Internrevisionen Till styrelsen vid Göteborgs universitet Christina Wannehag 2008-02-11 Dnr B 5 30/07 INTERNREVISIONENS RAPPORTERING FÖR ÅR 2007
1. Inledning Internrevisionen vid Göteborgs universitet bedrivs i enlighet med Internrevisionsförordningen (2006:1228) och ESV:s föreskrifter och allmänna råd. Internrevisionen skall granska och lämna förslag till förbättringar av myndighetens processer för intern styrning och kontroll. Resultatet av internrevisionens granskning skall årligen redovisas i form av iakttagelser och rekommendationer till styrelsen. Grunden för internrevisionens rapportering utgör internrevisionens revisionsplan, beslutad av styrelsen 2007-02-21. 2. Internrevisionens omfattning och inriktning Internrevisionens granskningar har till största delen genomförts i enlighet med revisionsplanen. Den granskning som internrevisionen inte har hunnit med avser granskning av studenternas arbetssituation och arbetsmiljö vilken kommer att genomföras under år 2008 och ingår därmed i revisionsplanen för kommande år. I revisionsplanen för år 2007 beräknades resurserna för internrevision till 2,5 årsarbetare. Utöver de insatser som genomförts av internrevisionen har Ernst & Young anlitats för granskning av kontroller kring lönesystemet Palasso i enlighet med beslutad revisionsplan. Internrevisionschefen har varit tjänstledig under senare delen av år 2007 vilket har inneburit att internrevisionen inte varit bemannad fullt ut. Internrevisionen har, för att täcka den vakansen, använt externa konsulter för att utföra en del av granskningen. De granskningar som har genomförts under året har löpande avrapporterats till ansvariga chefer samt rektor. Denna rapportering avser därför enbart väsentliga iakttagelser och rekommendationer Kvalitetssäkring Ekonomistyrningsverket (ESV) har sedan januari 2006 ansvaret för att samordna och utveckla internrevisionen inom staten bl a när det gäller kvalitetssäkring, metod- och kompetensutveckling. Internrevisionen har utarbetat ett kvalitetssystem/kvalitetsprogram för att säkerställa att kontinuerlig tillsyn och utveckling sker av internrevisionens effektivitet. Under slutet av år 2008 alt början av år 2009 kommer en självutvärdering med extern validering att ske av internrevisionen. Rådgivning I internrevisionens uppgift ingår att ge råd och stöd avseende myndighetens processer för intern styrning och kontroll. Deltagande i nätverk Internrevisionen har under året deltagit i nätverk tillsammans med andra internrevisorer vid andra statliga myndigheter och universitet. 3. Internrevisionens väsentliga iakttagelser och rekommendationer avseende varje enskild granskning Samtliga granskningar har genomförts med utgångspunkt från COSO-modellen. Denna modell utgör ett regel- och ramverk för att värdera verksamhetens interna styrning och kontroll. 3.1 Förtroenderisker Internrevisionen har under året granskat två institutioner med hänsyn tagen till förtroenderisker. Internrevisionen hade definierat detta som att särskilt fokus skulle ägnas representations- och 2(8)
konferenskostnader, men även personliga utlägg och kostnader som i övrigt kan vara känsliga, såsom presentkort och lotter. Granskningarna visade på brister gällande följsamheten mot universitetets representationsregler. Beloppsgränserna för både intern och extern representation överskreds vid ett antal tillfällen, vid några tillfällen med mer än det dubbla. Andra brister gällde redovisningen av syfte och representationsdeltagarnas organisatoriska hemvist. Internrevisionen rekommenderade förbättrade attestrutiner, bl.a. att dekanus skall attestera prefekts representation och personliga utlägg. I februari 2007 beslutade rektor om nya representationsregler vid universitetet. 3.2 Prefektuppdraget Göteborgs universitet har ca 70 prefekter som leder olika stora institutioner vilket ställer olika krav på kompetens och erfarenhet avseende ledarskapet. Internrevisionen har tolkat prefektuppdragets ansvarsområde enligt nedan: Prefekten har det övergripande ansvaret för utbildning, forskning och samverkan med det omgivande samhället vid institutionen och ansvarar på uppdrag av dekanus för den dagliga ledningen av institutionen. Prefekten har beslutanderätt i alla löpande och operativa ärenden och har ett samlat ansvar för verksamhet, förvaltning, ekonomi, personal och arbetsmiljö. Granskningens syfte har varit att ge en översiktlig bild av hur arbetssituationen och arbetsmiljön ser ut för de prefekter som arbetar inom Göteborgs universitet. o Vilka förutsättningar ges centralt och inom den egna fakulteten för att uppdraget skall kunna utföras så effektivt som möjligt avseende: ansvar och befogenheter ledning, styrning och uppföljning information och kommunikation stöd och resurser som ställs till förfogande för uppdraget o Vilka krav ställs på prefekterna? Hur arbetar man aktivt med att förbereda och introducera personer inför ett sådant uppdrag? o Hur upplever de själva sin arbetssituation och den arbetsmiljö som de verkar i? Många institutioner har ökat i omfattning under de senaste åren vilket ställer högre krav på ledningen, ledningsstrukturen och ledningssystemen. I de flesta fall finns det ingen tydlig ledningsstruktur utan det är upp till varje fakultetsnämnd och oftast till varje prefekt/institution att bestämma hur denna skall se ut. Vissa fakultetsnämnder har påbörjat ett arbete med att utveckla chefs- och ledarrollen samt även viss utbildning för prefekterna. Detta har inte skett i samarbete med den centrala personalavdelningen vid gemensamma förvaltningen. Internrevisionen anser att det inom myndigheten bör finnas en samsyn kring chefs- och ledarskapet, vilket inte är fallet i dagsläget. Internrevisionen kan konstatera att de flesta trivs med sitt uppdrag och känner sig respekterade av sina medarbetare och andra med chefsbefattning, trots en stor arbetsbelastning. 3(8)
Internrevisionen anser att den interna styrningen och kontrollen bör förbättras avseende prefekternas förutsättningar att kunna utföra uppdraget på ett så effektivt sätt som möjligt. Nedan sammanfattas de väsentligaste rekommendationer som framkommit i rapporten avseende prefektuppdraget: o I den strategiska planen 2007-2010 finns ett antal områden som skall syfta till att stärka chefsoch ledarskapet. Den strategiska planen bör konkretiseras på både universitets- och fakultetsnivå för att chefs- och ledarskapet skall kunna utvecklas. o Universitetet bör upprätta styrdokument kring chefs- och ledarskap såsom ledarskapsidé (grundläggande syn på ledning och ledarskap), ledningsfilosofi (viktiga principer för ledning av verksamheten), ledningsuppgifter (väsentliga uppgifter som alla ledare måste prioritera) samt krav på ledare (ledningskompetens, ledarutveckling). o Prefekternas roll och uppdrag bör tydliggöras från universitetsledningens sida så att hela universitetet har en samsyn. Prefekterna bör i högre utsträckning delta i utvecklingsarbetet inom den egna fakulteten och för universitetet som helhet. o Det är viktigt att prefekterna ges tillräckligt med administrativt stöd och att det ges möjlighet att vidaredelegera arbetsuppgifter i större utsträckning. I och med detta så kan mer tid läggas på verksamhetsutveckling och strategiska diskussioner. o En tydligare ledningsstruktur som är gemensam för universitetet skulle kanske underlätta arbetet med att utveckla prefekternas roll och uppdrag. o Universitetets ledningssystem bör förbättras - prefekten och dekanus bör ha kontinuerliga samtal så att prefekterna känner till vilka mål som är satta och även hur verksamheten följs upp. 3.3 Förstudie centrumbildningar Syftet med förstudien avseende centrumbildningar har varit att få en översiktlig bild av: o vilket behov finns av olika centrumbildningar? finns det olika organisationsformer/modeller? o finns det övergripande regler och riktlinjer för dessa centrumbildningar? o vem har befogenhet att fatta beslut om att inrätta en centrumbildning? o hur ser chefsansvaret ut ansvar och befogenheter delegationsordning, roller? o finns avtal mellan Göteborgs universitet och olika centrumbildningar som reglerar verksamheten avseende ekonomi, personal, lokaler, utrustning, resultatet etc? o har någon dokumenterad riskbedömning gjorts? o vilka aktiviteter finns för att säkerställa att det finns tillräcklig intern styrning och kontroll avseende de centrumbildningar som bildas inom Göteborgs universitet? o hur sker styrning, ledning, uppföljning och rapportering? o hur utvärderas centrumbildningarna upp? Internrevisionen anser att den interna styrningen och kontrollen bör förbättras vad gäller centrumbildningar vid Göteborgs universitet. Göteborgs universitetet har påbörjat ett arbete för att stärka den interna styrningen och kontrollen avseende centrumbildningar och internrevisionen kommer att följa detta arbete och därefter ta ställning till om en fördjupad granskning bör ske. Nedan sammanfattas de väsentligaste rekommendationer som framkommit i rapporten avseende centrumbildningar: o Göteborg universitet bör ha en samlad bild över samtliga centrumbildningar. Det bör för varje centrumbildning anges vilken typ av verksamhet det är samt vilka ekonomiska och andra åtaganden som Göteborgs universitet har gentemot externa parter. o Det bör finnas ett övergripande dokument fastställt av styrelsen som anger hur och i vilken form olika centrumbildningar skall bedrivas. Häri bör syftet för inrättande av centrumbildningar utanför den befintliga organisationsstrukturen anges. o En riskanalys bör upprättas på övergripande nivå och fakultetsnivå för att kunna hantera och minimera de risker som finns. 4(8)
o Det är viktigt att strukturen för styrning, ledning och uppföljning är klar och tydlig. 3.4 Kontroller kring lönesystemet Palasso Granskning har skett av det övergripande rutinflödet, löneprocessen, med avseende på inrapportering, bearbetningar, utdata, överföring till ekonomimodulen samt säkerheten i utbetalningsrutinen. Vidare har behov och förekomst av specialrutiner, avstämningsrutiner samt existerande kontroller i Palasso, automatiska och manuella legat till grund för förslag till förbättrade rutiner. Inom ramen för denna granskning har en dataanalys genomförts av samtliga lönetransaktioner för år 2006. Internrevisionen anser att de kontroller som finns i lönesystemet Palasso till största delen är tillfredsställande. Följande rutiner kan förbättras alt kompletteras: o Hantering av Palasso utbetalningsfilen som genereras vid månatliga och direktutbetalningar bör förändringsskyddas o Rutinen för ändringshantering bör förtydliga vilka roller som har befogenhet att beställa programändringar och godkänna flytt till produktionsmiljö, förtydliga rutinen för övervakning av systemleverantörens aktivitet i produktionsmiljö samt dokumentera ändringshanteringsprocessen o Rutinen kring behörighetsadministration rutin bör införas för att säkerställa att det sker en periodisk genomgång av rättigheter till Palasso hos de olika fakulteterna 3.5 Rutiner kring lönehanteringen Målet med granskningen har varit att bedöma huruvida de interna kontrollerna avseende ett urval av lönerutiner är effektiva samt att ge ett underlag för att genomföra eventuella förbättringar i rutinerna. Uppföljning har även gjorts av den granskning som genomfördes av Ernst & Young år 2000 avseende löne- och personalkostnader. Granskningen innefattar att bedöma utformningen av kontrollerna tillsammans med ett begränsat test av kontrollernas funktion. Samtliga lönetransaktioner för år 2006 har analyserats med hjälp av ett särskilt revisionsverktyg och där ett antal transaktioner valdes ut för den begränsade testningen. Områden där brister påträffades var bl.a. inom övertidsersättningar, långa sjuk- och tjänstledigheter samt handläggningen vid sjukpensioneringar. Granskningen visade att lönehandläggarna (på fakultetsnivå eller motsvarande) utformar sina egna rutiner för uppföljning av att rätt uppgifter lagts in i lönesystemet och att det inte finns en fastställd hantering. Det framgick även att de flesta lönehandläggare kontrollerar sin egen registrering, vilket noteras som en brist. Anledningen till detta uppgavs vara brist på tid. I lönesystemet Palassos analysmodul finns ett antal fördefinierade kontrollfrågor. Dessa tas ut på månadsbasis av lönehandläggare (på fakultetsnivå eller motsvarande) för att förebygga samt fånga upp felaktigheter i systemet. Granskningen visade att det inte finns en enhetlig rutin för denna hantering. Fel- och signallista tas fram centralt och resultatet skickas som en länk till lönehandläggarna när denna är klar. Granskningen visar att listan skrivs ut av samliga lönehandläggare (vid tre särskilt granskade fakulteter) och analyseras men varje lönehandläggare har däremot olika sätt att hantera denna på. Några markerar tydligt att en signal eller ett fel är genomgånget och arkiverar detta, medan andra inte 5(8)
har denna strukturerade hantering och sparar inte alltid dokumentationen. Någon centraliserad fastställd rutin för denna hantering återfanns inte vid granskningen. Egenrapporteringen som den ser ut idag är ny sedan våren 2007 och vållar enligt uppgift från de granskade enheterna en del bekymmer. Arbetsuppgifterna har förskjutits från sekreterarnivån till den enskilde individen vilket innebär ett ökat krav på kompetens ute på institutionerna. Internrevisionen noterar att dataanalysen från 2006 års lönetransaktioner visar att administrativa enheter har betydligt högre sjukfrånvaro än institutioner eller motsvarande. Mot bakgrund av bl a ovanstående och internrevisionens egen riskanalys planerar internrevisionen en fördjupad granskning av egenrapporteringen under 2008, främst på institutionsnivå. Sammanfattningsvis anser internrevisionen att den interna styrningen och kontrollen av lönehanteringen vid Göteborgs universitet är tillfredsställande i de delar som granskats. Bara enstaka felaktigheter har upptäckts vid granskningen, men med förbättrade kontrollrutiner och med särskilt fokus på t.ex. övertidsutbetalningar, kan felaktigheter ytterligare minimeras. Internrevisionen kan konstatera att det i huvudsak är samma brister som har noterats i denna granskningen jämfört med den granskning Ernst & Young gjorde år 2000. Personaldirektören, som är systemägare till Palasso, är i nuläget inte processägare och har därför inte mandat att styra över t ex lönehanteringsprocessen vid de enskilda fakultetskanslierna och institutionerna. Internrevisionen ser detta som en risk och rekommenderar därför en enhetlig lönehanteringsprocess för universitetet som helhet vilket också innebär fler centralt fastställda rutiner för en mer likartad hantering. Trots att internrevisionen planerar en fördjupad granskning av egenrapporteringen under 2008, kan vi redan nu rekommendera en ökad uppföljning och utbildning inom detta område. 3.6 ALF- och TUA-ersättningar Internrevisionen har granskat universitetets och Västra Götalandsregionens redovisning till regeringen av de s.k. ALF- och TUA-medlens användning. Ersättningarna var på närmare 440 miljoner kronor år 2006 och betalades via universitetet till sjukvården och tandvården i Västra Götaland för att täcka merkostnader i samband med grundutbildning av läkare och tandläkare, samt medicinsk och odontologisk forskning. I de nationella avtalen avsågs att den närmare utformningen av redovisningen skulle ske i de regionala samarbetsavtal som skulle slutas mellan olika universitet och landsting. I de samarbetsavtal som slutits mellan Göteborgs universitet och Västra Götalandsregionen sker ingen närmare precisering av hur redovisningen skall utformas, utan detta hänvisas till de regionala samarbetsorganen. Följden har blivit att redovisningen är väldigt kortfattad och endast uppdelad på Lokaler, Löner och Övrigt samt uppdelad på verksamheterna Grundutbildning och Forskning. Internrevisionen rekommenderade rektor att tydligare klargöra Sahlgrenska akademins ansvar för de erhållna uppgifterna från Västra Götalandsregionen och rekommenderade fördjupad redovisning med mer av analys och verifikation. 6(8)
3.7 Förstudie samverkan Göteborgs universitet och Chalmers med utgångspunkt i ITuniversitetet Syftet med förstudien har varit att få en översiktlig bild av den interna styrningen och kontrollen avseende samverkan mellan Göteborgs universitet (GU) och Chalmers Tekniska högskola (Chalmers). Utgångspunkten har varit samverkan mellan GU och Chalmers avseende gemensamma institutioner med utgångspunkt i IT-universitet (ITU): o hur ser organisationsstrukturen ut? är den tydlig och har den förankrats i organisationen? o finns avtal mellan huvudmännen som reglerar verksamheten avseende ekonomi, personal, lokaler, utrustning, resultat etc? o vilka styrdokument finns som reglerar samverkan? hur har dessa implementerats i organisationen? o är ansvar och befogenheter klart definierade delegationsordning, roller? o görs systematiska risk- och väsentlighetsanalyser avseende verksamheten och den samverkan som sker? o vilka aktiviteter finns för att säkerställa att det finns tillräcklig intern styrning och kontroll? o hur sker styrning, ledning, uppföljning och rapportering mellan huvudmännen? o utvärderas samverkan regelbundet? hur ofta? Internrevisionen anser att den interna styrningen och kontrollen inte är tillfredsställande avseende samverkan mellan GU och Chalmers gällande ITU. Det är svårt att få en helhetsbild av ITU och de delar som ingår. Det finns inte en tillräcklig transparens och struktur i organisationen. Samtliga avtal mellan GU och Chalmers avseende samverkan har sagts upp. En genomgång av organisationsstrukturen i samband med tecknande av ett nytt avtal kan möjliggöra att strukturen blir tydligare och enklare. Den ekonomiska redovisningen är svåröverskådlig och det är svårt att göra någon bedömning av om kostnaderna har fördelats på ett korrekt sätt mellan parterna. Anders Stening har i sin rapport Rättsliga förutsättningar för ledningsfunktionen vid institutionell samverkan mellan olika huvudmän lyft att det är viktigt att respektive huvudman har den kontroll över verksamheten som krävs för att man skall kunna ta sitt ansvar gentemot uppdragsgivaren. Vidare anser han att man inte kan prata om samverkan genom gemensamma institutioner utan man bör begränsa sig till samverkande enheter. Vidare anser han att givet de förutsättningar som respektive huvudman ges så går det mycket bra att samverka och mycket hänger på att olika ledningspersoner visar respekt och förtroende för varandra. Detta stämmer väl överens med de slutsatser internrevisionen har. Internrevisionens slutsats är med utgångspunkt i ovanstående, att en ytterligare granskning av den ekonomiska redovisningen och bokslutsarbetet bör göras för att kunna säkerställa att kostnaderna fördelas på ett korrekt sätt mellan parterna. Internrevisionen vill vidare lämna följande förslag till förenkling och förtydligande av strukturen för samverkan mellan GU och Chalmers allmänt: o Det är viktigt att de avtal som tecknas mellan GU och Chalmers är tydliga och att det inom GU finns en rutin för att implementera avtalen i organisationen. o Organisationsstrukturen bör tydliggöras och förankras i organisationen eftersom den oftast är mer komplex än den normala organisationsstrukturen. o GU bör säkerställa att det finns en tillräcklig struktur och transparens med avseende på t ex ansvar och befogenheter, styrdokument, regler och riktlinjer. En tydlig struktur och transparens skall medverka till att verksamheten bedrivs på ett tillfredsställande sätt och att den interna styrningen och kontrollen är betryggande. 7(8)
o Manuellt och personbundet arbete inom den ekonomiska redovisningen bör minimeras så att tillräcklig tid istället kan läggas på analys och uppföljning. o Det bör på olika nivåer inom GU finnas en rutin för att identifiera, bedöma och hantera de risker som finns avseende olika samverkansformer. En dokumenterad riskanalys bör upprättas gällande detta. o GU bör införa en systematisk uppföljning och utvärdering av olika samverkansformer. 3.8 Universitetets Jubileumsfond Internrevisionen har under året gjort en översiktlig granskning av Göteborgs universitets Jubileumsfond. Inget specifikt rekommenderades av internrevisionen, mer än att en fördjupad granskning får bli en del av en eventuellt kommande granskning av universitetets fondförvaltning. 4. Internrevisionens sammanfattande slutsats och bedömning Internrevisionens sammanfattande slutsats är, på basis av de granskningar som genomförts under år 2007, att den interna styrningen och kontrollen kan förbättras och stärkas inom vissa områden. Internrevisionen vill speciellt lyfta: o samverkan kräver en tydlig och transparent struktur för att uppnå en god intern styrning och kontroll o centrumbildningar kräver en tydlighet när det gäller vilka verksamheter som skall ligga utanför den befintliga organisationsstrukturen o lönehanteringen en enhetlig lönehanteringsprocess stärker den interna styrningen och kontrollen vilket innebär ett tydligare fokus på centraliserade rutiner samt förbättrade kontrollrutiner, egenrapporteringen kräver ytterligare uppföljning och utbildning För att möta de behov som uppmärksammats internt och för att uppfylla kraven i de nya förordningarna har GU under år 2007 startat ett projekt med syfte att upprätta ett system och utveckla arbetsmetoder för att styrelsen och ledningen skall kunna säkerställa att den interna styrningen och kontrollen fungerar på ett betryggande sätt. Internrevisionens bedömning är att GU har kommit en bra bit på väg med att upprätta ett system för att kunna säkerställa att det finns en betryggande intern styrning och kontroll i verksamheten. Internrevisionen kommer under år 2008 att följa arbetet och bedöma huruvida det finns ett tillfredsställande system för detta i organisationen. Förslag till beslut Styrelsen för Göteborgs universitet beslutar att fastställa internrevisionens rapportering avseende verksamhetsåret 2007. INTERNREVISIONEN VID GÖTEBORGS UNIVERSITET Christina Wannehag Tf internrevisionschef 8(8)