Internrevisionens årsrapport 2016

Relevanta dokument
Internrevisionens årsrapport 2017

Revisionsplanen fastställd av konsisistoriet den 4 december Postadress Besöksadress Telefon E-Post Karolinska Institutet STOCKHOLM

Riktlinjer för hantering av misstänkta oegentligheter Dnr 1-477/

Regler och riktlinjer för intern styrning och kontroll vid KI

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Internrevisionsrapport 2018

Riktlinjer för internrevisionen vid Linnéuniversitetet

Riktlinjer för internrevisionen vid Sida

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Revisionsplan för 2013

Informationssäkerhetspolicy för Ånge kommun

Revisionsplan för Linnéuniversitetet 2015

Internrevisionens revisionsplan 2008

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Utdrag ur universitetsstyrelsens protokoll 14 december Regler för Internrevisionen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Granskning av informationssäkerhet

Riktlinjer för styrdokument Dnr 1-306/2019. Gäller fr.o.m

Revisionsplan för Linnéuniversitetet 2016

Inspirations dag för ekonomer SUHF 26 april 2018

Regler och anvisningar för rekrytering av prefekter. Universitetsförvaltningen

Välkommen till enkäten!

Revisionsplan för 2015

Besluts- och handläggningsordning för konsistoriet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Regler och anvisningar för rekrytering av prefekter. Universitetsförvaltningen,

Institutionsgranskning CLINTEC

Frågor om internrevision

REVISIONSPLAN FÖR ÅR 2012

Instruktion för internrevisionen vid Malmö högskola

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

ÅRSRAPPORT FRÅN INTERNREVISIONEN VERKSAMHETSÅRET 2004

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Instruktion för Internrevision vid Linköpings universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Internrevisionsförordning (2006:1228)

Riktlinjer för internrevisionen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsplan för 2014

Revisionsrapport Karolinska Institutet Stockholm

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsplan för 2012

Revisionsplan för 2016

Informationssäkerhetspolicy. Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy

I Central förvaltning Administrativ enhet

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Uppgifter till redovisningen över internrevisionen

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Upprättande och förvaltning av regeldokument

Informationssäkerhetspolicy för Katrineholms kommun

Anvisningar för handläggning av bisysslor Dnr 1-627/2016

Ledningssystem för Informationssäkerhet

Kommunrevisionen: Granskning av intern kontroll 2016

Inför Karolinska Institutets fördjupade riskanalyser 2012

Ledningssystem för Informationssäkerhet

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Regler och riktlinjer huvudanställning vid

Informationssäkerhetspolicy inom Stockholms läns landsting

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Internkontrollplan 2019 för äldrenämnden

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Regler för rekrytering av administrativa chefer

Informationssäkerhetspolicy

Policy för informationssäkerhet

Idrottsnämndens system för internkontroll

Internrevisionens årsrapport

Myndigheten för samhällsskydd och beredskaps författningssamling

Complianceplan Löpande aktiviteter. 1. Övergripande uppgifter

Revisionsplan för Linköpings universitet 2008.

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Kommunrevisionen Granskning av intern kontroll

Arbets- och beslutsordning. Styrelsen för forskning

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Frågor om internrevision och intern styrning och kontroll 2017

Informationssäkerhetspolicy KS/2018:260

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Revisionsrapport. Granskning av beslut i ärenden angående internrevisionen vid Länsstyrelsen i Skåne län. Sammanfattning

Riktlinjer för intern styrning och kontroll

Revisionsplan juli 2014 t.o.m. februari 2015

Internrevisionens årsrapport 2017

Instruktion för Sveriges riksbank Bilaga 2

Instruktion för funktionen för regelefterlevnad

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Verksamhetsrapport för Internrevisionen 2007.

Anvisningar för avtalsskrivning vid Karolinska Institutet. Juridiska avdelningen,

Informationssäkerhetspolicy för Ystads kommun F 17:01

Presentation av resultat av frågeenkät

Transkript:

Dnr. 1-236/2017 Internrevisionens årsrapport 2016 Konsistoriet, 2017-02-20

Diarienummer: 1-236/2017 Dnr för föregående version: Beslutsdatum: Giltighetstid: Beslut: Dokumenttyp: Handläggs av avdelning/enhet: Internrevisionen Beredning med: Revisionsutskottet Revidering med avseende på:

Internrevisionens årsrapport 2016 Dnr 1-236/2017 INNEHÅLL Sammanfattning... 4 1 Revisionsplanens genomförande... 5 2 Revisionsprojekt genomförda under året... 6 2.1 Institutionsgranskning CLINTEC... 6 2.2 IT- och informationssäkerhet, förstudie... 7 2.3 Lokalförsörjningsplan... 9 2.4 Uppdragsrevisioner... 9 2.4.1 BBMRI.se... 9 2.4.2 Uppföljning bisysslor... 9 2.5 Råd och stöd... 10 3 Övrigt... 10 3.1 Kompetensutveckling och utbildning... 10 3.2 Utvecklingsplan... 11 4 Uppföljning av tidigare granskningar... 11 5 Analys och bedömning... 11 Bilaga 1 Bemanning... 1 Bilaga 2 Produktionsöversikt 2011-2016... 2 Utgivare: Karolinska Institutet Internrevision

Internrevisionen Dnr: 1-59/2016 2016-01-26 Sammanfattning Internrevisionens prioriteringar för 2016 kom att ändras i och med att konsistoriet beslutade att tillsätta en extern granskning ledd av Sten Heckscher, avseende KI:s hantering av ärendet runt forskaren Paolo Macchiarini. Innebörden av detta beslut var bland annat att internrevisionen skulle bistå den externa granskningen med insamling av material m.m. I samråd med den externa granskaren så genomförde därefter internrevisionen en granskning av Institutionen för klinisk vetenskap, intervention och teknik, CLINTEC, den institution vid vilken Macchiarini var verksam. Detta innebar att internrevisionen fick göra en omprioritering från i revisionsplan 2016 planerade granskningar. Under hösten 2016 gjorde därför internrevisionen en återkoppling av revisionsplanen till konsistoriet. I enlighet med efterföljande beslut fullföljde internrevisionen arbetet enligt revisionsplan avseende främst följande: Granskning av intern styrning och kontroll i institutionsövergripande verksamhet inom Biomedicum, implementeringen av åtgärdsplan efter Macchiarini-granskningarna, CLINTEC-granskningen, genomförande av uppdragsrevisioner samt råd och stöd exempelvis rörande bisysslor. Postadress Besöksadress Telefon E-Post Karolinska Institutet 171 77 STOCKHOLM Nobels väg 5 Solna 08-524 800 00, vx 08-524 865 01 peter.ambroson@ki.se Webb ki.se

5 (14) 1 Revisionsplanens genomförande Internrevisionen bestod 2016 av en internrevisionschef och en internrevisor. Ytterligare resurser avropades enligt avtal med revisionsbyrån PwC. Under hösten 2016 rekryterades två nya medarbetare, enligt tidigare beslut av konsistoriet. De började den 16 januari 2017. Enligt revisionsplan för 2016 så planerade internrevisionen: Granskning av intern styrning och kontroll med fokus på riskhantering i institutionsövergripande verksamhet i Biomedicum med ingående institutioner. Granskning av institutionernas interna styrning och kontroll bland annat av riskhantering, regelefterlevnad och användning av myndighetskapital. Granskning av intern styrning och kontroll med fokus på riskhantering vid internationell etablering i Hong Kong. Granskning av intern styrning och kontroll med fokus på beslutsprocessen och den ekonomiska uppföljningen av beslutad lokalförsörjningsplan. Granskning av intern styrning och kontroll med beaktande av riktlinjerna för informationssäkerhet (LIS). Internrevisionens prioriteringar för 2016 kom att ändras i och med att konsistoriet beslutade att tillsätta en extern granskning av KI:s hantering av ärendet runt forskaren Paolo Macchiarini. Innebörden av detta beslut var bland annat att internrevisionen skulle bistå den externa granskningen ledd av Sten Heckscher, med insamling av material m.m. I samråd med den externa granskaren så genomförde därefter internrevisionen en granskning av Institutionen för klinisk vetenskap, intervention och teknik, CLINTEC, den institution vid vilken Macchiarini var verksam. Detta innebar att internrevisionen fick göra en omprioritering från planerade granskningar i revisionsplan 2016. Under hösten gjorde därför internrevisionen en återkoppling av revisionsplanen till konsistoriet. Det beslutades att internrevisionen ska fullfölja arbetet enligt revisionsplan avseende granskning av intern styrning och kontroll i institutionsövergripande verksamhet inom Biomedicum, följa implementeringen av åtgärdsplan efter Macchiarini-granskningarna, genomföra uppdragsrevisioner samt ge råd och stöd, t.ex. rörande bisysslor samt presentation av CLINTEC-granskningen. Dessa aktiviteter kommer att fortsätta över årsskiftet och överförs därför tillsammans med återstående delar från revisionsplan 2016 till 2017. De olika revisionsprojekt som genomförts har syftat till att självständigt granska om den interna styrningen och kontrollen är rimligt säkert utformad och genomförd. Utifrån detta ska internrevisionen rapportera iakttagelser och ge rekommendationer i syfte att förbättra den granskade verksamheten. Enligt internrevisionens riktlinjer rapporteras iakttagelser löpande till den som främst berörs. Förutom granskningar ska internrevisionen ge råd och stöd till rektor och konsistoriet. Detta sker främst genom regelbundna möten med ordförande, rektor och universitetsdirektör. Förutom skriftliga och muntliga rapporter samt promemorior bistår internrevisionen verksamheterna med råd och stöd i styrnings- och kontrollfrågor. Internrevisionen genomför årligen en egen självständig riskanalys, där ledningens riskbedömning beaktas. Denna riskanalys ligger sedan till grund för revisionsplanen.

6 (14) 2 Revisionsprojekt genomförda under året 2.1 Institutionsgranskning CLINTEC Internrevisionen genomförde en fördjupad institutionsgranskning vid Institutionen för klinisk vetenskap, intervention och teknik (CLINTEC) som avrapporterades till konsistoriet i särskild ordning i september tillsammans med Sten Heckschers externa granskning. Granskningen genomfördes i syfte att övergripande bedöma hur väl institutionen säkerställer att verksamheten bedrivs i enlighet med KI:s lednings 1 intentioner, att institutionen följer gällande lagar och regler samt att det finns en betryggande intern styrning och kontroll. Granskningen omfattade även huruvida KI:s ledning tillhandahållit tillräckliga förutsättningar för att en ändamålsenlig verksamhet skulle kunna bedrivas. Därutöver genomfördes en fallstudie av den forskningslaborativa miljö där Paolo Macchiarini verkade 2. Granskningen visar att CLINTEC överlag drivit en fungerande verksamhet och mött uppsatta resultatkrav och mål, men att delar inte alltid genomförts på ett ändamålsenligt sätt eller i enlighet med gällande beslut, riktlinjer och föreskrifter. Som resultat av granskningen rekommenderade internrevisionen CLINTEC att bland annat stärka övergripande samordning och uppföljning av tillämpliga lagrum och regelverk i syfte att säkerställa regelefterlevnad, inte minst i forskningslaboratorier. Vidare att CLINTEC bör fortsätta det påbörjade arbetet med att skapa fungerande delegeringar samt skapa en institutionsövergripande kontroll över vilka åtaganden i avtal enheterna gjort å KI:s vägnar. Internrevisionen menar att samordning och uppföljning av delegerade uppgifter överlag vid KI bör genomföras, så att efterlevnad av delegationsordning och möjlighet att ta ansvar där rådighet finns kan stärkas. Arbetet med säkerhet i laboratorier bör prioriteras i högre grad eftersom det kan kopplas till ett flertal risker för skada, på människor, egendom samt förtroende - även på övergripande nivå. Risk och konsekvensbedömningar kan genomföras mer systematiskt i syfte att minimera oönskade risker och konsekvenser för KI, verksamheten, anställda och anknutna 3. Granskningen visar även att den nuvarande hanteringen av anknutna riskerar att leda till bristande möjligheter för kontroll och insyn i de delar av verksamheten där anknutna personer verkar. Därför bör den genomlysning av regelverket kring anknutna, som ursprungligen gjordes, uppdateras så att ändamålsenlighet kan säkras. KI bör dessutom komplettera instruktionerna för ifyllande av bisysslo-anmälan så att dessa även kan fånga jävssituationer samt genomföra en myndighetsövergripande insats så att anställdas bisyssla kan analyseras utifrån risk för otillbörlig påverkan eller jäv. Rektor bör säkerställa att organisationen kring arbetsmiljöfrågorna är ändamålsenlig och utgör en funktionell grund för att säkerställa att arbetsgivaren kan ta sitt lagstiftade ansvar för arbetsmiljön. Härigenom kan arbetsmiljöproblem som uppstår mellan institutioner, eller mellan KI:s verksamhet och landstinget lättare lösas. KI 1 Om annat inte nämns, åsyftar KI:s verkställande ledning, d.v.s. rektor, prorektor och universitetsdirektör. 2 som instiftades tidigt 2011 och lades ned under 2016 av institutionen på direkt uppdrag från rektor. 3 Anknuten är en avtalsform som används vid KI primärt för att knyta forskare till sig som har en annan huvudanställning, som landstinget eller annan verksamhet.

7 (14) bör även stärka sin samverkan med landstinget i syfte att motverka lokala lösningar som riskerar påverka möjligheten för huvudmännen att ta ansvar för sina respektive områden. I övrigt visade granskningen att det finns skäl att utveckla uppföljningssystem för forskningsmiljöer som förmår signalera missförhållanden och brister i ordning och reda i forskning. Dessutom bör KI skapa ytterligare tydlighet kring vilka krav som ställs på forskningsdokumentation, samt vilka databaser och filformat som är godkända, så att spårbarhet i forskningsdokumentation kan stärkas. Rapporten innehåller ett flertal rekommendationer som handlar om stärkt samordning, styrning och uppföljning. Flera av rekommendationerna handlar om vilka förutsättningar KI:s ledning skapar för verksamheterna. Internrevisionens intryck efter genomförd granskning är att samordningen behöver stärkas vid universitetsförvaltningen så att institutionerna kan luta sig mot KI i situationer där regelverket upplevs oklart och behöver tolkas, inte minst vad gäller hanteringen av allmän och offentlig handling. Styrningen från högsta ledningen behöver bli mer strategisk och konsekvent, så att det är tydligt för alla vad som gäller. Internrevisionen uppfattar dessutom att flera inom KI behöver bli mer medvetna om vad KI är och står för, samt vad KI i realiteten har för vision (Strategi 2018), så att den kan inkorporeras som en värdegrund i anställdas och anknutnas förhållningssätt. Mot bakgrund av granskningens resultat menar internrevisionen att det som en konsekvens av brister i uppföljningen även finns en risk att KI:s ledning inte har tillräcklig insyn i verksamheten för att kunna uttala sig om huruvida den interna styrningen och kontrollen är betryggande i alla delar. Detta kan få konsekvenser för konsistoriets uttalande i årsredovisningen avseende den interna styrningen och kontrollen. Flera för KI besvärliga konsekvenser har uppstått relaterade till Macchiarini och KI har sannolikt utsatts för förtroendeskada även till följd av bristande hantering av det mediala och offentliga trycket. Internrevisionen uttalade därför ett behov av utvärdering av krisledning och krishantering, i syfte att förbättra framtida krishantering vid s.k. mediadrev och andra kriser. De åtgärder KI:s ledning och CLINTEC har, tillsammans och var för sig, vidtagit som svar på rekommendationerna kommer att följas upp inom ramen för arbetet inför internrevisionens årsrapport 2017. I övrigt hänvisas till Institutionsgranskning CLINTEC, Internrevisionen 2016-09-05: https://internwebben.ki.se/sv/internrevisionen. 2.2 IT- och informationssäkerhet, förstudie I 2016 års granskningsplan planerade internrevisionen att inom ramen för institutionsgranskningar vid Biomedicum värdera hanteringen av informationssäkerheten. Detta kommer istället att ske 2017. Inför detta har internrevisionen dock genomfört en mindre avstämning med informationssäkerhetssamordnaren vid den centrala förvaltningen kring gällande status för arbetet med informationssäkerhet vid KI som kortfattat avrapporteras här. Informationssäkerhet handlar om att säkerställa en betryggande hantering av myndighetens information/data samt upprätthållande av de plattformar/funktioner i vilka information hanteras och ska ses som en grundläggande del i verksamhetens interna styrning och kontroll. Som underlag för detta arbete finns bland annat

8 (14) MSB 4 :s föreskrift och allmänna råd om statliga myndigheters informationssäkerhet (MSBFS 2016:1 5 ), samt gällande KI-internt regelverk. Förordningen om krisberedskap (MSBFS 2015:1052) specificerar kravet vad gäller informationssäkerhet på myndigheten som: Varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredställande sätt. Därvid ska behovet av säkra ledningssystem särskilt beaktas ( 19). MSB genomförde en enkät vid svenska myndigheter år 2014 6 kring myndigheternas informationssäkerhetsarbete, där internrevisionen under hösten 2016 tog del av KI:s lämnade svar. Flera av de delar som MSB efterfrågade var inte på plats vid KI 2014 och förefaller ännu inte vara på plats 2016 även om det pågår utveckling. I KI:s riktlinjer och regler för informationssäkerhet framgår vem som har ansvar för att klassning och riskanalys genomförs. För klassning ansvarar informationsansvarig, för riskanalys informationsansvarig och systemägare. Det finns dock en risk att informationsansvariga inte är utsedda i tillräcklig grad så att detta kan genomföras på ett betryggande sätt. Internrevisionen ser att KI:s ledning håller sig informerade om utvecklingen på området, men att förankring och implementering av exempelvis LIS 7 sannolikt kan stärkas. Förstudien visar tecken på att befintlig kompetens, resurser och mandat inte i alla lägen räcker till för att området ska kunna prioriteras på ett betryggande sätt överlag vid KI. Enkäten från 2014 stämdes av med KI:s informationssäkerhetssamordnare med fokus på vilken utveckling som skett sedan den genomfördes. Följande områden lyftes vid intervjun: En digital grundutbildning i informationssäkerhet som bland annat används vid introduktion för nyanställda har införts. Ett par nya interna regelverk; bland annat ett lösenordsregelverk och en anvisning kring anslutning av IT-utrustning till KI:s nätverk har tillkommit. En compliance-portal som specificerar vilka lagar och regelverk som gäller för olika ansvarsområden för vägledning och egenkontroll har upphandlats och kommer driftsättas under 2017. Under 2017 planeras bland annat för lansering av ett styrdokument kring kontinuitetsplanering samt ett förslag på hur den fysiska säkerheten kring ITutrymmen som serverhallar, datorrum och kopplingsrum ska hanteras. För tillfället bereds bland annat följande ärenden vars status därför är oklar: o Ett metodstöd för hur institutionerna kan genomföra riskhanteringsprocessen inklusive identifiering av informationstillgångar, informationsklassning, riskanalys samt åtgärdsplanering. 4 Myndigheten för samhällsskydd och beredskap. 5 Som ersatt MSBFS 2009:10. 6 Denna enkät låg sedan till grund för MSB:s utveckling av de uppdaterade föreskrifterna och sammanställdes i en rapport En bild av myndigheternas informationssäkerhetsarbete 2014, MSB, aug 2014. 7 Ledningssystem för informationssäkerhet - https://internwebben.ki.se/sv/ledningssystem-informationssakerhet

9 (14) o Uppdaterat förslag på klassningsmodell (den tidigare återremitterades) som specificerar hanteringskrav kopplat till informationens värde. Internrevisionen konstaterar i denna övergripande analys att det finns en risk att motstridiga förväntningar och uppfattade behov av informationssäkerhet på olika nivåer vid KI får påverka graden av utveckling och implementering. Tydliga incitament förefaller saknas och internrevisionen menar därför att insikten om de fördelar KI skulle kunna vinna på ett fungerande systematiskt informationssäkerhetsarbete kan behöva stärkas så att prioriteringar kan göras till förmån för en effektiv och säker förvaltning med digitaliserad hantering. Internrevisionen kommer under 2017 att avrapportera från kommande institutionsgranskningar, där informationssäkerhetsarbetet vidare kommer belysas. 2.3 Lokalförsörjningsplan Internrevisionens planerade granskning av intern styrning och kontroll med fokus på beslutsprocessen och den ekonomiska uppföljningen av lokalförsörjningsplanen har i delar flyttats till 2017. Detta eftersom internrevisionen gör bedömningen att synpunkter på beslutsprocessen har omhändertagits i samband med fastställandet av lokalförsörjningsplanen i april 2016. Däremot kommer den ekonomiska uppföljningen fortsatt att följas under 2017, främst inom ramen för granskning av Biomedicum. 2.4 Uppdragsrevisioner 2.4.1 BBMRI.se Internrevisionen fick den 26 april i uppdrag av vikarierande rektor, i samråd med konsistoriets ordförande, att göra en uppföljning av Vetenskapsrådets granskning av BBMRI.se 8 genomförd av Ernst & Young (EY). Uppföljningen syftade till att ytterligare belysa och utreda de observationer som lyfts fram i Vetenskapsrådets granskning. I uppföljningen som presenterades den 31 maj fann internrevisionen inte några oegentligheter i hanteringen av bidraget. De oklarheter som påtalades angående ett antal fakturor, kunde enligt internrevisionen förklaras av felaktig kostnadsfördelning och bristfälliga verifikationsunderlag. Internrevisionen konstaterade att övriga universitet inte fått regelbundna utfallsrapporter, vilket har lett till minskad insyn och transparens. Vår bedömning var därför att observationerna i granskningen snarare tyder på brister i styrning, kommunikation och transparens samt att det redan från början verkar ha funnits olika uppfattningar om vad arbetet skulle leda till. Internrevisionens uppfattning var att en stor del av ovan nämnda brister hade kunnat undvikas med tydliga definitioner och överenskommelser, noggrannare planering, uppföljning och rapportering samt tydligare avgränsning mot KI:s biobank. 2.4.2 Uppföljning bisysslor Internrevisionen fick 2016-10-31 i uppdrag av Universitetsdirektören att göra en uppföljning av en tidigare utredning kring bisysslor, bolagskopplingar och fakturahantering. Utredningen överlämnades 2017-01-05 för fortsatt hantering till universitetsdirektören. 8 BBMRI.se är en av Vetenskapsrådet (VR) finansierad nationell infrastruktur inom biobanker, vilken innefattar ett flertal universitet där Karolinska Institutet samordnat verksamheten utifrån en roll som värduniversitet.

10 (14) 2.5 Råd och stöd Internrevisionen har under året löpande arbetat med råd och stöd i utredningar kring bisysslor. Arbetet har genomförts i samverkan med ekonomi-, HR- och juridiska avdelningen samt i ett fall med en institution. Andra insatser inom råd och stöd har varit att bistå Grants Office i uppdrag att granska Karolinska Institutets bidrag för internationell rekrytering av framstående forskare från Vetenskapsrådet. Internrevisionen har även under året arbetat främjande bland annat kopplat till efterdyningar av CLINTEC-rapporten och genomfört presentationer med workshops både vid CLINTEC samt andra institutioner. Dessutom har internrevisionen agerat stödjande för prefekter och andra som hört av sig för att stämma av bedömningar kring exempelvis jäv och komplicerade förhållanden mellan forskare och näringslivet. Internrevisionens fokus har då varit att främja ett lärande i organisationen samtidigt som efterlevande av gällande regelverk stärks. Vilket i sin tur bör kunna leda till ökad medvetenhet kring jävsproblematik och därmed en förbättrad regelefterlevnad. Genomgående finns tillgängliga och tillräckliga instruktioner och skrivna regelverk inom relevanta områden vid KI, även om tolkningen av dessa inte är okomplicerad. Dessa regelverk förefaller inte i alla led vara så implementerade och kända att de kan ligga till grund för prioriteringar och beslut. Eftersom jävsfrågan tangerar områdena personal, juridik och ekonomi blir det inte fullt ut logiskt vilken funktion på förvaltningen som kan stötta, när exempelvis prefekter inte är säkra på hur jäv ska värderas eller hanteras. Denna oklarhet i ansvar för området bidrar i sin tur till att erfarenheter inte görs på ett sätt som skulle kunna ligga till grund för skapande av en övergripande praxis vad gäller att värdera och konsekvenshantera bland annat jäv. Internrevisionens uppfattning är att denna typ av arbete borde utföras av verksamheten i en andra linjens funktion i enlighet med logiken om tre försvarslinjer 9. Där första linjen utgörs av de funktioner som äger risk och regelefterlevnad, andra linjen utgörs av funktioner för övervakning och kontroll, tredje linjen utgörs av funktioner för oberoende granskning. En stärkt andra linje kan öka KI:s möjligheter att lära av erfarenheter och främja ständiga förbättringar, särskilt om system för samordning och överföring mellan första och andra linjen skapas. 3 Övrigt 3.1 Kompetensutveckling och utbildning I september deltog internrevisionen vid konferens i Uppsala för nätverket för internrevisorer vid universitet och högskolor i norden (NIRUH). Under rubriken Forskningsfusk och intern kontroll presenterade internrevisionen och Bengt Gerdin sina respektive granskningar kopplade till Macchiarini-ärendet. Internrevisionen var i november värd för en konferens på KI, inom ramen för nätverket för internrevisorer vid universitet och högskolor i Mälardalen/Örebro. Dagen hade fokus på hur internrevisionen kan arbeta för att genom granskning stävja 9 Modellen skiljer mellan funktioner som äger risk och regelefterlevnad (första linjen), funktioner för övervakning och kontroll (andra linjen) och funktioner för oberoende granskning (tredje linjen).

11 (14) oredlighet och bidra till ordning och reda i forskning. Internrevisionen har även deltagit i en motsvarande temadag under våren, som hölls av SLU, med fokus på etiska tillstånd för forskning på djur och människa. Internrevisionen har inbjudits att föreläsa på chefsutbildningen vid KI, Formellt ledarskap, vid två tillfällen under 2016. I april höll internrevisionen undervisning om statlig internrevision på Riksrevisionens internutbildning Förvaltningskunskap III. I övrigt har internrevisionen bland annat deltagit i den europeiska konferensen, ECIIA 10, som hölls i Stockholm, där ca 600 internrevisorer från framförallt Europa, deltog i workshops, seminarier, lyssnade på relevanta föredrag och minglade. Den internrevisor som anställdes under 2016 genomgick också Grundkurs för internrevisorer, vilken anordnas av Internrevisorernas förening. 3.2 Utvecklingsplan I förberedelserna för en nystart av enheten så identifierades viktiga områden som ska ingå i den utvecklingsplan som ska genomföras under 2017. Exempel på områden som kommer att ingå i planen är internrevisionens riktlinjer, institutionsgranskningar, dokumentation och rapportering. 4 Uppföljning av tidigare granskningar I årsrapport 2014 lämnades bland annat rekommendationen; Att beakta oegentlighetsriskerna mer ingående i samband med den fördjupade riskanalysen 2015. I internrevisionens årsrapport 2015 gjordes därefter bedömningen 11 att oegentlighetsriskerna hade beaktats i den fördjupade riskanalysen, men att de inte hade bedömts som en prioriterad risk. Internrevisionen planerade därför att fortsätta bevaka oegentlighetsriskerna även under 2016. Vidare lämnade internrevisionen rekommendation till konsistoriet att uppdra åt rektor att ta fram riktlinjer för hantering av misstänkta oegentligheter, som en del i ett tydligt sammanhållet system. Denna rekommendation är ännu inte åtgärdad, men universitetsdirektören har påbörjat ett arbete kring detta. Uppföljning av åtgärder kopplade till lämnade rekommendationer 2016, tillsammans med övriga delar av KI:s åtgärdsplan efter Macchiarini-granskningarna, kommer att ske i årsrapport 2017. 5 Analys och bedömning I riskanalys för 2017 så finns nu fyra nya prioriterade risker efter Macchiarinigranskningarna, bland annat rörande lag- och regelefterlevnad samt oredlighet i forskning. Detta tillsammans med ett nyinrättat revisionsutskott och en översyn av riskhanteringsprocessen, bör enligt internrevisionen innebära att förutsättningar för arbetet med intern styrning och kontroll ytterligare har förbättrats. Mot bakgrund av internrevisionens verksamhet under 2016 gör internrevisionen följande sammanfattande bedömning avseende myndighetens interna styrning och kontroll; KI har inte ett system för uppföljning och kontroll som i tillräcklig grad svarar upp mot organisationens långtgående delegering. 10 European Confederation of Institutes of Internal Auditing 11 Övriga rekommendationer bedömdes åtgärdade eller påbörjade.

1 (14) Bilaga 1 Bemanning Antal Utfall (timmar) Revisionschef 1 1998 Internrevisor 1 1894 Totalt Normalarbetstid 2 2 3892 3996 Konsulter 111 Anknuten 194 Totalt 305 Kostnaderna har uppgått till 2,5 mkr (1,8 mkr), varav konsultkostnader på 192 tkr (270 tkr) inklusive beställda revisioner.

Bilaga 2 Produktionsöversikt 2011-2016 Ärenden 2016 2015 2014 2013 2012 2011 Granskningsområden Macchiariniärendet Realisering av Strategi 2018 Verksamhetsstyrning med ny strategi Verksamhetsstyrning i växande verksamhet Informationssäkerhet Universitetsadministrationens struktur CLINTEC IT-säkerhet och informationssäkerhet IT-säkerhet och informationssäkerhet Informationssäkerhet Innovationsverksamhet och Ägarstyrning Informationssäkerhet Bisysslor SciLifeLab Externa finansiella krav (EU, NIH, Sida m.fl.) EU-projekt EU-projekt Institutionsgranskningar 1 0 2 2 2 2 Uppdragsgranskning 3 1 1 3 4 2 Utbildningsuppdrag 3 2 4 3 4 4 Revisionsrapporter 1 3 5 6 PM 2 2 4 5 6 2

Karolinska Institutet - <Titel> 1 (1)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss