REVISIONSPLAN 2017-02-16 DNR V 2017/87 Internrevisionen Jan Sandvall Till styrelsen vid Göteborgs universitet REVISIONSPLAN FÖR ÅR 2017
1 Inledning Internrevisionen vid Göteborgs universitet bedrivs i enlighet med internrevisionsförordningen (2006:1228) samt Ekonomistyrningsverkets föreskrifter och allmänna råd. Internrevisionen arbetar utifrån de Riktlinjer för internrevisionen vid Göteborgs universitet som styrelsen beslutat om. Internrevisionen bedrivs enligt god internrevisionssed samt god internrevisorssed, vilket innebär att revisionen arbetar objektivt, oberoende, med integritet och enligt vedertagna arbetsmetoder. Internrevisionen följer Riktlinjer för yrkesmässig internrevision i enlighet med IIA:s standards samt den Handledning för Internrevision vilken utarbetades under år 2006/2007 och som uppdateras löpande. 2 Internrevisionens uppgift, inriktning och arbetssätt Internrevisionen skall granska och lämna förslag till förbättringar av myndighetens processer för intern styrning och kontroll. Internrevisionens granskning och förslag till förbättringar innebär inte att internrevisionen deltar operativt i myndighetens arbete eller att myndighetsledningen fråntas sitt ansvar enligt 2 kap 2 2 p i högskoleförordningen avseende intern styrning och kontroll. Internrevisionen är styrelsens instrument och skall utifrån en analys av verksamhetens risker, självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet: uppnår en ändamålsenlig och effektiv verksamhet efterlever lagar, förordningar och andra regler, samt lämnar en tillförlitlig redovisning och rättvisande rapportering av verksamheten. Riskanalysen skall upprättas årligen och omfatta all verksamhet som myndigheten bedriver eller ansvarar för. Riskanalysen skall utgå från såväl myndighetsledningens identifiering, värdering och hantering av risk som från internrevisionens egen riskbedömning. Utifrån riskanalysen upprättas en revisionsplan. Vid upprättande av riskanalysen bör all relevant kunskap om risker inom myndigheten användas. Bedömningen görs utifrån resultatet av tidigare års granskningar, intervjuer med ledningen samt löpande utbyte av erfarenheter med andra universitet och högskolor i syfte att identifiera viktiga granskningsområden. I revisionsplanen fastställs internrevisionens mål och inriktning för året, samt de granskningsinsatser som krävs för att på ett effektivt och ändamålsenligt sätt uppnå målen. I revisionsplanen bör avsättas tid för uppföljning av att åtgärder vidtas med anledning av resultatet av tidigare gjorda granskningar. Vidare bör i planen ingå en sammanställning av internrevisionens totala verksamhet för budgetåret i form av en tidsplan över planerade projekt samt bedömd resursåtgång för varje projekt. I planen bör även tid avsättas för större kända rådgivningsuppdrag samt uppskattad tidsram för övriga rådgivningsuppdrag. Revisionsprocessen skall bedrivas systematiskt genom planering, genomförande, utvärdering och förbättring av arbetssätt och metoder. Internrevisionen skall efter avslutat verksamhetsår lämna en rapport till styrelsen i form av iakttagelser och rekommendationer. Varje enskild granskning avrapporteras till berörda chefer och ansvariga. Iakttagelser av väsentlig och allvarlig karaktär rapporteras till styrelse och rektor under pågående verksamhetsår. 2
- Rådgivning I internrevisionens uppgift ingår att ge råd och stöd till styrelse och rektor. Internrevisionen skall bedöma om ett rådgivningsuppdrag ligger inom dess kompetensområde. Uppdraget kan sedan antas med utgångspunkt från dess möjlighet att förbättra riskhanteringen, tillföra värde och förbättra myndighetens verksamhet. Accepterade uppdrag skall inkluderas i revisionsplanen för internrevisionen. 3 Riskanalys Mot bakgrund av bl.a. förordningen om intern styrning och kontroll, arbetar universitetet kontinuerligt med att utveckla arbetsmetoder inom området. En riskanalys upprättas årligen som ett led i detta. Internrevisionens riskanalys har utgått såväl från myndighetens riskanalys, som från internrevisionens egna iakttagelser och bedömningar. 4 Förslag till granskningar år 2017 Område Inriktning Verksamhet Kärnverksamheten kostnader, rutiner, regelefterlevnad och intern kommunikation. Granskning av ansvar och befogenheter, styrning och ledning samt kommunikation och uppföljning. Flertalet väsentliga rutiner och processer berör kärnverksamheten. Det är därför angeläget med regelbundna besök från internrevisionens sida. Ett urval av institutioner. Dataskyddsförordningen. Attestordning och attestflöde. Under 2016 antogs en ny EUförordning avseende dataskydd. Denna förordning kommer år 2018 att, i Sverige, ersätta Personuppgiftslagen. Regelverket inbegriper bl.a. sanktionsavgifter. Det är angeläget att granska universitetets utgångsläge och förberedelser inför ikraftträdandet. Förordningen torde komma att påverka riskhantering, rutiner och kontroller, uppgiftsskydd, styrande dokument och registerhantering. Attestordningen reglerar samlat rätten att förfoga över universitetets medel genom att attestera beställning av vara/tjänst, leverans- och belastningsattestering av leverantörsfakturor, samt att förfoga över medel genom att betalningsbekräfta. Internrevisionen har observerat fall där personer som rimligen inte borde belastnings- Berörda enheter. Berörda enheter. 3
Uppföljning av tidigare granskningar. Planering och genomförande av större projekt. attestera ändå haft möjlighet till detta. Frågan uppstår hur det säkerställs att attestflödet uppdateras korrekt. En välfungerande attestrutin är en grundläggande förutsättning för en god intern styrning och kontroll. Internrevisionen avser att återkomma till ett urval av de områden och enheter som relativt nyligen granskats. Detta för att följa upp hur lämnade rekommendationer och upplysningar mottagits och hanterats. Granskning av de rutiner som rör planering och genomförande av större projekt. Ett exempel är anskaffandet av universitetets nya forskningsfartyg. Hur har de långsiktiga tekniska och ekonomiska aspekterna beaktats? Hur har projektarbetet bedrivits i praktiken? Internrevisionen ser ett behov av att följa något/några projekt då investeringarna oftast får stora långsiktiga effekter. Berörda ansvarsställen och områden bl.a. frågor rörande anställningsförordningen. Projektkontoret m.fl. Externfinansierade projekt. Internrevisionen har under 2016 granskat fem projekt, finansierade med externa medel. Finansiären ställer krav på revision av de finansiella rapporter som universitetet avlämnar. Internrevisionen ser fördelar i att även fortsättningsvis utföra ett visst antal revisioner av detta slag, dock i begränsad omfattning. Berörda projekt. Ad hoc. Utrymme för oplanerade granskningar. Berörda fakulteter, institutioner och enheter. Intern styrning och kontroll Kontinuerligt kartläggs och anpassas den interna styrningen och kontrollen. Myndighetens ledning skall säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Internrevisionen följer löpande universitetets arbete inom området. Samtliga berörda. 4
5 Tidsplan och resursåtgång Internrevisionen disponerar två årsarbetskrafter vilket motsvarar cirka 380 revisionsdagar. Samtliga granskningar utförs av internrevisionen. Det bedöms inte, i skrivande stund, komma att föreligga behov av att anlita extern expertis vid genomförandet. Granskningsprojekt Resurser Klar Kärnverksamhet kostnader, 100 dagar Löpande rutiner och kommunikation Dataskyddsförordningen 35 dagar Juni Attestordning och attestflöde 35 dagar Augusti Uppföljningsrevisioner och 40 dagar Löpande uppföljningsbesök Planering och genomförande av 40 dagar November större projekt. Oplanerade granskningar 35 dagar Löpande Granskning av externfinansierade 15 dagar Löpande projekt Intern styrning och kontroll 30 dagar Löpande Övrigt Rapportering för år 2017 5 dagar December Risk- och väsentlighetsanalys, 15 dagar December planering Råd och stöd 30 dagar Löpande Förslag till beslut Styrelsen beslutar att fastställa revisionsplanen för år 2017 i enlighet med föreliggande förslag samt att bemyndiga rektor att, om behov skulle uppstå, besluta om förändring i revisionsplanen under pågående verksamhetsår; vid sådan ändring skall styrelsen informeras. INTERNREVISIONEN VID GÖTEBORGS UNIVERSITET Jan Sandvall 5