strukturerad bild av de viktigaste riskområdena vid universitetet och en möjlighet att påverka hanteringen av dem. Processen för intern styrning och kontroll ska enligt riktlinjerna vara integrerad i ordinarie verksamhetsplanering och uppföljning i alla delar av verksamheten för att på ett effektivt sätt bidra till utveckling och förnyelse samt förstärka kvalitetsarbetet. Riskanalyser ska stärka möjligheterna att prioritera olika alternativ och effektivisera verksamheten. Riktlinjerna omfattar en genomgång av aktuella förordningar, ett avsnitt om hur FISK ska tillämpas vid universitetet och slutligen en genomgång av befintliga delegationsordningar som reglerar ansvar och roller för arbetet. För tillämpning av FISK anger riktlinjerna en kortfattad metodbeskrivning. Internrevisionen vill poängtera att universitetets riktlinjer ställer högre krav på arbetet med intern styrning och kontroll än vad FISK gör. Intern styrning och kontroll enligt FISK tar fasta på en process med vissa obligatoriska moment (riskanalys, kontrollåtgärder, uppföljning och dokumentation) medan riktlinjerna även fokuserar på resultatet av arbetet i form av bl.a. effektiviseringar och förstärkt kvalitetsarbete. Riktlinjerna anger även att arbetet ska vara integrerat i ordinarie verksamhetsplanering och uppföljning i alla delar av verksamheten och även det är uttryck för en högre ambitionsnivå än vad FISK kräver. Att universitetet har valt en hög ambitionsnivå för arbetet är lovvärt, med det innebär emellertid också att det är svårare att nå upp till förväntningarna. 6

7 3 Praktiskt arbete med intern styrning och kontroll I samband med ikraftträdandet av FISK påbörjades i januari 2008 ett utvecklingsprojekt avseende intern styrning och kontroll. En styrgrupp bildades med universitetsdirektören som ordförande. Övriga medlemmar utgjordes av personer från universitetsförvaltningen samt en prefekt. Utvecklingsprojektet avslutades i början av 2011 och arbetet med intern styrning och kontroll enligt FISK och interna riktlinjer har sedan dess samordnats från planeringsavdelningen. Olika angreppsätt har prövats genom åren för arbetet med intern styrning och kontroll enligt FISK och de interna riktlinjerna. Nedan följer beskrivningar av hur kärn- respektive stödverksamheten arbetat. Internrevisionens redovisning följer strukturen för hur universitetet valt att arbeta med intern styrning och kontroll enligt FISK och interna riktlinjer på olika håll i organisationen. 3.1 Institutioner, fakulteter och vetenskapsområden Under 2008 genomfördes utredningar av hur universitetet arbetar med styrning och uppföljning från/till rektor och neråt/uppåt i organisationen, samt intervjuer med verksamhetsföreträdare. Genom arbetet identifierades risker som bedömdes i en övergripande riskanalys och därefter resulterade i förslag på kontrollåtgärder. Under 2009 gjordes riskanalyser för utbildning på grundnivå och avancerad nivå samt en uppdatering av den övergripande riskanalys som tagits fram Uppföljning gjordes av 2008 års föreslagna åtgärder. Under 2010 gjordes riskanalyser vid de flesta fakulteter vid det humanistisk- samhällsvetenskapliga vetenskapsområdet samt på områdesnivå för de övriga två vetenskapsområdena. Riskanalyserna genomfördes i form av workshops där planeringsavdelningen erbjöd handledning. Den tidigare framtagna övergripande riskanalysen uppdaterades. Ingen systematisk uppföljning gjordes av 2009 års arbete med intern styrning och kontroll med hänvisning till att det gjordes inom ramen för ordinarie uppföljning i verksamheten. Under 2011 skulle institutionerna göra riskanalyser utifrån sina egna mål eller framgångsfaktorer med Mål och strategier som utgångspunkt. Det är oklart hur många institutioner som i praktiken gjorde detta, men det finns åtminstone sammanställningar från fakulteter och vetenskapsområden. Ingen systematisk uppföljning gjordes av 2010 års arbete av samma skäl som angavs Arbetet med intern styrning och kontroll åren 2012 och 2013 beskrivs i följande avsnitt, med utgångspunkt i kraven på de enligt FISK obligatoriska momenten samt skrivningar i de interna riktlinjerna FISK Riskanalyser Det första obligatoriska momentet enligt FISK är riskanalyser. Inför 2012 arbetade planeringsavdelningen fram blanketter som stöd för institutionernas riskanalysarbete (se exempel i bilaga 2). Riskanalyserna skulle utgå från de övergripande målen i Mål och strategier och institutionerna skulle ange vilka händelser som kunde ha negativ påverkan på förmågan att nå målen för de olika fokusområdena framstående forskning, förstklassig utbildning, ett universitet i samhället och en universitetsmiljö i utveckling. Därefter skulle sannolikheten och konsekvensen för händelsen anges och ett riskvärde skulle räknas fram genom att multiplicera sannolikhet och konsekvens. Slutligen skulle nuvarande åtgärder för att minimera riskerna anges. Inför 2013 års riskanalysarbete arbetade planeringsavdelningen fram en förenklad blankett (se bilaga 3) där institutionerna skulle ange den högst värderade risken samt åtgärder för respektive fokusområde enligt Mål och strategier genom att utgå från 2012 års riskanalys och vid behov uppdatera den. 7

8 Resultatet av institutionernas riskanalysövningar visar att det har skett en sammanblandning mellan olika metoder då risker har värderats och kontrollåtgärder har angetts. Ibland har den inneboende risken bedömts, dvs. risken utifrån ett tänkt förhållande utan hänsyn tagen till redan införda kontrollåtgärder och ibland har den kvarvarande risken bedömts, dvs. den lägre risken efter att hänsyn har tagits till befintliga kontrollåtgärder. Som blanketterna är utformade framgår det inte om det är inneboende eller kvarvarande risker som ska redovisas, men det framgår att redan införda kontrollåtgärder ska anges. Att bedöma inneboende risker innebär ett onödigt omfattande riskanalysarbete och att blanda inneboende och kvarvarande risker försvårar riskvärderingen. Syftet med riskanalysövningen borde enligt internrevisionens uppfattning ha varit att rangordna kvarvarande risker för att vid behov kunna besluta om nya kontrollåtgärder för de högst prioriterade riskerna. Även ESV förespråkar det angreppssättet. Skälet till att efterfråga även inneboende risker uppges från planeringsavdelningens sida ha varit att göra en sammanställning till universitetsledningen över vilka riskområden som finns, samt möjliggöra en prövning av de befintliga åtgärderna. Att göra en sammanställning ligger i linje med riktlinjernas skrivelse om att ge konsistoriet och universitetsledningen en samlad och strukturerad bild av de viktigaste riskområdena vid universitetet och en möjlighet att påverka hanteringen av dem. Användandet av begreppet sannolikhet har varit föremål för internt ifrågasättande. Att resonera i termer av konsekvens och sannolikhet lyfts av ESV fram som ett exempel på hur myndigheter kan arbeta med riskvärderingar. ESV nämner också andra sätt, t.ex. att uttrycka risker i förhållande till varandra inom en verksamhet utan att följa en absolut skala med fasta gränsvärden. Internrevisionens bedömning är att det inte kan sägas vara fel att använda begreppen konsekvens och sannolikhet och räkna fram riskvärden, men olämpligt ifall det leder till internt ifrågasättande som försvårar arbetet. Mål och strategier har nära koppling till högskolelagens formuleringar och internrevisionen anser därför att de utgör lämplig utgångspunkt för riskanalysarbete på universitetsövergripande nivå. På institutionsnivå verkar däremot målen enligt Mål och strategier ha varit för övergripande för att fungera tillräckligt ändamålsenligt som utgångspunkt för riskanalysarbetet. Mål och strategier saknar målformuleringar kring området hållbar utveckling, vilket måste inkluderas i arbetet med intern styrning och kontroll på universitetsövergripande nivå för att all verksamhet enligt högskolelagen ska vara beaktad. I syfte att underlätta institutionernas årliga redovisningar av olika obligatoriska riskanalyser efterfrågas alla riskanalyser (arbetsmiljö, egendomsskydd, informationssäkerhet samt intern styrning och kontroll) vid samma tillfälle. Internrevisionen har uppmärksammat att prefekterna ibland har haft svårt att skilja de olika riskanalysområdena från varandra. Det behöver inte innebära något problem på institutionsnivå, men måste tas i beaktande när man diskuterar intern styrning och kontroll på universitetsövergripande nivå eftersom redovisningarna har olika mottagare. Internrevisionen ser en effektiviseringspotential i att nyttiggöra riskanalysarbetet avseende arbetsmiljö, egendomsskydd och informationssäkerhet även inom arbetet med intern styrning och kontroll. Kontrollåtgärder Det andra obligatoriska momentet enligt FISK är kontrollåtgärder. Internrevisionen har granskat samtliga underlag från institutionerna avseende 2013 års arbete med riskanalyser och kontrollåtgärder. De redovisade kontrollåtgärderna är en blandning av sådant som rör institutionsnivå, fakultetsnivå, universitetsgemensam nivå och externa faktorer. Det går oftast inte att utläsa om kontrollåtgärderna har införts, ska införas, är förslag eller är önskemål. En möjlig orsak till det är den sammanblandning av riskvärderingmetoder som har gjorts, se tidigare resonemang i avsnittet. Internrevisionen har även gjort en översiktlig granskning av institutionernas redovisningar avseende områdena kvalitet, lika villkor och breddad rekrytering, eftersom dessa lämnas samtidigt som 8

9 redovisningarna för arbetet med intern styrning och kontroll. Redovisningarna avseende områdena kvalitet, lika villkor och breddad rekrytering utgår från interna program och/eller handlingsplaner och har liksom arbetet med intern styrning och kontroll direkta kopplingar till målen i högskolelagen. En jämförelse mellan de olika redovisningarna visar att de som utgår från program och/eller handlingsplaner har ett fylligare innehåll än redovisningarna avseende intern styrning och kontroll, samt att dessa redovisningar i viss utsträckning överlappar med redovisningarna för intern styrning och kontroll. Internrevisionen ser en effektiviseringspotential i att nyttiggöra redovisningarna avseende program och handlingsplaner även inom arbetet med intern styrning och kontroll. Uppföljning Det tredje obligatoriska momentet enligt FISK är uppföljning. Enligt ESV innebär det att undersöka om beslutade kontrollåtgärder har införts och fungerar som beslutat, samt om processen för intern styrning och kontroll vid myndigheten fungerar betryggande. Internrevisionen har frågat samtliga prefekter om de har gjort uppföljning av om de åtgärder som redovisades 2012 har införts och fungerar på avsett sätt. 34 av 55 prefekter svarade och endast en femtedel av dessa hade gjort uppföljning. I bilaga 4 finns en sammanställning av de inkomna svaren. En möjlig förklaring till att uppföljning inte utförts i högre utsträckning är att institutionernas riskanalyser ofta lyft frågor som främst kan påverkas av organisatoriska nivåer ovanför institutionerna. Så vitt internrevisionen känner till har det emellertid inte heller gjorts några systematiska uppföljningar vid fakulteter eller vetenskapsområden inom ramen för arbetet med intern styrning och kontroll enligt FISK och interna riktlinjer. Internrevisionen vill poängtera att med uppföljning avses i detta sammanhang uppföljning av om beslutade kontrollåtgärder har införts och fungerar som beslutat, inte uppföljning i bredare bemärkelse avseende allt arbete som pågår vid institutioner, fakulteter och vetenskapsområden. Som tidigare nämnts har internrevisionen gjort en översiktlig granskning av hur vissa program/handlingsplaner följs upp och funnit att rutinen för detta är utan anmärkning. Dokumentation Det fjärde obligatoriska momentet enligt FISK är dokumentation av riskanalys, kontrollåtgärder och uppföljning. Institutionernas arbete med riskanalyser och kontrollåtgärder har dokumenterats på särskilda blanketter. Av det fåtal prefekter som gjort uppföljning (se ovan) har några enstaka angett att uppföljningen dokumenterats Interna riktlinjer Enligt de interna riktlinjerna ska arbetet med intern styrning och kontroll på ett effektivt sätt bidra till utveckling och förnyelse. Det ska vara en del av samt stärka processen för kvalitetsarbetet. Riskanalyserna ska stärka möjligheterna att prioritera olika alternativ och effektivisera verksamheten. Internrevisionen har frågat prefekterna om arbetet med intern styrning och kontroll har lett till att dessa intentioner har uppfyllts vid respektive institution. Ungefär en tredjedel av de svarande prefekterna ansåg att processen för intern styrning och kontroll (åtminstone delvis) har bidragit till utveckling och förnyelse samt förstärkt kvalitetsarbetet, främst genom att man fått tillfälle att diskutera och fundera över sådana frågor. Endast några enstaka prefekter ansåg att riskanalyserna (åtminstone delvis) har stärkt möjligheterna att prioritera mellan olika alternativ och effektivisera verksamheten. Flera prefekter ansåg att riskerna som de uppmärksammat och rapporterat via blanketterna borde hanteras på fakultetsnivå eller högre, samt att de arbetar aktivt med kvalitetsarbete i andra former och sammanhang. I bilaga 4 finns en sammanställning av de inkomna svaren. 9

10 Processen för intern styrning och kontroll ska enligt riktlinjerna vara integrerad i ordinarie verksamhetsplanering och uppföljning i alla delar av verksamheten för att på ett effektivt sätt bidra till utveckling och förnyelse samt förstärka kvalitetsarbetet. Granskningen visar att riskanalysarbetet som utförts vid institutionerna för att följa FISK och interna riktlinjer endast varit integrerat på så sätt att blanketterna har lämnats in samtidigt som andra efterfrågade redovisningar från institutionerna. Någon integrering i ordinarie planerings- och uppföljningsprocesser har inte framkommit på institutionsnivå. Institutionernas riskanalyser har konsoliderats på områdesnivå och enligt uppgift utgjort ett av flera underlag i områdenas verksamhets- och budgetdialoger med rektor. På övergripande nivå har riskanalyserna därmed integrerats i den ordinarie planeringsprocessen Egenbedömningar Förutom riskanalyser och kontrollåtgärder har prefekterna och vicerektorerna fått lämna egenbedömningar och ange om den interna styrningen och kontrollen inom institutionen respektive vetenskapsområdet är betryggande eller uppvisar brister. Internrevisionen vill poängtera att systemet med egenbedömningar är utöver vad som krävs enligt både FISK och de interna riktlinjerna. Egenbedömningar kan vara av stort värde förutsatt att det tydligt framgår vad som ska bedömas. Av rapporten Intern styrning och kontroll, Slutrapport 2013 framgår att egenbedömningarna har gjorts utifrån universitetets riktlinjer och kan ses som ett uttryck för förmågan att nå målen. Prefekterna och vicerektorerna fick dock inte någon instruktion om bedömningskriterierna i anslutning till att de skulle göra egenbedömningen. Som tidigare nämnts ger riktlinjerna uttryck för en hög ambitionsnivå och fokuserar bl.a. på resultatet av arbetet i form av bl.a. effektiviseringar och förstärkt kvalitetsarbete. Granskningen visar att arbetet med intern styrning och kontroll vid flera institutioner inte lett till sådana effekter. Eftersom flertalet av prefekterna ändå bedömt den interna styrningen och kontrollen som betryggande drar internrevisionen slutsatsen att de inte baserat sin bedömning på formuleringar i riktlinjerna i första hand. Däremot är det troligt att prefekterna har beaktat förmågan att nå målen vid egenbedömningarna, eftersom blanketterna för arbetet med intern styrning och kontroll utgår från övergripande målformuleringar. Med detta resonemang vill internrevisionen betona vikten av tydlighet med vilka bedömningskriterier som ska användas vid bruk av egenbedömningar. 3.2 Universitetsförvaltningen FISK Under åren 2008 till 2010 skrev samtliga dåvarande avdelningar vid universitetsförvaltningen i tur och ordning en rapport till konsistoriet om den interna styrningen och kontrollen avseende det sakområde som respektive avdelning ansvarade för. Uppföljning av rapporterna gjordes enligt universitetsdirektören i samband med de årliga planeringsdialogerna med avdelningscheferna. Nya åtgärder vidtogs såsom exempelvis en ny IT-organisation och särskilda satsningar på arbetsmiljöfrågor. De senaste åren har riskanalysarbetet vid universitetsförvaltningen bedrivits på övergripande nivå. För 2013 sammanställde planeringsavdelningen en riskanalys för universitetsförvaltningen genom att utgå från underlag som avdelningarna lämnat i samband med verksamhetsplaneringen för Internrevisionen har inte sett exempel på någon dokumenterad systematisk uppföljning av tidigare beslutade kontrollåtgärder. Internrevisionen ser positivt på att riskanalysarbete görs i anslutning till verksamhetsplanering eftersom åtgärdsförslagen som riskanalysarbetet eventuellt leder till kan beaktas och integreras i ordinarie verksamhetsplanering. Internrevisionen anser emellertid det vore önskvärt att 10

11 avdelningarna vid universitetsförvaltningen deltar mer aktivt i arbetet med intern styrning och kontroll enligt FISK och interna riktlinjer inom sina respektive sakområden. Detta eftersom avdelningarna torde ha en bättre helhetsbild av frågor som rör t.ex. ekonomi-, personal- och studentfrågor än vad enskilda institutioner rimligen kan ha. För att åstadkomma det bör arbetet systematiseras i högre utsträckning än vad som gjorts de senaste åren Interna riktlinjer Riskanalysarbetet vid universitetsförvaltningen har utgjort ett stöd för universitetsdirektören att prioritera mellan olika utvecklingsprojekt, vilket ligger i linje med de interna riktlinjernas intentioner att riskanalyserna ska stärka möjligheterna att prioritera olika alternativ. Att riskanalysarbetet görs i anslutning till ordinarie verksamhetsplanering är också i linje med riktlinjerna. 3.3 Rektors ledningsråd FISK Efter att vetenskapsområdena och universitetsförvaltningen redovisat sina respektive riskanalyser och kontrollåtgärder för 2013 gjordes en universitetsgemensam sammanställning vid planeringsavdelningen. Sammanställningen användes som underlag vid en riskanalysövning i rektors ledningsråd 1 i slutet av året. Riskanalysen genomfördes med samma metod som institutionerna använde 2012, dvs. konsekvenser och sannolikheter värderades på en skala från 1 till 5. Riskvärderingen resulterade i en riskkarta där nio risker bedömdes ligga över gränsen för universitetsledningens så kallade riskaptit, dvs. riskerna sades kräva särskild hantering i form av specifika åtgärder och/eller löpande bevakning. Några nya åtgärder bedömdes dock inte behöva införas. Riskanalysen och resonemangen om kontrollåtgärder dokumenterades i dokumentet Intern styrning och kontroll Riskanalyser 2013, som föredrogs för konsistoriet i december Dokumentet innehåller ett avsnitt om det övergripande riskanalysarbetet 2012, men dokumentet saknar uppföljning av om tidigare kontrollåtgärder på universitetsövergripande nivå har införts och fungerar som avsett. Det görs ingen systematiserad utvärdering av hur arbetet med intern styrning och kontroll enligt FISK och interna riktlinjer vid universitetet som helhet fungerar. Internrevisionen anser att årliga utvärderingar av arbetet bör göras från centralt håll för att säkerställa att arbetet bedrivs ändamålsenligt Interna riktlinjer En avsikt med riskanalysarbetet är enligt de interna riktlinjerna att ge konsistoriet och universitetsledningen en samlad och strukturerad bild av de viktigaste riskområdena vid universitetet och en möjlighet att påverka hanteringen av dem. Internrevisionen har intervjuat några av de personer som deltog i riskanalysövningen i rektors ledningsråd. I stort sett inga av de risker som värderades vid övningen var okända för deltagarna, utan frågeställningarna kändes igen från eget arbete med frågorna eller kontakter med verksamheten samt tidigare diskussioner. Det är i sig något positivt, eftersom det innebär att rektors ledningsråd sedan tidigare var väl insatt i vilka områden som institutioner och vetenskapsområden betraktar som riskfyllda. Samtidigt ger det värdefull information till processen med att utveckla arbetet med intern styrning och kontroll på institutionsnivå. Anledningen till att redovisa även inneboende risker på 1 I rektors ledningsråd ingår rektor, prorektor, universitetsdirektören, vicerektorerna och tre studentrepresentanter. 11

12 institutionsnivå (se tidigare resonemang i avsnitt Riskanalyser) var att möjliggöra en sammanställning av de viktligaste riskområdena till konsistoriet och universitetsledningen. Eftersom universitetsledningen ändå är väl insatt i de övergripande riskerna, samt att dessa risker kan antas vara ganska stabila över åren, anser internrevisionen att institutionerna fortsättningsvis bör redovisa endast kvarvarande risker eftersom det underlättar riskvärderingen. Processen för intern styrning och kontroll ska enligt riktlinjerna vara integrerad i ordinarie verksamhetsplanering och uppföljning i alla delar av verksamheten. Riskanalysövningen i rektors ledningsråd innebar en uppföljning av att de åtgärder som tidigare införts varit tillräckliga ur ledningsrådets perspektiv. 3.4 Rapporter till konsistoriet För 2012 och 2013 har rektor årligen beslutat om två rapporter om universitetets arbete med intern styrning och kontroll och de har föredragits för konsistoriet i december respektive februari. Rapporten Intern styrning och kontroll, Riskanalyser 201X (decemberrapporten) beskriver årets arbete med riskanalyser och syftar till att ge konsistoriet, universitetsledningen samt övriga verksamhetsansvariga på olika nivåer en bild av de risker som bedömts som mest allvarliga. Rapporten Intern styrning och kontroll, Slutrapport 201X (februarirapporten) syftar till att ge en övergripande bild av universitetets process för intern styrning och kontroll och ska utgöra ett underlag för konsistoriets bedömning av den interna styrningen och kontrollen som görs i samband med beslut om årsredovisningen. Internrevisionens granskning visar att momentet uppföljning brister och att det finns brister i följdsamheten gentemot de interna riktlinjerna. Det aktualiserar frågan om behovet av att från centralt håll göra årliga utvärderingar av hur arbetet med intern styrning och kontroll enligt FISK och interna riktlinjer fungerat i praktiken. En årlig utvärdering möjliggör att slutrapporten till konsistoriet ännu tydligare kan beskriva områden som behöver utvecklas. 4 Slutsatser Nedan följer internrevisionens slutsatser kopplat till revisionsfrågorna, samt en analys av vilken mognadsgrad universitetets riskhantering har uppnått. Följer universitetet FISK? FISK tar fasta på en process med de obligatoriska momenten riskanalys, kontrollåtgärder, uppföljning och dokumentation. För att uppfylla FISK måste således alla dessa moment finnas på plats. Internrevisionens granskning visar att momentet uppföljning brister på i stort sett alla nivåer i det särskilda arbete som har utformats för att följa FISK. Internrevisionen vill poängtera att här avses uppföljning i förordningens bemärkelse och med beaktande av ESV:s tolkning, vilket innebär uppföljning av om beslutade kontrollåtgärder har införts och fungerar som beslutat, samt dokumentation av detta. Som tidigare nämnts har internrevisionen gjort en översiktlig granskning av hur vissa program/handlingsplaner följs upp och funnit att rutinen för detta är utan anmärkning. Dessa program/handlingsplaner har liksom arbetet med intern styrning och kontroll direkta kopplingar till målen i högskolelagen. Internrevisionens sammanfattande bedömning blir därför att universitetet följer FISK. Bedömningen grundar sig alltså på hur universitetet arbetar med intern styrning och kontroll i bredare bemärkelse och inte enbart på den särskilda process som skapats för att följa FISK och de interna riktlinjerna. 12

13 Följer universitetet de av rektor beslutade riktlinjerna? Som tidigare påpekats ger de interna riktlinjerna uttryck för en hög ambitionsnivå där inte bara processen för arbetet med intern styrning och kontroll beaktas utan även vilket resultat som förväntas i form av effektiviseringar och förstärkt kvalitetsarbete. Riktlinjerna anger även att arbetet ska vara integrerat i ordinarie verksamhetsplanering och uppföljning i alla delar av verksamheten. De brister som internrevisionen iakttagit avseende följsamheten gentemot riktlinjerna bör ses i ljuset av den höga ambitionsnivå som riktlinjer uttrycker. Internrevisionen konstaterar att på institutionsnivå har intentionerna i riktlinjerna inte uppfyllts eftersom arbetet med intern styrning och kontroll saknar integrering med ordinarie verksamhetsplanering och uppföljning samt inte upplevs bidra till vare sig effektivisering, förstärkt kvalitetsarbete eller utveckling och förnyelse i någon betydande utsträckning. Internrevisionen konstaterar vidare att intendenturområdena samt UU Innovation inte alls har deltagit i det formella arbetet med intern styrning och kontroll enligt FISK och interna riktlinjer och att universitetsbiblioteket inte har deltagit sedan I vilken utsträckning dessa organisatoriska enheter har bedrivit riskanalysarbete i andra former har inte granskats av internrevisionen. Riskanalysarbetet vid universitetsförvaltningen har emellertid utgjort ett stöd för universitetsdirektören att prioritera mellan olika utvecklingsprojekt, vilket ligger i linje med de interna riktlinjernas intentioner att riskanalyserna ska stärka möjligheterna att prioritera olika alternativ. Att riskanalysarbetet görs i anslutning till ordinarie verksamhetsplanering är också i linje med riktlinjerna. Ytterligare en avsikt med riskanalysarbetet är enligt de interna riktlinjerna att ge konsistoriet och universitetsledningen en samlad och strukturerad bild av de viktigaste riskområdena vid universitetet och en möjlighet att påverka hanteringen av dem. Detta har uppfyllts genom att redovisningarna från institutionerna och universitetsförvaltningen har sammanfattats och behandlats i rektors ledningsråd och redovisats i en årlig rapport till konsistoriet. Är arbetet upplagt så att det bidrar till bästa möjliga nytta på olika nivåer? För att bedöma vilken nytta olika nivåer och delar av universitetet har haft av arbetet med intern styrning och kontroll utgår internrevisionen från de iakttagelser som gjorts i granskningen och som framkommit i rapporten. Hur olika personer upplever nyttan med arbetet är dock personligt och internrevisionen gör inte anspråk på att fånga alla aspekter. På institutionsnivå har prefekternas nytta av riskanalysarbetet varit begränsad. Internrevisionens tolkning är att det bl.a. beror på att prefekterna uppfattat målen enligt Mål och strategier som alltför övergripande för att ha som utgångspunkt för riskanalysarbetet och att de kontrollåtgärder som angivits därför till stor del avsett sådant som institutionen inte själv rår över. På en övergripande nivå har riskanalysarbetet vid universitetsförvaltningen varit till nytta för universitetsdirektören, t.ex. i prioriteringen mellan olika utvecklingsprojekt. Rektors ledningsråd har haft nytta av resultatet av institutionernas riskanalysarbete genom att använda det som en efterhandkontroll av att man sedan tidigare beaktat alla väsentliga riskområden. Rektor har dessutom enligt uppgift använt det sammanställda resultatet av riskanalysarbetet som ett av flera underlag i områdenas verksamhets- och budgetdialoger. Arbetet med intern styrning och kontroll har resulterat i två årliga rapporter till konsistoriet. Den ena av dessa årliga rapporter har utgjort dokumentation som grund för ledamöternas bedömning av den interna styrningen och kontrollen. Nyttan med rapporten kan enligt internrevisionens åsikt ökas 13

14 ytterligare om rapporten ännu tydligare beskriver områden/komponenter avseende den interna styrningen och kontrollen som behöver utvecklas. Sammanfattningsvis är internrevisionens intryck att universitetet (genom beslut av de interna riktlinjerna) haft för avsikt att utforma arbetet med intern styrning och kontroll så att det ska upplevas som integrerat och ändamålsenligt på samtliga nivåer. Granskningen visar emellertid att det finns förbättringspotential vad gäller detta. Analys av riskhanteringens mognadsgrad Organisationer som inför ett systematiskt riskanalysarbete upplever ofta arbetet som en process som mognar över tid. Första steget är att överhuvudtaget göra riskanalyser. Nästa steg är att formalisera riskanalysarbetet och få alla berörda att göra riskanalyser enligt den uttänkta metoden. Det sista steget innebär att alla berörda lär sig att sätta relevanta mål, koncentrera riskanalysen på väsentligheter samt följa upp att man arbetar med de åtgärder som behövs. Var i denna process organisationen befinner sig är en indikation på mognadsgraden för riskhanteringen. Internrevisionens uppfattning är att universitetet mognadsmässigt befinner sig någonstans i mitten av processen. Universitetets arbete med intern styrning och kontroll har utvecklats successivt sedan FISK infördes och numera arbetar alla prefekter enligt en uttänkt metod för riskhantering. Däremot har man ännu inte kommit så långt att alla berörda sätter relevanta mål, koncentrerar riskanalysen på väsentligheter samt följer upp åtgärder. 5 Rekommendationer När det gäller rekommendationer för hur det fortsatta arbetet med intern styrning och kontroll ska bedrivas finner internrevisionen det lämpligt att resonera kring universitetets möjligheter och önskningar att uppnå en högre mognadsgrad för riskhantering. Internrevisionen konstaterar att universitetet i praktiken skiljt på det ordinarie arbetet med intern styrning och kontroll och arbete enligt FISK. Det ordinarie arbetet med intern styrning och kontroll benämns ofta kvalitetsarbete. Idag är arbetet med intern styrning och kontroll för att följa FISK (tvärt emot riktlinjernas intentioner) utformat som en egen process som i ett stuprör. Detta verkar inte ha lett till de goda effekter som tanken var vid utformandet av de interna riktlinjerna. Internrevisionen anser att det finns olika alternativ för det framtida arbetet med intern styrning och kontroll. Det första alternativet innebär att universitetet fortsätter att arbeta med särskilda blanketter för riskanalyser och kontrollåtgärder, men lägger till frågor om uppföljning. Arbetet skulle då inkludera FISK:ens alla obligatoriska moment. Vid val av detta alternativ är det emellertid inte säkert att universitetet kommer vidare i processen med riskhantering för att så småningom uppnå den högsta mognadsgraden. Detta eftersom riskhanteringen inte anpassas till de förutsättningar som gäller för olika verksamheter och organisatoriska nivåer och inte heller samordnas med kvalitetsarbete och annat ordinarie arbete avseende intern styrning och kontroll. Det andra alternativet innebär att riskhanteringen/uppföljningen integreras i den ordinarie verksamhetsstyrningen vid institutioner och andra organisatoriska enheter. Ansvariga chefer kan då inkludera och beakta allt kvalitetsarbete samt annat ordinarie arbete med intern styrning och kontroll som redan bedrivs. På korts sikt innebär detta en återgång till första steget i mognadsprocessen och arbetet leder inte omedelbart till att momentet uppföljning uppfylls bättre. I takt med att man rör sig mot en högre mognadsgrad bör arbetet leda till goda effekter på den interna styrningen och kontrollen på längre sikt. Målet är att uppnå det slutliga steget där ansvariga chefer sätter relevanta mål, koncentrerar riskanalysen på väsentligheter, samt följer upp att man verkligen arbetar med de åtgärder som behövs. Detta alternativ är det som internrevisionen rekommenderar om universitetet vill behålla nuvarande interna riktlinjer för arbetet med intern styrning och kontroll, samt arbeta för 14

15 att uppnå de goda intentionerna i riktlinjerna. I bilaga 5 finns ett förslag till hur detta alternativ skulle kunna utformas mer i detalj. Det finns ett tredje alternativ, som kan vara både innovativt och effektivt. Detta innebär att kvalitetsarbete samt annat ordinarie arbete med intern styrning och kontroll kartläggs för att utreda om arbetet räcker för att följa de obligatoriska momenten enligt FISK och i övrigt upprätthålla ett gott arbete med intern styrning och kontroll. En sådan utredning kan peka på vilka delar av det ordinarie arbetet med intern styrning och kontroll som kan återanvändas, samt vilka kompletteringar som behövs. Om intresse finns skulle internrevisionen kunna genomföra en dylik utredning som rådgivningsuppdrag. Medan utredningen pågår skulle universitetet kunna fortsätta riskhanteringsarbetet med de redan framtagna blanketterna samt komplettera med frågor om uppföljning. Vilket av de tre alternativen som tilltalar universitetsledningen mest torde vara beroende på vilken ambitionsnivå man eftersträvar för riskhanteringen, samt hur man väljer att betrakta FISK relaterat till intern styrning och kontroll i ett bredare perspektiv. Internrevisionen rekommenderar att universitetsledningen beaktar alla tre alternativen som presenterats ovan samt därefter beslutar vilken inriktning det fortsatta arbetet med intern styrning och kontroll ska ha. 6 Internrevisionens uppföljning Internrevisionen avser att följa upp de åtgärder som vidtas med anledning av denna granskning. Uppföljningen kommer att presenteras i en eller flera av internrevisionens årsrapporter. 15

16 Bilaga 1 FISK Förordning (2007:603) om intern styrning och kontroll Ekonomistyrningsverkets föreskrifter och allmänna råd (Senast ändrade genom ESV:s cirkulär 2012:8) Tillämpningsområde 1 Denna förordning gäller för förvaltningsmyndigheter under regeringen som har skyldighet att följa internrevisionsförordningen (2006:1228). Intern styrning och kontroll 2 Med intern styrning och kontroll avses den process som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen (2007:515). I 3 6 anges de moment som skall ingå i denna process. ESV:s allmänna råd till 2 Processen för intern styrning och kontroll syftar till att myndighetsledningen fullgör ansvaret för verksamheten. Verksamheten definieras av uppgifter, mål och uppdrag i instruktion, regleringsbrev eller beslut givna i annan ordning från regeringen. Rimlig säkerhet innebär att en ändamålsenligt utformad och väl införd process för intern styrning och kontroll inte kan garantera fullständig säkerhet. Riskanalys 3 En riskanalys skall göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av 3 myndighetsförordningen (2007:515) inte fullgörs. ESV:s föreskrifter till 3 Myndigheten ska vid behov uppdatera genomförd riskanalys för att säkerställa att den omfattar aktuella risker. ESV:s allmänna råd till 3 Riskanalys innebär att identifiera och värdera risker för att därefter ta ställning till om riskerna ska accepteras eller hanteras. Omständigheter utgör en risk när de påverkar myndighetens möjlighet att fullgöra uppgifterna, nå målen eller genomföra uppdragen för verksamheten. 16

17 Om ledningen bedömer att verksamheten kan komma att utsättas för otillbörlig påverkan och brottslighet bör myndigheten upprätta rutiner och handlingsplaner (åtgärder enligt 4 ) för att upptäcka och begränsa konsekvensen av sådana händelser. Kontrollåtgärder 4 Med ledning av riskanalysen skall åtgärder vidtas som är nödvändiga för att de krav som framgår av 3 myndighetsförordningen (2007:515) skall fullgöras med rimlig säkerhet. ESV:s föreskrifter till 4 Myndigheten ska vidta åtgärder för identifierade risker som inte kan accepteras. Berörda myndigheter ska samarbeta i de fall en åtgärd kan vidtas på annan myndighet än den som löper risken. ESV:s allmänna råd till 4 Myndigheten bör göra en avvägning mellan den kostnad en viss åtgärd för med sig och den förväntade nyttan av åtgärden. Risker som endast kan åtgärdas av annan myndighet bör redovisas till regeringen om risken efter samarbete mellan myndigheter inte kan accepteras och en ändamålsenlig åtgärd inte kommer att vidtas. Uppföljning 5 Den interna styrningen och kontrollen skall systematiskt och regelbundet följas upp och bedömas. Vid bedömningen skall iakttagelser som lämnas vid extern revision och internrevision beaktas. ESV:s föreskrifter till 5 Uppföljningen ska omfatta myndighetens process för intern styrning och kontroll för att bedöma om den fungerar på ett betryggande sätt. Dokumentation 6 Riskanalysen enligt 3, kontrollåtgärderna enligt 4 samt uppföljningen och bedömningen enligt 5 skall dokumenteras. ESV:s föreskrifter till 6 Dokumentationen ska upprättas så att det ska gå att följa myndighetens process för intern styrning och kontroll från riskanalys till beslut om kontrollåtgärder och till uppföljning och bedömning. 17

18 Dokumentationen ska ligga till grund för ledningens bedömning av den interna styrningen och kontrollen som ska göras i anslutning till underskriften i årsredovisningen enligt 2 kap. 8 förordningen (2000:605) om årsredovisning och budgetunderlag. Om det föreligger brister i den interna styrningen och kontrollen, ska dessa brister beskrivas i dokumentationen. ESV:s allmänna råd till 6 En redovisning av de risker som har bedömts vara väsentliga för myndighetens förmåga att fullgöra sina uppgifter och nå sina mål bör finnas sammanställd för hela myndigheten. I denna redovisning bör också framgå vidtagna eller planerade åtgärder och hur de ska eller har följts upp och bedömts. Även ansvar för genomförande och tidsramar bör redovisas här. Verkställighetsföreskrifter 7 Ekonomistyrningsverket får meddela de föreskrifter som behövs för verkställigheten av denna förordning. ESV:s föreskrifter till 7 Ekonomistyrningsverket kan i enskilda fall pröva och meddela undantag från föreskrifter i denna förordning. 18