Regeringsuppdrag. Rapport Utvecklad intern styrning och kontroll. Förslag till förordningsändringar om intern styrning och kontroll.

Relevanta dokument
Regeringsuppdrag. Rapport Tillämpningen av förordningen om intern styrning och kontroll ESV 2017:65

Nätverk för intern styrning och kontroll. Nätverksträff 1,

Handledning Samarbete om risker i verksamheten

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Regler och riktlinjer för intern styrning och kontroll vid KI

Frågor om internrevision och intern styrning och kontroll 2019

Frågor om internrevision

Rapport Säkerställd intern styrning och kontroll Myndigheternas redovisning i årsredovisningarna för 2013 ESV 2014:36

Internrevisionsförordning (2006:1228)

Handledning Ansvaret för intern styrning och kontroll. Ansvaret enligt myndighetsförordningen och förordningen om årsredovisning och budgetunderlag

Intern styrning & kontroll samt internrevision i staten

Revisionsrapport Karolinska Institutet Stockholm

Rapport Säkerställd intern styrning och kontroll Myndighetsledningarnas bedömning av intern styrning och kontroll i årsredovisningen för 2014

Uppgifter till redovisningen över internrevisionen

Frågor om internrevision och intern styrning och kontroll 2018

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Frågor om internrevision och intern styrning och kontroll 2017

Ledamot av myndighetsstyrelse

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Riktlinjer för internrevisionen vid Linnéuniversitetet

Vägledning Oegentligheter och intern styrning och kontroll. Att komma vidare i arbetet med att förebygga och upptäcka oegentligheter ESV 2016:24

Ledamot av styrelsen för ett universitet eller en högskola

Utdrag ur universitetsstyrelsens protokoll 14 december Regler för Internrevisionen

Riktlinjer för internrevisionen vid Sida

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Internrevisionens revisionsplan 2008

Instruktion för internrevisionen vid Malmö högskola

Ekonomistyrningsverkets förslag på nya föreskrifter och allmänna råd

Nätverk för intern styrning och kontroll. Nätverksträff 2, Patrick Freedman och Karolina Larfors

Kommittédirektiv. Utveckling i staten genom systematiska. jämförelser, Dir. 2014:120. Beslut vid regeringssammanträde den 21 augusti 2014

Etikrelaterade mål, program och aktiviteter vid Malmö högskola

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Revisionsplan för Linnéuniversitetet 2015

Dokumentnamn Dokumenttyp Datum Arbetsordning med styrelsens delegationer för Tillväxtverket

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Ledamot av styrelsen för ett universitet eller en. högskola

Rapport Internrevision och intern styrning och kontroll Regeringsuppdrag

Kommittédirektiv. En expertgrupp för digitala investeringar. Dir. 2017:62. Beslut vid regeringssammanträde den 8 juni 2017.

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Regeringsrapport internrevision/ intern styrning och kontroll Catrin Lind Ebert

Policy för internkontroll för Stockholms läns landsting och bolag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Tillväxtverkets riktlinjer för intern styrning och kontroll

Rapport Redovisning över den statliga internrevisionen och myndigheternas interna styrning och kontroll Regeringsuppdrag

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Revisionsplan för Linnéuniversitetet 2016

Regeringsuppdrag. Rapport Om internrevisionen ESV 2012:48

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Revisionsrapport - Årsredovisning för staten 2017

Instruktion för Internrevision vid Linköpings universitet

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Finansdepartementet. Avdelningen för offentlig förvaltning. Ökad styrning av myndigheternas lokalisering

Process för intern styrning och kontroll

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Rapport Intyg ersätter tidigare intyg. 16 oktober oktober 2011 Europeiska jordbruksfonden för landsbygdsutveckling (EJFLU)

Förslag om ändringar i förordningen med instruktion för Skatteverket

Reglemente för internkontroll

Riktlinjer för intern kontroll

Riktlinjer för intern styrning och kontroll vid SLU

Kommittédirektiv. Tilläggsdirektiv till Tillitsdelegationen (Fi 2016:03) Dir. 2019:6. Beslut vid regeringssammanträde den 28 mars 2019

Nämndernas arbete med intern kontroll

Oegentligheter och korruption Risker och granskning inom universitet- och högskolesektorn

Att styra staten regeringens styrning av sin förvaltning (SOU 2007:75)

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

LIDINGÖ STADS FÖRFATTNINGSSAMLING F 20 / 2017 REGLEMENTE FÖR INTERN KONTROLL I LIDINGÖ STAD

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Vård- och omsorgsnämndens resultat kommunrevisionens webbenkät intern styrning och kontroll förtroendevalda och chefer juni 2018 Lidköpings kommun

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Policy för Essunga kommuns internkontroll

Idrottsnämndens system för internkontroll

Frågor att ställa om IK

Utdrag. Forum för främjande av värdegrundsarbetet i statsförvaltningen

Riktlinjer för intern kontroll i Örebro kommun

Stadsledningskontorets system för intern kontroll

Handledning Att hantera verksamhetsrisker. Processen enligt förordningen om intern styrning och kontroll 2012:47

Intern kontroll och riskbedömningar. Strömsunds kommun

Nya regler för AP-fonderna (Ds 2015:34)

Anvisning för intern kontroll och styrning

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Med tillit växer handlingsutrymmet (SOU 2018:47) och En lärande tillsyn (SOU 2018:48)

Regeringsuppdrag. Rapport Redovisning över den statliga internrevisionen Internrevision och intern styrning och kontroll under :14

Reglemente och tillämpning för intern styrning och kontroll. I Upplands-Bro kommun

Revisionsberättelse för Myndigheten för yrkeshögskolan 2014

Arbetsordning Högskolan Dalarna

Revisionsberättelse för Migrationsverket 2016

Lokala regler och anvisningar för intern kontroll

Riktlinje för intern styrning och kontroll

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Ekonomistyrningsverkets remissvar över betänkandena Med tillit växer handlingsutrymmet (SOU 2018:47 och En lärande tillsyn (SOU2018:48)

Förvaltningskommitténs slutbetänkande: Styra och ställa - förslag till en effektivare statsförvaltning (SOU 2008:118)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsberättelse för Sveriges riksbank 2015

Bilaga Från standard till komponent

Rapport Intern styrning och kontroll på Statens energimyndighet ESV 2014:24

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Yttrande över Översyn av Riksrevisionen slutbetänkande (2017/18:URF2)

Transkript:

Regeringsuppdrag Rapport Utvecklad intern styrning och kontroll Förslag till förordningsändringar om intern styrning och kontroll. 2018:20

Publikationen kan laddas ner från ESV:s webbplats esv.se. Datum: 2018-02-14 Dnr: 2017-01025 ESV-nr: 2018:20 Copyright: ESV Rapportansvarig: Karolina Larfors

FÖRORD Förord Ekonomistyrningsverket (ESV) har haft i uppdrag att lämna förslag till förordningsändringar utifrån de bedömningar som ESV redovisat i rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65). Annika Alexandersson, Patrick Freedman, Tomas Kjerf och Karolina Larfors har tagit fram denna rapport. Ekonomistyrningsverket överlämnar härmed rapporten Utvecklad intern styrning och kontroll och uppdraget är därmed avslutat. Stockholm 2018-02-14 Clas Olsson Generaldirektör Karolina Larfors Utredare 3

INNEHÅLL Innehåll Förord... 3 1 Sammanfattning... 6 1.1 ESV:s förslag... 6 1.2 Förslagen underlättar myndigheternas tillämpning... 7 1.3 Nyttan av förslagen överstiger kostnaderna... 7 2 Inledning... 9 2.1 Vårt uppdrag... 9 2.2 Vår tolkning av uppdraget... 9 2.3 Uppdragets genomförande... 10 2.4 Avgränsningar... 11 3 Tidigare kartläggning visar på önskemål om förordningsändringar... 13 3.1 Behov av förordningsändringar för att effektivisera arbetet med intern styrning och kontroll... 13 3.2 Fortsatt utredning utifrån följande utgångspunkter... 13 4 Regleringen av intern styrning och kontroll... 17 4.1 Varför intern styrning och kontroll?... 17 4.2 Regleringen bygger på internationella ramverk... 19 4.3 Intern styrning och kontroll är mer än riskhantering... 24 4.4 Regelverket i några andra länder... 26 4.5 Intern styrning och kontroll i andra organisationer... 31 5 ESV:s överväganden och förslag... 34 5.1 Myndighetsledningens ansvar... 34 5.2 En tydlig koppling till myndighetens uppgifter och verksamhetens mål... 35 5.3 Reglering av intern miljö... 37 5.4 Arbetet mot oegentligheter och förordningen om intern styrning och kontroll... 40 5.5 Bredare fokus för riskanalysen... 42 5.6 Ändring av begreppet kontrollåtgärder... 45 5.7 Kravet på dokumentation får ett syfte... 46 5.8 Samma period för bedömningen som för årsredovisningen i övrigt... 47 5.9 Följdändringar i andra förordningar... 49 6 Konsekvenser för myndigheter, Regeringskansliet och Riksrevisionen... 50 6.1 Konsekvenser för myndigheternas arbete med intern styrning och kontroll... 50 6.2 Konsekvenser för regeringens uppföljning och prövning... 53 6.3 Konsekvenser för Riksrevisionens årliga revision... 55 6.4 Konsekvenserna av oförändrade förordningar... 56 7 Författningsförslag... 58 7.1 Förordningen om intern styrning och kontroll... 58 7.2 Förordningen om årsredovisning och budgetunderlag... 59 7.3 Internrevisionsförordningen... 59 4

INNEHÅLL Referenser... 60 Ordlista... 63 5

SAMMANFATTNING 1 Sammanfattning Ekonomistyrningsverket (ESV) har haft i uppdrag att lämna förslag till ändringar i förordningen (2007:603) om intern styrning och kontroll samt förordningen (2000:605) om årsredovisning och budgetunderlag utifrån de bedömningar som ESV tidigare har redovisat i rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65). Uppdraget har även omfattat att lämna förslag på följdändringar i andra förordningar samt att utreda vilka konsekvenser förslagen får för myndigheterna. 1 ESV har genomfört uppdraget som en utredning med många externa kontakter. Här sammanfattar ESV sina slutsatser och förslag. 1.1 ESV:s förslag ESV föreslår att regeringen gör följande ändringar i förordningen om intern styrning och kontroll: En bestämmelse införs i 2 om att intern styrning och kontroll är myndighetsledningens process. En ändring införs i 2 om att den interna styrningen och kontrollen syftar till att myndigheten med rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål. Ett tillägg görs i 2 om att myndighetsledningen ska upprätthålla en god intern miljö som en del av processen för den interna styrningen och kontrollen. Ett tillägg görs i 2 om att processen för intern styrning och kontroll ska bedrivas så att verksamheten skyddas mot korruption, otillbörlig påverkan, bedrägeri eller annan oegentlighet. En ändring görs i 3 om att riskanalysen ska göras i syfte att identifiera omständigheter som utgör väsentlig risk för att myndigheten inte fullgör sina uppgifter eller når verksamhetens mål. Riskanalysen får även beakta omständigheter som ger ökad möjlighet att fullgöra myndighetens uppgifter och nå verksamhetens mål. Begreppet kontrollåtgärder ändras till åtgärder i rubriken i 4. Kravet på dokumentation i 6 ändras så att riskanalys och åtgärder ska dokumenteras i den utsträckning som myndigheten behöver för uppföljning och bedömning av om det finns en betryggande intern styrning och kontroll. ESV föreslår även att regeringen ändrar: 2 kap. 8 förordningen om årsredovisning och budgetunderlag så att ledningens bedömning omfattar samma period som årsredovisningen avser. 1 Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta fram förordningsförslag för en utvecklad intern styrning och kontroll, Finansdepartementet, 2017-10-19. 6

SAMMANFATTNING 4 internrevisionsförordningen (2006:1228) till att internrevisionen ska granska om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål. ESV:s förslag till ändringar i berörda förordningar framgår av kapitel 7 i denna rapport. ESV föreslår att bestämmelserna börjar gälla från och med den 1 januari 2019. 1.2 Förslagen underlättar myndigheternas tillämpning I ESV:s tidigare rapport framkom bland annat att de myndigheter som ska tillämpa förordningen om intern styrning och kontroll (de så kallade internrevisionsmyndigheterna 2 ) gör det med viss variation. Analysen visade att det är svårt för myndigheterna att uppskatta kostnaderna för riskhanteringen men att nyttan motsvarar eller överstiger kostnaderna för drygt hälften av myndigheterna. Samtidigt önskar en stor andel av myndigheterna förändringar i förordningen om intern styrning och kontroll. Utifrån den analysen drog ESV slutsatsen att myndigheternas önskemål snarare pekade på att myndigheterna ville ha förändringar i regleringen än att regleringen ska upphävas. De förslag till förordningsändringar som ESV lämnar i denna rapport syftar till att underlätta myndigheternas tillämpning av berörda förordningar och effektivisera deras arbete med intern styrning och kontroll. ESV bedömer att förslagen bland annat ökar förutsättningarna för att den interna styrningen och kontrollen integreras som en del av ledningen av verksamheten. Förslagen medför också att myndigheterna i större utsträckning internt kan bestämma vad processen för den interna styrningen och kontrollen ska generera och hur den ska dokumenteras. Det betyder att det även fortsatt finns utrymme för verksamhetsanpassning på den enskilda myndigheten. Förslagen syftar även till att minska den administrativa belastningen som många myndigheter upplever vid tillämpningen av förordningen om intern styrning och kontroll. ESV:s förslag innebär vidare en skärpning av myndigheternas interna styrning och kontroll, på så vis att den också ska omfatta arbetet mot olika typer av oegentligheter. 1.3 Nyttan av förslagen överstiger kostnaderna ESV bedömer att förslagen underlättar myndigheternas tillämpning av regelverket. Vidare ger förslagen ökad möjlighet till verksamhetsanpassning och integrering av den interna styrningen och kontrollen med övrig ledning av verksamheten. ESV bedömer även att nyttan med de samlade förslagen är större än de kostnader och den administration som de kan medföra. ESV:s arbete med regeringsuppdraget har innefattat många externa kontakter, där utkast till förslag och deras konsekvenser har 2 Med internrevisionsmyndighet menas de myndigheter som regeringen har beslutat ska tillämpa internrevisionsförordningen. Dessa myndigheter ska också tillämpa förordningen om intern styrning och kontroll enligt 1 förordningen om intern styrning och kontroll. 7

SAMMANFATTNING diskuterats med företrädare för internrevisionsmyndigheterna, Regeringskansliet och Riksrevisionen. Det har lett till att ESV har justerat förslagen för att minska de negativa konsekvenserna för olika parter. Av kontakterna har det också framgått att några av förslagen innebär en kodifiering av det arbetssätt som vissa av de berörda myndigheterna redan använder. I andra fall har arbetet med förslagen visat att det kan finnas en konflikt mellan olika intressen, till exempel om hur den interna styrningen och kontrollen ska dokumenteras. I dessa fall har ESV utformat förslagen i syfte att såväl underlätta för myndigheterna, som att möjliggöra granskning av den interna styrningen och kontrollen. 8

INLEDNING 2 Inledning I detta kapitel redogör vi för ESV:s regeringsuppdrag och hur vi har tolkat det. Vi redogör vidare för hur uppdraget har genomförts och de avgränsningar som ESV har gjort. 2.1 Vårt uppdrag Regeringen har den 19 oktober 2017 beslutat att ge ESV i uppdrag att ta fram förordningsförslag för en utvecklad intern styrning och kontroll. Av beslutet framgår att ESV ska lämna förslag till ändringar i förordningen om intern styrning och kontroll samt förordningen om årsredovisning och budgetunderlag utifrån de bedömningar som myndigheten redovisat i rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65). ESV ska vid behov även lämna förslag på följdändringar i andra författningar. I uppdraget ingår också att utreda vilka konsekvenser förslagen får för myndigheterna. Det är centralt att reglerna utformas så att nyttan av dessa överstiger de kostnader och den administration som de innebär. Under arbetets gång ska avstämningar ske med Regeringskansliet (Finansdepartementet). ESV ska redovisa uppdraget till regeringen senast den 15 februari 2018. 3 2.2 Vår tolkning av uppdraget Vi har tolkat uppdraget som att ESV ska utreda och lämna förslag till förändringar i förordningen om intern styrning och kontroll och förordningen om årsredovisning och budgetunderlag. Förslagen ska utgå från ESV:s bedömningar i rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65). ESV ska också, om så behövs, lämna förslag till följdändringar i andra författningar. Det har vi tolkat som ett uppdrag att lämna förslag till följdändringar i andra förordningar som direkt berörs av de ändringar vi föreslår i förordningen om intern styrning och kontroll och förordningen om årsredovisning och budgetunderlag. ESV har identifierat att det finns behov av följdändringar i internrevisionsförordningen. Uppdraget innebär också en utredning av vilka konsekvenser som ESV:s förslag till förordningsändringar kan få för myndigheter. Till myndigheter räknar vi de myndigheter som ska tillämpa förordningen om intern styrning och kontroll (de så kallade internrevisionsmyndigheterna) 4, men också Regeringskansliet och Riksrevisionen. 3 Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta fram förordningsförslag för en utvecklad intern styrning och kontroll, Finansdepartementet, 2017-10-19. 4 Förordningen om intern styrning och kontroll ska tillämpas av de myndigheter som har en skyldighet att följa internrevisionsförordningen. Under 2017 fanns det 69 internrevisionsmyndigheter. Internrevisionsmyndigheterna finns 9

INLEDNING Av uppdraget framgår vidare att nyttan av förslagen till förordningsändringar ska överstiga de kostnader och den administration som reglerna innebär. Vi har i vår konsekvensanalys haft ett särskilt fokus på om de föreslagna förordningsändringarna kan komma att påverka myndigheternas arbete på ett negativt sätt, med ökat arbete och ökade kostnader som följd. 2.3 Uppdragets genomförande Vi har genomfört uppdraget som en utredning med många externa kontakter. Det interna arbetet har inneburit att utkast till förslag till ändringar i de berörda förordningarna har arbetats fram och stämts av inom ESV. Utredningen har också översiktligt omfattat en genomgång av vilka delar det kan bli aktuellt med ändringar i ESV:s föreskrifter och allmänna råd. Arbetet med att se över dessa sker dock i ett senare skede, om regeringen beslutar att ändra i förordningarna. I övrigt har materialinsamlingen i utredningen innefattat en avgränsad omvärldsanalys av hur intern styrning och kontroll regleras internationellt samt i några andra sektorer. Analysen återfinns i kapitel 4 och syftar till att sätta ESV:s förslag i ett bredare sammanhang. ESV:s utredning har genomförts i dialog med företrädare för internrevisionsmyndigheterna, Regeringskansliet och Riksrevisionen. Vi har diskuterat utkast till förslag till förordningsändringar med intressenter i olika konstellationer, något som vi utvecklar nedan. Diskussionerna har handlat om utformningen av möjliga förordningsändringar och vilka konsekvenser ändringarna skulle få för myndigheterna. I underlaget till diskussionerna har även ett tidigt utkast till ändrade föreskrifter och allmänna råd funnits med. Det material som vi har samlat in har främst varit av kvalitativ art. Materialet har sedan legat till grund för vår fortsatta beredning av ESV:s förslag till förordningsändringar. ESV har bjudit in företrädare för internrevisionsmyndigheterna till tre tillfällen för att diskutera regeländringar. Vid en av träffarna har vi också erbjudit deltagande via webbsändning, i syfte att möjliggöra för fler myndigheter att kunna bidra med synpunkter. Målgruppen för dessa möten har varit personer som arbetar med frågor om intern styrning och kontroll eller internrevision på en internrevisionsmyndighet. Vid dessa möten har sammanlagt företrädare för 39 internrevisionsmyndigheter deltagit. Därutöver har vi vid två tillfällen bjudit in de myndigheter som utgjorde ESV:s urval 5 i rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65). Vid en inledande workshop diskuterade företrädare för åtta myndigheter hur berörda förordningar skulle kunna ändras utifrån de bedömningar som ESV uppräknade på ESV:s webbplats, se http://www.esv.se/effektivstatsforvaltning/styrning/internrevision/internrevisionsmyndigheter/. 5 I urvalet i ESV 2017:65 ingick Arbetsförmedlingen, Försvarets materielverk, Försäkringskassan, Migrationsverket, Skatteverket, Statens fastighetsverk, Statens jordbruksverk, Statens skolverk, Trafikverket och Uppsala universitet. Vi har dessutom i denna utredning kompletterat urvalet med Kungliga tekniska högskolan och Stockholms universitet. 10

INLEDNING gjorde i den tidigare rapporten. Sex myndigheter har också deltagit i en fördjupad diskussion om konsekvenserna av föreslagna förordningsändringar. ESV har träffat företrädare för de departement dit myndigheterna i vårt urval hör för att diskutera utkast till förslag till förordningsändringar och konsekvenserna av dessa för Regeringskansliet. Vid mötet deltog företrädare för sex departement. Berörda departement har också inbjudits att lämna synpunkter skriftligen, något som fyra departement har gjort. ESV har träffat företrädare för Riksrevisionen vid ett möte, där ansvariga revisorer för några av myndigheterna i ESV:s urval fått möjlighet att lämna synpunkter på utkast till förslag till förordningsändringar. Vid mötet har vi också diskuterat vilka konsekvenser föreslagna ändringar kan få för Riksrevisionens granskning av myndigheternas interna styrning och kontroll. Statskontoret har bland annat i uppgift att stärka en god förvaltningskultur i staten och motverka korruption. Vi har därför diskuterat de förslag till förordningsändringar som rör den interna miljön och arbetet mot oegentligheter med företrädare för Statskontoret. Utkast till förslag till förordningsändringar har också diskuterats med ESV:s insynsråd och ESV:s internrevisionsråd. Företrädare för Finansdepartementet och Riksrevisionen har fått möjlighet att lämna synpunkter på utkast till förslag till förordningsändringar samt på utkast till rapport. 2.4 Avgränsningar ESV:s utredning omfattar förslag till ändringar i förordningen om intern styrning och kontroll, förordningen om årsredovisning och budgetunderlag samt internrevisionsförordningen. Uppdraget har inte omfattat en komplett översyn av förordningarna utan de förslag ESV lämnar har utgått från de bedömningar som ESV gjorde i rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65). ESV:s konsekvensanalys utgår från det material som vi har samlat in vid våra möten med internrevisionsmyndigheterna, Regeringskansliet och Riksrevisionen. I ESV:s tidigare rapport framgår att få internrevisionsmyndigheter kan kvantifiera kostnaderna för det arbete som hör samman med tillämpningen av förordningen om intern styrning och kontroll. 6 Mot den bakgrunden har vi i denna utredning bedömt att det inte har varit möjligt att samla in kvantitativa uppgifter från alla internrevisionsmyndigheter om hur omfattningen av myndigheternas arbete skulle påverkas av ESV:s förordningsändringar. Däremot har vi vid våra träffar med myndigheterna bett 6 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm, kapitel 5. 11

INLEDNING närvarande företrädare att uppskatta om ESV:s förslag till ändringar kommer att innebära att myndigheternas arbete kommer att öka, minska eller vara oförändrat, liksom vilka övriga konsekvenser som förslagen kan medföra. 12

TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR 3 Tidigare kartläggning visar på önskemål om förordningsändringar ESV:s uppdrag utgår från de bedömningar som ESV redovisat i rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65). I detta kapitel redogör vi för slutsatserna och förslagen i den tidigare rapporten, då dessa utgör en utgångspunkt för vårt arbete med regeringsuppdraget. För en mer omfattande beskrivning av hur myndigheterna tillämpar förordningen om intern styrning och kontroll hänvisar vi till rapporten i sin helhet. 3.1 Behov av förordningsändringar för att effektivisera arbetet med intern styrning och kontroll I den tidigare rapporten redovisade ESV hur förordningen om intern styrning och kontroll tillämpas av myndigheterna. ESV drog bland annat slutsatsen att myndigheterna tillämpar förordningen med viss variation. Analysen visade att kostnaderna för riskhanteringen är svåra för myndigheterna att uppskatta men att nyttan motsvarar eller överstiger kostnaderna för drygt hälften av myndigheterna. Förordningen fyller också ett syfte för regeringen, bland annat i relation till riksdagen och EU. Av ESV:s tidigare rapport framgår också att en stor andel av internrevisionsmyndigheterna (knappt hälften) önskade förändringar i förordningen. Av dessa var det sex stycken myndigheter som ville att förordningen skulle tas bort. ESV:s samlade slutsats var dock att myndigheternas önskemål snarare pekade på att myndigheterna ville ha förändringar i regleringen av intern styrning och kontroll, än att förordningsregleringen ska upphävas. ESV kunde konstatera att det fanns önskemål om förändringar som handlar om begrepp som ses som begränsande eller svåra att förstå, som till exempel riskanalys och kontrollåtgärder. Mot den bakgrunden föreslog ESV att ett antal förändringar i regleringen skulle utredas vidare i syfte att möta de önskemål som myndigheterna framfört om en anpassad reglering som kan effektivisera arbetet med intern styrning och kontroll. 7 3.2 Fortsatt utredning utifrån följande utgångspunkter Här redogör vi för de förslag till fortsatt utredning som ESV identifierat i sin tidigare rapport samt för de huvudsakliga argumenten för dessa. 8 7 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm, kapitel 8. 8 Hela avsnittet baseras på ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, avsnitt 8.5. 13

TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR 3.2.1 Lyft fram myndighetsledningens ansvar för intern styrning och kontroll ESV konstaterade att det saknas ett utpekat ansvar i förordningen om intern styrning och kontroll och att det är en svaghet i förordningen. Genom att lyfta fram att det är myndighetsledningens interna styrning och kontroll förtydligas ledningens ansvar. Ledningen behöver ta ställning till vilken information arbetet ska generera. Detta för att ledningen ska kunna ta ansvar för att verksamheten bedrivs på ett sätt som gör att myndigheten med rimlig säkerhet fullgör sina uppgifter och når sina mål. När ledningen har tagit ställning till vad den förväntar sig att intern styrning och kontroll ska ge får verksamheten förutsättningar att svara mot dessa förväntningar. Därmed minskar risken för att processen levererar fel information till ledningen, något som skapar en onödig administrativ belastning på myndigheten. ESV bedömde vidare att en process som utgår från ledningens behov kan medföra att fler myndigheter upplever att nyttan av den interna styrningen och kontrollen överstiger den bedömda kostnaden av arbetet. Ett förtydligande av ansvaret för den interna styrningen och kontrollen i förordningen bör enligt ESV:s rapport formuleras utifrån utgångspunkten att myndighetsledningens ansvar även fortsättningsvis regleras i myndighetsförordningen. 3.2.2 Lyft in den interna miljön i förordningen om intern styrning och kontroll I den tidigare rapporten föreslog ESV också att förordningen om intern styrning och kontroll bör breddas till att också omfatta de internationella ramverkens moment om intern miljö. Det skulle enligt rapporten bidra till att skapa en större tydlighet vad gäller syftet med arbetet med intern styrning och kontroll, och därigenom öka möjligheten till att effektivisera arbetet med den interna styrningen och kontrollen. ESV bedömde att förslaget också skulle understödja arbetet och förtydliga myndighetsledningens ansvar för en god förvaltningskultur i staten. Ytterligare ett skäl att reglera den interna miljön i förordningen om intern styrning och kontroll är att den utgör en viktig grund för arbetet mot oegentligheter i förvaltningen. 3.2.3 Förtydliga kopplingen mellan intern styrning och kontroll och arbetet mot oegentligheter I förordningen om intern styrning och kontroll finns i dag inte någon skrivning om att arbetet ska bidra till att motverka oegentligheter i verksamheten. Det framgår i stället av ESV:s allmänna råd. Av ESV:s tidigare kartläggning framgår att arbetet mot oegentligheter får ett begränsat stöd genom myndigheternas arbete med riskanalyser. ESV gjorde därför bedömningen att arbetet mot oegentligheter skulle vinna på att det tydligare framgår att ett av syftena med den interna styrningen och kontrollen är att 14

TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR motverka otillbörlig påverkan, bedrägeri eller andra oegentligheter. En sådan koppling bör kunna göras direkt i förordningstexten. En reglering i förordningen ger också ESV större möjlighet att i föreskrifter och stöd arbeta vidare med frågor som rör oegentligheter. 3.2.4 Förtydliga förordningens koppling mot myndighetens uppgift och mål I 2 förordningen om intern styrning och kontroll framgår att intern styrning och kontroll avser den process som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen (2007:515). En av slutsatserna i ESV:s tidigare rapport är att denna hänvisning är vag och oprecis. ESV gjorde bedömningen att genomförandet av arbetet med intern styrning och kontroll skulle vinna på om förordningen förtydligades och att det direkt i förordningen framgår att fokus för den interna styrningen och kontrollen är vad som ska uppnås, det vill säga myndighetens uppgift och mål. Samtidigt påpekade ESV att det vid en sådan förändring är väsentligt att inte glömma de fyra så kallade verksamhetskraven som framgår av 3 myndighetsförordningen. Även om verksamhetskraven redan tydligt regleras i myndighetsförordningen kan det finnas anledning att inom den interna styrningen och kontrollen lyfta fram dem genom tillhörande föreskrifter, allmänna råd eller på annat sätt i ESV:s stöd. 3.2.5 Möjliggör ett bredare fokus för riskanalysen ESV har konstaterat att förordningen om intern styrning och kontroll begränsar riskanalysen till att endast gälla risker med en oönskad konsekvens för vad som följer av verksamheten. I ESV:s kartläggning har flera myndigheter pekat på att en sådan begränsning kan skapa en ineffektivitet när arbetet med intern styrning och kontroll integreras med andra verksamhetsstyrningsprocesser. Myndigheterna framför att den interna styrningen och kontrollen också bör ge möjlighet att hantera önskade effekter av ett agerande. ESV delade denna uppfattning och har föreslagit att förordningen förändras så att analysen av verksamheten ska kunna innefatta både oönskade och önskade effekter av ett agerande. Samtidigt är det viktigt att myndigheternas analyser även fortsättningsvis omfattar risker. Det kan därför finnas anledning att kombinera en mer neutral skrivning i förordningen med att ESV:s föreskrifter eller allmänna råd också betonar att myndigheten identifierar risker för verksamheten. 3.2.6 Knyt dokumentationskravet till bedömningen av den interna styrningen och kontrollen ESV har konstaterat att syftet med dokumentationen av den interna styrningen och kontrollen i den nuvarande regleringen är oklart. Dokumentationskravet har av 15

TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR många myndigheter i ESV:s kartläggning lyfts fram som en administrativ belastning för verksamheten. Andra myndigheter har inte samma uppfattning. ESV gör i rapporten bedömningen att ett uttalat syfte med dokumentationskravet kan hjälpa myndigheterna att hitta en nivå för sitt arbete med dokumentationen av arbetet med intern styrning och kontroll. ESV har därför föreslagit att förordningen ändras så att dokumentationen ska utgöra ett underlag för bedömningen av om det på myndigheten finns en betryggande intern styrning och kontroll. 3.2.7 Använd samma period för bedömningen som för årsredovisningen ESV anser i sin tidigare rapport att myndighetsledningens bedömning av intern styrning och kontroll bör avse samma period som årsredovisningen i övrigt. Det kan uppnås genom att ändra förordningen om årsredovisning och budgetunderlag. Med en sådan ändring får regeringen ett bättre underlag i årsredovisningen för att följa upp om myndighetens process för intern styrning och kontroll har fungerat betryggande för den period som årsredovisningen avser. 16

REGLERINGEN AV INTERN STYRNING OCH KONTROLL 4 Regleringen av intern styrning och kontroll I detta kapitel redogör vi för förordningen om intern styrning och kontroll och sätter den i ett sammanhang med övriga förordningar som utgör det samlade regelverket för intern styrning och kontroll inom statlig förvaltning. Vi redovisar också olika internationella ramverk för intern styrning och kontroll och hur de relaterar till svensk reglering. I kapitlet finns också en kortfattad beskrivning av hur intern styrning och kontroll är reglerat i några andra länder och på några andra områden än i svensk statsförvaltning. 4.1 Varför intern styrning och kontroll? Av regeringsformen framgår att den offentliga makten utövas under lagarna. 9 Regeringsformen anger även grundläggande mål för hur den offentliga verksamheten ska bedrivas. 10 Det är upp till regeringen att försäkra sig om att förvaltningen fullgör sitt förvaltningsansvar, det vill säga bedriver en effektiv verksamhet, följer lagar, förordningar och andra regler samt lämnar en tillförlitlig redovisning och rättvisande rapportering. 11 Det är därför av betydelse för regeringen att myndigheterna fungerar väl. En fungerande förvaltning gör det också möjligt för Sverige att uppfylla de krav som Europeiska kommissionen ställer på medlemsstaterna. 12 För varje myndighet utser regeringen en myndighetsledning 13 som leder verksamheten och är ansvarig för den inför regeringen. För att myndighetsledningen ska kunna ta sitt ansvar för verksamheten och säkerställa att den bedrivs i enlighet med myndighetsledningens instruktioner och riktlinjer, behöver myndighetsledningen upprätta en ordning för hur detta ska genomföras, det vill säga ett system för intern styrning och kontroll. 4.1.1 Det statliga ramverket Regeringen har valt att reglera aspekter av den interna styrningen och kontrollen med flera förordningar. De förordningar som tillsammans och i huvudsak innehåller det samlade ramverket för statlig intern styrning och kontroll är myndighetsförordningen 14, som reglerar myndighetsledningens ansvar förordningen om intern styrning och kontroll, som definierar intern styrning och kontroll och lyfter fram kravet på riskhantering 9 1 kap. 1 3 stycket, Regeringsformen. 10 1 kap. 2, Regeringsformen. 11 3, Myndighetsförordning (2007:515). 12 Ds 2006:15, Intern styrning och kontroll i staten, Stockholm, Finansdepartementet, s. 9. 13 Enligt 2 myndighetsförordningen leds en myndighet av en myndighetschef, en styrelse eller en nämnd. 14 För universitet och högskolor finns också bestämmelser som berör intern styrning och kontroll i högskoleförordningen (1993:100). 17

REGLERINGEN AV INTERN STYRNING OCH KONTROLL internrevisionsförordningen, som reglerar internrevisionens roll att granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll förordningen om årsredovisning och budgetunderlag, som reglerar myndighetsledningens försäkran till regeringen. I myndighetsförordningen framgår vad som kan utgöra en myndighets ledning och att ledningen är ansvarig för verksamheten inför regeringen. Här framgår också att en myndighetsledning ska säkerställa att det finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Det kravet gäller för alla myndigheter under regeringen. Därutöver har de myndigheter som omfattas av internrevisionsförordningen också en uttalad uppgift att tillämpa en process för intern styrning och kontroll bestående av att analysera risker, vidta åtgärder, följa upp och bedöma identifierade risker och vidtagna åtgärder samt dokumentera detta inrätta internrevision för att granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll bedöma om den interna styrningen och kontrollen är betryggande. Det finns fler bestämmelser om riskhantering som gäller för alla myndigheter under regeringen än de som framgår av ramverket som har beskrivits ovan, till exempel: 3 förordningen (1995:1300) om statliga myndigheters riskhantering. Enligt denna förordning ska myndigheten identifiera risker för skador eller förluster i verksamheten och vidta lämpliga åtgärder för att begränsa och förbygga dessa risker. 9 förordningen (2015:1052) om krisberedskap och höjd beredskap. Bestämmelsen innebär att myndigheten ska analysera sårbarhet eller sådana hot och risker som synnerligen allvarligt kan försämra förmågan till verksamhet samt planera och bedöma behovet av åtgärder. 6 förordningen (2006:1097) om statliga myndigheters betalningar och medelsförvaltning. Den anger att myndigheten ska analysera risker med betalningar. När en myndighet hanterar risker enligt andra bestämmelser är det också en del av riskhanteringen enligt förordningen om intern styrning och kontroll. Intern styrning och kontroll är som mest ändamålsenlig när den är en del av styrningen i myndigheten. På samma sätt som verksamhetsplanering och uppföljning inte kan skiljas från styrning av verksamheten bör inte heller riskhanteringen och andra aspekter av intern styrning och kontroll ses som något avskilt, utan vara en integrerad del av styrningen. 18

REGLERINGEN AV INTERN STYRNING OCH KONTROLL 4.2 Regleringen bygger på internationella ramverk Intern styrning och kontroll är inte något som i grunden är unikt framtaget för den svenska förvaltningen. Den svenska regleringen bygger på internationella ramverk. Det finns flera olika ramverk som beskriver arbetet med intern styrning och kontroll. De olika ramverken för intern styrning och kontroll har stora likheter med varandra och bygger på liknande huvudprinciper. ISO 15 har bland annat tagit fram en standard för riskhantering som knyter an till ISO:s övriga standarder inom styrning och ledning, ISO 31000. INTOSAI 16 ger vägledning om standard för intern styrning och kontroll i Guidelines for Internal Control Standards for the Public Sector. IIA 17 ger vägledning om internrevision av styrning och kontroll i International Professional Practice Framework. Förordningen om intern styrning och kontroll bygger på COSO:s 18 ramverk Internal Control från 1992 och som reviderades 2013. COSO har även tagit fram ett närliggande ramverk, Enterprise Risk Management (ERM-ramverket) 19. COSO:s två ramverk har till viss del olika syften men de bygger i huvudsak på samma grundkomponenter. Enligt COSO-modellerna är basen för arbetet med intern styrning och kontroll den interna miljön (engelska: Internal Environment 20 eller Control Environment 21 ) som finns i varje organisation samt att det finns en fungerande process för information och kommunikation i organisationen. Båda ramverken lyfter utöver detta fram att det behövs en process för riskhantering, från riskidentifiering till att risker åtgärdas och följs upp. Ramverken pekar på att det finns ett behov av att övervaka arbetet med intern styrning och kontroll. 15 Internationella standardiseringsorganisationen, International Organization for Standardization (ISO), utvecklar och förvaltar standarder för verksamheter. 16 INTOSAI, International Organization of Supreme Audit Institutions, är en mellanstatlig organisation för nationell revision. 17 IIA, The Institute of Internal Auditors, är en intresseorganisation för internrevisorer. 18 COSO, The Committee of Sponsoring Organizations of the Treadway Commission, är en amerikansk organisation som bildades 1985 på initiativ av American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, The Association of Accountants and Financial Professionals in Business samt The Institute of Internal Auditors. 19 När vi hänvisar till COSO Enterprise Risk Management tar vi framförallt ledning i ramverket från 2004, bland annat vad gäller nomenklatur. COSO har under 2017 publicerat ett uppdaterat ramverk för Enterprise Risk Management som har en något annan struktur och nomenklatur men som i de väsentliga delarna speglar syftet med ramverket från 2004. 20 COSO (2004), Enterprise Risk Management Integrated Framework. Även ISO använder begreppet intern miljö i sin standard ISO 31000. 21 COSO (1992, 2013), Internal Control - Integrated Framework. 19

REGLERINGEN AV INTERN STYRNING OCH KONTROLL Figur 1. Modell för intern styrning och kontroll Källa: ESV 2012:46, Handledning. Ansvaret för intern styrning och kontroll. I ERM-ramverket ingår därutöver att ta ställning till vad organisationen ska åstadkomma genom att sätta strategiska mål för verksamheten. I ERM-ramverket lyfts också fram att organisationen ska identifiera händelser som påverkar förmågan att fullgöra det som ska åstadkommas. Händelser med negativ påverkan är risker och händelser med positiv påverkan är möjligheter. Båda dessa ska tas omhand av organisationen. ERM har således en lite vidare syn på risker än Internal Control-ramverket. Förordningen om intern styrning och kontroll har kopplingar till riskhanteringskomponenterna (riskanalys och kontrollåtgärder) i ramverket för Internal Control. Det finns också aspekter av övervakningskomponenten (uppföljning och bedömning) i förordningen. Det som saknas i förordningen är komponenter om intern miljö och om information och kommunikation. Förordningen saknar också de specifika komponenter händelser och strategiska mål som särskilt lyfts fram i ERM-ramverket. 4.2.1 Jämförelse med olika ramverk och riktlinjer för intern styrning och kontroll Som framgår i avsnitt 4.2 har flera organisationer gett ut allmänna riktlinjer för arbetet med intern styrning och kontroll. De kan skilja sig åt i omfattning men ger ändå en tämligen enhetlig bild av intern styrning och kontroll. I tabell 1 har vi valt att jämföra några av dessa ramverk och lyfta fram likheter och skillnader mellan dem och det svenska regelverket för intern styrning och kontroll. 20

REGLERINGEN AV INTERN STYRNING OCH KONTROLL Tabell 1. Jämförelse med internationellt förekommande definitioner Control, IIA Internal Control, COSO Svensk reglering av intern styrning och kontroll Control is any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved. Internal control is as a process, effected by an entity's board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to effectiveness and efficiency of the entity s operations including operational and financial performance goals and safeguarding assets against loss adherence to laws and regulations internal and external financial and non-financial reporting and may encompass reliability, timeliness, transparency or other terms. Med intern styrning och kontroll avses den process som syftar till att myndigheten med rimlig säkerhet fullgör följande krav att verksamheten bedrivs effektivt att myndigheten hushållar väl med statens medel att förvaltade tillgångar skyddas att verksamheten bedrivs enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen att verksamheten redovisas på ett tillförlitligt och rättvisande sätt/en tillförlitlig redovisning främjas. Källa: IIA, International Professional Practice Framework, IPPF 2030 Control, COSO (2013), Internal Control Integrated Framework, förordningen om intern styrning och kontroll, myndighetsförordningen och förordningen om myndigheters bokföring. Den svenska statliga definitionen av intern styrning och kontroll har likheter med vad som framgår av de två internationella ramverken (se tabell 1). Det finns dock skillnader som enligt ESV:s bedömning innebär att den svenska tillämpningen i vissa fall blir mer begränsad än vad de internationella ramverken syftar till. En skillnad är att när de internationella ramverken talar om achievement of objectives 22 och liknande talar förordningen om intern styrning och kontroll om att myndigheten fullgör kraven. Kraven handlar om hur verksamheten ska bedrivas och inte vad den ska uppnå. I och med att dagens förordning inte använder mål förlorar den svenska regleringen syftet med verksamheten, nämligen vad myndigheten ska åstadkomma. 22 COSO (1992, 2013), Internal Control Integrated Framework. 21

REGLERINGEN AV INTERN STYRNING OCH KONTROLL Den svenska förordningen får en större likhet med formuleringen relating to i det internationella ramverket, om det framgår att intern styrning och kontroll syftar till att verksamheten ska nå sina mål (generella och specifika). Att nå sina mål kan även innefatta målkonflikter. Dessa målkonflikter är också riskhanteringens dilemma, att acceptera eller inte acceptera en risk (för att inte nå ett visst mål) för att kunna nå ett annat mål. Mål i dagligt tal betyder vad vi ska åstadkomma. Det kan då avse mål både för förvaltningen (inom förvaltningspolitiken till exempel legalitet, objektivitet och proportionalitet) och för verksamheten (inom resultatstyrningen till exempel påverkan på ett förhållande). 23 Hänvisningen till myndighetsförordningen i förordningen om intern styrning och kontroll innebär en koppling till många av de krav som framgår av de internationella ramverken, men inte till alla. Ett av kraven, skydd av tillgångar, finns i stället i förordningen (2000:606) om myndigheters bokföring. 4.2.2 Riktlinjer för intern kontroll i offentlig sektor I EU-skriften Welcome to the world of PIFC 24 finns en hänvisning till INTOSAI:s Guidelines for Internal Control in the Public Sector. Där lyfts dessa riktlinjer fram som den mest framträdande internationella standarden för intern styrning och kontroll, samtidigt som de är föremål för en diskussion inom INTOSAI. I tabell 2 gör vi en jämförelse mellan dessa riktlinjer och den svenska regleringen av intern styrning och kontroll. Sveriges reglering av intern styrning och kontroll framgår av flera förordningar (se avsnitt 4.1.1). När vi jämför med allmänna riktlinjer för standardisering av intern kontroll tar vi hänsyn till detta för att jämförelsen ska bli relevant. 23 Mål förekommer i regeringsformen, grundläggande mål för offentlig förvaltning. Dessa mål är att trygga, främja och verka för mänskliga, sociala och kulturella värden. Även vad förvaltningslagen (2017:900) definierar som en av grunderna för god förvaltning kan sägas vara generella mål (krav) för förvaltningen. Mål förekommer även i myndighetsförordningen, göra målen för verksamheten kända. Det kan då syfta på målen för utgiftsområdet samt mål och återrapporteringskrav för verksamheten men även generella krav för förvaltning och krav på handläggning ( general objectives ). 24 European Commission (2006), Welcome to the word of PIFC. Public Internal Financial Control, s. 6. 22

REGLERINGEN AV INTERN STYRNING OCH KONTROLL Tabell 2. Jämförelse mellan internationella riktlinjer och svensk reglering Riktlinjer för standardisering Internal control is an Svensk definition Med intern styrning och kontroll avses den integral [motsvarighet saknas] process process som that is effected by an entity s myndighetens management ledning ska säkerställa och and personnel se till att de anställda är väl förtrogna med målen för verksamheten som processen skyddar and is designed som syftar till att to address risks and identifiera omständigheter som utgör risk to provide reasonable assurance that med rimlig säkerhet in pursuit of the entity s mission [motsvarighet saknas] the following general objectives are being achieved executing fullgör de krav som framgår av (verksamheten) bedrivs så att orderly, ethical, [motsvarighet saknas] economical, efficient, effective myndigheten hushållar väl/effektivt operations verksamheten fulfilling accountability obligations redovisas på ett tillförlitligt och rättvisande sätt / en tillförlitlig redovisning främjas complying with applicable laws and regulations enligt gällande rätt [motsvarighet saknas] och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen safeguarding resources against loss, misuse and damage förvaltade tillgångar skyddas Källa: Guidelines for Intern Control Standards for the Public Sector, myndighetsförordningen, förordningen om intern styrning och kontroll samt förordningen om myndigheters bokföring. Den svenska regleringen är inte, och behöver inte vara, en fullständig spegling av allmänt förekommande internationella riktlinjer (se tabell 2). I den svenska regleringen är det inte direkt uttalat att processen är väsentlig (engelska: integral), men det faktum att det finns en reglering innebär indirekt att så är fallet. Det framgår inte heller explicit att den interna styrningen och kontrollen genomförs i syfte att fullgöra myndighetens uppgift (engelska: in pursuit of the entity s mission). I det svenska ramverket för intern styrning och kontroll saknas också en reglering av grundläggande etiska riktlinjer (engelska: ethical) även om det i de generella riktlinjerna för svensk förvaltning finns grundläggande principer för hur förvaltningen ska bedrivas. ESV bedömer mot den bakgrunden att det finns ett behov av att reglera förhållandet mellan intern styrning och kontroll och myndighetens uppgift. Det kan också finnas anledning att förtydliga att etiska värden är en del av intern styrning och kontroll. 23

REGLERINGEN AV INTERN STYRNING OCH KONTROLL 4.3 Intern styrning och kontroll är mer än riskhantering Processen för intern styrning och kontroll utgörs av momenten analys, åtgärd, uppföljning och dokumentation av risker, enligt förordningen om intern styrning och kontroll. I mer allmänt förekommande beskrivningar av intern styrning och kontroll ingår även den interna miljön som en beståndsdel i systemet för intern styrning och kontroll (se avsnitt 4.2). Hur myndigheten informerar och kommunicerar om verksamhetens mål, risker och åtgärder är också en beståndsdel i systemet. Den interna miljön begrepp och innehåll Olika ramverk för intern styrning och kontroll använder olika begrepp för den interna miljön men de förklarar vad den omfattar på ett likartat sätt. I de internationella ramverken ISO 31 000 och COSO ERM används begreppet intern miljö (engelska: Internal Environment) medan begreppet styr- och kontrollmiljö (engelska: Control Environment) används i COSO:s ramverk Internal Control. Internrevisorernas förening använder också begreppet styr- och kontrollmiljö (engelska: Control Environment) i sina riktlinjer för yrkesmässig internrevision 25. ESV har i sina nuvarande och tidigare publikationer om intern styrning och kontroll samt i ESV:s ordbok om ekonomisk styrning i staten använt begreppet intern miljö. I ordboken beskrivs intern miljö som de interna förutsättningar som påverkar en verksamhets förmåga att fullgöra sina uppgifter och nå sina mål. Exempel på sådana förutsättningar kan enligt ordboken vara de anställdas kunskaper om målen för verksamheten, de anställdas kompetens och erfarenhet, utformning av delegering av beslutanderätt, utformning av direktiv och riktlinjer från ledningen, ledningsfilosofi och ledningsstil. 26 Den interna miljön utgör grunden för alla andra delar som formar intern styrning och kontroll. Faktorer inom den interna miljön innefattar bland annat integritet, etik, kompetens, ledarstil, på vilket sätt ansvar och befogenheter fördelas samt hur myndigheten i övrigt organiseras. Flera aspekter av den interna miljön finns redan reglerade i de förordningar som anger hur myndigheter ska fungera, bland annat i myndighetsförordningen. Där framgår till exempel att myndighetsledningen ska besluta om en arbetsordning som innehåller de närmare föreskrifter som behövs för myndighetens organisation arbetsfördelning mellan styrelse och myndighetschef delegering av beslutanderätt inom myndigheten 25 Internrevisorerna är en del av den internationella branschorganisationen The Institute of Internal Auditors (IIA) och har översatt det internationella ramverket för utövande av internrevisionsyrket (IPPF) till svenska. 26 ESV 2011:9, ESV:s ordbok om ekonomisk styrning i staten, Stockholm, s.17. 24

REGLERINGEN AV INTERN STYRNING OCH KONTROLL handläggning av ärenden formerna i övrigt för verksamheten. 27 I myndighetsförordningen regleras också andra aspekter som påverkar den interna miljön. Där framgår bland annat att myndigheten ska se till att de anställda är väl förtrogna med målen för verksamheten. Myndigheten ska även skapa goda arbetsförhållanden och ta tillvara på och utveckla de anställdas kompetens och erfarenhet. I myndighetsförordningen framgår också att myndigheten fortlöpande ska utveckla verksamheten och att den genom samarbete med myndigheter och andra ska ta tillvara på de fördelar som kan vinnas för enskilda samt för staten som helhet. 28 Myndighetsledningen ansvarar för verksamheten och ansvarar då även för systemet eller processen för intern styrning och kontroll. I praktiken är det normalt myndighetens chef 29 som sätter sin prägel på eller anger tonen i myndigheten (engelska: tone at the top), vilket påverkar integritet, etik och andra faktorer i den interna miljön. I förvaltningen bör myndighetens chef fullfölja ansvaret genom att visa ledarskap och ange inriktning för myndigheten och genom att följa upp hur verksamhet har genomförts. Att det ska finnas en god intern miljö i förvaltningen är dock inte uteslutande ett ansvar för myndighetsledningen, utan är i viss utsträckning också ett ansvar för var och en i statsförvaltningen. I viss mån regleras detta genom de grundläggande principerna 30 som styr förvaltningen och statstjänstemännarollen. Detta är dock på en mer övergripande nivå. Direkt reglering av medarbetarnas ansvar hanteras normalt inom ramen för myndigheternas interna reglering av ansvar och befogenheter, till exempel i arbetsordningen. Den interna miljön och risken för oegentligheter Den interna miljön speglar värderingarna i en organisation och kan påverka risken för oegentligheter. Brottsförebyggande rådet (Brå) ger i sin handbok Att förebygga och hantera påverkansförsök exempel på fyra organisationskulturer som ökar risken för korruption och oegentligheter: Blinda kulturer som styrs av vanor, tumregler och önsketänkande i stället för rationella kalkyler. Tysta kulturer där kritik tystas ner av kollegor och chefer. 27 4 p. 4, Myndighetsförordning (2007:515), 2 kap. 2 p. 8, Högskoleförordning (1993:100). 28 6 och 8, Myndighetsförordning (2007:515). 29 13, Myndighetsförordning (2007:515), 2 kap. 3, Högskoleförordning (1993:100). 30 Demokrati, Legalitet, Objektivitet, Fri åsiktsbildning, Respekt samt Effektivitet och Service. Principerna redovisas i Värdegrundsdelegationen (2013), Den gemensamma värdegrunden för de statsanställda, och i Statskontoret (2017), Den statliga värdegrunden professionella värderingar för en god förvaltningskultur. Principerna har sin utgångspunkt i regeringsformen och budgetlagen. 25

REGLERINGEN AV INTERN STYRNING OCH KONTROLL Effektivitetskulturer där det finns en överdriven strävan efter att nå resultat på bekostnad av kvalitet i beslutsfattande och arbetsmiljö. Informella regelkulturer där tjänstemännen upplever att reglerna inte är anpassade efter arbetssituationen. 31 4.4 Regelverket i några andra länder I detta avsnitt redogör vi översiktligt för hur intern styrning och kontroll är reglerat i några andra länder i syfte att ge perspektiv till de förslag till förordningsändringar som vi beskriver i kapitel 5. Vi redovisar några länder som ESV bedömer är mer lika och därmed relevanta att jämföra med svensk förvaltning. 4.4.1 Intern styrning och kontroll i Norge I Norge använder man begreppet internkontroll. Myndigheternas generella ansvar för internkontroll regleras främst i det så kallade Regelverket for økonomistyring i staten, närmare bestämt i 4 och 14 i Reglementet och i punkt 2.4 i Bestemmelsene. 32 Där framgår att alla verksamheter ska etablera system och rutiner som har en inbyggd internkontroll. Myndigheten Direktoratet for økonomistyring (DFØ), som har i uppgift att förvalta regelverket, har meddelat tolkningar till vissa av bestämmelserna om internkontroll. 33 DFØ erbjuder också på sin webbplats vägledningsmaterial och verktyg med mera för myndigheter som vill utveckla internkontrollen. Ledningens ansvar för internkontroll Det norska regelverket lyfter fram ledningens ansvar för internkontroll. Verksamhetsledningen har enligt Bestemmelsene ansvaret för att internkontrollen utgår från risk och väsentlighet, att den fungerar tillfredsställande och att den dokumenteras. Det framgår också att internkontrollen bör vara inbyggd i verksamhetens interna styrning. Det stödjande material som DFØ tagit fram om internkontroll betonar ledningens roll i internkontrollen. Bland annat framgår det av DFØ:s vägledning till myndighetsledningar att ledningen har ett ansvar för internkontroll och hur en effektiv internkontroll kan etableras. Styrning och internkontroll beskrivs som två sidor av samma mynt den interna styrningen syftar till att myndigheten gör rätt saker och internkontrollen till att sakerna görs rätt. Genom att fastställa en ambitionsnivå och ramar för myndighetens internkontroll, kan ledningen lägga grunden för en balans mellan resurser för kontroll och för annan verksamhet. Internkontrollen ska vidare 31 Brottsförebyggande rådet (2017), Att förebygga och hantera påverkansförsök. En handbok, Stockholm. 32 Det Kongelige Finansdepartement, Reglement for økonomistyring i staten, fastställt 12 december 2003 och senast ändrat 18 september 2013, samt Bestemmelser om økonomistyring i staten, fastställt 12 december 2003 och senast ändrat 5 november 2015. 33 Information från https://dfo.no/fagomrader/okonomiregelverket/tolkningsuttalelser/internkontroll/, hämtad 2017-10-31. 26

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss