2017/2174. Revisionsplan Internrevisionen. Fastställd av Konsistoriet

Relevanta dokument
Internrevisionsrapport 2018

Revisionsplan för 2016

Revisionsplan för Linnéuniversitetet 2016

Revisionsplan för Linnéuniversitetet 2015

Regler och riktlinjer för intern styrning och kontroll vid KI

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Riktlinjer för internrevisionen vid Linnéuniversitetet

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Revisionsplan juli 2014 t.o.m. februari 2015

Process för intern styrning och kontroll

Intern styrning och kontroll

Instruktion för Internrevision vid Linköpings universitet

Riktlinjer för internrevisionen

Riktlinjer för hantering av misstänkta oegentligheter Dnr 1-477/

Intern styrning och kontroll

Revisionsplan för 2018

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Uppgifter och beslutanderätter till avdelningschefer vid universitetsförvaltningen

Revisionsplan för Linköpings universitet 2008.

Revisionsplanen fastställd av konsisistoriet den 4 december Postadress Besöksadress Telefon E-Post Karolinska Institutet STOCKHOLM

Intern styrning och kontroll

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Intern styrning och kontroll i upphandlings- och inköpsprocessen

Utdrag ur universitetsstyrelsens protokoll 14 december Regler för Internrevisionen

Instruktion för internrevisionen vid Malmö högskola

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsplan för 2013

REVISIONSPLAN FÖR ÅR 2012

Revisionen i finansiella samordningsförbund. seminarium

Antagning av doktorander

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Processen för verksamhetsplanering och uppföljning

Revisor i samordningsförbund enligt lag om finansiell samordning av rehabiliteringsinsatser.

Internrevisionens revisionsplan 2008

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Dokumentnamn Dokumenttyp Datum Arbetsordning med styrelsens delegationer för Tillväxtverket

Intern styrning och kontroll

Dnr 2015/1842. Riskanalys och revisionsplan 2016

Internrevisionsförordning (2006:1228)

Ledamot av styrelsen för ett universitet eller en högskola

Riktlinjer för internrevisionen vid Sida

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Handlingsplan för hållbar utveckling,

Idrottsnämndens system för internkontroll

Revisionsplan för internrevisionen vid Sida Verksamhetsåret 2009

UPPSALA UNIVERSITET. PROTOKOLL Sammanträdesdag 12 december tisdag 12 december 2017 Nya konsistorierummet. Tid: Plats:

Frågor om internrevision

Internkontrollplan 2019

Oegentligheter och korruption Risker och granskning inom universitet- och högskolesektorn

Revisionsrapport Granskning av årsredovisning 2016

Vi har genom att ta del av interna styrdokument, genomförda intervjuer och övrig kontakt med er noterat ett flertal brister i er inköpsverksamhet.

Revisionsrapport. Intern styrning och kontroll i upphandlings- och inköpsprocessen. Sammanfattning

Riktlinje för riskhantering

Revisionsrapport Karolinska Institutet Stockholm

Rekrytering av gästprofessorer

Revisionsplan för 2015

Revisionen i finansiella samordningsförbund. seminarium

Förtroendevald revisor i regionens stiftelser

Revisionsplan 2017 för Tillväxtverkets Internrevision

Lokala regler och anvisningar för intern kontroll

UFV 2013/1444. Kursvärderingar. Rapport från internrevisionen. Till konsistoriet

Högskolan som både myndighet och akademi. Daniel Gillberg Planeringsdirektör, Uppsala universitet

Organisationsplan för Karolinska Institutet

Revisionsrapport. Granskning av beslut i ärenden angående internrevisionen vid Länsstyrelsen i Skåne län. Sammanfattning

Föreskrift: Arbetsordning för styrelsen vid Högskolan i Gävle. Fastställd av Högskolestyrelsen Dnr HIG-STYR 2016/125

Tillväxtverkets riktlinjer för intern styrning och kontroll

Intern styrning och kontroll

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Riktlinjer för intern styrning och kontroll

Handlingsplan för hållbar utveckling

Intern styrning & kontroll samt internrevision i staten

Chefen för UU Innovations uppgifter och beslutanderätter

Rutin för hantering av styrande dokument vid Uppsala universitet

Revisionsplan 2016/2017

Årsrapport NU-sjukvården Diarienummer REV

Riktlinjer för befordran av biträdande universitetslektor till universitetslektor vid teknisknaturvetenskapliga. vetenskapsområdet UPPSALA UNIVERSITET

Sammanfattning av inkomna riskanalyser i arbetet för att förebygga korruption, Högskolan i Skövde

Uppgifter till redovisningen över internrevisionen

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Program för lika villkor vid Uppsala universitet

Revisionsplan för 2017

Rutiner för bedömning av bisysslor i Göteborgs Stad

Internkontrollplan 2019 för äldrenämnden

BESLUT 1(5) UFV 2011/134. Modell för fördelning av statsanslag från konsistoriet till områdesnämnderna vid Uppsala universitet

REVISIONSSTRATEGI. För. Region Värmlands revisorer

Revisionsrapport Granskning av anställdas bisysslor

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Uppgifter till avdelningschefer vid universitetsförvaltningen

Risk- och kapitalhantering

Arbetsordning för universitetsstyrelsen

Inför Karolinska Institutets fördjupade riskanalyser 2012

LINKÖPINGS UNIVERSITET INSTRUKTION Universitetsledningen Instruktion för studierektorer inom filosofisk och teknisk fakultet.

Årsmötesdirektiv för Ersta diakonisällskap

Arbetsordning Högskolan Dalarna

Ny utbildningsorganisation vid SLU

Upprättande och förvaltning av regeldokument

Intern kontroll avseende de anställdas bisysslor

Transkript:

2017/2174 Revisionsplan 2018 Internrevisionen Fastställd av Konsistoriet

Inledning Internrevisionen vid Uppsala universitet är organiserat som en fristående enhet direkt underställd Uppsala universitets konsistorium. Konsistoriet följer med stöd av revisionsutskottet internrevisionens form och inriktning. Revisionsutskottet ska också ta del av samt bedöma lämpligheten i internrevisionens riskanalys. 1 Målet för internrevisionens arbete är att tillföra värde och förbättra verksamheten vid Uppsala universitet. Genom ett systematiskt och strukturerat arbetssätt vill internrevisionen bistå universitetet i arbetet med att uppnå målen och öka effektiviteten i verksamheten. Internrevisionen vid Uppsala universitet bedrivs i enlighet med internrevisonsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt Uppsala universitets riktlinjer för internrevisionen. 2 Enligt Internrevisionsförordningen 4 ska internrevisionen, utifrån en analys av verksamhetens risker, självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av tredje paragrafen i myndighetsförordningen. 3 Internrevisionens självständiga riskanalys utgår från universitets verksamhetsplanering och analys av de risker som kan hota verksamhetsmålen. Riskanalysen ska omfatta hela den verksamhet universitetet ansvarar för. Detta arbete leder fram till en revisionsplan. I revisionsplanen fastställs internrevisionens uppdrag inför det kommande året och eftersom internrevisionen vid Uppsala universitet tillämpar brutet rapporteringsår sträcker sig planen från den 1 mars 2018 till den 28 februari 2019. Underlag Internrevisionens självständiga riskanalys grundar sig på universitetets riskanalys, som i sin tur utgår från Mål och strategier för Uppsala universitet, fastställda av Konsistoriet i november 2014. 4 Som underlag till internrevisionens riskanalys ingår: riskanalys - Medicinska och farmaceutiska vetenskapsområdet 2016, riskanalys - Teknisk-naturvetenskapliga vetenskapsområdet 2017, regelbundna avstämningar med Säkerhetsavdelningen, universitetsförvaltningens riskanalys 2017, samt ledningsrådets aggregerade riskanalys 2017. 5 Därutöver har internrevisionen beaktat information om risker erhållen under året i 1 Arbetsordning för konsistoriets revisionsutskott UFV 2016/187 2 Internrevisionsförordningen 2006:1228, UFV 2015/410 3 3 Myndighetens ledning ansvarar inför regeringen för verksamheten och skall se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. 4 Intern styrning och kontroll, riskanalys, UFV 2016/1863. Mål och strategier, UFV 2013/110. 5 Intern styrning och kontroll Riskanalys 2017, UFV 2017/1905 2

samband med granskningar, omvärldsanalys och informationsinsamling. Under höstens riskanalys har intervjuer också genomförts med 20-tal personer (inkluderande förvaltningens avdelningschefer och akademiska företrädare). Tillvägagångssätt Internrevisionen använder sig av ett löpande arbetsdokument där revisionsområdet definieras från de begrepp som används i Mål och Strategier för Uppsala universitet; världsledande forskning, förstklassig utbildning samt excellens och samhällsnytta. Internrevisionen har delat in dessa mål i processbaserade delområden som till exempel gemensamma forskningsstrukturer och samarbeten, studentadministration och IT-stöd. De processbaserade delområdena har därefter delats in i fokusområden som hantering av intern styrning och kontroll, bisysslor och rutiner för inköp. På så vis bryts de strategiska riskområdena från Mål och strategier ner till operativa fokusområden som sedan riskbedöms. Riskvärderingen har gjorts i enlighet med de begrepp som används i universitetets riskanalys; låg, måttlig eller hög med avseende på sannolikhet och konsekvens. Målsättningen är att det löpande arbetsdokumentet ska vara ett levande dokument som ständigt förbättras vad gäller identifieringen av revisionsområdet, dess delprocesser samt värderingen av risker. Identifierade risker har diskuterats med revisionsutskottet vid två tillfällen under hösten 2017 och revisionsutskottet har presenterat egna iakttagelser med avseende på risker. Internrevisionens metod och tillvägagångssätt har också beskrivits mer detaljerat för revisionsutskottet och diskuterats gällande metod och värderingsbegrepp. Sammanfattning av internrevisionens riskanalys Årets revisionsplan bygger på de risker internrevisionen bedömt som mest kritiska ur ett sannolikhets- och konsekvensperspektiv; dock har inte de risker som har prioriterats för åtgärder i universitetets egen riskanalys tagits med. Risker och åtgärder som planeras med anledning av dessa, förs till internrevisionens löpande riskdokument i syfte att följa händelseförloppet inför planeringen av 2019 års internrevisionsplan. Granskningsförslag 1: Ansvarsnivåer För att strukturera och belysa en verksamhets organisering avseende intern styrning och kontroll brukar man tala om tre ansvarsnivåer. Första ansvarsnivån är den interna styrningen och kontrollen i myndighetens operativa verksamhet. Den andra ansvarsnivån är myndighetens egen uppföljning och kontroll av den operativa verksamheten. Den tredje ansvarsnivån är internrevisionens granskning och bedömning av att den interna kontrollen inom myndigheten har fungerat på avsett vis. Ansvaret mellan de tre ansvarsnivåerna ska vara tydligt fördelat för att förutsättningarna för en god intern styrning och kontroll ska kunna uppnås samtidigt som det krävs ett samarbete och samordning mellan nivåerna. De olika ansvarsnivåerna måste också informera varandra om risker för att arbetet ska ske effektivt och för att undvika dubbelarbete. Om det finns brister i den andra ansvarsnivån påverkar det de två andra ansvarsnivåerna negativt, vilket skapar sämre förutsättningar för den interna styrningen och kontrollen vid universitetet. 3

Syftet med granskningen är att kartlägga hur arbetet med intern styrning och kontroll är organiserad vid universitetet utifrån modellen med tre ansvarsnivåer. En bedömning kommer också att göras huruvida den andra ansvarsnivån är ändamålsenlig och tillräcklig för att främja en god intern styrning och kontroll vid universitetet. Granskningsförslag 2: Resurshantering i utbildningen En av universitetets viktigare uppgifter är utbildning. Årligen läser ca 40.000 studenter drygt 3.800 kurser som erbjuds inom Uppsala universitets 251 program/inriktningar samt som fristående kurs. 6 Universitetet har slagit fast att målet är att bedriva förstklassig utbildning som kännetecknas av forskningsanknytning och progression mellan utbildningsnivåerna. Genom universitetets resursfördelningsmodell fördelas ca 1,7 mdkr årligen, från konsistoriet, via vetenskapsområdena och fakulteter för att slutligen landa på institutionsnivå där utbildningen ges. Även om centrala initiativ tas och drivs för att uppnå målet om en förstklassig utbildning så är det på program- eller institutionsnivå som det huvudsakliga ansvaret för utbildningen ligger. En god hushållning av resurser och fördelningen av dessa är väsentliga faktorer för att universitetets mål ska kunna nås. 7 I detta finns inslag av flera produktionsekonomiska frågeställningar som dimensionering av program- eller kursutveckling, bemanning och resursallokering till utbildningarna. Om inte de som hanterar universitets resursfördelning ges goda förutsättningar för att utföra dessa uppgifter så kan det innebära risker för att kvaliteten i undervisningen liksom att hushållningen av utbildningsresurser blir bristfällig. Internrevisionen föreslår därför en granskning som fokuserar på de förutsättningarna som ges i syfte att stödja att planera och fördela resurser till utbildningen. I den föreslagna granskningen kommer bl.a. resurshantering, planering och bemanning av utbildning att granskas närmare. Granskningsförslag 3: Upphandling och inköp Inköp och upphandling regleras av lagen om offentlig upphandling. 8 Enheten för upphandling och inköp inom universitetsförvaltningen har bl.a. att verkställa upphandling av varor och tjänster över direktupphandlingsgränsen samt bistå med råd och stöd vid direktupphandling. Universitetet köper varor och tjänster för betydande summor årligen. Det omfattande regelverket kring upphandling och inköp upplevs av många som krångligt och byråkratiskt och inte alltid kostnadseffektivt. Inköps och upphandlingsprocessen upplevs vidare som tidskrävande där en otillräcklig framförhållning också kan leda till att aktiviteter och forskning försenas. Sammanfattningsvis kan detta bidra till en risk att upphandlingar som genomförs inte följer externa eller interna regelverk. Konkurrensverket har genomfört en fördjupad upphandlingsgranskning vid ett par lärosäten och det har bl.a. där framkommit brister i regelefterlevnad. 6 Motsvarande ca 24.000 helårsstudenter. 7 Det finns vid universitetet olika sätt att organisera resurshanteringen, men vanligtvis ligger ansvaret hos en studierektor. Det finns flera sorters studierektorer, s.k. programstudierektorer som ansvarar för utbildningsprogram, vanliga studierektorer som ansvarar för utbildning på grundnivå och avancerad nivå och studierektorer för utbildning på grundnivå och avancerad nivå och studierektorer för utbildning på forskarnivå. Rollen studierektor innehas vid Uppsala universitet oftast av utsedda lärare under en begränsad tid. Det finns ingen reglering i universitetets arbetsordning över studierektorernas uppgifter utan hur dessa utformas bestäms lokalt på fakulteter eller institutioner. 8 LOU, 2016:1145 4

Förutom skadestånd och upphandlingsskadeavgift kan brister i upphandling leda till en icke tillfredställande hushållning med statens medel samt en ökad risk för oegentligheter. Uppsala universitet är en decentraliserad organisation där den övervägande andelen direktupphandlingar sker på institutionsnivå. För att inköpen ska göras på ett bra sätt krävs kompetens. Rektor har därför beslutat att institutioner eller motsvarande ska utse inköpsansvariga, som har att utföra institutionernas upphandling och inköp. 9 Inköpsansvariga vid institutionerna har att avropa från universitetets ramavtal eller om universitetet saknar avtal, från statliga ramavtal. De ska också ansvara för direktupphandling dvs inköp av varor och tjänster som köps sällan och där det sammanlagda ordervärdet är för hela universitetet understiger direktupphandlingsgränsen. Internrevisionen föreslår därför att en granskning där det övergripande syftet är att undersöka om universitetets upphandlingar görs i enlighet med gällande regelverk samt bedöma om universitetets upphandlingsprocess och organisation kan anses ändamålsenliga. Granskningen kommer att inriktas mot direktupphandling och ta hänsyn till den benchmarking enheten för upphandling och inköp genomför inom ramen för sin verksamhetsutveckling. Granskningsförslag 4: Oegentligheter Oegentligheter är ett samlingsbegrepp för många olika typer av bedrägligt beteende som exempelvis stölder, korruption och otillbörligt gynnande. Riskerna för oegentligheter kopplas ofta samman med situationer där pengar hanteras, men inom ett universitet kan även processer för antagning, examination och anställningar vara en del av riskhanteringen gällande oegentligheter. Då oegentligheter nästan alltid innebär en förtroendeskada, kan även incidenter med relativt små ekonomiska konsekvenser få stor påverkan på universitetets renommé. Inte minst om det visar sig att oegentligheter har kunna pågå med anledning av att beredskap och rutiner varit bristande. Granskningen kommer att fokusera på hur universitetet arbetar med att förebygga, upptäcka och förhindra olika former av oegentligheter. Granskningen kommer bl.a. att besvara övergripande frågeställningar som, hur säkerställer universitet att den interna kontrollen till skydd mot oegentligheter är tillräcklig? Finns en god ansvars- och arbetsfördelning i riskutsatta verksamheter? Hur kommuniceras ledningens värderingar och riktlinjer angående oegentligheter till personalen genom utbildning och information? Granskningsförslag 5: Diarieföring Internrevisionen har i enlighet med revisionsplanen för 2017 granskat universitetets hantering och diarieföring av allmänna handlingar. Syftet med granskningen var att på en övergripande nivå bedöma om befintliga rutiner för detta är ändamålsenliga. Vad avser rutiner för hantering och diarieföring av allmänna handlingar på operativ nivå hade granskningen sitt huvudfokus på institutionsnivån. Internrevisionens riskanalys har identifierat en risk att hanteringen och diarieföringen av allmänna handlingar inte alltid sköts tillfredsställande. Orsakerna skulle kunna vara mängden inkommande handlingar och osäkerhet om vad som gäller men även ofullständiga rutiner. Exempel på ofullständiga rutiner kan vara att utlämning av material inte sköts 9 UFV 2010/1853 5

korrekt med avseende på tidsaspekten och eller att upprättade och inkomna handlingar inte diarieförs alls. Föreslagen granskning kommer att avse universitetsförvaltningen och dess avdelningar och syftar till att se om rutiner för hantering och diarieföring av allmänna handlingar är ändamålsenlig. Granskningsförslag 6: Bisysslor Grundregeln är att offentliganställda får ha bisysslor. Däremot är de inte tillåtna om de påverkar allmänhetens förtroende, om de konkurrerar med universitetets verksamhet eller om de är arbetshindrande. Rapporteringen av bisysslor inom universitetet syftar inte till att förbjuda eller hämma bisysslor, utan ska ses som ett sätt att säkerställa förtroendet både fo r anställda och universitetet. Om inte universitetet har en väl fungerande process för hantering av bisysslor så kan det förutom ekonomiska risker innebära avsevärda förtroenderisker. I samband med tidigare genomförda granskningar och i internrevisionens riskanalys har risker i hanteringen av bisysslor identifierats bl.a. att anställda inte anmäler bisysslor i den omfattning de borde, att informationen om hur, när och varför bisysslor ska anmälas är bristfällig samt att kontroller och uppföljningar av bisysslor inte görs. När det gäller inkomna anmälningar avseende bisysslor så finns risken att beslut inte tas av rätt person och att hantering och beslut om dessa inte är likvärdig över hela universitetet. Granskningen kommer att avse universitetets interna styrning och kontroll gällande bisysslor, dvs hela processen från anmälan om bisyssla till beslut om denna samt hur kontrollen och uppföljningen av bisysslor sker. Riksrevisionen har för avsikt att granska bisysslor vid statliga myndigheter, varav några kommer att genomgå fördjupad granskning. Internrevisionen föreslår därför att eventuell granskning relateras eller anpassas till Riksrevisionens granskning. Granskningar i mån av utrymme I riskanalysen har ytterligare områden bedömts som väsentliga, men som av resursskäl inte planerats in i 2018 års granskning. De kan dock bli föremål för granskning i mån av tid och resurser. Granskningsförslag 7: reserv: Rekryteringsprocess för tekniskt administrativ personal En bra och rättssäker rekryteringsprocess säkerställer att rekryterarna fokuserar på rätt saker både hos de sökande och i organisationen. Inom statliga myndigheter ska rekryteringen vara saklig objektiv och rättvis. I regeringsformen står att beslut om all statlig anställning ska fattas på sakliga grunder såsom förtjänst och skicklighet. 10 Rekryteringsprocessen är också offentlig och därför är det särskilt viktigt att det finnas en transparens gentemot allmänheten. Ytterligare föreskrifter som inverkar på rekryteringsprocessen är exempelvis annonseringsskyldighet, företrädesrätt, överklagansmöjlighet och hänsyn till likavillkorslagstiftning. Ovanstående lagar, förordningar och begrepp ligger till grund för den rekryteringsprocess som sker i en statlig myndighet. Det är därför viktigt att myndigheten i alla steg av processen har en tydlig struktur och ordningsföljd för att garantera att stegen genomförs på ett korrekt sätt och för att kunna argumentera för de beslut som tas. En statlig myndighet måste därför vara extra noggrann med att alla steg i processen utförs på ett sakligt och objektivt sätt då rekryteringsprocessen är offentlig och alla anställningar måste utföras på saklig grund. Om inte universitetets rekryteringsprocess är väl strukturerad finns en risk att tillsättningarna brister i det som utgör grunden för statliga anställningsbeslut, att beslut 10 11kap 9 2st 6

7 endast skall grunda sig på sakliga grunder såsom förtjänst och skicklighet. Vidare finns risken att dokumentationen avseende rekryteringarna brister och därmed också transparensen gentemot allmänhet och sökanden. Internrevisionen har tidigare granskat universitetets rekryteringar av lärare, doktorander och gästforskare. Den här granskningen däremot riktar in sig på en annan viktig kategori av anställda och granskningen kommer att besvara frågan huruvida universitetets rekryteringsprocess avseende tekniskt - administrativ personal är ändamålsenlig utifrån vad som utgör grunderna för statliga anställningsbeslut. Granskningsförslag 8: reserv: Studiedokumentationssystemet Ladok 3 Ladok är ett nationellt system som ska ge högskolor runtom i landet stöd i olika delar av den studieadministrativa processen. Ladok ska göra det lättare för högskolorna att uppfylla regelverk och krav på uppföljning från regering och centrala myndigheter. Ladok gör det möjligt att följa studenternas studier samt förser universitetet med uppgifter för bl.a. årsredovisningen. Förutom att stödja universitetet med information förser det också ett antal myndigheter som, Universitetskanslersämbetet, Riksrevisionen, Statistiska Centralbyrån samt Centrala studiemedelsnämnden med information. Systemet ägs av högskolorna tillsammans genom ett konsortium av högskolor samt Centrala studiestödsnämnden (CSN). Sedan 2010 genomför Ladokkonsortiet det så kallade Ladok3-projektet, med uppdrag att ersätta det Ladok som används i dag. Det är ett högriskprojekt på många sätt och ett av de större inom sektorn. Projektet är fördyrat och kraftigt försenat, men tas successivt i drift på olika lärosäten. Uppsala universitet kommer att börja använda systemet under sista kvartalet 2018. Om Ladok inte uppfyller högt ställda krav på säkerhet föreligger bland annat risk för att felaktig information lämnas i årsredovisningen, att studenternas rättssäkerhet och försörjning hotas. Enligt information som internrevisionen inhämtat finns vissa hot mot säkerheten i systemet exempelvis inom driften. Internrevisionen bedömer det därför att det finns skäl att granska säkerheten i systemet. Eftersom systemet och en stor del av riskerna är gemensamma för samtliga lärosäten är en eventuell granskning planerad att genomföras med internrevisionen vid andra lärosäten. Syftet med granskningen är primärt att bedöma om Ladok3 lever upp till de krav på god intern styrning och kontroll som Uppsala universitet bör ställa. För närvarande genomför Riksrevisionens avdelning för årlig revision en granskning av systemet. Detta kan komma att påverka omfattningen och fokus i internrevisionens granskning. Utredningar / förstudier I analysen har också några riskområden framkommit och analyserats i ett första skede, men som på grund av komplexitet eller otillräcklig information inte gått att analysera djupare. Internrevisionen avser därför att under 2018 genomföra förstudier för att identifiera och värdera risker. Landstingssamarbete Uppsala universitet bedriver tillsammans med Akademiska sjukhuset medicinsk forskning för att bl.a. klarlägga sjukdomsmekanismer samt för att skapa effektiva nya behandlingsformer för morgondagens patienter. Förstudien avser att kartlägga riskområden avseende den verksamhet som bedrivs av Uppsala universitet och Akademiska sjukhuset "tillsammans". Förstudien kan komma att resultera i konkreta granskningsförslag.

SciLifeLab SciLifeLab är ett samverkansprojekt mellan ett antal olika universitet i Sverige där Uppsala universitet är ett. Samverkansformen och den relativt komplicerade organisationen även inom Uppsala universitet gör att internrevisionen ser ett behov av en fördjupad riskanalys av SciLifeLabs verksamhet för att utröna vilka riskområden som kan vara kopplade till verksamheten och vad de kan få för konsekvenser. Resultatet av den fördjupade analysen kommer sedan att ligga till grund för beslut om huruvida en mer omfattande granskning av SciLifeLab kan bli aktuell. Uppföljning - bevakning Internrevisionen följer regelbundet upp genomförda granskningar och de åtgärder som föranletts av dessa. Under 2018 kommer utöver sedvanlig omvärldsbevakning och uppföljningar också två frågar att bevakas särskilt. IT består av ett flertal olika frågor som t.ex. säkerhet, förvaltning, organisation och utveckling. Internrevisionen har över åren granskat ett antal aspekter och nu senast lagring av forskningsdata och säkerhet i mobila enheter. Universitetet bedriver ett omfattande utvecklingsarbete inom IT och detta arbete kommer att följas särskilt. Efter införande av lagen om särskilt skydd mot repressalier för arbetstagare som slår larm om allvarliga missförhållanden har ett antal myndigheter infört s.k. visselblåsarfunktioner. 11 Frågan har också varit uppe till diskussion i revisionsutskottet och utskottet är fortsatt intresserad av hur universitets beredskap inför interna anmälningar av upplevda missförhållanden utvecklats och internrevisionen avser att följa detta. 11 2016:749 8

Resurser Uppgift Uppskattat antal timmar Intern styrning och kontroll - ansvarsnivåer 700 Resurshantering i utbildningen 700 Upphandling och inköp 400 Oegentligheter 150 Diarieföring 400 Bisysslor 400 Utredningar/förstudier 450 Uppföljning av tidigare granskningar 150 Interna kvalitetsförbättringar/intern kvalitetsutvärdering Utveckling av internrevisionens riskanalysmodell 150 150 Riskanalys inför 2019 200 Planering inför 2019 150 Bollplank och rådgivning 200 till förfogande 350 Kompetensutveckling, nätverksaktiviteter och konferenser, 350 omvärldsbevakning Administration 200 Summa planerade granskningstimmar 5100 Tillgängliga resurser 5100 9