UFV 2014/695 Revisionsplan juli 2014 t.o.m. februari 2015 Till konsistoriet 2014-06-16
1 Inledning 3 2 Riskanalys 3 3 Förslag på granskningar 3 3.1 Universitetets arbete med intern styrning och kontroll 3 3.2 Normering och uppföljning vem gör vad? 3 3.3 Alternativa granskningsförslag 4 Kunskapsöverföring mellan kollegialt valda chefer 4 Styr- och kontrollmiljö 4 Information och kommunikation 5 Projektstyrning vid universitetsförvaltningen 5 Hantering av identifierade riskområden 5 4 Övrig verksamhet 6 5 Tidsbudget 6 6 Förslag till beslut 6 2
1 Inledning Konsistoriet ska i enlighet med Arbetsordning för Uppsala universitet (UFV 2011/1724) och internrevisionsförordningen (2006:1228) besluta om internrevisionens revisionsplan. Under 2014 övergår internrevisionen från kalenderår till brutet revisionsår omfattande perioden mars t.o.m. februari nästkommande år. s framtida granskningar av universitetets arbete med intern styrning och kontroll bör avrapporteras till konsistoriet i februari i samband med att konsistoriet ska bedöma den interna styrningen och kontrollen. Det är lämpligt att revisionsåret avslutas vid samma tidpunkt för att underlätta revisionsplaneringen. Första halvåret 2014 har internrevisionen arbetat enligt en separat revisionsplan inriktad på internt kvalitetsarbete. Av den anledningen omfattar denna revisionsplan perioden juli 2014 t.o.m. februari 2015. 2 Riskanalys Enligt god internrevisionssed ska granskningsförslagen i revisionsplanen vara riskbaserade. s metod för riskanalysarbete framgår av rapporten s kvalitetsarbete (UFV 2014/694). Enligt metoden ska riskanalysarbetet utföras löpande under hela revisionsåret. Vid framtagandet av föreliggande förslag till revisionsplan har internrevisionen haft en kortare tid till förfogande. Främst har det påverkat mängden intervjuer som internrevisionen haft möjlighet att genomföra, samt tillgänglig tid för omvärldsbevakning. 3 Förslag på granskningar Granskningsförslagen ger uttryck för internrevisionens uppgifter att granska och lämna förslag till förbättringar av universitetets process för intern styrning och kontroll, samt att tillföra värde och förbättra verksamheten. s ambition är att konsistoriet ska ges möjlighet att prioritera bland flera granskningsförslag innan revisionsplanen fastställs. Av den anledningen presenteras först två huvudförslag och därefter alternativa granskningsförslag. Konsistoriets ledamöter kan också komma med egna förslag. Vilka granskningar som ska genomföras beslutas av konsistoriet, som baserat på ledamöternas erfarenheter och intressen kan göra annorlunda prioriteringar än internrevisionen. 3.1 Universitetets arbete med intern styrning och kontroll Eftersom en huvuduppgift för internrevisionen är att granska och lämna förslag till förbättringar av processen för intern styrning och kontroll bör universitetets arbete avseende intern styrning och kontroll granskas varje år av internrevisionen utifrån olika frågeställningar. Vilken utgångspunkt internrevisionens arbete ska ha under innevarande revisionsår kan avgöras först när beslut finns om hur universitets arbete med intern styrning och kontroll enligt förordning (2007:603) om intern styrning och kontroll (FISK) samt interna riktlinjer ska bedrivas fortsättningsvis. föreslår därför att konsistoriet uppdrar åt konsistoriets ordförande att godkänna granskningsinriktningen senare under året efter förslag från internrevisionschefen. 3.2 Normering och uppföljning vem gör vad? Vid tidigare granskningar har internrevisionen ofta iakttagit brister i uppföljning av beslut och processer. Uppföljning bygger på att det finns ett beslut eller en norm att utgå från, exempelvis ett internt regelverk. Därför går det inte att beakta uppföljning isolerat utan hänsyn måste samtidigt tas till hur normering utförs. 3
s uppfattning är att det inte är självklart vilka personer eller funktioner som har till uppgift att göra uppföljningar avseende hur olika administrativa frågor sköts, medan det är lättare att urskilja vilka som har normerande uppgifter. Eventuellt är det tydligt enligt det interna regelverket vilka personer/funktioner som har uppföljande uppgifter, men att den allmänna uppfattningen skiljer sig från vad som är stadgat. Hur normering, men framför allt uppföljning, ska gå till kanske i vissa avseenden är oreglerat. Eventuellt är det så att vissa funktioner utför uppföljningar/kontroller, fast utan ett tydligt mandat. Eventuellt överlappar olika instruktioner och uppföljningar med varandra. Bristande uppföljning kan leda till att verksamheten inte utvecklas i önskvärd riktning i olika aspekter. Utan uppföljning är det också svårt att bedöma om verksamheten sköts effektivt, med god hushållning, samt om verksamheten följer tillämpliga regelverk och redovisas tillförlitlig och rättvisande. föreslår en granskning av vilka positioner/funktioner som har normerande och uppföljande uppgifter enligt det interna regelverket, hur de normerande och uppföljande uppgifterna utförs i praktiken, samt en bedömning av ändamålsenligheten. Granskningen kommer att utgå från skriftliga delegationsordningar och arbetsbeskrivningar etc. och därefter kommer intervjuer att utföras med framför allt chefer vid universitetsförvaltningen och kärnverksamheten. Granskningen kommer att röra normering och uppföljning inom det administrativa området och inte utbildning eller forskning. Förutom att resultatet av granskningen förväntas vara till nytta för dem som ansvarar för utformningen av den interna styrningen och kontrollen vid universitetet kommer resultatet av granskningen att vara värdefullt för internrevisionen och konsistoriet vid beaktande av inriktningen på framtida granskningar. Frågor som rör intern styrning och kontroll måste koordineras effektivt för att säkerställa att dubbelarbete undviks och internrevisionen bör undvika att granska sådant som andra funktioner har till uppgift att följa upp. Däremot är det lämpligt att internrevisions granskar om olika funktioner sköter sina uppföljande uppgifter. 3.3 Alternativa granskningsförslag De alternativ till granskningar som presenteras nedan är sådant som internrevisionen också finner lämpligt att granska, men inte prioriterar lika högt som förslagen ovan. De alternativa granskningarna kan komma att föreslås av internrevisionen som huvudförslag ett senare revisionsår. Kunskapsöverföring mellan kollegialt valda chefer De kollegialt valda cheferna vid universitetet har korta (treåriga) mandatperioder, vilket ställer särskilda krav på att överlämningen av kunskap och information mellan avgående och nytillträdda chefer fungerar. En granskning skulle kunna belysa hur denna kunskapsöverföring går till samt om det finns förbättringspotential. Styr- och kontrollmiljö Universitetets arbete med intern styrning och kontroll enligt FISK har hittills inte inkluderat riskanalyser av innehållet i styr- och kontrollmiljön. Detta viktiga område hamnar därmed utanför internrevisionens ordinarie granskning av arbetet med intern styrning och kontroll. En granskning av hur universitetet arbetar med innehållet i sin interna styr- och kontrollmiljö skulle t.ex. kunna inkludera en genomgång av följdsamheten gentemot delegationsordningar och arbetsbeskrivningar, granskning av hur universitetet arbetar med etikrelaterade frågor eller universitetets utformning av personalpolitik och systematiskt arbetsmiljöarbete. 4
Hur universitetet arbetar systematiskt med verksamhetsstyrning (dvs. planering och uppföljning) skiljer sig åt mellan de olika vetenskapsområdena samt universitetsförvaltningen. En granskning skulle kunna besvara frågan om man arbetar på ett ändamålsenligt sätt vid olika organisatoriska områden. Information och kommunikation Universitetets arbete med intern styrning och kontroll enligt FISK har hittills inte inkluderat riskanalyser av innehållet i komponenten information och kommunikation. Detta viktiga område hamnar därmed utanför internrevisionens ordinarie granskning av arbetet med intern styrning och kontroll. En granskning av hur universitetet arbetar med rutiner för information och kommunikation skulle kunna beakta vertikal, horisontell och/eller extern kommunikation i samtliga riktningar med utgångspunkt i kommunikationspolicyn. Projektstyrning vid universitetsförvaltningen Vid universitetsförvaltningen bedrivs utvecklingsarbete för administrativ verksamhet vars resultat har effekter inom hela eller större delar av universitetet. En stor del av utvecklingen sker i projektform. En granskning av projektstyrningen vid universitetsförvaltningen skulle kunna omfatta om ett eller flera projekt hanterats professionellt, dvs. enligt best practice för projektstyrning enligt vedertagna modeller. Hantering av identifierade riskområden Universitets övergripande riskanalys 1 2013 enligt FISK och interna riktlinjer för tillämpning av förordningen har pekat ut nio områden som särskilt riskfyllda. Rektors ledningsråd har samtidigt bedömt att redan införda kontrollåtgärder är tillräckliga för dessa områden. På den korta tid internrevisionen haft till förfogande för riskanalysarbete har internrevisionen inte haft anledning att göra en annan bedömning. Eftersom universitetsledningen valt ut områdena som särskilt riskfyllda drar internrevisionen slutsatsen att dessa områden är centrala för universitetets förmåga att nå målen. Av den anledningen kan det vara intressant att granska om de kontrollåtgärder som vidtagits fungerar som avsett. Nedan listas dessa kontrollåtgärder kopplat till respektive riskområde. skulle kunna granska att någon eller några av dessa kontrollåtgärder finns på plats och fungerar som avsett. (Dylik uppföljning är egentligen en uppgift för verksamheten, men internrevisionen har i en granskning av universitetets arbete med intern styrning och kontroll konstaterat att momentet uppföljning brister.) - Fungerar den strategiska forskningsplaneringen samt görs det skrivelser i budgetunderlaget för att minska risken för att gapet mellan statsanslag och bidrag ökar inom forskningen? - Fungerar dialogen med statsmakterna för att minska risken för att studentpengen urholkas? - Arbetar universitetet ändamålsenligt med riktad marknadsföring, anpassning av utbildningsutbudet, utökning av stipendier och studentbostadsfrågan för att minska risken för att antal betalstudenter inte utvecklas som önskat? - För universitetet en ständigt pågående dialog med sjukhuset för att minska risken för brist på undervisande kliniker? - Erbjuder universitetet stöd till studenter samt deltar i debatten om kvalitet i grundskola och gymnasium för att minska risken för brister i studenternas förkunskaper? 1 Riskanalysen heter Intern styrning och kontroll, Riskanalyser 2013 (UFV 2013/136) och är beslutad av rektor. Den föredrogs för konsistoriet i december 2013. 5
- För universitetet en ständig diskussion kring oredlighet i forskning och anordnar obligatoriska utbildningar i forskningsetik för att minska risken för forskningsfusk och oegentligheter? - Fungerar universitetets dialog med departementetet för att minska risken för minskad satsning på grundforskning? - För universitetet en löpande intern dialog och samarbetar, t.ex. i samband med uppdateringen av Mål och strategier, för att minska risken för att det kollegiala systemet urholkas med minskad delaktighet i universitetets utveckling? - Arbetar universitetet med en standardisering av IT-arbetsplatser samt en analys och effektivisering av de administrativa arbetsflödena inom universitetsförvaltningen (KAIA) för att minska risken för att IT inte utgör ett fullgott stöd? 4 Övrig verksamhet Förutom att genomföra de granskningar som konsistoriet beslutar om kommer internrevisionen att bedriva följande verksamhet under revisionsåret: kommer att arbeta löpande med riskanalysarbete och planering för nästkommande revisionsår. Det interna kvalitetsarbete som påbörjats första halvåret 2014 kommer att fortsätta och utarbetade rutiner kommer att dokumenteras. Uppföljning av tidigare granskningar kommer att göras för rapporter lämnade åren 2009-2014 och resultatet av uppföljningen kommer att presenteras i internrevisionens årsrapport i februari 2015. Internrevisorerna kommer att delta i fortbildning i form av kurser, nätverkande och konferenser. 5 Tidsbudget Angiven tidsbudget bygger på antagandet att det finns två internrevisorer (varav en chef) för perioden juli t.o.m. september 2014 och tre internrevisorer (varav en chef) för perioden oktober 2014 t.o.m. februari 2015. Budgeterad tid är totalt tillgänglig tid efter avdrag för ledigheter. Aktivitet Granskning: Universitetets arbete med intern styrning och kontroll (eller alternativ) 13 Granskning: Normering och uppföljning vem gör vad? (eller alternativ) 28 Riskanalysarbete och planering för nästkommande revisionsår 7 Kvalitetsarbete 5 Uppföljning av tidigare granskningar 6 Fortbildning 5 Administration 2 Budgeterade veckor 6 Förslag till beslut föreslår att konsistoriet beslutar vilka granskningar som internrevisionen ska utföra under revisionsåret samt protokollför beslutet. 6