Internrevisionens årsrapport Polismyndigheten

Relevanta dokument
Granskning av hanteringen av tipspengar

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Internrevisionsförordning (2006:1228)

Instruktion för internrevisionen vid Malmö högskola

Internrevisionens revisionsplan 2008

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Riktlinjer för internrevisionen vid Linnéuniversitetet

Internrevisionens årsrapport Polismyndigheten

Riktlinjer för internrevisionen vid Sida

Revisionsplan för Linköpings universitet 2008.

Revisionsplan för Linnéuniversitetet 2016

REVISIONSPLAN FÖR ÅR 2012

Instruktion för Internrevision vid Linköpings universitet

RAPPORT. Årsrapport Internrevision Sammanfattning. 2. Aktiviteter under 2017

Revisionsplan för 2013

Riktlinjer för internrevisionen

Revisionsplan för Linnéuniversitetet 2015

Granskning av personalakter

Internrevisionens årsrapport 2017

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Utdrag ur universitetsstyrelsens protokoll 14 december Regler för Internrevisionen

Revisionsplan för 2015

Granskning av polisens inköpskort

Regeringsrapport internrevision/ intern styrning och kontroll Catrin Lind Ebert

Internrevisionens årsrapport

Revisionsplan juli 2014 t.o.m. februari 2015

Granskning av friskvårdssubvention

Revisionsplan för internrevisionen vid Sida

Intern kontroll och riskbedömningar. Strömsunds kommun

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Frågor om internrevision

Intern styrning och kontroll

Regler och riktlinjer för intern styrning och kontroll vid KI

Löpande granskning av rutin för upphandling

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Uppgifter till redovisningen över internrevisionen

Frågor om internrevision och intern styrning och kontroll 2019

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Ensamrevisorer i statliga myndigheter 2007

Granskning av Polismyndighetens strategiska styrning inklusive styrmodell

Revisionsrapport. Skogsstyrelsens delårsrapport Sammanfattning Skogsstyrelsen Jönköping.

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Frågor om internrevision och intern styrning och kontroll 2017

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0016. Organisationsöversyn av tekniska kontoret.

Regeringsuppdrag. Rapport Ekonomistyrningsverkets årliga rapport 2008 om den statliga internrevisionen ESV 2008:28

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. Försvarsmakten Stockholm

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Granskning av Polismyndighetens informationssäkerhetsarbete

95 Internrevisionsplan för 2013 och budget för internrevisionen 2013

Granskning av verksamhetsstyrd ITutveckling för den brottsbekämpande verksamheten

Revisionsrapport. Årsredovisning för Linköpings universitet Sammanfattning. Linköpings universitet LINKÖPING

Revisionsplan för 2016

Avvikelsehantering och kunskapsåterföring - uppföljning

Granskning av representation

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Granskning av sekretessförbindelser

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Granskning av intern styrning och kontroll vid Statens servicecenter

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering

Revisionsplan 2017 för Tillväxtverkets Internrevision

Granskning av nämnden för funktionshinder och habilitering år 2013

Intern kontroll och riskbedömningar. Sollefteå kommun

ÅRSRAPPORT FRÅN INTERNREVISIONEN VERKSAMHETSÅRET 2004

Organisation av och uppföljning av intern kontroll

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Revisionsrapport Karolinska Institutet Stockholm

Revisionsrapport Årsredovisning 2016

Revisionsplan för internrevisionen vid Sida

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport. Granskning av kommunstyrelsens uppföljning av mål och majoritetens samverkansprogram.

Uppföljningsrapport för internkontrollplanen 2018 för Fastighetsnämnden

Revisionsrapport. Rådet för Europeiska socialfonden i Sverige årsredovisning Sammanfattning

Riktlinjer för internkontroll i Kalix kommun

Granskning av Polismyndighetens attestrutiner - Palasso

Revisionsrapport. Granskning av beslut i ärenden angående internrevisionen vid Länsstyrelsen i Skåne län. Sammanfattning

Kommunstyrelsens ekonomistyrning

Protokollsutdrag. 1. Godkänna svaret på revisionsrapport Granskning av det systematiska arbetsmiljöarbetet och överlämna det till revisionen.

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Årsrapport Styrelsen för Habilitering & Hälsa Diarienummer REV

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Revisionsrapport avseende granskning av Folke Bernadotteakademin

REVISIONSBERÄTTELSE FÖR ÅR 2013

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Ramavtalsupphandlingar inom IT-området

Revisionsplan 2013 Landstinget Dalarna

Internrevisionsavdelningens årsrapport 2013

Revisionsrapport Bristande rutiner och intern styrning och kontroll i uppföljning av lämnade bidrag 2016

Uppföljningsrapport IT-generella kontroller 2015

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

Arbetsordning. Södertälje kommuns revisorer

Idrottsnämndens system för internkontroll

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Granskning av hantering av tjänstekort

LANDSTINGETS REVISORER Norrbottens läns landsting. Arbetsordning. Fastställd

Transkript:

Internrevisionens årsrapport 2018 Polismyndigheten

Internrevisionens årsrapport 2018 Internrevisionen 2019-02-12

RAPPORT 2 (28) Internrevisionens årsrapport 2018 INNEHÅLL 1 ALLMÄNT OM INTERNREVISION... 3 2 INLEDNING... 3 3 UTFÖRT ARBETE UNDER 2018 ENLIGT REVISIONSPLANERNA... 4 3.1 Granskningar... 4 3.2 Rådgivningsaktiviteter... 4 3.3 Övrigt revisionsarbete... 5 4 NEDLAGD TID OCH RESURSER FÖR INTERNREVISIONEN... 6 4.1 Nedlagd tid... 6 4.2 Budget... 6 5 RAPPORTER OCH REKOMMENDATIONER 2015-2018... 7 6 LÄMNADE REKOMMENDATIONER 2018... 8 7 RAPPORTER 2018... 9 7.1 Granskning av polisens tillsynsverksamhet över transporter av farligt gods... 9 7.2 Granskning av friskvårdssubvention... 9 7.3 Granskning av hantering av tipspengar informatörsverksamheten... 9 7.4 Granskning av polisens arbete med lönebildning... 10 7.5 Granskning av polisens hantering av behörighet till IT-system... 10 7.6 Polisens inköpskort... 11 7.7 Granskning av polisens vapenhantering... 11 7.8 Granskning av Polismyndighetens strategiska styrning inklusive styrmodell... 11 7.9 Granskning av sekretessförbindelser... 12 7.10 Granskning av verksamhetsstyrd It-utveckling för den brottsbekämpande verksamheten... 12 7.11 Granskning av Polismyndighetens informationssäkerhetsarbete... 13 7.12 Granskning av reformen och omorganisationen... 13 7.13 Granskning av särskilda satsningar - utsatta områden... 14 8 UPPFÖLJNING AV ARBETET MED ATT GENOMFÖRA BESLUTADE ÅTGÄRDER FÖR REVISIONSRAPPORTER 2014-2018... 14 8.1 Bedömning av status för beslutade åtgärder... 16 8.2 Rapporter där uppföljningen är helt avslutad... 20 8.3 Sammanfattning av internrevisionens uppföljning... 21 9 INTERNREVISIONENS KVALITETSARBETE... 21 9.1 Internt kvalitetsarbete... 21 9.2 Extern kvalitetsbedömning... 22 10 ORGANISATORISKT OBEROENDE OCH EFTERLEVNAD AV ETISK KOD... 23 Bilaga 1 Status för föreslagna granskningar i revisionsplanerna Bilaga 2 Budget och utfall för IR 2018 och 2017

RAPPORT 3 (28) 1 Allmänt om internrevision Internrevisionen är en fristående organisatorisk enhet som arbetar på direkt uppdrag av rikspolischefen. Internrevisionen stödjer Polismyndigheten i arbetet med att öka tryggheten och minska brottsligheten genom att granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. Internrevisionen lämnar även råd och stöd. Internrevisionen utför sitt uppdrag i enlighet med: internrevisionsförordningen (2006:1228) internationellt ramverk 2017 (International Professional Practice Framework/IPPF) utgivet av den internationella yrkesföreningen för internrevisorer, Institute of Internal Auditors (IIA). I fortsättningen omnämnt internationella standards. 2 Inledning Internrevisionens årscykel omfattar följande aktiviteter: Enligt Polismyndighetens riktlinjer för internrevisionen ska en årsrapport upprättas och överlämnas till rikspolischefen varje år i samband med undertecknandet av årsredovisningen. Årsrapporten ska bl.a. innehålla en sammanställning av genomfört arbete enligt revisionsplanen, sammanfattning av de mest väsentliga iakttagelserna från årets granskningar, uppföljning av tidigare granskningar och bedömning av vidtagna åtgärder samt bedrivet kvalitetsarbete.

RAPPORT 4 (28) 3 Utfört arbete under 2018 enligt revisionsplanerna Under 2018 har arbete bedrivits enligt revisionsplanen för 2016-17 1 och revisionsplanen 2018-19 2. 3.1 Granskningar Arbetet har utförts i enlighet med revisionsplanerna. Under året har tretton rapporter expedierats (föreg. år sjutton) och tolv rapporter är föremål för åtgärdsinhämtning (föreg. år tre). Ytterligare nio granskningar pågår (föreg. år elva). Status för granskningarna enligt revisionsplanerna framgår av bilaga 1. I avsnitt 7 sammanfattas internrevisionens iakttagelser för de granskningar som har expedierats under 2018. Granskningarna är överlag försenade i förhållande till planeringen, vilket beror på flera orsaker. Uppföljningen har visat att granskningar inte har kommit igång vid den tidpunkt som planerades men även att granskningarna tar längre tid att genomföra än planerat. Detta i sin tur beror på att: Den inledande uppstartsfasen tar förhållandevis lång tid. Det gäller att få kontakt med rätt personer i myndigheten och att få tillgång till relevant material. Flera medarbetare vid internrevisionen är relativt nyanställda, vilket medför att fler personer deltar i granskningarna och att mer tid har lagts på granskningsarbetet. Tid för sakgranskning av utkast till rapporter tar tid då processen ännu inte är helt känd i verksamheten och att svarstider inte respekteras. Tiden för att inhämta åtgärder med anledning av internrevisionens rekommendationer är lång. Ansvaret för inhämtandet av åtgärderna har under året övergått från internrevisionen till rikspolischefens kansli. Processen är ännu inte helt intrimmad och processen innehåller flera moment med många personer och funktioner involverade. Det förekommer att åtgärdsinhämtningen pågår under längre tidsperiod än genomförandet av själva granskningen. 3.2 Rådgivningsaktiviteter Under året har internrevisionen blivit ombedd av verksamheten att utföra oberoende granskningar av tre EU-projekt som Polismyndigheten har varit involverad i. Det gäller: Airpol III (A296.393/2018) Airpol Training (A392.670/2018) Storm (A272.199/2018). För dessa tre projekt har internrevisionen avlämnat revisionsintyg. Förutom de ovan angivna granskningarna har oplanerade rådgivningsaktiviteter genomförts bl.a. inom områdena intern styrning och kontroll samt redovisningsfrågor. 1 A218.327/2016 2 A540.273/2017

RAPPORT 5 (28) 3.3 Övrigt revisionsarbete Under året har internrevisionen uppdaterat riskanalysen, vilken utgör grunden för planering av de granskningar som internrevisionen föreslår ska genomföras enligt revisionsplanen. I revisionsarbetet ingår att följa upp och rapportera vilka åtgärder som har vidtagits med anledning av iakttagelser och rekommendationer i tidigare revisionsrapporter. Under året har för första gången genomförts en halvårsuppföljning som presenterades i en delårsrapport (A452.890/2018). En tillsynsfunktion inrättades vid polisen under 2017. Tillsynsfunktionen genomför inspektioner och internrevisionen granskningar men det finns ingen skarp skiljelinje mellan de olika ansvarsområdena. Internrevisionen och tillsynsfunktionen har därför samverkat löpande under året för att undvika dubbelarbete. Internrevisionen har under året samarbetat med andra myndigheter och en gemensam granskning har genomförts tillsammans med internrevisorn från Åklagarmyndigheten (se bilaga 1). Internrevisionsfunktionerna för de myndigheter som ingår i RIF-arbetet har samarbetat i syfte att följa arbetet och genomföra riskanalys. Internrevisionen har även samverkat med andra statliga myndigheters internrevisorer, informationsutbyte har förekommit och kompetensutvecklingsinsatser har genomförts. I likhet med tidigare år har en gemensam erfarenhetsutbytesdag anordnats med deltagare från Polismyndigheten, Skatteverket, Försvarsmakten, Domstolsverket och Tullverket. Polismyndighetens internrevision anordnade ett uppskattat seminarium för övriga myndigheter om internrevisionens kvalitetsarbete. Ett samarbete har inletts med internrevisionsfunktionerna i polisorganisationerna i de nordiska länderna och internrevisionscheferna träffades i Stockholm under våren 2018. Under året har internt utvecklingsarbete bedrivits för att förbättra och dokumentera arbetssätt och metoder. Under 2018 har rutinerna uppdaterats. En strategisk plan har tagits fram för åren 2018-2020 och arbete har bedrivits för att planera och genomföra förbättringsaktiviteter kopplade till den strategiska planen. Aktivitetsplanen innehåller också åtgärder för att hantera de högsta riskerna för internrevisionsfunktionen. En internrevisor ska förbättra sina kunskaper och färdigheter genom kontinuerlig yrkesmässig utveckling. Under året har några nya medarbetare rekryterats, både internt och externt. Detta har medfört att tid har lagts på grundutbildning och introduktion. Ett antal medarbetare har påbörjat certifieringar via Institute of Internal Auditors och en revisor har erhållit certifieringen CGAP (Certified Government Auditing Professional). Medarbetare deltar aktivt i de kurser, seminarier, workshops och nätverksträffar som arrangeras av internrevisorernas förening. Samtliga medarbetare vid internrevisionen är medlemmar i denna yrkesförening.

RAPPORT 6 (28) 4 Nedlagd tid och resurser för internrevisionen 4.1 Nedlagd tid Vid ingången av året fanns tolv tjänster vid internrevisionen. Under året har ytterligare två personer rekryterats externt och en internt. Två personer har lånats ut till verksamheten för ett projekt. Medelantalet anställda under året har uppgått till 14 personer (föreg. år 12). Därutöver har två personer haft timanställning vid internrevisionen. Vid behov anlitar internrevisionen personer, såväl internt som externt, med sakkunskap inom det område som ska granskas. Antalet faktiskt arbetade timmar enligt tidredovisningen uppgår till ca 21 800 timmar, vilka har disponerats i enlighet med följande. Aktiviteter i timmar Utfall 2018 Utfall 2017 Planering 1 731 1 726 Revisioner 10 710 11 970 Uppföljning 703 480 Samarbete med IR andra myndigheter 271 212 Rådgivning 3 209 2 563 Kompetensutveckling 1 625 1 469 Övrigt 3 528 1 980 Totalt antal arbetade timmar 21 777 20 400 Under 2018 har antalet timmar som har lagts på rådgivningsgranskningar ökat medan nedlagd tid på riskbaserade revisioner har minskat. Ökningen av tid nedlagd för rådgivning är i viss mån i enlighet med planeringen men posten har ökat mer än vad som ursprungligen prognosticerades. Detta beror framförallt på de revisionsintyg som internrevisionen har hjälpt verksamheten med. Posten övrigt har också ökat, vilket beror på att nedlagd tid för internt utvecklingsarbete har ökat. I huvudsak har detta arbete omfattat uppdatering av internrevisionens rutiner, ändrade rutiner för att inhämta åtgärder och fatta beslut med anledning av internrevisionens rekommendationer samt aktiviteter kopplade till aktivitetsplanen. 4.2 Budget Internrevisionen har tilldelats en budget om 15 502 tkr som ska täcka löner, utgifter för inköp av konsulttjänster, resor och utbildning. Utöver detta har ett överföringsbelopp från 2017 om 1 257 tkr disponerats. Under 2018 har kostnader uppgått till 15 457 tkr, vilket har resulterat i oförbrukade medel om 1 302 tkr. Orsaken till överskottet i förhållande till budget är framförallt personalrörligheten med in- och utlåningar till/från verksamheten. Se bilaga 2 för närmare detaljer. Såsom har nämnts i tidigare revisionsplaner har internrevisionens uppdrag utökats i och med bildandet av Polismyndigheten. I beslut från Genomförandekommittén om huvuddragen i den nya Polismyndighetens detaljorganisation angavs att hur internrevisionens organisation skulle komma att se ut och principerna för dess ledning och styrning skulle komma att preciseras när tillträdande chef var på plats. Någon behovsanalys inför dimensionering gjordes inte av Genomförandekommittéen och har inte heller genomförts senare av myndigheten.

RAPPORT 7 (28) Internrevisionen har lämnat flera planer för utveckling av internrevisionsfunktionen. Planerna har diskuterats med rikspolischefen och internrevisionen har fått nivåökningar, dock inte i den omfattning som har äskats. Dimensioneringen av internrevisionsfunktionen ligger inte i nivå med de riktvärde som används inom området. Enligt internationella nyckeltal ska en internrevisionsfunktion vid en organisation av Polismyndighetens storlek uppgå till ca 22-30 personer. Sedan 2015 har dock antalet anställda vid internrevisionen ökats successivt från fyra till fjorton tjänster. I revisionsplanen för 2018-19 angavs att internrevisionen inte har resurser att granska alla de områden som bedömts ha den högsta risken under ett kalenderår. I revisionsplanen fanns 29 granskningar avseende de högsta riskerna och internrevisionen har inte haft resurser att granska samtliga dessa risker under kalenderåret. Internrevisionen har därför valt att frångå modellen med årlig revisionsplan och planerar istället granskningarna under längre tidsperiod än ett kalenderår. 5 Rapporter och rekommendationer 2015-2018 I internrevisionens rapporter redovisas iakttagelser, bedömningar och rekommendationer. För respektive rekommendation som lämnas bedöms även väsentlighetsgraden för den iakttagna bristen vid tidpunkten för granskningen. Bedömningen innehåller tre nivåer: Bedömning Röd - Mycket väsentlig brist Orange - Väsentlig brist Gul - Mindre väsentlig brist Beskrivning Brist som allvarligt påverkar Polismyndighetens måluppfyllelse enligt instruktion eller regleringsbrev och/eller medför stora negativa konsekvenser för Polismyndighetens verksamhet och/eller innebär att Polismyndigheten inte uppfyller myndighetsförordningens krav på effektivitet, lagenlighet, redovisning och hushållning. Brist som påverkar den granskade verksamheten så att uppställda mål inte nås och/eller medför betydande negativa konsekvenser för verksamheten. Brist som inte påverkar den granskade verksamhetens måluppfyllelse men som medför negativa konsekvenser för verksamheten. För samtliga rapporter som internrevisionen har expedierat har rikspolischefen fattat beslut om vilka åtgärder som ska vidtas med anledning av de rekommendationer som har lämnats. Internrevisionen sammanställer samtliga rekommendationer och åtgärder från granskningarna i en revisionslogg, vilken är uppdelad per revisionsplan. I revisionsloggen finns rekommendationer med tillhörande åtgärder från revisionsplanerna 2015, 2015-2016, 2016-2017 och 2018-2019. För dessa revisionsplaner har internrevisionen upprättat 43 rapporter. I tabellen nedan visas fördelningen av antalet expedierade rapporter och rekommendationer per revisionsplan för dessa år.

RAPPORT 8 (28) Revisionsplan Antal rapporter Antal rekommendationer 2015 4 24 2015-2016 18 69 2016-2017 19 86 2018-2019 2 8 Totalt 43 187 Nedanstående tabell visar fördelningen av lämnade rekommendationer per bedömningsnivå och revisionsplan. Revisionsplan Bedömningsnivåer 2015 2015-2016 2016-2017 2018-2019 Totalt antal rekommendationer/bedömningsnivå Mycket väsentlig brist 3 12 7 0 22 Väsentlig brist 11 36 65 1 113 Mindre väsentlig brist 10 21 14 7 52 Totalt antal lämnade rekommendationer/revisionsår 24 69 86 8 187 De rekommendationer som har lämnats har varit av varierande väsentlighetsgrad men majoriteten av rekommendationerna har bedömts avse väsentlig brist. 6 Lämnade rekommendationer 2018 I de rapporter som internrevisionen har expedierat under 2018 har sammanlagt 80 rekommendationer lämnats (föreg. år 66). Väsentlighetsgraden för de iakttagelser som internrevisionen har gjort fördelas i enlighet med nedan: 5% 2018 34% 61% Mycket väsentlig Väsentlig Mindre väsentlig Till antalet uppgår de mycket väsentliga bristerna till fyra och de är hänförliga till granskningarna om: polisens hantering av behörighet till it-system (en rekommendation) Polismyndighetens informationssäkerhetsarbete (en rekommendation) särskilda satsningar utsatta områden (två rekommendationer).

RAPPORT 9 (28) Färre rekommendationer avseende mycket väsentliga brister har lämnats i årets revisionsrapporter (fyra jämfört med nio föreg. år nio). Detta kan bero på att andelen rådgivningsgranskningar (dvs. granskningar som inte är riskbaserade) utgör en större andel av de rapporter som har avslutats under 2018. 7 Expedierade rapporter 2018 7.1 Granskning av polisens tillsynsverksamhet över transporter av farligt gods 3 Internrevisionen har granskat intern styrning och kontroll vad gäller polisens tillsyn och kontroll av farliga godstransporter. Granskningen har omfattat polisens tillsynsverksamhet över transporter av farligt gods. I granskningen framkom att ansvar och roller behöver tydliggöras och kommuniceras beträffande processansvar. Styrningen av kontroller av farligt gods behöver ses över, främst i de polisregioner där trafikverksamheten är placerad på LPO. Fördelningen av de kvantitativa målen till polisregionerna behöver ses över och istället fördelas efter infrastrukturen för flödet av farligt gods i landet. Internrevisionen ser positivt på att de kvantitativa målen dokumenteras och följs upp. Vidare anser internrevisionen att det är väsentligt att rekryteringen till trafikpolisverksamheten säkerställs framöver. Internrevisionen bedömer även att en dokumenterad nationell strategi för bemanning och rekrytering inom trafikverksamheten skulle säkerställa efterlevnaden av Polismyndighetens strategi för trafik som metod på längre sikt. 7.2 Granskning av friskvårdssubvention 4 Granskningen har genomförts med syfte att bedöma den interna styrningen och kontrollen för polisens hantering av friskvårdssubventioner. Internrevisionen bedömer att polisens interna regler och de faktiskt utbetalda beloppen till medarbetarna följer Skatteverkets regler. Granskningen har dock visat på avvikelser från det interna regelverket i den administrativa hanteringen vilka leder till att redovisningen av kostnaderna inte blir korrekt och att uppföljning av friskvårdskostnaderna är svår att genomföra. Internrevisionen anser att den lathund och beräkningsverktyg som har tagits fram är lätta att följa och om medarbetarna använder dessa finns det goda förutsättningar för att korrekt belopp redovisas. Om dessa hjälpmedel inte används finns däremot flera möjliga alternativ för medarbetaren att välja mellan, vilket kan leda till en felaktig redovisning. Internrevisionen bedömer sammantaget att det finns förbättringsmöjligheter vad gäller polisens interna styrning och kontroll av hantering av friskvårdssubventionen men att de brister som internrevisionen har noterat inte bedöms vara väsentliga. Det finns dock områden att förenkla och förtydliga i syfte att effektivisera samt att förbättra kvaliteten på redovisningen. 7.3 Granskning av hantering av tipspengar informatörsverksamheten 5 Internrevisionen har granskat Polismyndighetens hantering av tipspengar med syfte att bedöma om hanteringen följer aktuella riktlinjer och rutiner. Informatörsverksamheten 3 A040.119/2017 4 A107.952/2018 5 A105.335/2018

RAPPORT 10 (28) är en starkt reglerad och kontrollerad verksamhet och internrevisionens bedömning är att rutiner för utbetalning av gratifikationer och omkostnadsersättningar i huvudsak är betryggande. Risker finns främst avseende källskyddet, personlig säkerhet för berörda personer, informatörer och polisanställda. I granskningen framkom att regionkontrollanter, som har till uppgift att utöva intern tillsyn, kontrollera och fortlöpande följa upp informatörsverksamheten, saknades i tre regioner. Vissa problem finns med penninghanteringen och bankomatuttag och internrevisionen rekommenderar att ny rutin för betalkort implementeras samt att det följs upp att tidigare problem får en rimlig lösning. 7.4 Granskning av polisens arbete med lönebildning 6 Internrevisionen har granskat om den interna styrningen och kontrollen i polismyndighetens lönepolitiska arbete genomförs ändamålsenligt. I granskningen noteras ett antal iakttagelser som pekar på att myndigheten arbetar proaktivt med lönebildningsfrågor. I granskningen har rekommendationer lämnats kring behov av översyn av myndighetens lönepolitiska strategi 2015-2020 och att myndighetens individrelaterade lönekriterier behöver anpassas bättre till verksamhetens olika funktioner. Utbildningsinsatser för chefer vad gäller den individuella och differentierade lönesättningen behöver prioriteras. Uppföljningsrutiner behöver tas fram för att säkerställa att kalibreringssamråd genomförs. HR-avdelningen rekommenderas att analysera konsekvenserna av nationella satsningars inverkan på individuell lönesättning. Vidare rekommenderas HR att utvärdera hur 9 RALS tillämpas samt genomföra systematiska uppföljningsrutiner av paragrafen. HR rekommenderas även att förbättra efterlevnaden av den fastställda styrningen av lönerevisionsprocessen. Inför kommande lönerevisioner är det viktigt att myndigheten säkerställer att behoven för den beslutade inriktningen inte enbart identifieras från den övergripande nivån utan även från polisens verksamheter i regioner och avdelningar. Cheferna bör även involveras före, under och efter vid fastställande av inriktning för en lönerevision. Under granskningen har noterats att ett förbättringsarbete har påbörjats vad gäller instruktioner som skickas ut i samband med kvalitetssäkring av löneuppgifter, inklusive förenkling av Excelfiler. Behov finns dock av att identifiera systematiska kontroller för att effektivisera kvalitetssäkringsarbetet. Internrevisionen rekommenderar att utvärdering och uppföljning av den årliga lönerevisionen samt den lönepolitiska strategin prioriteras. 7.5 Granskning av polisens hantering av behörighet till it-system 7 Syftet med granskningen har varit att bedöma om den interna styrningen och kontrollen av polisens hantering av it-behörigheter är ändamålsenlig. Granskningen har omfattat processen för hantering av it-behörigheter. Internrevisionen anser att det finns förbättringsmöjligheter i den interna styrningen och kontrollen beträffande hanteringen av itbehörigheter. Internrevisionen gör den övergripande bedömningen att processen för tilldelning och revision av it-behörigheter inte är tillräcklig för att säkerställa kraven på att behörighet till polisens it-system endast ska ske på grundval av lämplighet, kunskap och behov i sitt arbete. Fördelningen av ansvar och roller inte är tillräckligt tydlig vad gäller hur processägarens/informationsägarens ansvar och roll förhåller sig till övriga chefers ansvar och roll. I flertalet fall saknas riktlinjer från informationsägare som regle- 6 A300.292/2017 7 A105.760/2017

RAPPORT 11 (28) rar tilldelning av it-behörigheter. I stickprovsgranskningen som internrevisionen genomförde i granskningen framkom att många anställda har onödigt många it-behörigheter och i vissa fall högre it-behörigheter än nödvändigt för tjänsten. Detta kan medföra en ökad risk att anställda använder behörigheterna på ett otillbörligt sätt, t.ex. genom att göra slagningar i systemen. Det finns även en kostnadsaspekt att beakta. Internrevisionen gör bedömningen att effektivitetsförbättringar kan åstadkommas genom att all behörighetshantering så långt möjligt styrs till behörighetscenter, att alla ansökningar går via polisens administrationsportal (PAP), att fler it-system blir helintegrerade, genom att vidareutveckla utformningen av ansökningsförfarandet samt utarbeta fler behörighetsprofiler. 7.6 Polisens inköpskort 8 Granskningen har syftat till att bedöma om Polismyndigheten har en tillfredställande intern kontroll av inköpskort. Internrevisionens bedömning är att kontrollen behöver förstärkas. Det finns ingen beslutad process för hantering av inköpskort och det går därför inte att säkerställa enhetlighet. Polismyndighetens riktlinjer för betal- och inköpskort behöver förtydligas så att det klart framgår hur de olika kontokorten ska användas och hanteras. Avsaknad av syftesbeskrivning har försvårat möjligheten att bedöma huruvida inköp och kontantuttag är inköp för verksamheten och därmed säkerställa att inköpen inte är för privat bruk. Granskningen har visat att det inte finns någon översyn av vad som köps in och med vilka belopp. Enligt polisens interna riktlinjer ska inköpskorten användas till inköp i tjänsten men det har förekommit att korten har använts till kontantuttag. 7.7 Granskning av polisens vapenhantering 9 Syftet med granskningen var att granska den interna styrningen och kontrollen för att bedöma ändamålsenligheten i polisens vapenhantering. Internrevisionen anser att det finns förbättringsmöjligheter i den interna styrningen och kontrollen vad gäller polisens vapenhantering. Den interna styrningen och kontrollen kan bland annat förbättras genom en uppföljning av efterlevnaden av FAP 104-2. I granskningen noterades bland annat att det inte finns en nationell samordningsansvarig inom området. Regioner och avdelningarnas ansvar enligt FAP 104-2 behöver tydliggöras och kommuniceras. På grund av avsaknad av nationella styrdokument för myndighetens vapenhantering utöver FAP 104-2 och förekomst av regionala styrdokument bedöms myndighetens vapenhantering inte vara enhetlig eller effektiv. Förbättringsmöjligheter finns även kring avdelningarnas och regionernas rutiner för kompetensprov samt återtagande av vapen. 7.8 Granskning av Polismyndighetens strategiska styrning inklusive styrmodell 10 Syftet med granskningen var att granska styrningen av polisen genom den strategiska planerings- och uppföljningsprocessen. Granskningen har utgått ifrån Kaplan Nortons modell för ändamålsenlig styrning. Enligt internrevisionen har polisens styrning sedan 2015 präglats av att genomföra ombildningen. Ledningsgruppen har haft ett operativt 8 A202.425/2017 9 A001.394/2017 10 A249.985/2017

RAPPORT 12 (28) fokus snarare än strategiskt. Internrevisionens sammantagna bedömning är att polisens styrningsprocess har förbättringsmöjligheter men att de aktiviteter som pågår i form av 2024 förefaller vara en utveckling i rätt riktning. Enligt internrevisionen bör arbete genomföras för att åstadkomma en inriktning och ägarskap av styrningen som uppfattas som tydlig. Förenklingar och förtydligande behöver åstadkommas i styrmodellen. Ett flertal av de mått som används riktar sig i huvudsak mot återrapportering och enligt intervjuerna används dessa inte i styrningen för att t.ex. göra prioriteringar. Få av dessa mått är verksamhetsnära och värdeorienterade och internrevisionen anser att de inte ger en balanserad bild av önskade effekter och förändringar. Sannolikheten är stor för att komplexitetsnivån i styrningen kvarstår eller ökar om enkelhet och överblickbarhet inte beaktas i det fortsatta utvecklingsarbetet. 7.9 Granskning av sekretessförbindelser 11 Granskningen har syftat till att bedöma om Polismyndighetens hantering av sekretessinformation och sekretessförbindelser sker med en tillräckligt hög grad av intern styrning och kontroll. Internrevisionens sammanfattande bedömning är att den interna styrningen och kontrollen behöver förstärkas. Grunderna för detta är att chefer i större utsträckning bör lämna information om sekretess till nyanställda medarbetare och se till att sekretessförbindelser används samt att hanteringen följs upp. 7.10 Granskning av verksamhetsstyrd it-utveckling för den brottsbekämpande verksamheten 12 Syftet med granskningen har varit att granska den interna styrningen och kontrollen för utvecklingen av polisens it-relaterade verksamhetsstöd. I granskningen har konstaterats att en processbeskrivning av den verksamhetsstyrda it-utvecklingen saknas. Modellen bestod snarast av en organisatorisk struktur med ett antal definierade roller. Det saknades därmed en tydlig struktur för intern styrning och kontroll för att säkerställa att målen med modellen uppnås. Granskningen har inriktats på att bekräfta att modellen har implementerats och är känd i de verksamheter som de omfattar. Den sammanfattande slutsatsen som internrevisionen gör efter granskningen är att modellen är beslutad, att det finns ett ägarskap och att modellen är inarbetad framför allt i it-avdelningens processer. Dock har inte informationen till verksamheterna om modellen varit tillräcklig. Graden av implementering varierar också mellan olika regioner. I granskningen har följande brister kring implementeringen av modellen noterats. Information till verksamheterna om modellen har inte varit tillräcklig, LPO-cheferna har inte omfattats av modellen, risk för att modellen rundas genom direkta kontaktytor mellan chefer och it samt att utbildning om modellen har inte genomförts eller genomförs i mycket begränsad omfattning. Vidare framkom att risk finns att nyckelrollen RIFA inte kan utföras i önskvärd utsträckning då RIFA vanligen har rollen på halvtid i konkurrens med annan tjänstgöring. Verksamhetsstyrd it-utveckling har inte beskrivits som en verksamhetsprocess vilket kan ha medfört svårigheter avseende styrning och kontroll i modellen samt med att säkerställa modellens effektivitet. Ägarskapet för modellen har varit otydligt vilket även medfört att ansvaret för modellens effektivitet blivit otydligt. Ut- 11 A424.377/2017 12 A370.017/2017

RAPPORT 13 (28) vecklingsförslagen loggas effektivt först när de har beslutats som utvecklingsprojekt och lagts upp i IT-avdelningens Jira-system. Det saknas ofta en nyttovärdering av förslagen, och därmed kan inte någon strukturerad nyttouppföljning ske. 7.11 Granskning av Polismyndighetens informationssäkerhetsarbete 13 Granskningen har syftat till att bedöma den interna styrningen och kontrollen av Polismyndighetens informationssäkerhetsarbete. Granskningen har omfattat det myndighetsövergripande informationssäkerhetsarbetet exklusive säkerhetsskyddsarbetet som regleras av andra regelverk än MSB:s föreskrifter. Internrevisionen anser att det finns risker förknippade med den interna styrningen och kontrollen beträffande det myndighetsövergripande informationssäkerhetsarbetet. Internrevisionens bedömning är att myndigheten inte har en ändamålsenlig process för styrning av informationssäkerhetsarbetet. Dels är processansvaret för informationssäkerhet delad mellan två funktioner, dels har styrningen av informationssäkerheten fördelats efter lagringsmedia/form och inte efter skyddsvärde och mål för myndighetens informationssäkerhet. Internrevisionen bedömer att ledningen och ansvaret för myndighetens sammantagna informationssäkerhetsarbete behöver utvärderas och därefter bör ansvar och roller för informationssäkerhetsarbetet fastställas. Denna rekommendation ingick därefter som en del i den externa översynen av myndighetens verksamhetsskydd- och säkerhetsskydd, initierad av rikspolischefen. Vid fasen för åtgärdsinhämtning pågick den externa översynen. Internrevisionen gjorde då bedömningen att det bör inrättas en interimistisk ansvarig för den myndighetsövergripande informationssäkerheten i enlighet med MSB:s föreskrifter. 7.12 Granskning av reformen och omorganisationen 14 Syftet med granskningen var att bedöma polisens interna styrning och kontroll för att genomföra omorganisationen med fokus på formerna för medarbetardriven verksamhets- och aktivitetsplanering. Granskningen har inriktats på polisens kärnverksamhet. Internrevisionens slutsats är att införandet av medarbetarinflytandet och den medarbetardrivna verksamhets- och aktivitetsplaneringen har kommit olika långt i organisationen. I huvudsak beror detta på skillnader i förutsättningar, inställning hos chefer och medarbetare samt tillgång till tid och resurser. Internrevisionen anser att tydligare styrning och uppföljning behöver ske av införandet av den medarbetardrivna verksamhetsoch aktivitetsplaneringen. Anpassning bör göras till de förutsättningar som finns i respektive verksamhet. Förväntningar och ambitioner måste vara rimliga. Innebörden av medarbetardriven verksamhets- och aktivitetsplanering är otydlig och internrevisionen anser att begreppet behöver preciseras. Styrande dokument bör ensas och förtydligas. Chefsnätverk borde finnas där diskussion och erfarenhetsutbyte kan ske om ledning, styrning och medarbetarinflytande. Vid rekrytering och tillsättning av chefer och medarbetare föreslår internrevisionen att polisens styrfilosofi regelmässigt kommuniceras. Ekonomiavdelningens planerade dialogarbete med regioner och avdelningar bör prioriteras och systematisk uppföljning av införandet av den medarbetardrivna verksamhetsoch aktivitetsplaneringen bör ske. 13 A512.866/2017 14 A536.059/2017

RAPPORT 14 (28) 7.13 Granskning av särskilda satsningar - utsatta områden 15 Syftet med granskningen var att bedöma om polisens interna styrning och kontroll för arbetet i utsatta områden är effektiv och ändamålsenlig. Granskningen har omfattat de områden som anses särskilt utsatta och i huvudsak fokuserat på polisens arbete och åtgärder där polisen har möjligheter att påverka. Internrevisionen anser att den interna styrningen och kontrollen behöver förbättras för att säkerställa att arbetet i utsatta områden är effektivt och ändamålsenligt. Internrevisionen har lämnat bedömningar för följande delområden: resurser, lokal organisation, kommunpoliser och områdespoliser, nationell styrning, regional och lokal styrning, metodstöd, uppföljning, samverkan med andra samhällsaktörer, underrättelseverksamhet, utredningsverksamhet, kompetensförsörjning, utrustning och arbetsmiljö. 8 Uppföljning av arbetet med att genomföra beslutade åtgärder för revisionsrapporter 2014-2018 I internrevisionens rapporter lämnas iakttagelser och rekommendationer. För varje rekommendation ska ansvarig verksamhet inom polisen inkomma med förslag på åtgärder till rikspolischefen. Efter beredning av de föreslagna åtgärderna fattar rikspolischefen beslut om åtgärderna. Verksamheten ansvarar därefter för att genomföra de beslutade åtgärderna. Internrevisionen följer upp att de åtgärder som har beslutats med anledning av lämnade rekommendationer genomförs i enlighet med den tidsplan som fastställts samt bedömer om vidtagna åtgärder är tillräckliga för att rätta till den brist som har identifierats i granskningen. Formerna för uppföljningen varierar och vad som är lämpligt får avgöras i det enskilda fallet. Uppföljningen kan till exempel göras genom att ett avstämningsmöte genomförs med ansvariga för verksamheten eller att skriftliga svar begärs av internrevisionen på ett antal frågor som riktas till ansvarig verksamhet. För att internrevisionen ska kunna bedöma om en rekommendation ska anses vara åtgärdad eller inte behövs vanligen dokumentation som styrker de uppgifter som ansvarig verksamhet har lämnat. Det ställs ofta högre krav på verifiering av åtgärder för de rekommendationer som avser brister som internrevisionen har bedömt som mycket väsentliga (dvs. röd rekommendation) jämfört med mindre väsentliga iakttagelser (orange eller gul rekommendation). Under uppföljningen bedömer internrevisionen om åtgärderna anses vara genomförda eller inte. Om åtgärderna anses vara genomförda avslutas de i den revisionslogg som internrevisionen har upprättat. Vid uppföljningen kan det dock framkomma att verksamheten är försenad med genomförandet av åtgärderna och att internrevisionen anser att rikspolischefen kan behöva informeras om detta. Eventuellt kan ett nytt beslut om tidsplan behöva fattas. Det kan också vara så att beslutad åtgärd är genomförd men att internrevisionen ändå bedömer att risken kvarstår och att ytterligare åtgärder skulle behövas. I detta fall kan det vara lämpligt att be ansvarig verksamhet att inkomma med nya förslag till åtgärder för beslut av rikspolischefen. Det kan förekomma att internrevisionen gör bedömningen att uppföljningen ska avslutas trots att samtliga åtgärder inte har vidtagits. Detta kan t.ex. inträffa om de förutsättningar som gällde när rekommendationen lämnades inte längre föreligger. I detta fall kan det vara lämpligt att uppföljningen avslutas och kvarstående risker förs in i internrevisionens riskregister för kom- 15 A191.151/2017

RAPPORT 15 (28) mande granskningar. Det kan också förekomma situationer när internrevisionen gör bedömningen att en uppföljningsgranskning kan behöva genomföras för att bedöma kvarstående risker. Internrevisionens uppföljningsarbete har resulterat i följande bedömningar. Diagrammet nedan visar fördelningen mellan rekommendationer som internrevisionen har avslutat i revisionsloggen och rekommendationer som inte är avslutade. 48% 52% Avslutade Ej avslutade I revisionsloggen finns 187 rekommendationer. Av dessa rekommendationer har 98 avslutats dvs. 52 % (föreg. år 40 %). Huvuddelen av dessa rekommendationer med tillhörande åtgärder är hänförliga till revisionsplanerna 2015-2016 och 2016-2017. Merparten av rekommendationerna från revisionsplan 2015 har bedömts vara avslutade. Sex rekommendationer från revisionsplanen 2018-2019 har bedömts vara genomförda vid tidpunkten för genomförandet av uppföljningsarbetet. Nedanstående tabell visar antalet avslutade rekommendationer fördelat per bedömningsnivå och revisionsplan. Revisionsplan - avslutade Bedömningsnivåer 2015 2015-2016 2016-2017 2018-2019 Totalt antal rekommendationer/bedömningsnivå Mycket väsentlig brist 1 5 1 0 7 Väsentlig brist 10 22 21 0 53 Mindre väsentlig brist 10 18 4 6 38 Totalt antal avslutade rekommendationer/revisionsår 21 45 26 6 98 Efter genomförd uppföljning kvarstår 89 rekommendationer i revisionsloggen som inte anses vara avslutade. Dessa rekommendationer är hänförliga till samtliga revisionsplaner varav merparten är hänförliga till revisionsplan 2016-17. Nedanstående tabell visar antalet ej avslutade rekommendationer fördelade per bedömningsnivå och revisionsplan.

RAPPORT 16 (28) Revisionsplan - pågående Bedömningsnivåer 2015 2015-2016 2016-2017 2018-2019 Totalt antal rekommendationer/bedömningsnivå Mycket väsentlig brist 2 7 6 0 15 Väsentlig brist 1 14 44 1 60 Mindre väsentlig brist 0 3 10 1 14 Totalt antal kvarstående rekommendationer/revisionsår 3 24 60 2 89 Orsakerna till att åtgärder ännu inte har genomförts kan vara flera. Exempelvis kan verksamheten ha genomfört delar av åtgärden men att ytterligare arbete behövs för att avsluta åtgärden. Det kan även vara så att tidplanen för att genomföra rekommendationen med tillhörande åtgärder ännu inte har förfallit eller att genomförandet av åtgärden blivit försenad. 8.1 Bedömning av status för beslutade åtgärder För de revisionsrapporter som internrevisionen upprättade fram till och med 2014 fattades inte några beslut om åtgärder med anledning av lämnade rekommendationer. Internrevisionen har trots detta valt att gå igenom granskningarna från 2013 och 2014 för att avgöra om granskningar innehåller risker som bedömts vara relevanta att följa upp. För en av dessa granskningar pågår uppföljning av de iakttagelser och rekommendationer som lämnades. Det gäller: Revisionsplanen 2014 Polisens tillämpning av Polisutbildningsförordningen (A270.357/2014) Status för beslutade åtgärder Uppföljningen pågår och är inte avslutad. Från och med 2015 fattar rikspolischefen beslut om åtgärder med anledning av de rekommendationer som internrevisionen lämnar och revisionsrapporterna innehåller de åtgärder som rikspolischefen har beslutat ska genomföras. Nedan redovisas internrevisionens bedömningar vid uppföljningsarbetet. Tabellerna innehåller de granskningar där beslutade åtgärder inte bedömdes vara avslutade i årsrapporten 2017. 2015 års revisionsplan Status för beslutade åtgärder Registervård (A190.475/2015) NOA och andra nationella avdelningar har bedrivit ett omfattande arbete med att ta fram respektive komplettera riktlinjer materiellt. Åtgärder har vidtagits för att efterhöra de synpunkter som framförts av internrevisionen. När rättsavdelningen har färdigställt den grundläggande ordningen finns förutsättningar att snabbt färdigställa återstående åtgärder. Rättsavdelningen bedömer att de sista åtgärderna i

RAPPORT 17 (28) Avgiftsbelagd verksamhet (A205.337/2015) granskningsärendet kan genomföras före utgången av juni 2019. Samråd om avgifter kommer att göras med ESV under 2019. Därefter kan rekommendationen avslutas. Revisionsplan 2015-2016 Organisation och gränssnitt (A476.594/2015) Polisens service (A391.938/2015) Attestrutiner - Agresso (A473.844/2015) Attestrutiner - Palasso (A178.767/2016) Beslutshierarkier kallades granskningen i revisionsplanen. Under granskningens gång omformulerades granskningen till att avse Granskning av polisens beslutsprocesser (A280.389/2016) Brottsförebyggande arbete inom ramen för samverkansöverenskommelser (A540.489/2015) Egenutvecklade immateriella anläggningstillgångar (A435.529/2015) Bevakning och uppföljning av pågående förundersökningar (kallad påminnelser i revisionsplanen) (A030.183/2016) Kontinuitetshantering (A496.158/2015) Status för beslutade åtgärder Efter uppföljningen 2018 kvarstod en utestående rekommendation för vilken åtgärder pågick. Åtgärden är nu genomförd och därmed avslutar internrevisionen uppföljningen av rapporten. Arbetet med åtgärderna har gått trögt. I och med tillkomsten av serviceprogrammet kommer fokus att finnas på dessa frågor. Internrevisionen kommer att följa arbetet i programmet. Vid internrevisionens halvårsuppföljning 2018 avslutades uppföljning av den sista kvarvarande åtgärden. Åtgärderna anses vara genomförda. En rekommendation avseende underlag/räkenskaper är inte åtgärdad. Internrevisionen kommer att fortsätta med att genomföra uppföljning. Granskningen har följts upp under året och tre rekommendationer är fortfarande till fullo inte genomförda. Åtgärderna är således försenade men enligt internrevisionens bedömning arbetar man på olika områden med genomförande. Vid internrevisionens halvårsuppföljning 2018 avslutades uppföljning av den sista kvarvarande åtgärden. Åtgärderna anses vara genomförda. En ny granskning av området kan dock komma att behöva göras eftersom internrevisionen gör bedömningen av vissa risker kvarstår. Innan uppföljning av granskningen avslutas behöver substansgranskning genomföras, vilket planeras att göras under våren 2019. En rekommendation återstår. Arbetet pågår och ett utkast till riktlinje finns framtaget och polisen inväntar svar/förslag från Åklagarmyndigheten, vilket dröjer. Eventuellt bör nytt beslut om åtgärder fattas av RPC. Åtgärderna är försenade men arbetet

RAPPORT 18 (28) Ekonomi i balans (A267.561/2016) Kompetensutveckling (A025.844/2016) Ekonomistyrning för it-avdelningen (A035.338/2016) Utredningsverksamheten DNA analys (topsning) (A083.357/2016) Utredningsverksamheten Granskning av polisregionernas handläggning av bedrägeriärenden (A244.678/2016) Flyktingmottagandet. Under granskningens gång omformulerades granskningen till att omfatta verkställigheter av beslut om avvisning och utvisning (A864.116/2016) Externt finansierade projekt (A358.303/2016) Gob - Granskning av arbetet mot organiserad brottslighet myndigheter i samverkan (A834.157/2016) Revisionsplan 2016-17 Rekrytering och bemanning (A459.608/2016) har tagit fart under hösten 2018. En rekommendation (rek 1) anses dock inte till fullo vara åtgärdad varför ytterligare uppföljning kommer att genomföras. Arbete återstår med två av de rekommendationer som lämnades. Arbetet är försenat. Internrevisionen kommer att fortsätta att genomföra uppföljning. Flera åtgärder är genomförda men för vissa pågår arbetet fortfarande och delar ingår i tillväxtplanen för 2024. Internrevisionen har identifierat flera tillkommande risker inom området varför det är möjligt att en ny granskning kommer att inledas. Vid den uppföljning som genomfördes under våren sommaren 2018 bedömdes att de åtgärder som beslutats hade genomförts. Uppföljningen är därmed avslutad. Arbete med en av rekommendationerna återstår. Området ingår i tillsynsfunktionen tillsynsplan för 2019. Internrevisionen kommer att avvakta denna rapport för bedömning om rekommendationen kan avslutas. Arbete med åtgärder har pågått men enligt internrevisionen kvarstår de risker som internrevisionen identifierade under granskningen. En uppföljningsgranskning kommer att genomföras under 2019. Arbete med en av rekommendationerna återstår. Arbete har genomförts med anledning av beslutade åtgärder. Internrevisionen bedömer att två av rekommendationerna ännu inte är åtgärdade, varför uppföljning kommer att fortsätta. En rekommendation är inte åtgärdad enligt internrevisionens bedömning. För närvarande granskar Riksrevisionen området. Efter det att rapporten är klar kommer internrevisionen bedöma om rekommendationen kan avslutas. Status för beslutade åtgärder Arbete med åtgärderna pågår men allt är inte slutfört. RPC har fattat nytt beslut om åtgärder för två av

RAPPORT 19 (28) Omställning av personal. Under granskningen omformulerades granskningen till Granskning av Polismyndighetens arbete med omställning och intern rörlighet (A459.307/2016) Tillsyn av arrester (A304.938/2016) Hantering av tjänstekort (A147.806/2017) Representation (A854.015/2016) Utlämnande av allmän handling (A853.483/2016) Polisens vapenhantering (A001.394/2017) Polisens hantering av behörigheter till it-system (A105.760/2017) Särskilda satsningar utsatta områden (A191.151/2017) Sekretessförbindelser (A424.377/2017) Polismyndighetens strategiska styrning inklusive styrmodell (A249.985/2017) Verksamhetsstyrd IT-utveckling (A370.017/2017) rekommendationerna i januari 2019. Uppföljning kommer att fortsätta under 2019. Åtgärderna bedöms vara genomförda, varför uppföljningen kommer att avslutas. De flesta åtgärderna (t.ex. införande av nationell arresthandbok, ensning av dokumentationsunderlag och rutiner för incidentrapportering) är redan genomförda och arbete pågår med resterande (t ex. nationell utbildning och nationell enhetlig egenkontroll). Internrevisionen kommer att genomföra ytterligare uppföljning under senare delen av 2019. Arbete med åtgärderna pågår men är inte slutförda. Uppföljning kommer att göras under fösta halvåret 2019. Åtgärder genomförda (översyn av riktlinjer, information/dialog/utbildning). Arbete pågår med att ta fram rutiner för hur underlag ska sparas. Internrevisionen kommer att följa upp detta under våren 2019. Arbetet med åtgärderna pågår. Tidpunkten för när vissa av åtgärderna ska vara genomförda har i flera fall ännu inte inträffat. Uppföljning kommer att fortsätta genomföras under 2019. En fördjupad uppföljning av granskningen pågår och kommer att avrapporteras under våren 2019. Arbetet med åtgärderna pågår. Tidpunkten för när åtgärder ska vara genomförda har i något fall ännu inte inträffat. Uppföljning kommer att fortsätta genomföras under 2019. Uppföljningen pågår och är inte avslutad. Arbete med åtgärderna har pågått. Mycket är åtgärdat men visst arbete återstår. Några rekommendationer är åtgärdade men för några har tidpunkten för när åtgärderna ska vara genomförda ännu inte inträffat. Uppföljning kommer att fortsätta genomföras under 2019. Arbete med åtgärderna pågår. Upp-

RAPPORT 20 (28) följning kommer att göras under våren 2019. Revisionsplan 2018-19 Friskvårdssubvention (A107.952/2019) Hantering av tipspengar informatörsverksamheten (A105.335/2018) Status för beslutade åtgärder Samtliga beslutade åtgärder är genomförda, varför någon ytterligare uppföljning inte kommer att genomföras. Samtliga beslutade åtgärder har genomförts. Dessutom finns det några rapporter där beslut om åtgärder har fattats men uppföljning har ännu inte påbörjats. Det gäller granskningar av: informationssäkerhetsarbetet (A512.866/2017) arbetet med lönebildning (A300.292/2017) reformen och omorganisationen (A536.059/2017). Orsaken till att uppföljning inte har påbörjats för dessa granskningar är att tidpunkten för när åtgärderna ska vara genomförda ännu inte har inträffat. 8.2 Rapporter där uppföljningen är helt avslutad Vid uppföljningsarbetet har internrevisionen bedömt att samtliga åtgärder är genomförda för några av granskningarna och därmed kan uppföljningen avslutas. Det gäller: 2015 Dnr Granskning av polisens beslagshantering A103.540/2015 Polisens arbete mot livsstilskriminellas brottslighet A100.716/2015 2015-2016 Dnr Organisation och gränssnitt inom Polismyndigheten A476.59472015 Granskning av Polismyndighetens attestrutiner A473.884/2015 Granskning av polisens BF-arbete A540.489/2015 Granskning av it-avdelningens ekonomistyrning A035.338/2016 Granskning av arbetet mot organiserad brottslighet - myndigheter A834.157/2016 i samverkan. Del 2. 2016-2017 Dnr Granskning av Polismyndighetens arbete med omställning A459/302/2016 och intern rörlighet Granskning av polisens arbete mot hatbrott A441.701/2016 Granskning av polisens A202.425/2017 inköpskort

RAPPORT 21 (28) Granskning av polisens tillsynsverksamhet över transporter av farligt gods A040.119/2017 8.3 Sammanfattning av internrevisionens uppföljning Uppföljning visar att arbetet med att genomföra de beslutade åtgärderna pågår i verksamheten. Takten för att genomföra åtgärderna varierar och i vissa fall genomförs åtgärden i nära anslutning till att revisionsrapporten beslutas och i andra fall tar genomförandet längre tid. För en del åtgärder har iakttagits att delar av åtgärderna har genomförts men att ytterligare arbete kan behövas. Dessa åtgärder kvarstår som ej avslutade tills att hela den beslutade åtgärden är genomförd. 9 Internrevisionens kvalitetsarbete 9.1 Internt kvalitetsarbete Vid internrevisionen ska det finnas ett program för kvalitetssäkring och kvalitetsförbättring som täcker in alla aspekter av internrevisionsverksamheten. Syftet med det interna kvalitetsarbetet är att säkerställa att funktionen bedrivs enligt god internrevisions- och god internrevisorssed. Det interna kvalitetsarbetet ska dessutom bidra till lärande genom att identifiera eventuella brister och avvikelser och ge förutsättningar att åtgärda dessa. Internrevisionens program för kvalitetsäkring och förbättringar innehåller följande delar: Årlig självutvärdering. Grundläggande är att bedöma om internrevisionen följer internrevisionsförordningen och ESV:s föreskrifter och allmänna råd, IPPF, Polismyndighetens riktlinjer för internrevisionen och rutiner för internrevisionens arbete. Utvärderingsenkät till ledningsgruppen. Internrevisionen genomför vartannat år en enkät till ledningsgruppen som ett led i internrevisionens förbättringsarbete. Uppföljning och uppdatering av rutiner för internrevisionens arbete. Arbetet med att uppdatera rutinerna sker minst en gång per år. Fortlöpande uppföljning och övervakning av internrevisionsverksamheten. Vid internrevisionens löpande interna möten diskuteras pågående och planerade granskningar, kompetensutveckling, utveckling av interna rutiner etc. Kvalitetssäkring av enskilda granskningsuppdrag. För samtliga granskningsuppdrag genomförs en kvalitetssäkring, som sker löpande under respektive gransknings genomförande av internrevisionens medarbetare. Resultatet från utförd kvalitetssäkring används för att säkerställa god kvalitet i granskningarna samt att utveckla och förbättra internrevisionens arbete. Intern granskningsutvärdering. Revisionsteamet inklusive kvalitetssäkraren genomför en utvärdering efter granskningens slutförande i förbättringssyfte.

RAPPORT 22 (28) Utvärderingsenkät av enskilda uppdrag. IR-chefen avgör vid varje enskilt uppdrag om en utvärderingsenkät ska skickas ut till ansvariga för granskningsområdet. Under 2018 har inte någon självutvärdering genomförts p.g.a. av att en extern utvärdering gjordes 2018. Den interna utvärderingen omfattar samma moment som den externa och därför bedömdes den inte som nödvändig att genomföra. Enkät till ledningsgruppen genomfördes 2017 och kommer att göras på nytt 2019. En relativt stor uppdatering har gjorts av internrevisionens rutiner. En ny modell för utvärdering av det enskilda granskningsuppdraget har tagits fram. Mallen för utvärdering som revisionsteamen ska genomföra har också utvecklats. Åtgärdsinhämtningen har under året har tagit längre tid än normalt. Detta har fått till följd att färre rapporter har avslutats och på grund av detta har internrevisionen valt att göra en variant av utvärderingsenkäten för de enskilda uppdragen. Enkäten har i år kompletterats med att ett antal intervjuer har genomförts med berörda för att internrevisionens ska få en fördjupad bild. I vissa fall har enkät och intervju avsett granskningar som ännu inte är avslutade, dvs. beslut om åtgärder har inte fattats, vilket inte var fallet förra året. Enkät och intervjuer har omfattat sex granskningar och har avsett både ansvariga chefer och övriga intervjupersoner. Enkäten innehåller frågor om information, planering, genomförande och revisionsrapporten. Totalt har tio svar erhållits (19 föreg. år). På grund av det begränsade antalet svar är svårt att dra några långtgående slutsatser men svaren kan ändå ge en bild av verksamhetens uppfattning om internrevisionens arbete. Det genomsnittliga omdömet för samtliga frågor och svarande personer är svarsalternativen instämmer till stor del, vilket innebär att majoriteten har en positiv bild av internrevisionens arbete. I likhet med förra året fick internrevisionen bäst omdöme för frågorna om att internrevisorerna lämnat tillräcklig information om granskningens syfte, mål och omfattning samt att internrevisorerna gav goda möjligheter att lämna synpunkter på granskningens inriktning. Lägst omdömen av de frågor som ställdes fick internrevisorernas kompetens och revisionsrapporterna. I analysmaterialet är det en granskning som avviker från övriga svar, vilket medför svårigheter att dra några långtgående slutsatser. Ytterligare analys kommer dock att göras av denna granskning för att dra lärdom av resultatet. 9.2 Extern kvalitetsbedömning Enligt International Professional Practices Framework (IPPF), ska en extern kvalitetsutvärdering genomföras av internrevisionens verksamhet minst en gång vart femte år. Utvärderingen ska utföras av en kvalificerad oberoende extern granskare eller av ett granskningsteam. Den senaste extern kvalitetssäkringen genomfördes 2013. Internrevisionen upphandlade därför en extern part (PWC) för att genomföra en ny extern kvalitetssäkring och uppdraget genomfördes under juni till september 2018. Syftet med utvärderingen var att utvärdera i vilken omfattning som Polismyndighetens internrevision bedriver sin verksamhet i överensstämmelse med internrevisionsförord-

RAPPORT 23 (28) ningen, ESV:s föreskrifter till densamma samt IIA:s International Standards for the Professional Practice of Internal Auditing (Standards). PWC:s samlade bedömning är att polisens internrevisionsfunktion och det arbetssätt internrevisionen tillämpar står i överensstämmelse med Internrevisionsförordningen, ESV:s föreskrifter och allmänna råd samt IIA:s Riktlinjer för yrkesmässigt utförande av internrevision. Baserat på de intervjuer som PWC har genomfört med internrevisionen och representanter från ledning och verksamhet är det PWC:s uppfattning att internrevisionens arbete är uppskattat inom myndigheten och att funktionen bidrar med värde till att förbättra väsentliga processer. PWC lämnade två observationer för förbättringsåtgärder samt två övervägande för ytterligare förbättringar. Internrevisionen kommer att vidta åtgärder för att arbeta med de förbättringsområden som PWC har identifierat. Dessa har lagts in i internrevisionens aktivitetsplan. 10 Organisatoriskt oberoende och efterlevnad av etisk kod Internrevisionen har under året rapporterat direkt till rikspolischefen. Internrevisionens bedömning är att verksamheten, i enlighet med internationella standards, har haft ett organisatoriskt oberoende som har medfört att det har varit möjligt att utföra uppdrag och skyldigheter i övrigt. Internrevisionen ska även uttala sig om efterlevnad av de etiska principerna, vilka enligt internationella standards är integritet, objektivitet, tystnadsplikt samt kompetens. Dessa fyra principer diskuteras regelbundet inom internrevisionen i samband med utförda granskningar. Eftersom efterlevnad av integritet är särskilt svårt att påvisa har internrevisionen valt att låta alla medarbetare underteckna ett intyg om efterlevnad av samtliga etiska principer för 2018. Internrevisionens bedömning är att de etiska principerna efterlevs. Internrevisionen har utvecklat revisionsprocessen så att bedömning och dokumentation av efterlevnad av etiska principer framöver kommer att utföras i utvärderingen av varje enskilt granskningsuppdrag. INTERNREVISIONEN Stina Nilsson Kristiansson

RAPPORT 24 (28) Bilaga 1 Status för föreslagna granskningar i revisionsplanerna Revisionsplan 2016-17 PKC/RLC Reformen och omorganisationen (A536.059/2017) Styrmodellen för Polismyndigheten. Granskningen har döpts om och heter Granskning av strategisk styrning inklusive styrmodell (A249.985/2017) Kärnverksamheten Särskilda satsningar utsatta områden (A191.151/2017) Utredning Systemgranskning av polisens utredningsverksamhet Trafik Granskning av polisens tillsyn över transporter av farligt gods (A040.119/2017) Status Överflyttad till revisionsplanen 2018-19. Granskningen kommer enbart att omfatta RLC och är nu påbörjad. Rapporten expedierades 2018-11-06. Rapporten expedierades 2018-06-29. Rapporten expedierades 2018-06-07. Har lagts ihop med Handläggningsrutiner för utredningsverksamheten. Granskningen är klar och åtgärdsinhämtning pågår. Beräknas bli klar T1 2019. Rapporten expedierades 2018-01-22. Vapenhantering (A001.394/2017) Rapporten expedierades 2018-02-02. Gemensamt Informationssäkerhet (A512.866/2017) Verksamhetsstöd Verksamhetsstyrd it-utveckling för den brottsbekämpande verksamheten (A370.017/2017) Inköp och upphandling I revisionsplanen benämndes granskningen Etik och oegentligheter men har under granskningens gång inriktats mot polisens förmåga att förebygga, upptäcka och hantera oegentligheter i polisens itsystem Lön Lönebildningen Rapporten expedierades 2018-11-28. Rapporten expedierades 2018-06-15. Granskningen är klar och under åtgärdsinhämtning. Rapporten beräknas bli klar T1 2019. Rapport är ute för åtgärdsinhämtning och beräknas bli klar T1 2019. Rapporten expedierades 2018-12-14. (A300.292/2017) Granskning tillsammans med ÅM Flyttad till revisionsplanen 2018-19. Riskanalys RIF Arbete pågår och kommer att fortsätta under 2019. Revisioner i reserv Lokalpolisområden Granskningen är under åtgärdsinhämtning och

RAPPORT 25 (28) Regelverk för facklig verksamhet Polismyndighetens kultur Planerad rådgivning Behörigheter till it-system (A105.760/2017) rapporten beräknas bli klar T1 2019. Åtgärdsinhämtning är klar och rapporten beräknas bli klar T1 2019. Åtgärdsinhämtning pågår och rapporten beräknas beslutas T1 2019. Rapporten expedierades 2018-04-16. Inköpskort (A202.425/2017) Rapporten expedierades 2018-01-22. Tillkommande rådgivning Inpasseringskort Sekretessförbindelser (A424.377/2017) Utkast till rapport är klar och åtgärdsinhämtning pågår. Rapporten beräknas vara klar T1 2019. Rapporten expedierades 2018-06-07. Revisionsplanen 2018-19 Revisioner från revisionsplanen 2016-17 Regionledningscentralerna (RLC) Utredning Systemgranskning av polisens utredningsverksamhet Ombildningen Effekter av reformarbetet Kärnverksamheten Prioriteringar Målkonflikter Resurser UL/BF Forensiska undersökningar Utredning av grova våldsbrott Ensamhandläggning Styrningen av arbetet mot it brott Arbete mot barnpornografi Organisation polisområden Strategiska initiativ trygghet i lokalsamhället Processansvar för Noa Status Granskningen är påbörjad och beräknas bli klar T2 2019. Har lagts ihop med Handläggningsrutiner för utredningsverksamheten. Granskningen är klar och åtgärdsinhämtning pågår. Beräknas vara klart T1 2019. Åtgärdsinhämtning pågår. Rapporten beräknas att expedieras T1 2019. Granskningen pågår och beräknas bli klar T2 2019. Granskningen pågår och beräknas bli klar T2 2019.

RAPPORT 26 (28) Gemensamt och stödverksamheterna Kompetensutveckling operativ tjänst Otillbörlig påverkan Kvalitet i beslutsunderlag Chefers roll och ansvar Samordning verksamhetsstyrning Tre ansvarslinjer modell för intern styrning och kontroll Myndighetens hantering av oegentlighetsrisker Harmonisering och uppföljning av styrdokument Ny säkerhetsskyddslag Beredningsprocess för att fatta beslut Strategisk plan (personal, kompetens och lokalförsörjning) Fungerande it-stöd - Granskning av verksamhetsstyrd it-utveckling för de nationella avdelningarna Uppföljning som signalsystem Verksamhetsskydd och säkerhetsärenden Intern styrning och kontrollprocess inom myndigheten Granskning tillsammans med ÅM och övr. myndigheter Överenskommelser mellan Polismyndigheten och Åklagarmyndigheten Riskanalys RIF Uppföljningsgranskning Polisens arbete mot brottsaktiva Planerad rådgivning Arbetsmiljöarbete Granskningen har påbörjats och beräknas bli klar T2 2019. Utkast till rapport är upprättad för åtgärdsinhämtning. Rapporten beräknas att expedieras under T1 2019. Granskningen pågår och beräknas bli klar T2 2019. Granskningen är ihoplagd med granskningen ovan Kvalitet i beslutsunderlag. Utkast till rapport är upprättad och åtgärdsinhämtning pågår. Rapporten beräknas att expedieras under T1 2019. Granskningen pågår och beräknas bli klar T2 2019. Utkast till rapport har upprättats och åtgärdsinhämtning pågår. Rapporten beräknas att expedieras T1 2019. Utkast till rapport har upprättats och är under åtgärdsinhämtning. Rapporten beräknas bli klar under T1 2019. Pågår löpande Granskningen pågår och beräknas bli klar T2 2019.

RAPPORT 27 (28) Förmåner Friskvårdssubvention (A107.952/2018) Diarie/arkiv Utläggsredovisning Resor Tipspengar informatörsverksamheten (A105.335/2018) Löner Bisyssla Semester Jämställdhet och likabehandling Åtgärdsinhämtning pågår och rapporten beräknas att expedieras T1 2019. Rapporten expedierades 2018-06-29 Rapporten expedierades 2018-06-24. Granskningen pågår och beräknas bli klar T2 2019.

RAPPORT 28 (28) Bilaga 2 Budget och utfall för IR 2018 och 2017 Budget 2018 tkr Utfall 2018 tkr Budget 2017 tkr Utfall 2017 tkr Intäkter Löner 15 347 14 600 14 946 14 133 Inköp av konsulttjänster 250 250 749 334 Resor m.m. 628 337 200 206 Kompetensutveckling och utbildning 522 259 362 348 Övrigt 12 11 135 215 Totalt 16 759 14 457 16 392 15 236

Medarbetare på internrevisionen

Utgivare Polismyndigheten Produktion Beställning Polismyndigheten, Internrevisionen Diarienr. A073.068/2019 Upplaga 100 ex Tryck Polisens Tryckeri, Stockholm, 2019 Grafisk form Foto Stefan Carp

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss