Regeringsuppdrag. Rapport Redovisning av den statliga internrevisionen :23

Regeringsuppdrag Rapport Redovisning av den statliga internrevisionen 2015 2015:23

ESV:s rapporter innehåller regeringsuppdrag, uppdrag från myndigheter och andra instanser eller egeninitierade utredningar. Publikationen kan laddas ner som pdf. Datum: 2015-03-25 Dnr: 3.2-1034/2014 ESV-nr: 2015:23 Copyright: ESV Rapportansvarig: Patrick Freedman

FÖRORD Förord Ekonomistyrningsverket (ESV) har sedan 2008 årligen lämnat en rapport till regeringen om den statliga internrevisionen. De åtta rapporter som har lämnats fram till år 2015 har visat att efterlevnaden av internrevisionsförordningen har stabiliserat sig på en hög nivå. Det talar för att internrevisionen är etablerad vid de myndigheter som ska följa internrevisionsförordningen (2006:1228). I detta ärende har generaldirektören Mats Wikström beslutat. Utredare Patrick Freedman har varit föredragande. I den slutliga handläggningen har också avdelningschef Eva Lindblom och enhetschef Tina J Nilsson samt utredarna Annika Alexandersson, Catrin Lind Ebert och Tomas Kjerf deltagit. 3

INNEHÅLL Innehåll Förord... 3 1 Sammanfattning... 6 2 ESV:s uppdrag... 10 2.1 Bakgrund... 10 2.2 Vilka myndigheter omfattas av ESV:s redovisning till regeringen... 10 2.3 Av ESV lämnat undantag... 10 2.4 Genomförande och tillvägagångssätt... 10 3 Tillämpningen av bestämmelserna om internrevision... 12 3.1 Myndigheterna följer bestämmelserna om internrevision... 12 3.2 Få avvikelser från bestämmelserna om internrevision... 13 4 Vad gör internrevisionen... 14 4.1 Få förändringar av internrevisionens resurser... 14 4.2 Hur fördelar sig arbetstiden för internrevisionen... 14 4.3 Vilka områden granskar internrevisionen... 15 4.4 Vilken inriktning och innehåll har granskningarna... 15 4.4.1 Granskning av ledningsprocesser... 16 4.4.2 Granskning av kärnprocesser... 17 4.4.3 Granskning av stödprocesser... 17 4.4.4 Exempel från myndighetsbesök... 19 4.4.5 Granskning för att motverka bedrägerier och oegentligheter... 20 4.1 Internrevisionen ger råd och stöd... 22 4.1 Internrevisionen får tillgång till uppgifter... 23 4.2 Fler myndigheter inrättar whistleblowerfunktion... 23 5 Resultatet av internrevisionens rapportering... 24 5.1 Internrevisionens rekommendationer accepteras av ledningen... 24 5.2 Det finns en process för att ta hand om myndighetsledningens beslut... 25 5.3 Granskningar har varit till stöd för uttalandet i årsredovisningen... 26 5.4 Internrevisionen ger nytta till myndighetsledningen... 26 5.4.1 Internrevisionens kommunikation och rapportering är ändamålsenlig... 26 5.4.2 Internrevisionens möten med myndighetens ledning... 27 6 Samverkan och nätverk... 28 6.1 Internrevisionschef som är anställd på mer än en myndighet... 28 6.2 Internrevisionsmyndigheter samverkar... 29 6.3 Internrevisorer upprättar nätverk... 31 7 Kvalitetssäkring av internrevision... 32 7.1 Internrevisorer utvecklar sin kompetens... 32 7.2 Internrevisionen genomför intern kvalitetssäkring... 32 7.3 Internrevisionen genomför extern kvalitetssäkring... 33 7.1 Uppfyller myndigheterna kravet på att genomföra en extern kvalitetssäkring?... 35 7.2 Uppgifter om internrevision från Riksrevisionens akter... 36 7.3 Internrevisionens samarbete med Riksrevisionen... 36 4

INNEHÅLL 8 Omvärldsbevakning... 37 8.1 PIC-konferens i Haag... 37 8.2 Europeiska kommissionens internrevisionskonferens... 37 8.3 GRC-dagarna... 38 8.4 IIA:s internationella årliga internrevisionskonferens... 38 9 Slutsatser, trender och utveckling... 41 9.1 Sammanfattande slutsatser... 41 9.2 Tankar om trender och utveckling... 42 Lagar och förordningar... 44 Bilaga 1 Internrevisionsmyndigheter 2014... 45 Bilaga 2 Utfall av tillämpning av bestämmelserna... 47 Bilaga 3 Internrevisionen ger råd och stöd... 49 Bilaga 4 Internrevisionens dimensionering... 51 Bilaga 5 Internrevisionens arbete och granskningens inriktning... 54 Bilaga 6 Sammanställning av förbättringsområden från kvalitetssäkring... 60 Externa kvalitetssäkringar... 60 Intern kvalitetssäkring... 62 Ordlista... 64 5

SAMMANFATTNING 1 Sammanfattning Myndigheterna tillämpar bestämmelserna om internrevision Den generella bilden som ESV har fått av internrevisionen är att den fungerar väl. Internrevisionen utgör enligt ESV:s uppfattning det stöd till myndighetsledningen som det är tänkt. Utifrån myndigheternas redovisning bedömer ESV att myndigheterna tillämpar bestämmelserna om statlig internrevision i mycket hög utsträckning. Endast ett fåtal avvikelser från bestämmelserna som rör internrevisionen har rapporterats. Av dessa är det framförallt avvikelser inom två områden som ESV vill lyfta fram. Läkemedelsverket har under 2014 inte har haft någon internrevisor anställd och inte heller bedrivit någon internrevision. Ett fåtal andra myndigheter har under en kortare eller längre tidsperiod saknat anställd internrevisionschef när tidigare internrevisionschef har slutat och ny internrevisionschef ännu inte har tillträtt. Det förekommer i enstaka fall att internrevisionen på styrelsemyndigheter inte är inrättad under myndighetens ledning utan är placerad under myndighetschefen eller liknande. ESV anser inte att en sådan placering är i enlighet med ESV:s föreskrift till 2 internrevisionsförordningen där det framgår att internrevisionen ska inrättas direkt under myndighetens ledning. Internrevisionsförordningen ställer krav på att internrevisionschefen ska vara anställd vid myndigheten. ESV anser, som redovisats i rapporten 2014, att det kan finnas skäl till att ge undantag från kravet i de fall då påtänkt internrevisionschef redan är anställd som internrevisionschef vid en annan myndighet. Internrevisionen lägger största delen av sin tid på granskning Internrevisionens huvudsakliga tid, drygt 60 procent, används för granskning. Av den tiden har ungefär en tredjedel av tiden använts för att granska ledningsprocesser, en tredjedel att granska kärnprocesser och en tredjedel att granska stödprocesser. Vi har av enkätsvaren kunnat konstatera att den statliga internrevisionen har en stor bredd vad gäller inriktningen på sin granskning. Det kan även konstateras att internrevisionen, utöver sin granskande roll också ger råd inom ett stort antal områden. Rådgivning tar drygt åtta procent av arbetad tid. I enkäten uppger 51 myndigheter att internrevisionen har lämnat råd och stöd till myndighetens ledning. Myndighetsledningarna vid 71 procent av styrelsemyndigheterna har fått råd och stöd 6

SAMMANFATTNING jämfört med 87 procent av enrådighetsmyndigheterna. I 60 procent av styrelsemyndigheterna har internrevisionen dessutom gett råd och stöd till myndighetens chef. Drygt tio procent av internrevisorernas tid används till planering och uppföljning av internrevisionens verksamhet. Cirka fem procent av tiden används till egen kompetensutveckling. Hälften av myndigheterna har granskat oegentligheter Drygt hälften av myndigheterna har angivit att granskningar har innefattat arbetet med att motverka bedrägerier och oegentligheter. Enligt ESV:s uppfattning behöver det inte tolkas som att det finns brister i internrevisionens roll kopplat till arbetet mot otillbörlig påverkan, bedrägerier och annan oegentlighet då frågan har beaktats i samband med analysen av verksamhetens risker. ESV kommer att inhämta mer kunskap om detta och fördjupa frågeställningen i nästa redovisning. ESV har ställt frågan om myndigheten har inrättat en funktion (en så kallad whistleblowerfunktion) för att ta emot misstanke om otillbörlig påverkan, bedrägeri och annan oegentlighet i verksamheten. Av de 65 myndigheterna har 13 myndigheter svarat ja på frågan. Tre myndigheter berättar att de arbetar med att ta fram en whistleblowerfunktion under 2015. ESV kommer att fortsätta följa hur myndigheterna organiserar sitt arbete rörande oegentligheter m.m. i verksamheten. Ändamålsenliga rekommendationer Det framgår av enkätsvaren att myndigheternas ledning i 95 procent av fallen har accepterat de av internrevisionen lämnade rekommendationerna. Enligt ESV:s bedömning utgör detta en tydlig indikation på att myndighetsledningar har uppfattat att ändamålsenligheten i de rekommendationer som internrevisionen har lämnat är hög. ESV har även ställt frågan till internrevisionsmyndigheterna om myndigheten har en fastställd process för att ta om hand myndighetsledningens beslut om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Av de 65 myndigheter som har svarat uppger 85 procent att myndigheten har en fastställd process. Motsvarande resultat för 2013 var 80 procent. ESV har tidigare framfört att myndigheten bör ha en genomtänkt och dokumenterad process för hur iakttagelserna och rekommendationerna i internrevisionens rapporter ska tas om hand. 55 myndigheter har angivit att internrevisionen har genomfört granskningar som har varit till stöd för myndighetsledningens bedömning i årsredovisningen om intern styrning och kontroll. 7

SAMMANFATTNING Det finns inte någon skillnad i hur ofta små eller stora internrevisionsfunktioner träffar myndighetsledningen. Det som däremot framgår är att myndighetscheferna i enrådighetsmyndigheter har en mycket tätare kontakt med internrevisionen än ledningen i styrelsemyndigheter. ESV anser att det kan finnas anledning för ledningar i styrelsemyndigheter att särskilt överväga om det finns behov av mer frekventa kontakter mellan ledning och internrevision och hur dessa kan utformas. Samverkan och nätverk är värdefullt Det finns ett stort antal nätverk och många samverkansaktiviteter inom den statliga internrevisionskåren. ESV anser att det finns mycket stora fördelar med samverkan och att det vore värdefullt om fler myndighetsledningar aktivt övervägde att samverka i större omfattning. För den del av internrevisionsfunktionerna som är enmansfunktioner är det extra värdefullt med samverkan. Kvalitetssäkring av internrevisionen Enligt god sed ska internrevisionschefen utveckla och upprätthålla ett program för kvalitetssäkring och kvalitetsförbättring som ska omfatta både intern och extern utvärdering. På ESV:s fråga om internrevisionen har genomfört en fortlöpande intern kvalitetskontroll av internrevisionsverksamheten svarade 91 procent (80 procent 2013) av myndigheterna ja och 9 procent (20 procent 2013) nej. Området intern kvalitetssäkring är alltså ett område där det har skett stora förbättringar under senare år. Det är viktigt att den positiva utvecklingen fortsätter och det kan finnas anledning för ESV att bevaka utvecklingen inom området. Enligt god internrevisionssed ska en extern kvalitetssäkring genomföras minst en gång vart femte år. Under 2014 har tolv kvalitetssäkringar genomomförts. För elva av de tolv genomförda kvalitetssäkringarna har den externa kvalitetssäkraren/valideraren lämnat det övergripande omdömet att internrevisionsfunktionens verksamhet helt eller i huvudsak överensstämmer med internrevisionsförordning med föreskrifter och allmänna råd och IIA:s standards. Den tolfte, Kungliga tekniska högskolan, har genomfört en självutvärdering följt av en Administrative Assessment Exercise (AAE) som beställts av universitetets ledning. En AAE genomförs av en bedömargrupp som består av utsedda sakkunniga kollegor, liknande en Peer Review. Tre aspekter bedömdes nämligen kompetens, service och kostnad. Bedömningen följer i huvudsak kraven för en extern kvalitetssäkring men motsvarar inte en regelrätt extern kvalitetssäkring. Bedömargruppens omdöme blev att KTH har en väl fungerande internrevisionsprocess som bedrivs med god kvalitet. Under åren 2010-2014 är det 76 procent som har uppfyllt kraven på en extern bedömning av internrevisionen. Vid utgången av 2013 var motsvarande andel 8

SAMMANFATTNING 71 procent. Av de 14 internrevisionsfunktioner som borde ha genomfört en extern kvalitetssäkring men som inte gjort det under 2014 är det åtta av myndigheter där ESV påpekade bristen redan 2014. ESV anser att det är angeläget att de myndigheter som inte har genomfört en extern kvalitetssäkring inom denna tidsram snarast åtgärdar denna brist och säkerställer att en extern kvalitetssäkring genomförs så snart som möjligt. Förändringar i ramverket för internrevision på gång IIA har påbörjat ett arbete med att se över det internationella ramverket för internrevisionen (IPPF). Enligt den planering som finns ska ramverket vara färdigställt i början av 2016. Förslaget består av en ny målformulering (mission) för internrevision, tolv nya principer för internrevision, att Practice Advisory omarbetas till Implementation Guidance och att Practice Guides tas bort och att Supplemental Guidance införs i stället. Förändringarna i ramverket kan innebära ett utökat behov av kompetensutveckling för internrevisorer under 2016. 9

ESV:S UPPDRAG 2 ESV:s uppdrag 2.1 Bakgrund ESV ska utveckla, förvalta och samordna den statliga internrevisionen samt årligen lämna en redovisning över den statliga internrevisionen till regeringen senast den 31 mars. 1 Ett led i samordningen av den statliga internrevisionen är att ESV i redovisningen av den statliga internrevisionen analyserar och bedömer statusen på internrevisionen. ESV har dock ingen tillsynsroll eller några sanktionsmöjligheter kopplade till sitt åtagande. Syftet med samordningen är att den statliga internrevisionen ska agera och verka i enlighet med svensk normering och god internrevisors- och internrevisionssed. 2.2 Vilka myndigheter omfattas av ESV:s redovisning till regeringen ESV:s redovisning av den statliga internrevisionen omfattar de myndigheter under regeringen som efter beslut av regeringen ska följa internrevisionsförordningen. Vid utgången av 2014 var det 66 myndigheter som skulle ha en inrättad internrevision och därmed tillämpa internrevisionsförordningen. Ungefär hälften av myndigheterna är enrådighetsverk och hälften är styrelsemyndigheter. De myndigheter som har inrättat internrevision på eget initiativ omfattas inte av internrevisionsförordningen och ingår därmed inte heller i ESV:s redovisning. Internrevisionsmyndigheterna vid utgången av 2014 framgår av bilaga 1. 2.3 Av ESV lämnat undantag Läkemedelsverket omfattas av internrevisionsförordningen och ska därför besvara ESV:s internrevisionsenkät men eftersom Läkemedelsverket under 2014 inte har haft någon internrevisor anställd så har Läkemedelsverket begärt undantag från att besvara enkäten. 2 2.4 Genomförande och tillvägagångssätt För redovisningen av den statliga internrevisionen har ESV hämtat in information via en enkät från de myndigheter som efter beslut av regeringen ska följa internrevisionsförordningen. ESV har riktat sig till myndigheten eftersom det är myndigheten som har skyldighet att lämna informationen. Uppgiftslämnandet kan ske genom delegation till tjänsteman. 1 Förordningen (2010:1764) med instruktion för Ekonomistyrningsverket, 3 4 p. och 27 9 p. 2 Begäran om undantag från att besvara internrevisionsenkäten i Hermes/IRE. 2014-12-19. Dnr 3.2-1034/2014. ESV. 10

ESV:S UPPDRAG Uppgifterna i internrevisionsenkäten har lämnats till ESV via koncerninformationssystemet (Hermes) under perioden 12 januari 10 februari 2015. Frågorna i enkäten publicerades dessförinnan på ESV:s webbsida den 12 december 2014. Frågorna e-postades även till myndigheternas registratorer och internrevisionschefer. I de allra flesta fall är det internrevisionschefen som har besvarat enkäten å myndighetens vägnar. Sammanställningar av inhämtad information via enkäterna redovisas i bilagorna 2-5. ESV har under 2014 besökt internrevisionen vid elva internrevisionsmyndigheter. Under besöken har ESV ställt frågor utifrån ett antal ämnesområden. Syftet med frågorna har varit att belysa hur internrevisionsverksamhet bedrivs i praktiken. Frågeområdena har varit råd och stöd, uppföljning och rekommendationer, arbetet med riskanalys och revisionsplan, oberoende och objektivitet, internt och externt kvalitetsarbete, granskningsinriktning, rapportering, riktlinjer och dokumentation. Svaren har använts för att fördjupa analyserna i rapporten. ESV har i möjligaste mån kvalitetssäkrat uppgifterna som lämnats i internrevisionsenkäten genom att jämföra med andra informationskällor som är tillgängliga, exempelvis externa kvalitetssäkringar, besök som har gjorts på myndigheter och de kommentarer som myndigheterna har lämnat i enkäten. Rimlighetsbedömningar har gjorts av lämnade uppgifter. 11

TILLÄMPNINGEN AV BESTÄMMELSERNA OM INTERNREVISION 3 Tillämpningen av bestämmelserna om internrevision I detta kapitel redovisar vi i huvudsak myndigheternas följsamhet till bestämmelserna i internrevisionsförordningen (2006:1228) till vilken ESV får meddela föreskrifter, se även bilaga 2. Nya och ändrade föreskrifter och allmänna råd trädde i kraft 2014 vilket påverkar jämförelser över tiden. Förändringarna innebar en regelförenkling med färre bestämmelser som ger mer utrymme för myndighetsledningen att med riktlinjer för internrevision anpassa den till den egna verksamheten. 3 ESV kan i enskilda fall pröva och meddela undantag från föreskrifterna till internrevisionsförordningen. ESV har under 2014 inte erhållit någon ansökan om eller prövat något undantag från föreskrifterna. 3.1 Myndigheterna följer bestämmelserna om internrevision ESV har i sin enkät om internrevision inhämtat uppgifter om i vilken utsträckning internrevisionsmyndigheterna följer den normering som styr internrevisionen. Regleringen finns i huvudsak i internrevisionsförordningen med föreskrifter och allmänna råd men också i andra bestämmelser för offentlig förvaltning som till exempel tryckfrihetsförordningen, myndighetsförordningen med flera författningar. Den statliga internrevisionen ska också tillämpa god sed. ESV bedömer att myndigheterna tillämpar bestämmelserna om statlig internrevision i mycket hög utsträckning. Myndigheterna redovisar få avvikelser från bestämmelserna. ESV har följt upp bestämmelserna om att: internrevisionen leds av en chef internrevisionens chef är anställd av myndigheten internrevisionen är inrättad direkt under myndighetsledningen internrevisionen är självständig i förhållande till den granskade verksamheten internrevisionen granskar och lämnat förslag till förbättringar av myndighetens process för intern styrning och kontroll internrevisionen granskat utifrån en analys av verksamhetens risker analysen av verksamhetens risker omfattar en bedömning av otillbörlig påverkan, bedrägeri eller annan oegentlighet 3 Mer om bakgrunden finns i utredningen Om internrevision. 2012-12-21, Dnr 52-850/2012, ESV. 12

TILLÄMPNINGEN AV BESTÄMMELSERNA OM INTERNREVISION internrevisionen har självständigt granskat om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen internrevisionen har lämnat råd och stöd till styrelsen och chefen för myndigheten internrevisionen omfattar den verksamhet som myndigheten bedriver eller ansvarar för internrevisionen bedrivs enligt såväl god internrevisionsed som god internrevisorssed myndigheten har verkat för samarbete om internrevision med annan myndighet för att ta till vara de fördelar som kan vinnas för staten som helhet internrevision har redovisat resultatet av granskningen i form av iakttagelser och rekommendationer internrevisionen har rapporterat rekommendationerna och iakttagelserna till myndighetsledningen myndighetsledningen har beslutat om riktlinjer för internrevisionen myndighetsledningen har beslutat om en revisionsplan för internrevisionen myndighetsledningen beslutat om åtgärder med anledning av de iakttagelser och rekommendationer som internrevisionen rapporterat myndighetsledningen har, i den utsträckning det inte mött hinder på grund av bestämmelse om sekretess, sett till att internrevisionen fått tillgång till de uppgifter och upplysningar som den behövt för att fullgöra sitt uppdrag 3.2 Få avvikelser från bestämmelserna om internrevision Endast ett fåtal avvikelser från bestämmelserna som rör internrevisionen har rapporterats. Av dessa är det framförallt två områden som ESV vill lyfta fram. Läkemedelsverket har under 2014 inte har haft någon internrevisor anställd och inte heller bedrivit någon internrevision. Ett fåtal andra myndigheter har under kortare eller längre tidsperiod saknat anställd internrevisionschef när tidigare internrevisionschef har slutat och ny internrevisionschef ännu inte har tillträtt. Möjligheten att tillförordna chef för internrevisionen i avvaktan på att en ny chef tillträder har endast utnyttjas i begränsad omfattning. Det förekommer i enstaka fall att internrevisionen på styrelsemyndigheter inte är inrättad under myndighetens ledning utan är placerad under myndighetschefen eller liknande. ESV anser inte att en sådan placering är i enlighet med ESV:s föreskrift till 2 internrevisionsförordningen där det framgår att internrevisionen ska inrättas direkt under myndighetens ledning. 13

VAD GÖR INTERNREVISIONEN 4 Vad gör internrevisionen 4.1 Få förändringar av internrevisionens resurser Nedan redovisas en kortare sammanställning av hur internrevisionens resurser fördelar sig under åren 2013 och 2014. 4 2014 2013 Antalet internrevisionsmyndigheter 66 66 Antal myndigheter med revisionsutskott 9 7 Årsarbetskrafter inklusive konsulter 146 149 Antalet statliga internrevisorer 139 148 Medelantalet anställda 2,1 2,3 Antalet enmansrevisorer 36 36 Antalet myndigheter med enmansrevisorer 40 39 Antal myndigheter med samordnad internrevision 11 11 Arbetad egen tid (timmar) 215 800 224 100 Arbetad tid konsulter (timmar) 9 500 9 700 Kompetensutveckling per anställd (timmar i genomsnitt) 88 75 Varit verksam som internrevisor tre år eller mer (%) 82 85 Andel kvinnor (%), andel kvinnliga internrevisionschefer (%) 41, 45 45, 43 Ålder mellan 51 och 60 år (%), ålder över 60 år (%) 38, 20 40, 19 Uppgifterna som avser resurserna visar att antalet årsarbetskrafter för 2014 minskat med tre personer jämfört med 2013. Antalet statliga internrevisorer har minskat med nio personer (6 %) jämfört med föregående år. Skillnaden beror främst på en minskning av antalet anställda internrevisorer på större internrevisionsfunktioner. Nedlagd tid per anställd för kompetensutveckling uppgår till i genomsnitt 88 timmar/år vilket är en ökning med 17 % jämfört med föregående år. För fler uppgifter om resurser och använd tid m.m.se bilaga 4. 4.2 Hur fördelar sig arbetstiden för internrevisionen Av internrevisionens totala tid används cirka 63 procent av tiden för granskning, vilket är något lägre jämfört med andelen granskning föregående år. Rådgivning utgör drygt åtta procent av arbetad tid och planering och uppföljning utgörs av drygt tio procent. Nedlagd tid inom dessa områden är ungefär densamma som föregående år. Internrevisorerna använder sex procent av tiden till egen kompetensutveckling vilket motsvarar ett genomsnitt på 88 timmar per år och anställd. Detta är en ökning 4 Tabellen återges även i bilaga 4. 14

VAD GÖR INTERNREVISIONEN med 13 timmar jämfört med föregående år då knappt fem procent av den totala tiden gick till egen kompetensutveckling. 4.3 Vilka områden granskar internrevisionen Vid en uppdelning av genomförda granskningar i granskning av ledningsprocesser, kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat regeringsbeslut) och stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.) har ungefär en tredjedel av tiden lagts på varje område. Fördelning av tid för internrevisionens granskningsområden Granskningsområde Alla myndigheter Enrådighetsmyndigheter Styrelsemyndigheter Ledningsprocesser 33 % 34 % 32 % Kärnprocesser 39 % 40 % 37 % Stödprocesser 28 % 26 % 30 % För de myndigheter som har internrevisioner som består av fem medarbetare eller fler går att utläsa att en något större andel av nedlagd tid (45 %) har använts för att granska kärnprocesser och en något mindre andel (28 %) har använts för att granska ledningsprocesser. För de små internrevisionsenheterna som består av en revisor har en något större andel av nedlagd tid (36 %) lagts på att granska ledningsprocesser och en något mindre (35 %) lagts på kärnprocesserna. Andel nedlagd tid för granskning av stödprocesserna är densamma för de två grupperna. 4.4 Vilken inriktning och innehåll har granskningarna Internrevisionens granskning ska utgå från risk och väsentlighet. Genom att fatta beslut om det förslag till revisionsplan som internrevisionen tagit fram beslutar myndighetsledningen om vilka granskningar som ska genomföras under revisionsåret. Internrevisionens verksamhet ska bedrivas enligt god internrevisorsoch internrevisionssed. När ESV har inhämtat uppgifter om vilken inriktning och vilket innehåll internrevisionens granskningar har haft har vi utgått från de krav som ställs på myndigheter genom olika förordningar och i enstaka fall lagar. Inom ramen för inriktningen på genomförda granskningar beskrivs vilka områden granskningen har berört samt vilka frågeställningar som har belysts. Myndigheterna har vid besvarande av enkäterna kunnat svara ja eller nej på frågan om de har beaktat de angivna områdena. Myndigheterna har haft möjlighet att under rubriken övrigt beskriva annan inriktning eller innehåll på genomförda granskningar än de som har varit fördefinierade. 15

VAD GÖR INTERNREVISIONEN Eftersom granskningarna ska genomföras utifrån risk och väsentlighet kan det inte förväntas att samtliga internrevisionsmyndigheter genomför granskningar inom samtliga områden som ESV har lyft fram i enkäten. Av samma anledning och mot bakgrund av den goda internrevisionsseden kan det inte heller förväntas att granskningarnas innehåll innefattar samtliga punkter som ESV har specificerat i enkäten. 4.4.1 Granskning av ledningsprocesser Inom ramen för granskningen av ledningsprocesser har en stor majoritet av myndigheterna, drygt fyra femtedelar, genomfört granskningar av myndighetsledningens ansvar för verksamheten (organisation, arbetsfördelning, delegering, former för verksamheten och verksamhetsplan). Nästan lika många myndigheter har genomfört granskningar av myndighetens riskhantering (riskanalys, kontrollåtgärder, skadeförebyggande åtgärder, riskfinansiering och skadereglering, uppföljning och bedömning samt dokumentation). Ungefär hälften av myndigheterna har under året genomfört granskningar av myndighetens allmänna uppgifter (utveckla verksamheten, samarbete med myndigheter och andra, tillhandhålla information om verksamheten samt följa sådana förhållanden utanför myndigheten som har betydelse för verksamheten) och myndigheternas informationssäkerhet. Under året har ungefär en tredjedel av myndigheterna genomfört granskningar som beaktar myndighetens handläggning av ärenden (kostnadsmässiga konsekvenser, föredragning, och beslut) samt myndighetens arbetsgivarpolitik (samverkan med andra myndigheter för att utveckla och samordna den statliga arbetsgivarpolitiken, se till att de anställda är väl förtrogna med målen för verksamheten, skapa goda arbetsförhållanden och ta till vara och utveckla medarbetarnas kompetens och erfarenhet). Vid granskning av ledningsprocesser har drygt nio av tio myndigheter beaktat om verksamheten bedrivs effektivt och nästan lika många har granskat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer. Knappt nio av tio har i granskningar beaktat om verksamheten bedrivs enligt gällande rätt och drygt fyra av fem har beaktat uppföljningen och bedömningen av den interna styrningen och kontrollen. Knappt fyra av fem myndigheter har också redovisat att granskningar har haft fokus på hushållning, att verksamheten utvecklas och delegering av ansvar. För drygt hälften av myndigheterna har granskningarna berört om de anställda är väl förtrogna med målen för verksamheten, om de anställdas kompetens och erfarenhet tillvaratas och utvecklas och etik och värderingar i organisationen. Ungefär en 16

VAD GÖR INTERNREVISIONEN tredjedel av myndigheterna har i granskningen av ledningsprocesserna granskat om verksamheten bedrivs enligt förpliktelser till EU. 4.4.2 Granskning av kärnprocesser Vid granskningen av myndighetens kärnprocesser har tre av fyra myndigheter granskat myndighetens uppgifter enligt instruktion, regleringsbrev eller annat regeringsbeslut. Vad gäller granskning av myndigheters medverkan i EU-arbetet och annat internationellt samarbete har en av sex myndigheter genomfört en sådan granskning. Knappt en av fyra har angivit att de har genomfört granskningar inom kategorin övrigt. Inom denna kategori ryms områden såsom: Intern styrning och kontroll Samverkan med kommuner Förebygga fusk inom utbildning Forskningssamverkan och centrumbildningar E-lärande Kvalitet i forskningsansökningar Regelefterlevnad (compliance och följsamhet) Remisshanteringen Projektstyrning (byggprojekt) Processer kopplade till forskningsverksamhet Granskning av leverantörer Vid granskningen av kärnprocesser har drygt fyra av fem myndigheter angivit att granskningarna har beaktat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer, uppföljning och bedömning av den interna styrningen och kontrollen och om verksamheten bedrivs effektivt. Ungefär tre av fyra myndigheter har redovisat att granskningar har innefattat om verksamheten bedrivs enligt gällande rätt, delegering av ansvar och genomförandet av riskhanteringen. Knappt två av tre myndigheter har inom ramen för sina granskningar också beaktat om verksamheten redovisas rättvisande och tillförlitligt och att de anställda är väl förtrogna med syfte och mål för verksamheten. Något färre än hälften av myndigheterna har i sina granskningar beaktat om de anställdas kompetens och erfarenhet tillvaratas och utvecklas, om goda arbetsförhållanden upprätthålls och etik och värderingar i organisationen. Knappt en tredjedel av myndigheterna har beaktat om verksamheten bedrivs enligt förpliktelser till EU. 4.4.3 Granskning av stödprocesser Vad gäller granskningar av myndigheternas stödprocesser har knappt hälften av myndigheterna granskat myndighetens upphandling. Ungefär en fjärdedel av myndigheterna har genomfört granskningar som berör inköpssamordning, 17

VAD GÖR INTERNREVISIONEN betalningar och medelsförvaltning, allmänna handlingar, årsredovisning, redovisningssystem och elektroniskt informationsutbyte. Två av tre myndigheter har redovisat att de har genomfört granskningar under rubriken övrigt och då har följande områden specificerats: It (it-säkerhet, it-drift, it-kostnader, outsourcing av it-drift) Informationssäkerhet Risker i upphandling Fysisk säkerhet E-lärande Styrdokument inom det ekonomiadministrativa området Myndighetens representation Rutiner för hantering av bisyssla Kontroll över tjänsteresor Personal- och kompetensförsörjning Jävsfrågor Donationer och bidrag Informations- och kommunikationsarbete Projektstyrning Mångfaldsarbete Intern styrning och kontroll i dotterbolag Lönehanteringsprocesser Ingen myndighet har genomfört någon granskning av arbetet med konsekvensutredning vid regelgivning. Vid granskningarna av stödprocesserna har fyra av fem myndigheter redovisat att de har beaktat om verksamheten bedrivs effektivt. För ungefär tre av fyra myndigheter har granskningarna innefattat om verksamheten bedrivs enligt ledningens direktiv och riktlinjer, genomförandet av riskhantering, delegering av ansvar och om verksamheten bedrivs enligt gällande rätt. Drygt två av tre myndigheter har redovisat att granskningar har innefattat om verksamheten utvecklas och om den upprätthålls med god hushållning. Lite drygt hälften av myndigheterna har i granskningar beaktat om verksamheten har redovisats rättvisande och tillförlitligt, arbetet med att motverka bedrägeri och oegentligheter och om de anställda är väl förtrogna med syfte och mål för verksamheten. Cirka en tredjedel av myndigheterna har följt upp om de anställdas kompetens och erfarenhet tillvaratas och utvecklas, etik och värderingar i organisationen och om goda arbetsförhållanden upprätthålls. En fjärdedel av myndigheterna har i granskningar beaktat om verksamheten bedrivs enligt 18

VAD GÖR INTERNREVISIONEN förpliktelser till EU och en femtedel om verksamheten verkar för samarbete med annan myndighet. 4.4.4 Exempel från myndighetsbesök På de myndighetsbesök som ESV har genomfört under hösten 2014 har vi ställt frågor om vilken inriktning myndigheterna har haft på de granskningar de har genomfört under året. Eftersom granskningarna på varje myndighet utgår från risk och väsentlighet skiljer sig granskningsområdena från myndighet till myndighet utifrån varje specifik myndighets uppgift och riskbedömning. De exempel ESV redovisar nedan ger tillsammans en bild av de olika granskningarna som genomförs på myndigheter i statsförvaltningen. CSN pekar bland annat på att samtliga granskningar som har genomförts har haft kopplingar till intern styrning och kontroll och att man bland annat har granskat eller haft rådgivningsuppdrag kopplat till förändringsarbete, systemförnyelse, frågor om kontroller i ärendehantering, återkrav och utbetalning av studiestöd. Vid besöket hos Statens pensionsverk framkom att deras internrevision hade genomfört granskningar som liknade den som CSN hade gjort, dock med undantag för återkrav. Uppsala universitet berättar att de inför beslutet om den senaste revisionsplanen underlättade för konsistoriet att göra ett aktivt val av granskningar genom att förslaget till revisionsplan innehöll flera granskningsförslag som ledamöterna fick välja bland. Ledamöterna diskuterade kort för- och nackdelar med några olika förslag innan de valde vilka granskningar som skulle genomföras. Konsistoriet uttryckte uppskattning över att de fick välja och inte ställdes inför fullbordat faktum vad internrevisionen skulle granska. Internrevisionen har under året bland annat genomfört en granskning av universitetets process för att upprätthålla en betryggande intern styrning och kontroll. Domstolsverket berättar att de genomför domstolsbesök där de granskar de olika domstolarna. Alla domstolar kan inte besökas samma år men generaldirektören kommer med förslag på vilka domstolar som ska besökas. Domstolarna gör egna utvärderingar av sitt interna styr- och kontrollarbete som internrevisionen granskar. Kungl. Tekniska Högskolan är indelad i tio enheter, skolor. Internrevisionen genomför två till tre skolgranskningar per år. Internrevisionen arbetar också mot de centrumbildningar 5 som finns på högskolan. 5 En centrumbildning är ett samarbete mellan högskolan och externa parter. 19

VAD GÖR INTERNREVISIONEN Statiska centralbyrån berättar att typiska områden som internrevisionen inriktar sin granskning på kan vara it, projektgranskning eller granskning av verksamhetsprocesser. Internrevisionen försöker sprida ut granskningarna på olika områden inom myndigheten. Enligt den strategiska revisionsplanen görs granskning av compliance som ett komplement till granskningarna som faller ut från riskanalysen. Internrevisionen granskar också underlagen som ligger till grund för generaldirektörens uttalande om intern styrning och kontroll. Statens lantbruksuniversitets internrevision har tidigare genomfört ett flertal granskningar på fastighetsområdet, men för närvarande fokuserar de istället på granskningar inom forsknings-, grundutbildnings- samt miljöområdena. De har också ett större fokus riktat mot institutionerna. 4.4.5 Granskning för att motverka bedrägerier och oegentligheter I föreskrift till 4 internrevisionsförordningen framgår att i analysen av verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier och annan oegentlighet. Utifrån den bedömning som sedan har gjorts av risk och väsentlighet tar myndigheten ställning till vilket fokus granskningar ska ha på otillbörlig påverkan, bedrägerier och andra oegentligheter. I enkäten har ESV begärt att myndigheter som har beaktat arbetet med att motverka bedrägeri och oegentligheter i sina granskningar ska beskriva vad som har beaktats och omfattningen av granskningen. Drygt hälften av myndigheterna har angivit att granskningarna har innefattat arbetet med att motverka bedrägeri och oegentligheter. I granskningar av ledningsprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till: Affärsprocesser Avtal Befogenheter i it-system Felaktiga utbetalningar Funktionalitet i whistleblowersystem Förtroendeskadligt agerande Informationssäkerhet Inköp Jäv och oberoende Muta Rutiner för delegationer samt kontroll Upphandling 20

VAD GÖR INTERNREVISIONEN I granskningar av kärnprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till: Fusk inom utbildning Följsamhet mot interna regelverk Förtroendeskadlig bisyssla Hantering av kontonummer Hantering av t.ex. tillfälliga pass Informationssäkerhet Inköp Jävsfrågor Kontanthantering Kontroller i bidragsärenden Medelshantering hos samarbetspart i annat land Oredlig forskning Otillbörliga erbjudande Registerkvalité och återkravshantering Representation Upphandling Utbetalningar I granskningar av stödprocesser har myndigheter bland annat beaktat frågor om bedrägeri och oegentligheter kopplat till: Attester Betalningsflöden Funktionaliteter i it-system Hantering och redovisning av kontanter och kreditkort Inköp Regelefterlevnad Representation Skydd och hantering av forskningsmaterial Systembehörigheter Upphandling Utbetalningar Hur myndigheter har genomfört sina granskningar kopplade till bedrägerier och oegentligheter skiljer sig åt. Utifrån de myndighetsbesök som ESV har genomfört under året har väljer vi att redovisa några olika perspektiv på hur myndigheter väljer att beakta bedrägeri och oegentligheter i sina granskningar. CSN berättar i samband med ESV:s myndighetsbesök att de har följt upp arbetet med att bygga upp en ny gruppering som ska arbeta med frågor om rutiner för hantering av misstänkta 21

VAD GÖR INTERNREVISIONEN bidragsbrott och hur myndigheten utvecklar sitt arbete för att motverka externa och interna oegentligheter. Domstolsverket beaktar bedrägerier och oegentligheter i alla sina granskningar. Internrevisionen på Kungliga Tekniska Högskolan följer upp frågor om bedrägerier och oegentligheter inom ramen för sina granskningar. De försöker bland annat följa upp uppdrag och sidoverksamheter som kan vara problematiska. Riksgäldens internrevision berättar att området bedrägerier och andra oegentligheter beaktas i alla granskningar när internrevisionen kartlägger kontroller. 4.1 Internrevisionen ger råd och stöd Internrevisionen ska ge råd och stöd till myndighetens ledning och chefen för myndigheten. Råd och stöd kan också lämnas till andra än myndighetens ledning och chefen för myndigheten om det framgår av internrevisionens riktlinjer. I enkäten uppger 51 myndigheter att internrevisionen har lämnat råd och stöd till myndighetens ledning. Av de 14 som inte har gett råd och stöd till sin myndighetsledning var tio styrelsemyndigheter och fyra enrådighetsmyndigheter. Det innebär att myndighetsledningarna vid 71 procent av styrelsemyndigheterna har fått råd och stöd jämfört med 87 procent av enrådighetsmyndigheterna. Vid 60 procent av de totalt 35 styrelsemyndigheterna har internrevisionen även gett råd och stöd till myndighetens chef. En förutsättning för att internrevisionen ska kunna ge råd och stöd till styrelse och/eller generaldirektör är att det efterfrågas. Vi har vid våra besök ute hos internrevisionsfunktioner (elva myndigheter) under 2014 förstått att inte alla styrelser och generaldirektörer efterfrågar rådgivning. Det beror i vissa fall på att myndighetsledningen prioriterar granskningsuppdrag framför rådgivningsuppdrag. De flesta av de internrevisionsfunktioner vi besökte har inskrivet i sina riktlinjer att de får ge råd och stöd även till andra än styrelse och generaldirektören. De flesta av internrevisionsfunktionerna säljer dock inte aktivt in rådgivningsuppdrag. Det beror, enligt uppgift, på att internrevisionsfunktionernas resurser är begränsade och att man därför är rädda för att internrevisionen ska drunkna i uppdrag och inte hinna med granskningarna i revisionsplanen. Utifrån de svar som har lämnats går det att konstatera att internrevisionen utöver sin granskande roll också ger råd inom ett stort antal områden. Vissa områden som bedömning av myndighetens interna styrning och kontroll återkommer hos flera myndigheter. Likaså uppdrag kopplade till risk, ledning, styrning och organisation. I övrigt är det en väldigt stor spridning av områdena. Områdena finns specificerade i bilaga 3. 22

VAD GÖR INTERNREVISIONEN 4.1 Internrevisionen får tillgång till uppgifter ESV har genom internrevisionsenkäten tillfrågat internrevisionsmyndigheterna om internrevisionen på grund av sekretess inte har fått tillgång till uppgifter som internrevisionen har haft behov av för genomförandet av ett uppdrag. Samtliga svarande myndigheter har uppgivit att denna situation inte uppkommit. 4.2 Fler myndigheter inrättar whistleblowerfunktion ESV har ställt frågan om myndigheten har inrättat en funktion (en så kallad whistleblowerfunktion) för att ta emot misstanke om otillbörlig påverkan, bedrägeri och annan oegentlighet i verksamheten. Av de 65 myndigheterna har 13 myndigheter svarat ja på frågan. Ytterligare en myndighet uppger att de inte har en sådan funktion men att de anställda kan vända sig till chefsjuristen om en fråga uppstår. Tre myndigheter berättar att de arbetar med att ta fram en whistleblowerfunktion under 2015. Det är olika vilka som är mottagare av anmälningarna. I några fall är det chefsjuristen. I andra fall är det en tillsynsenhet, en internutredningsfunktion, säkerhetsenheten/säkerhetsstaben, GD-kansliet, en särskild utredningsgrupp internrevisionschefen/säkerhetschefen/ personalchefen eller ett externt företag. Internrevisionens roll varierar från att inte ha någon del i hanteringen av anmälningarna till att vara förberedande instans och/eller bollplank till en annan funktion som hanterar anmälningarna ända till att det i något enstaka fall är internrevisionen som hanterar anmälningarna. En myndighet skriver att bedömningen av anmälningarna är en operativ uppgift som inte bör ligga på internrevisionen och att arbetet med anmälningarna är mycket resurskrävande för en liten funktion som internrevisionen. 23

RESULTATET AV INTERNREVISIONENS RAPPORTERING 5 Resultatet av internrevisionens rapportering 5.1 Internrevisionens rekommendationer accepteras av ledningen ESV har i enkäten till internrevisionsmyndigheterna ställt frågor om vad som händer med anledning av de iakttagelser och rekommendationer som internrevisionen lämnar i sin rapportering till myndighetsledningen. Det framgår av enkäten att myndigheternas ledning i 95 procent av fallen har accepterat de av internrevisionen lämnade rekommendationerna. Enligt ESV:s bedömning utgör detta en tydlig indikation på att myndighetsledningarna har uppfattat att ändamålsenligheten i de rekommendationer som internrevisionen har lämnat är hög. En högre andel accepterade granskningar vid en myndighet jämfört med ett lägre antal vid en annan myndighet medför dock inte att man kan dra slutsatsen att kvaliteten på internrevisionens rekommendationer varit högre i det första fallet. Det kan finnas många olika orsaker till skillnaderna. I enkäten har skälen till varför ledningen har valt att inte acceptera en lämnad rekommendation kommenterats. De skäl som angivits var att: Myndigheten har en större översyn på gång Myndigheten vill ha en annan lösning än den internrevisionen föreslår Myndighetsledningen avstår på grund av kostnads- och/eller effektivitetsskäl Myndighetsledningen gör en annan bedömning och/eller prioritering Myndighetsledningen är beredd att acceptera risken Styrelsen har inte tagit slutlig ställning än Verksamheten har ett uppdrag att återkoppla med förslag till handlingsplan Verksamheten har redan åtgärdat internrevisionens iakttagelse Internrevisionens rekommendationer ligger fel i tid Vid besöken hos de elva myndigheternas internrevisionsfunktioner kunde ESV konstatera att processen för myndighetsledningens beslut ser olika ut. Det beror på att processen är anpassad till de enskilda myndigheternas organisation, verksamhet och synsätt. När det gäller beslutet om åtgärder som myndighetens ledning ska fatta så görs det i praktiken på flera olika sätt. Det förekommer att internrevisionen inkluderar den granskade funktionens åtgärdsförslag i sin rapport för att styrelsen ska få ett bättre beslutsunderlag. I vissa fall lämnar generaldirektören ett skriftligt yttrande, antingen samtidigt med det att internrevisionens rapport dras eller vid ett senare möte. 24

RESULTATET AV INTERNREVISIONENS RAPPORTERING Generaldirektörens yttrande kan då bli ett underlag för styrelsens åtgärdsbeslut. Dokumentationen av styrelsens beslut görs i styrelseprotokollet men beslutet formuleras olika. Det kan till exempel stå att rapporten har behandlats, föredragits eller lagts till handlingarna eller beslutet kan referera till förslagen i rapporten eller till åtgärdsförslaget. Även när myndigheten är en enrådighetsmyndighet och det är generaldirektören som ska fatta beslut om åtgärder med anledning av internrevisionens rekommendationer kan det gå till på olika sätt. Åtgärdsförslaget från den granskade funktionen kan vara inkluderad i internrevisionens rapport eller tas fram i efterhand av avdelningschef eller någon central funktion på myndigheten. Status på åtgärderna ska följas upp och rapporteras till generaldirektören. I de fall det inte finns mer utarbetade åtgärdsförslag utöver internrevisionens rekommendationer i rapporten kan det även här ses som att generaldirektören, åtminstone till viss del, godkänner åtgärderna i efterhand. Det förekommer enstaka fall där det kan ifrågasättas om styrelsen alls har fattat något beslut om åtgärder. Det är när iakttagelser och rekommendationer inte föredras för styrelsen utan lämnas direkt till lägre chefsnivåer inom myndigheten eller enbart behandlas i revisionsutskottet. 6 Ett fall ESV noterade var en myndighet där styrelsen inte önskade löpande rapportering och där de väsentligaste åtgärderna redovisades för styrelsen i efterhand i en så kallad årlig rapport från internrevisionen. Det kan då möjligen ses som att styrelsen har godkänt åtgärderna i efterhand. ESV anser dock inte att ett sådant förfarande är i överensstämmelse med föreskrifterna till 9 Internrevisionsförordning (2006:1228). 5.2 Det finns en process för att ta hand om myndighetsledningens beslut ESV har i enkäten ställt frågan till internrevisionsmyndigheterna om myndigheten har en fastställd process för att ta om hand myndighetsledningens beslut om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Av de 65 myndigheter som har svarat uppger 85 procent att myndigheten har en fastställd process. Motsvarande resultat för 2013 var 80 procent. Att myndigheten bör ha en genomtänkt och dokumenterad process för hur iakttagelserna och rekommendationerna i internrevisionens rapporter ska tas om hand är någonting som ESV har fört fram särskilt i tidigare regeringsrapporter. 6 9 internrevisionsförordningen (2006:1228). 25

RESULTATET AV INTERNREVISIONENS RAPPORTERING 5.3 Granskningar har varit till stöd för uttalandet i årsredovisningen ESV har i enkäten ställt frågan om internrevisionen genomfört granskningar som har varit till stöd för myndighetsledningens uttalande om intern styrning och kontroll i årsredovisningen. I enkäten svarar 55 myndigheter att internrevisionen har genomfört granskningar som har varit till stöd för myndighetsledningens bedömning i årsredovisningen om intern styrning och kontroll. I kommentarer pekar några myndigheter bland annat på att all granskning sker med utgångspunkt i myndighetens interna styrning och kontroll och att internrevisionens rapporter därför alltid är ett stöd för myndighetsledningens uttalande i årsredovisningen. Två myndigheter svarar att de i sin årsrapport till myndighetsledningen har skrivit ett sammanfattande omdöme om intern styrning och kontroll för de granskningar som genomförts under året. 5.4 Internrevisionen ger nytta till myndighetsledningen Myndighetens ledning är internrevisionens uppdragsgivare och internrevisionen ska rapportera resultatet av sitt arbete direkt till ledningen i form av iakttagelser och rekommendationer. Myndighetens ledning utgörs av styrelsen på en styrelsemyndighet och av myndighetschefen på en enrådighetsmyndighet. Internrevisionens uppgift är att granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. Den ska utifrån en analys av verksamhetens risker självständigt granska om den interna styrningen och kontrollen är utformad så att myndigheten med rimlig säkerhet bedriver en verksamhet som är effektiv och rättsenlig, redovisas på ett tillförlitligt sätt samt hushållar väl med statens medel. Internrevisionen ska också ge råd och stöd till myndighetens ledning. Vid en styrelsemyndighet ska råd och stöd även ges till myndighetens chef. 5.4.1 Internrevisionens kommunikation och rapportering är ändamålsenlig ESV har under 2014 besökt elva myndigheters internrevisionsfunktioner. Vi kunde då konstatera att rutinerna kring rapporteringen varierar från myndighet till myndighet. De flesta av de internrevisionsfunktioner vi besökte rapporterar löpande till myndighetsledningen men det förekommer också att myndighetsledningen vill ha rapporteringen samlat vid ett eller två tillfällen. De flesta av internrevisionsfunktionerna lämnar en årsrapport till myndighetsledningen. Årsrapporten sammanfattar de granskningar som internrevisionen genomfört under året men kan även innehålla annat som internrevisionen vill fästa ledningens uppmärksamhet på. Många av 26

RESULTATET AV INTERNREVISIONENS RAPPORTERING internrevisionsfunktionerna verkar ha tänkt mycket på formerna för rapporteringen och försöker aktivt anpassa rapporteringen till mottagarens behov och önskemål. Några av funktionerna graderar sina rekommendationer efter angelägenhetsgrad för att göra det lättare för läsaren. Vissa av internrevisionsfunktionerna arbetar med övergripande omdömen om de områden de granskar, andra inte. I något fall har internrevisionsfunktionen medvetet avstått från att lämna övergripande omdömen eftersom man ansåg att det tar bort ledningens fokus från internrevisionens rekommendationer. 5.4.2 Internrevisionens möten med myndighetens ledning I de 35 styrelsemyndigheterna är internrevisionen närvarande på styrelsens möten i genomsnitt 4,5 gånger per år. Den internrevision som träffar styrelsen minst gör det en gång per år och den som träffar styrelsen mest gör det sju gånger per år. För de nio styrelsemyndigheter som har ett revisionsutskott så träffar internrevisionen revisionsutskottet i genomsnitt fem gånger per år. Den internrevision som träffar utskottet minst gör det två gånger per år och den som gör det vid flest tillfällen gör det elva gånger per år. I de 30 myndigheter som leds av en myndighetschef träffas myndighetschef och internrevision i genomsnitt 15 gånger per år för föredragningar och arbetsmöten. Den internrevision som träffar utskottet minst gör det fyra gånger per år och den som gör det vid flest tillfällen gör det i stort sett varje vecka. Några skillnader i frekvens för myndighetskontakter mellan enmansfunktioner och internrevisionsfunktioner med flera medarbetare har inte kunnat läsas ut av enkätsvaren. Det som däremot framgår är att myndighetscheferna i enrådighetsmyndigheter har en mycket tätare kontakt med internrevisionen än ledningen i styrelsemyndigheter. ESV anser att det kan finnas anledning för ledningar i styrelsemyndigheter att särskilt överväga om det finns behov av mer frekventa kontakter mellan ledning och internrevision och hur dessa kan utformas. 27

SAMVERKAN OCH NÄTVERK 6 Samverkan och nätverk 6.1 Internrevisionschef som är anställd på mer än en myndighet Vid årsskiftet 2014/2015 hade 11 myndigheter under regeringen en internrevisionschef som var anställd på två myndigheter. Myndigheterna som hade en internrevisionschef som också var anställd på en annan myndighet var: Finansinspektionen/Sveriges Riksbank 7 Linköpings universitet/malmö högskola Umeå universitet/örebro universitet Karlstads universitet/mittuniversitetet Universitet och högskoleverket/myndigheten för yrkeshögskolan Uppsala universitet/riksgäldskontoret Utöver de elva myndigheterna så har internrevisionen vid Länsstyrelsen i Västerbotten gett stöd till Länsstyrelsen i Jämtland där tjänsten som internrevisionschef varit vakant. Internrevisionschefen i Västerbotten har inte varit anställd vid Länsstyrelsen i Jämtland. Totalförsvarets forskningsinstitut (FOI) uppger att de är samordnade med Försvarsexportmyndigheten (FXM). FOI:s internrevisionschef lägger ned 40 % av sin tid på FXM. FXM har en internrevisionsfunktion med på sin organisationsskiss på hemsidan. Vad ESV kan utläsa är inte FXM en internrevisionsmyndighet i internrevisionsförordningens mening. FXM har inget krav på internrevision vare sig i instruktionen eller i regleringsbrevet. Internrevisionschefernas nedlagda tid på de olika myndigheterna varierar mellan 20 till 60 procent. Internrevisionsförordningen ställer krav på att internrevisionschefen ska vara anställd vid myndigheten. Det gör att det blir nödvändigt med anställning vid varje myndighet för de internrevisionschefer som åtagit sig uppdrag vid flera myndigheter för att uppfylla internrevisionsförordningens krav på anställd chef. Det medför en mer komplicerad situation för den enskilde och kan försvåra myndighetens rekrytering. Undantag från kravet på anställd chef i förordningen kan beviljas av regeringen efter framställan från myndigheten. ESV anser, som redovisats i rapporten 2014, att det kan finnas skäl till undantag i de fall då påtänkt internrevisionschef redan är anställd som internrevisionschef vid en annan myndighet. 7 Sveriges Riksbank lyder inte under Internrevisionsförordning (2006:1228). 28

SAMVERKAN OCH NÄTVERK 6.2 Internrevisionsmyndigheter samverkar I internrevisionsenkäten har 30 myndigheter uppgivit att de samverkar med en annan myndighets internrevision. Av de 65 myndigheter som svarat har 35 svarat nej på frågan om myndighetens ledning har övervägt för- och nackdelar med samverkan. Av de 30 myndigheterna är det 18 som uppger att de har ingått en överenskommelse om samverkan. De som har ingått överenskommelser är: De sex länsstyrelserna med internrevision Centrala studiestödsnämnden/ Statens tjänstepensionsverk Statens servicecenter/statistiska centralbyrån Skatteverket/Kronofogdemyndigheten Statens jordbruksverk/skogsstyrelsen Statens skolverk/myndigheten för yrkeshögskolan 8 De områden där samverkan förekommer är främst: Utbildningar och erfarenhetsutbyten Kvalitetssäkring och kvalitetsarbete Metodutveckling och metodfrågor Bollplank i arbetet med riskanalys, revisionsplan, granskning och rådgivning Samarbete i granskningsuppdrag som berör flera myndigheter ESV har i internrevisionsenkäten ställt frågan vilka för- och nackdelar myndigheterna ser med samverkan och vilka hinder för samverkan de ser. Bland fördelarna angavs bland annat att: Samverkan är breddande och kompetenshöjande Det är ett bra sätt att lära av varandra Det ger möjlighet för enmansrevisorer att få en kollega att kommunicera med Det ger möjlighet för enmansfunktioner att kunna genomföra en intern kvalitetssäkring Det kan ge möjlighet till en indirekt benchmarking Internrevisionsfunktionerna kan bistå varandra med extern validering av självutvärdering Det ger minskad sårbarhet Det ger möjlighet till gemensamt utnyttjande av resurser och specialister Samverkan höjer den professionella nivån Flera myndigheter skrev att de bara såg fördelar med samverkan. 8 Statens skolverk har svarat att det finns en samverkansöverenskommelse medan Myndigheten för yrkeshögskolan har svarat nej på frågan. 29

SAMVERKAN OCH NÄTVERK De nackdelar som bland annat nämndes var att: Samverkan enbart bedrivs i syfte att minska kostnaderna Det kan bli splittrat med planering och avrapportering vid flera myndigheter Samverkan kan ta mycket tid från grunduppdraget De hinder för samverkan som nämndes var: Svårigheten att hitta en myndighet med liknande verksamhet inom rimligt avstånd Att det kan uppstå praktiska problem med exempelvis sekretess Att det tar tid att sätta sig in i en annan myndighets verksamhet Att samverkan kan försvåras av olika kulturer i arbetssätt och kommunikation Logistiska problem med planeringen Brist på hjälp och samordning från Regeringen/ESV Tidsbrist Ovilja från ledningen att ta in internrevisorer utifrån De flesta som har svarat har inte uppgivit att de ser några hinder för samverkan. ESV har under 2014 besökt internrevisionsfunktionerna vid Centrala studiestödsnämnden och Statens tjänstepensionsverk. Myndigheternas internrevisorer började båda 2012 med bara några månaders mellanrum. Internrevisonscheferna har inte dubbla anställningar men det står uttalat i deras arbetsbeskrivningar att de ska samverka med varandra. Internrevisionscheferna anser att de har haft ett bra samarbete hela tiden och att det är en fördel att ha dubbla resurser. I myndigheternas revisionsplaner fördelas granskningarna vid respektive myndighet på båda myndigheternas internrevisorer. Internrevisionscheferna läser och kvalitetsgranskar varandras rapporter. De har tagit fram sina revisionshandböcker samtidigt. Revisionshandböckerna är lika i sin grundutformning men har lite olika profiler utifrån respektive myndighets särart. ESV anser att det finns fördelar med samverkan och att det vore värdefullt om fler myndighetsledningar aktivt övervägde fördelarna. För den del av internrevisionsfunktionerna som är enmansfunktioner är det extra värdefullt med samverkan. Många av de myndigheter som har svarat ja på att de samverkar med annan myndighets internrevision tillhör den här kategorin. 30

SAMVERKAN OCH NÄTVERK 6.3 Internrevisorer upprättar nätverk I internrevisionsenkäten nämndes ett antal nätverk. Inom universitets- och högskoleområdet finns bland annat nätverket NIRUH (internrevisorer vid universitet och högskolor inom Norden). Det har under 2013 startats ett nätverk för statliga enmansrevisorer som Kammarkollegiets internrevisor är sammankallande för. Det är även vanligt att internrevisorerna är medlem i Internrevisorernas förening. Internrevisorernas förening har ett nätverk för internrevisorer i offentlig sektor. Det finns även internationella nätverk kopplade till de enskilda myndigheternas sakverksamhet. 31

KVALITETSSÄKRING AV INTERNREVISION 7 Kvalitetssäkring av internrevision 7.1 Internrevisorer utvecklar sin kompetens Den enskilda revisorns förmåga och möjlighet att bibehålla och utveckla sin kompetens inom revisionsområdet är en förutsättning för att upprätthålla en god kvalitet inom den statliga internrevisionen. Certifieringar kan utgöra ett bra stöd för internrevisorernas kompetensutveckling. För närvarande har 41 myndigheter minst en internrevisor med någon form av certifiering. För mer uppgifter se tabell i bilaga 5. ESV har i internrevisionsenkäten ställt frågan vilka för- och nackdelar internrevisionscheferna ser med certifieringar. De flesta av revisorerna uppgav att de ser fördelar med certifieringar. Certifiering ses som ett bevis på erfarenhet och kunskap och ger kunskap i metoder kring planering och genomförande av revisionen. Genom att internrevisionen innehar olika certifieringar kan myndighetens ledning förlita sig på att det föreligger en viss kunskapsnivå bland internrevisorerna. Som nackdelar angavs att det är dyrt att vidmakthålla certifieringen och att den ger en begränsad nytta då kunskap kan inhämtas på annat sätt och att det är kunskapen som är viktig, inte certifieringen i sig. IIA har tagit fram en ny certifiering för ledare Qualification in Internal Audit Leadership (QIAL). Kraven för att ta certifieringen är bland annat CIA, 15 års generell erfarenhet av ledarskap inklusive 3 år som internrevisionschef. 7.2 Internrevisionen genomför intern kvalitetssäkring Enligt god sed ska internrevisionschefen utveckla och upprätthålla ett program för kvalitetssäkring och kvalitetsförbättring som ska omfatta både intern och extern utvärdering. På frågan om internrevisionen har genomfört en fortlöpande intern kvalitetskontroll av internrevisionsverksamheten svarade 91 procent (80 procent 2013) av myndigheterna ja och 9 procent (20 procent 2013) nej. Enligt god sed ska internrevisionschefen informera myndighetsledning och styrelse om resultaten av kvalitetsutvärderings- och kvalitetsutvecklingsprogrammet. Av de som uppgivit att de genomfört en fortlöpande intern kvalitetskontroll svarade 7 procent (20 procent 2013) att de inte rapporterat slutsatserna från det interna kvalitetsarbetet till myndighetens ledning. Området intern kvalitetssäkring är ett område som ESV under flera år har uppmärksammat särskilt eftersom det är ett område där ESV under flera år noterat att det finns brister även om det har skett stora förbättringar under senare år. Det är 32

KVALITETSSÄKRING AV INTERNREVISION viktigt att den positiva utvecklingen fortsätter och det kan finnas anledning för ESV att bevaka utvecklingen inom området. För att upprätthålla och förbättra kvaliteten på internrevisionens arbete är det interna kvalitetsarbetet en viktig del. Utvärdering av internrevisionens kvalitetssäkrings- och kvalitetsförbättringsprogram ingår som en del av den externa kvalitetssäkringen. I samband med ESV:s besök hos internrevisionsfunktioner har vi fått intrycket att det är vanligt att internrevisionsfunktionerna använder checklistor för att dokumentera det interna kvalitetsarbetet. Många av de funktioner vi besökte hade tagit fram egna revisionshandböcker med bland annat rutinbeskrivningar och mallar. Exempel på förbättringsförslag som lämnats i enkäten utifrån internrevisionsfunktionernas interna kvalitetsarbete framgår av bilaga 6. 7.3 Internrevisionen genomför extern kvalitetssäkring Internrevisionen ska enligt god internrevisionssed omfattas av ett program för kvalitetssäkring och kvalitetsförbättring. Den externa bedömningen ska genomföras minst en gång vart femte år av kvalificerad extern oberoende granskare eller granskningsteam. 9 Extern kvalitetssäkring kan även genomföras genom självutvärdering (av internrevisionsfunktionen) som sedan utvärderas/valideras av en extern oberoende granskare. Under 2014 genomfördes tolv externa kvalitetssäkringar. Fem av de tolv genomförda externa kvalitetssäkringarna genomfördes av en konsult som en fullständig extern utvärdering. Två genomfördes som en självutvärdering med en konsult som extern validerare. Fyra externa kvalitetssäkringar (varav en självutvärdering) genomfördes som peer review det vill säga att den externa kvalitetssäkringen/valideringen har genomförts av internrevisionschefer vid andra myndigheter. Internrevisionscheferna vid tre myndigheter, Tillväxtverket, Kammarkollegiet och Totalförsvarets forskningsinstitut har genomfört en extern kvalitetssäkring åt varandra och Rikspolisstyrelsens dåvarande internrevisionschef har validerat de genomförda kvalitetssäkringarna. Den fjärde myndigheten som genomfört en peer review är Domstolsverket. Domstolsverket har genomfört en självutvärdering som internrevisionschefen vid Statens Energimyndighet har validerat. Kungliga tekniska högskolan har genomfört en självutvärdering följt av en Administrative Assessment Exercise (AAE) som beställts av universitetets ledning. En AAE genomförs av en bedömargrupp som består av utsedda sakkunniga kollegor, liknande en peer review. Bedömargruppen bestod av internrevisionschefen från 9 Samma krav ställs i den goda seden genom de internationella riktlinjerna för yrkesmässig internrevision. 33

KVALITETSSÄKRING AV INTERNREVISION Statens lantbruksuniversitet, en revisor från Universitetet i Linköping och en biträdande professor från Luleå tekniska universitet. Tre aspekter bedömdes nämligen kompetens, service och kostnad. Bedömningen följer i huvudsak kraven för en extern kvalitetssäkring men motsvarar inte en regelrätt extern kvalitetssäkring. Det som kan diskuteras är om bedömargruppen har ett tillräckligt oberoende. Av de tolv kvalitetssäkringar som ESV tagit del av var det elva där den externa kvalitetssäkraren/valideraren lämnat det övergripande omdömet att internrevisionsfunktionens verksamhet helt eller i huvudsak överensstämmer med internrevisionsförordning med föreskrifter och allmänna råd och IIA:s standards. 10 När det gäller det Kungliga tekniska högskolan har ett positivt omdöme lämnats utifrån de tre kriterierna kompetens, service och kostnad som AAE:n skulle bedöma. Bedömargruppens omdöme blev att KTH har en väl fungerande internrevisionsprocess som bedrivs med god kvalitet. Att det övergripande omdömet lämnats att internrevisionsfunktionens verksamhet helt eller i huvudsak överensstämmer med internrevisionsförordning och IIA:s standards är inte detsamma som att det saknas utrymme för förbättringar. ESV har tagit del av de förbättringsförslag som lämnats i de externa kvalitetssäkringarna och gör bedömningen att det är värdefullt för internrevisionsfunktionerna att få synpunkter från en extern part. Exempel på de förbättringsförslag som lämnats utifrån IIA:s standards framgår av bilaga 6. Inget av förbättringsförslagen har varit av så allvarlig art att de har påverkat det övergripande omdöme som lämnats av kvalitetssäkraren/valideraren. I rapporten som lämnades 2014 skrev ESV om en kvalitetssäkring som genomfördes 2013 där den externa kvalitetssäkraren hade kommit till slutsatsen att internrevisionens verksamhet inte stod i överensstämmelse med internrevisionsförordningen med föreskrifter och allmänna råd och inte heller med IIA:s standards. Internrevisionen fick ledningens uppdrag att under första halvåret 2014 arbeta med förbättringsåtgärder. En rapport om arbetet togs fram och rapporterades till ledningen den 16 juni 2014. Internrevisionen gjorde i rapporten bedömningen att internrevisionens verksamhet nu står i överensstämmelse med regelverket. En ny internrevisionschef har rekryterats och fanns på plats i slutet av år 2014. ESV har besökt internrevisionsfunktionen i slutet av 2014 och delar uppfattningen att de tidigare problemen har åtgärdats. 10 Det innebär inte att det saknas förbättringsförslag i den externa kvalitetssäkringen. 34

KVALITETSSÄKRING AV INTERNREVISION 7.1 Uppfyller myndigheterna kravet på att genomföra en extern kvalitetssäkring? Per 31 december 2014 var det 59 myndigheter som borde ha genomfört en extern kvalitetssäkring med anledning av femårsgränsen. 11 Sju myndigheter hade inte varit internrevisionsmyndigheter i fem år per den sista december 2014. Under åren 2010-2014 har sammanlagt 45 myndigheter genomfört en extern kvalitetssäkring av internrevisionen. Därmed är det 76 procent av de 59 myndigheterna som har uppfyllt kraven på en extern bedömning av internrevisionen. Vid utgången av 2013 var motsvarande andel 71 procent. Av de 14 internrevisionsfunktioner som borde ha genomfört en extern kvalitetssäkring men som inte gjort det under 2014 är det åtta myndigheter där ESV påpekade bristen redan i rapporten som avlämnades 2014. Av dem har Affärsverket svenska kraftnät påbörjat en extern kvalitetssäkring. De sju kvarstående myndigheterna är: Länsstyrelsen i Jämtlands län Mittuniversitetet Statens institutionsstyrelse Statens kulturråd Statens skolverk Sida Örebro universitet Övriga myndigheter som borde ha genomfört en extern kvalitetssäkring under 2014 är: Försäkringskassan Linnéuniversitetet Luleå tekniska universitet Läkemedelsverket Naturvårdsverket Åklagarmyndigheten Enligt god internrevisionssed 12 ska en extern kvalitetssäkring genomföras minst en gång vart femte år. ESV anser att det är angeläget att de myndigheter som inte har genomfört en extern kvalitetssäkring inom denna tidsram snarast åtgärder denna brist och säkerställer att en extern kvalitetssäkring genomförs så snart som möjligt. 11 De 59 myndigheterna var internrevisionsmyndigheter 2010 och var det fortfarande sista december 2014. 12 Enligt 7 internrevisionsförordningen ska internrevisionen bedrivas enligt god internrevisionssed som internrevisorssed. 35

KVALITETSSÄKRING AV INTERNREVISION 7.2 Uppgifter om internrevision från Riksrevisionens akter ESV har på samma sätt som under tidigare år tagit del av det material i Riksrevisionens akter som handlar om internrevision. Materialet blir inte offentligt förrän revisionsberättelsen för året har avlämnats och akterna har stängts. Det innebär att ESV kan ta del av materialet tidigast i maj månad. Det material som ESV har haft tillgång till avser därför revisionsåret 2013. ESV har av materialet kunnat utläsa att Riksrevisionen träffar internrevisorer och tar del av planering och rapportering för drygt 90 procent av internrevisionsmyndigheterna. Riksrevisionen har genomfört en bedömning, i någon form, av funktionens oberoende, professionalism och kompetens för knappt 80 procent av internrevisionsfunktionerna. Oftast görs det med hjälp av det granskningsprogram som Riksrevisionen har tagit fram. Av materialet att döma verkar det dock inte vara vanligt att Riksrevisionen gör en mer ingående bedömning av internrevisionens arbete genom att gå igenom granskningsdokumentation. Riksrevisionens granskningsprogram omfattar även en bedömning av i vilken utsträckning den kan använda de granskningar som internrevisionen kommer att genomföra under året. Riksrevisionen anger att man för cirka 88 procent av myndigheterna använder sig av internrevisionens arbete som en informationskälla. För drygt 6 procent av myndigheterna använder Riksrevisionen sig till någon del av internrevisionens arbete för sitt uttalande om årsredovisningen. I åtta fall har Riksrevisionen uttryckt tveksamhet vad gäller internrevisionens objektivitet på grund av att myndigheten är enrådighetsmyndighet och internrevisionen arbetar på GD:s uppdrag. 7.3 Internrevisionens samarbete med Riksrevisionen ESV har i enkäten till myndigheterna ställt några frågor om internrevisionens samverkan med Riksrevisionen. Första frågan var om Riksrevisionen kommit med önskemål om internrevisionens biträde vid årsredovisningsgranskningen. Här svarade två myndigheter ja och 63 nej. På följdfrågan om internrevisionen deltagit som biträde till Riksrevisionen svarade två myndigheter ja. På frågan om internrevisionen har återkommande kontakt med Riksrevisionen under revisionsåret svarade 60 myndigheter av 65 ja. Av de 65 myndigheterna uppgav 47 att de har en överenskommelse med Riksrevisionen om att man ska utbyta revisionsrapporter. 36

OMVÄRLDSBEVAKNING 8 Omvärldsbevakning 8.1 PIC-konferens i Haag ESV deltog i PIC-konferensen i Haag den 15 16 maj 2014. Huvudsyftet med konferensen var att lansera den uppdaterade versionen av Compendium on Public Internal Control in EU-member states där samtliga medlemstater har bidragit med en redogörelse över hur den interna kontrollen och internrevision är organiserad hos dem. Kompendiet kan användas som en uppslagsbok och finns på EU kommissionens webbsidor för Public Internal Control System (http://ec.europa.eu/budget/pic). Fyra diskussionspromemorior lades fram i samband med mötet, två inom området intern kontroll och två inom området internrevision. De finns också tillgängliga på webbsidorna ovan. 8.2 Europeiska kommissionens internrevisionskonferens ESV deltog i september 2014 i Europeiska kommissionens internrevisionskonferens. Temat för konferensen var att tillföra värde och detta erhålls som ett resultat från revisioner och konsultationer. För att kunna tillföra värde betonade Marie-Hélène Laimay, Senior Vice-President, Audit and Internal Control att det är viktigt att internrevisionen: Identifierar alla uppdragsgivare Erhåller feedback från olika uppdragsgivare Har kännedom om uppdragsgivarens förväntningar Har regelbundna möten med uppdragsgivaren Har förståelse för verksamheten Utformar rekommendationer baserat på framtiden Fokuserar på resultat och inte uppgifter Investerar i personalutveckling En annan av talarna var Caroline Mawhood, extern medlem av Audit Progress Committee of the European Commission som talade om revisionsutskottens roll att tillföra värde till internrevisionen. Hon betonade att revisionsutskotten måste vara transparenta och konstruktiva i samarbetet med ledningen. Revisionsutskottet kan tillföra värde till internrevisionen genom att: 37

OMVÄRLDSBEVAKNING Bevaka internrevisionens självständighet och objektivitet Stödja effektiviteten i internrevisionsprocessen. Revisionsutskottet ska vara en informerad utmanare som vet vad som är viktigt men inte vara för detaljerad Främja en effektiv användning av internrevision inom ramen revisionsverksamheten och ska vid behov stödja internrevisionen Tillhandahålla forum för öppen debatt och frågeställningar Visa sin ställning i organisationen 8.3 GRC-dagarna ESV deltog i GRC-dagarna (Governance, Risk and Compliance) som gick av stapeln 9-10 november 2014. Konferensen riktade sig till de som arbetar med compliance, internrevision eller riskhantering. Anordnare var Internrevisorernas förening, Compliance Forum, ISACA och SWERMA. En av talarna var Hans Löfgren som talade under rubriken Trender inom internrevision. Det finns en trend internationellt mot mer tvingande granskningar på grund av tvång från regulatormyndigheter. Han reflekterade kring om internrevisionen går mot att vara en säkrings- eller en kontrollfunktion. Att internrevisionen lämnar ett övergripande omdöme om myndighetens verksamhet är en trend (38 % i världen lämnar det). Ett problem är om internrevisionsfunktionerna inte har tillräckligt med resurser för att klara av att lämna ett tillräckligt underbyggt uttalande. Hans Löfgren framhöll att det är viktigt att utgå från kraven för att bestämma internrevisionens resurser. På dagarna talade Patty Miller, Chair of the International Standards board, också om de regeländringar som The Institute of Internal Auditors (IIA) planerar för. Mer om de föreslagna förändringarna redovisas i nästa avsnitt. 8.4 IIA:s internationella årliga internrevisionskonferens ESV deltog också i IIAs internationella konferens i juli 2014 där ca 110 länder med ca 2500 deltagare fanns representerade. Konferensen bestod både av gemensamma sessioner och av olika spårinriktningar. En av de gemensamma sessionerna behandlade QIAL (Qualification in internal audit leadership) som är ett kvalifikationsprogram som utvecklats för IR-chefer vars erfarenhet och kunskap förberett dem att möta nya utmaningar inom professionen. För att få delta krävs att man arbetat som IR-chef tre år samt har 15 år av erfarenhet i ledarskap. Hittills är det ett 40-tal personer som tagit certifieringen. Kandidaterna utvärderas i tre delar som fokuserar på ledarskap inom internrevision, förmågan att organisera, etik, innovation och förändringsförmåga. 38

OMVÄRLDSBEVAKNING Det talades även om integrated reporting vilket är en process som bygger på integrerat tänkande inom organisationen som resulterar i en periodisk integrerad rapport från en organisation om värdeskapande över tiden och relaterade information om aspekter på värdeskapande. En integrerad rapport är en kortfattad kommunikation om hur en organisation strategi, styrning, resultat och framtidsutsikter, i samband med dess yttre miljö, kan leda till att det skapas värde på kort, medellång och lång sikt. En presentation handlade om Framtiden för modellen för de tre försvarslinjerna och den kritik som riktats mot modellen. Första försvarslinjen avser den dagliga hanteringen av myndighetens verksamhet. De upprättar, utför och övervakar kontrollerna på daglig basis. Andra försvarslinjen består av olika risk- och compliancefunktioner. De ansvarar för att ge råd och möjliggöra riskhantering samt har pågående eller ad hoc övervakning av kontrollerna i första försvarslinjen. Tredje försvarslinjen är internrevisionen som tillhandahåller oberoende försäkran över hanteringen av risker. Modellen för de tre försvarslinjerna har ifrågasatts för att kontrollera risk då det är en funktionsmodell där bland annat exekutiva ledningen/styrelsen/revisionskommittén inte är del av modellen. Information om förändringar av IPPF beskrevs också under konferensen. I juli 2013 inrättades en arbetsgrupp för att undersöka om det fanns ett behov av att ändra IPPF strukturen, i ljuset av den fortsatta utvecklingen av internrevisionen globalt samt av de ökade förväntningarna på internrevisionen från både tillsynsmyndigheter och intressenter. Arbetsgruppen förväntades föreslå: framtida komponenter i vägledningen nivåer i vägledningen ansvar för utveckling och underhåll (t.ex. personal, kommitté, arbetsgrupp) rättssäkerhetskraven för varje komponent/del i vägledningen ansvar för godkännande av nya eller ändrade riktlinjer, på global och lokal nivå Förslaget innebär inte några förändringar i IPPF utan omfattar en ny målformulering (mission) för internrevision, tolv nya principer för internrevision, att Practice Advisory omarbetas till Implementation Guidance och att Practice Guides tas bort och att Supplemental Guidance införs i stället. Den information som i dag finns i Practice Advisory och Practice Guides ska gås igenom, uppdateras och läggas in där det passar i den nya strukturen. Ett nytt begrepp, Emerging Issues, införs för att det ska gå fortare (bara några månader) att hantera aktuella frågor utan att svaret ska behöva gå igenom en långdragen kvalitetsprocedur. Frågorna som behandlas under Emerging Issues läggs därför inte in under de obligatoriska delarna. Begreppen 39

OMVÄRLDSBEVAKNING Mandatory och Strongly Recommended föreslås bli ändrade till Required och Recommended. En ny illustration till hur de olika delarna hänger ihop har tagits fram. Required elements är de nya principerna för internrevision, definitionen av interrevision, Code of Ethics och standards. Recommended elements är Implementation Guidance, Supplemental Guidance och Emerging Issues Guidance. Den nya målformuleringen för internrevisionen ligger som en ring både runt det som är Required och Recommended. Syftena med omarbetningen att IIA vill ha ett mer principbaserat regelverk. De tolv nya principerna är indelade i tre grupper, en för internrevisorn och funktionen individuellt, en för aktiviteten och revisionsprocessen och en resultatet av internrevisionens arbete. Den sista delen är ett uttryck för att IIA mer vill fokusera på resultatet än regelefterlevnaden. Här tror IIA att man kommer att få fylla på regelverket med förtydliganden. Enligt den planering som finns ska det nya ramverket (IPPF) att vara färdigställt i början av 2016. 40

SLUTSATSER, TRENDER OCH UTVECKLING 9 Slutsatser, trender och utveckling 9.1 Sammanfattande slutsatser Den generella bilden som ESV har fått av internrevisionen är att den fungerar väl. Internrevisionen utgör enligt ESV:s uppfattning det stöd till myndighetsledningen som det är tänkt. Internrevisionen ger därmed ledningen möjlighet att fatta mer initierade beslut om hur verksamheten ska fortskrida och utvecklas. Internrevisionsenkäten visar att myndigheterna i snitt lägger lika mycket tid på att granska ledningsprocesser, kärnprocesser och stödprocesser. Fördelningen är enligt ESV:s bedömning rimlig och visar på den bredd som internrevisionens granskningar har totalt sett. Enstaka myndigheter kan avvika från fördelningen i mindre eller större omfattning och lägga mer eller mindre andel av sin tid på att granska någon av processerna. Eftersom internrevisionens granskningar ska utgå från risk och väsentlighet är det fullt rimligt att fördelningen på en enskild myndighet avviker från snittet i större eller mindre omfattning. I en föreskrift till internrevisionsförordningen skriver ESV att i analysen av verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier och annan oegentlighet. ESV har i enkäten till myndigheterna frågat om genomförda granskningar har innefattat arbetet med att motverka bedrägeri och oegentligheter. Drygt hälften av myndigheterna har angivit att granskningar har innefattat arbetet med att motverka bedrägerier och oegentligheter. Enligt ESV:s uppfattning behöver det inte tolkas som att det finns brister i internrevisionens roll kopplat till arbetet mot otillbörlig påverkan, bedrägerier och annan oegentlighet då frågan har beaktats i samband med analysen av verksamhetens risker. ESV kommer att inhämta mer kunskap om detta och fördjupa frågeställningen i nästa redovisning. Det finns ett stort antal nätverk och många samverkansaktiviteter inom den statliga internrevisionskåren. ESV anser att det finns fördelar med samverkan och att det vore värdefullt om fler myndighetsledningar aktivt övervägde att samverka i ökad omfattning. För den del av internrevisionsfunktionerna som är enmansfunktioner är det extra värdefullt med samverkan. Vi ser också en utvecklingspotential för ökad samverkan mellan internrevision och Riksrevisionen.. Samverkan bör också kunna utökas mellan ESV:s EU-revision och myndigheternas internrevision. ESV har i sin uppföljning noterat att det finns ett fåtal myndigheter som under en kortare eller längre tidsperiod inte har kunnat besätta tjänsten som internrevisionschef. Samma problematik har uppmärksammats tidigare år. Internrevisionsförordningen kräver att det ska finnas en chef som leder 41

SLUTSATSER, TRENDER OCH UTVECKLING internrevisionen anställd på myndigheten. Förordningen ger inga undantag från kravet och medger inte att en myndighet under en viss period saknar chef. I en situation där en myndighet har kännedom om att de under en period kommer att sakna chef bör de därför antingen tillförordna en chef i avvaktan på att ordinarie chef kan träda i tjänst eller begära undantag från kravet från regeringen. ESV menar att situationen att en myndighet saknar en anställd chef som leder internrevisionen inte ska behöva uppkomma. ESV har även kunnat konstatera att det börjar bli allmänt accepterat att internrevisionen organisatoriskt ska placeras in direkt under myndighetsledningen. Denna ordning var långt ifrån självklar när ESV fick sitt samordningsuppdrag 2006. Det finns dock fortfarande myndigheter som har inrättat internrevisionen under annan än myndighetens ledning vilket strider mot ESV:s föreskrift till förordningen. Syftet med att internrevisionen inrättas under myndighetens ledning är att de ska kunna genomföra sina granskningar självständigt i förhållande till den granskade verksamheten. En myndighet som överväger en annan organisatorisk lösning än den som ESV:s föreskrift anger bör begära att ESV meddelar undantag från föreskriften innan en annan lösning väljs. Ungefär 90 procent av myndigheterna har redovisat att de har genomfört intern kvalitetssäkring. Motsvarande resultat för 2013 var 80 procent. Inom området har det skett stora förbättringar under senare år. Det är viktigt att den positiva utvecklingen fortsätter och att alla myndigheter genomför interna kvalitetssäkringar och det kan finnas anledning för ESV att bevaka utvecklingen inom området. Under åren 2010-2014 är det 76 procent som har uppfyllt kraven på en extern bedömning av internrevisionen. Vid utgången av 2013 var motsvarande andel 71 procent. Av de 14 internrevisionsfunktioner som borde ha genomfört en extern kvalitetssäkring men som inte gjort det under 2014 är det åtta av myndigheter där ESV påpekade bristen redan i rapporten som avlämnades 2014. ESV anser att det är angeläget att de myndigheter som inte har genomfört en extern kvalitetssäkring inom denna tidsram snarast åtgärdar denna brist och säkerställer att en extern kvalitetssäkring genomförs så snart som möjligt. 9.2 Tankar om trender och utveckling Något som kommit upp i många sammanhang är om och hur internrevisionen ska lämna övergripande omdömen om myndighetens interna styrning och kontroll. Omfattningen på intyganden kan variera stort. Det kan handla om att internrevisionen lämnar ett omdöme om ett område som internrevisionen granskat eller ett omdöme om hela myndigheten. Internationellt talas det mer om ett generellt uttalande om hela organisationens verksamhet. Vid ESV:s myndighetsbesök framgick att vissa 42

SLUTSATSER, TRENDER OCH UTVECKLING internrevisionsfunktioner redan idag lämnar ett övergripande omdöme kopplat till områden som granskats. Internrevisionen måste alltid ha ett underlag för sitt omdöme. När det gäller ett uttalande för hela myndigheten så är det av naturliga skäl tidskrävande. Sannolikt har ingen statlig internrevision i dag resurser att täcka in hela myndighetens verksamhet under ett års granskning. Man kan även fundera kring hur ett övergripande omdöme bör formuleras. Ska det vara av karaktären Allt fungerar väl eller det mer försiktiga Granskningen har inte givit anledning att anta att det inte fungerar väl? Om internrevisionen ska lämna ett övergripande omdöme så är det något som bör framgå av internrevisionens riktlinjer (där även omfattningen av uppgiften bör framgå) och av internrevisionens revisionsplan. I revisionsplanen visas bland annat hur mycket tid denna uppgift tar i anspråk av internrevisionens totala antal timmar. Under året har en trend både inom myndigheterna och inom internrevisionsfunktionerna varit att myndigheternas informationssäkerhet har uppmärksammats. Vi tror att trenden kommer att fortsätta även under 2015 med ett ökat fokus på informationssäkerhetsfrågor. Området oegentligheter och bedrägerier har varit i fokus under ett antal år. Vi tror att intresset för det här området kommer att öka ännu mer under kommande år. Det kommer att handla om hur myndigheten kan införa system för att förebygga och upptäcka oegentligheter och hur internrevisionen kan bidra med att utvärdera myndigheternas system och hur granskningen bör utformas för att internrevisionen ska kunna upptäcka möjligheter till och tecken på oegentligheter. Det finns en trend som går mot att fler och fler av de externa kvalitetssäkringarna genomförs genom så kallad peer review, det vill säga att statliga internrevisionschefer kvalitetssäkrar och verifierar åt varandra. ESV tror att det kan finnas ett behov av att diskutera hur det här ska genomföras på bästa sätt för att upprätthålla en hög och jämförbar kvalitet på alla kvalitetssäkringar oavsett om det är en kollega eller en konsult som genomför dem. Vi tror också att myndigheternas ledningar under de närmaste åren kommer att få en bättre bild av den praktiska nytta de kan ha av sin internrevision. Hur välinformerad en myndighetsledning än är så finns det alltid ett informationsunderläge gentemot de mer operativa delarna av organisationen. Internrevisionen har här en viktig roll att genom sina granskningar och sin rådgivning minska det informationsunderläge som styrelse och myndighetschef har inom de specifika områden där internrevisionen får sina uppdrag. 43

REFERENSER Lagar och förordningar Förordning (2007:603) om intern styrning och kontroll Förvaltningslag (1986:223) Internrevisionsförordning (2006:1228) Lag (1994:260) om offentlig anställning Myndighetsförordning (2007:515) Tryckfrihetsförordning (1949:105) 44

BILAGA 1 INTERNREVISIONSMYNDIGHETER 2014 Bilaga 1 Internrevisionsmyndigheter 2014 Enrådighetsmyndigheter Boverket Centrala studiestödsnämnden Domstolsverket Försvarsmakten Försäkringskassan Havs- och vattenmyndigheten Inspektionen för vård och omsorg Kammarkollegiet Kriminalvården Kronofogdemyndigheten Läkemedelsverket 13 Länsstyrelsen i Jämtlands län Länsstyrelsen i Norrbottens län Länsstyrelsen i Skåne län Länsstyrelsen i Stockholms län Länsstyrelsen i Västerbottens län Länsstyrelsen Västra Götalands län Migrationsverket Myndigheten för samhällsskydd och beredskap Myndigheten för yrkeshögskolan Naturvårdsverket Rådet för Europeiska socialfonden i Sverige Skatteverket Specialpedagogiska skolmyndigheten Statens energimyndighet Statens institutionsstyrelse Statens jordbruksverk Statens skolverk Statistiska centralbyrån Styrelsen för internationellt utvecklingssamarbete Tullverket Åklagarmyndigheten Styrelsemyndigheter Affärsverket svenska kraftnät Arbetsförmedlingen E-Hälsomyndigheten 14 Finansinspektionen Försvarets materielverk Göteborgs universitet Karlstads universitet Karolinska institutet Kungl. Tekniska högskolan Lantmäteriet Linköpings universitet Linnéuniversitetet Luftfartsverket Luleå tekniska universitet Lunds universitet Läkemedelsverket Malmö högskola Mittuniversitet Pensionsmyndigheten Riksgäldskontoret Rikspolisstyrelsen och polismyndigheterna Skogsstyrelsen Statens kulturråd Statens servicecenter Statens tjänstepensionsverk Stockholms universitet Sveriges lantbruksuniversitet Tillväxtverket Totalförsvarets forskningsinstitut Trafikverket Transportstyrelsen Umeå universitet Universitets- och högskolerådet Uppsala universitet Örebro universitet 13 Har inte tillämpat internrevisionsförordningen enligt skrivelse till ESV 2014-12-15. 14 Myndighetens internrevision inrättas 2014-01-01. 45

BILAGA 1 INTERNREVISIONSMYNDIGHETER 2014 Internrevisionsförordningen gäller för förvaltningsmyndigheter under regeringen i den omfattning som regeringen föreskriver i myndighetens instruktion eller i någon annan förordning eller beslutar särskilt. 15 De myndigheter som ska inrätta internrevision är anslutna till statsredovisningen. Förvaltningsmyndigheter 2014 2013 2012 Myndigheter under regeringen 16 370 372 372 Myndigheter under regeringen inom statsredovisningen 17 221 224 227 Myndigheter i redovisningen Myndigheter som ska sluta tillämpa internrevisionsförordningen 1 2 0 Myndigheter som ska börja tillämpa internrevisionsförordningen 1 2 1 Internrevision enligt internrevisionsförordingen 66 66 66 Undantag från att lämna information till redovisningen 1 1 1 Myndigheter som lämnar information om tillämpningen 65 65 65 Knappt en tredjedel av antalet myndigheter som är anslutna till statsredovisningen har internrevision. Stora delar av statsredovisningens verksamhet, transfereringar och uppbörd omfattas av internrevision i och med att myndigheterna med omfattande uppbörd eller transfereringar eller stora personalkostnader har internrevision. Internrevisionens inom Mälardalens högskola har upphört efter beslut av regeringen. 15 1 internrevisionsförordning (2006:1228). 16 Myndigheter under regeringen 1 januari enligt Statskontorets beräkning. 17 Anslutna till statens centrala redovisningssystem enligt 6 förordning (1994:1261) om statliga myndigheters redovisningssystem. Riksdagsförvaltningen, Riksdagens ombudsmän, Riksrevisionen och Kungliga hov- och slottsstaten är också anslutna men ingår inte antalet. 46

BILAGA 2 UTFALL AV TILLÄMPNING AV BESTÄMMELSERNA Bilaga 2 Utfall av tillämpning av bestämmelserna Informationen är inhämtad via internrevisionsenkäten. Tabellen visar antal myndigheter som tillämpar de bestämmelser som mäts för respektive år. Tillämpning av internrevisionsförordningen 2014 2013 2012 Myndigheter som omfattas 65 65 65 1. Organisering 1.1. Leds internrevisionen av en chef? 65 65 65 18 1.2. Är internrevisionens chef anställd av myndigheten? 63 65 65 19 1.3. Är internrevisionen inrättad direkt under myndighetsledningen? 65-64 20 1.4. Är internrevisionen självständig i förhållande till den granskade verksamheten? 65-65 21 2. Uppgifter 2.1. Har internrevisionen granskat och lämnat förslag till förbättringar av myndighetens process för intern styrning och kontroll? 65-64 22 3. Granskningens inriktning 3.1. Har internrevisionen granskat utifrån en analys av verksamhetens risker? 65 64 64 23 3.2. Omfattar analysen av verksamhetens risker en bedömning av otillbörlig påverkan, bedrägeri eller annan oegentlighet? 64-64 24 3.3. Har internrevisionen självständigt granskat om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen? 62 64 64 25 4. Råd och stöd 4.1. Har internrevisionen lämnat råd och stöd till styrelsen och chefen för myndigheten? 60 26-60 27 5. Omfattning 5.1. Omfattar internrevisionen den verksamhet som myndigheten bedriver eller ansvarar för? 65-65 28 6. Bedrivande 6.1. Bedrivs internrevisionen enligt såväl god internrevisionsed som god internrevisorssed? 65-63 29 18 Fråga 1.1. 19 Fråga 1.2. 20 Fråga 2.1 men avsåg då gällande bestämmelser om placering under myndighetschefen. 21 Fråga 2.2 men avsåg då fristående från den operativa verksamheten. 22 Fråga 6.1. 23 Fråga 6.1 men avsåg även granskat ledningens interna styrning och kontroll. 24 Fråga 6.5. 25 Fråga 2.3 men avsåg då självständigt föreslagit och genomfört granskning. 26 En myndighet har svart ej tillämpbar. 27 Fråga 6.12 men avsåg myndighetschef. Det är ingen avvikelse då 5 myndigheter svarar, inte tillämbar. 28 Fråga 5. 29 Fråga 6.14. 47

BILAGA 2 UTFALL AV TILLÄMPNING AV BESTÄMMELSERNA 7. Samordning 7.1. Har myndigheten verkat för samarbete om internrevision med annan myndighet för att ta till vara de fördelar som kan vinnas för staten som helhet? 30 44 31 - - 8. Rapportering 8.1. Har internrevision redovisat resultatet av granskningen i form av iakttagelser och rekommendationer? 65 64 65 32 8.2. Har internrevisionen rapporterat rekommendationerna och iakttagelserna till myndighetsledningen? 65 64-33 9. Internrevisionens uppdragsgivare 9.1. Har myndighetsledningen beslutat om riktlinjer för internrevisionen? 65 65 65 34 9.2. Har myndighetsledningen beslutat om en revisionsplan för internrevisionen? 64 64 64 35 9.3. Har myndighetsledningen beslutat om åtgärder med anledning av de iakttagelser och rekommendationer som internrevisionen rapporterat? 65 62 64 36 10. Tillgång till uppgifter 10.1. Har myndighetledningen, i den utsträckning det inte mött hinder på grund av bestämmelse om sekretess, sett till att internrevisionen fått tillgång till de uppgifter de behöver? 64 37-64 38 30 Bestämmelsen i internrevisionsförordningen anger att myndigheterna får samordna internrevisionen men är inte tvingande. Bestämmelsen om att verka för samarbete i myndighetsfördoningen är tvingande. 31 Fem myndigheter har svaret ej tillämpbart. 32 Fråga 9.1 men även rapporterat till myndighetsledningen. 33 Ingår i 8.1 ovan. 34 Fråga 5.1. 35 Fråga 5.4. 36 Fråga 10.1. 37 En myndighet har svarat ej tillämpbart. 38 Fråga 2.6, avsåg om internrevisionen fått tillgång till den information och de upplysningar som internrevisionen behöver. 48

BILAGA 3 INTERNREVISIONEN GER RÅD OCH STÖD Bilaga 3 Internrevisionen ger råd och stöd Informationen inhämtad via internrevisionsenkäten. Internrevisionen ska ge råd och stöd till myndighetens ledning och chefen för myndigheten. 39 Råd och stöd kan också lämnas till andra än myndighetens ledning och chefen för myndigheten om det framgår av internrevisionens riktlinjer. 40 I enkätsvaren har myndigheterna redovisat olika exempel på områden där internrevisionen har lämnat råd och stöd. Där finns bland annat angivit följande områden: Attestregler Avtalshantering Bedömning av myndighetens interna styrning och kontroll Bedömning av styrning och intern kontroll Bisysslor Budgetunderlag Dataanalys Dokumenthantering Effektiviserings- och förändringsarbete Ekonomi Etiska riktlinjer Förmånsbeskattning Hyresavtal Informationssäkerhet Internationella samarbeten It Kommentera kvartalsrapporter Kontroller i lönerelaterade tjänster Kärnprocesser Lean Ledning, styrning och organisation Medarbetarundersökning Myndighetsspecifika områden Organisations- och verksamhetsutveckling Projekt inom myndigheten Projektmodellen 39 5 internrevisionsförordningen (2006:1228). 40 ESV:s allmänna råd till 5 internrevisionsförordningen (2006:1228). 49

BILAGA 3 INTERNREVISIONEN GER RÅD OCH STÖD Projektredovisning Redovisningsfrågor Regelefterlevnad Regelverk Risk för oegentligheter/korruption Riskanalysmodell Riskbedömning Sociala medier Styrelsens arbete och beslutsfattande Styrmodellen Tertialavstämningar Tolkning av IRF Upphandling Utformning av revisionsutskott Utveckling av kontrollstruktur i processer Whistleblower funktion Årliga uppföljningar av verksamhetsplanerna Årsredovisningens resultatredovisning Översyn av styrdokument 50

BILAGA 4 INTERNREVISIONENS DIMENSIONERING Bilaga 4 Internrevisionens dimensionering Informationen är inhämtad via internrevisionsenkäten. Antalet internrevisorer Totalt Kvinnor Män 2014 139 57 82 2013 148 66 82 2012 146 67 79 2011 139 63 76 Internrevisionschefer procentuell fördelning på kvinnor och män Antal myndigheter Kvinnor % Män % 2014 65 45 55 2013 63 43 57 2012 65 49 51 2011 66 47 53 Årsarbetskrafter inklusive konsulter Totalt 2014 146 2013 149 2012 150 2011 144 Arbetad egen tid (timmar) Totalt 2014 215 796 2013 224 100 2012 214 800 2011 212 000 Fördelning av tid (inklusive konsulter)på aktiviteter Aktiviteter 2014 2013 2012 2011 Totalt arbetad tid 225 300 224 079 222 900 221 700 Planering/uppföljning 21 700 25 204 23 000 24 200 Granskning 142 600 144 958 137 300 132 800 Rådgivning 18 700 16 204 17 200 18 200 Egen kompetensutveckling 12 300 11 068 11 100 10 600 Övrigt 30 000 26 645 26 200 26 200 51

BILAGA 4 INTERNREVISIONENS DIMENSIONERING Antal år i yrket Antal personer 2014-12-31 Antal personer 2013-12-31 Mindre än två år 14 14 Två år men mindre än tre 11 8 Tre år men mindre än sex 15 12 Sex år eller mer 99 114 Totalt 139 148 Internrevisionens dimensionering 2014 2013 2012 Antalet internrevisionsmyndigheter 66 41 66 42 66 43 Antal myndigheter med revisionsutskott 9 7 8 44 Årsarbetskrafter inklusive konsulter 146 149 150 Antalet statliga internrevisorer 139 148 146 Medelantalet anställda 2,1 2,3 2,3 Antalet enmansrevisorer 36 36 37 Antalet myndigheter med enmansrevisorer 40 39 41 Antal myndigheter med samordnad internrevision 45 11 11 15 Arbetad egen tid (timmar) 215 800 224 100 214 800 Arbetad tid konsulter (timmar) 9 500 9 700 8 100 Kompetensutveckling per anställd (timmar i genomsnitt) 88 75 78 Varit verksam som internrevisor tre år eller mer (%) 82 85 90 Andel kvinnor (%), andel kvinnliga internrevisionschefer (%) 41, 45 45, 43 46, 49 Ålder mellan 51 och 60 år (%), ålder över 60 år (%) 38, 20 40, 19 38, 18 Åldersfördelning internrevisorer < 30 31-40 41 50 51-60 61-65 > 65 2014 4 23 31 53 25 3 2013 6 21 34 59 25 3 2012 2 23 39 56 24 2 2011 0 19 42 51 27 46-41 Läkemedelsverket har undantag från att besvara internrevisionsenkäten avseende 2014 eftersom myndigheten har saknat interrevisor under 2014. 42 Inspektionen för vård och omsorg har undantag från att besvara internrevisionsenkäten avseende 2013 eftersom myndigheten inte har funnits hela 2013. 43 Statens servicecenter hade undantag från att besvara internrevisionsenkäten avseende 2012 eftersom myndigheten inte hade funnits hela 2012. 44 Varav en myndighet är Statens skolverk, enrådighetsmyndighet med insynsråd. 45 Sveriges Riksbank som delar internrevisionschef med Finansinspektionen lyder inte under Internrevisionsförordning (2006:1228). 46 Saknas uppgift om personer över 65. 52

BILAGA 4 INTERNREVISIONENS DIMENSIONERING Internrevisionens certifieringar 2014 2013 2012 2011 Certified Internal Auditor (CIA) 27 25 21 21 Cert. in Riskmanagement Assurrance (CRMA) 6 6 0 0 Cert. Inf. System Auditing (CISA) 13 12 12 11 Cetr. Governm., Auditing Proff. (CGAP) 3 3 3 0 Cert. Contr. Self-Assessment (CCSA) 0 0 0 1 Qualification in Internal Audit Leadership (QIAL). 1 - - - Cert. sakkunnig kommunal revision 9 7 6 4 Riksrevisionen cert. prov 1 5 8 8 10 Riksrevisionen cert. prov 2 3 3 3 3 Revisorsexamen 1 1 1 0 Högre revisorsexamen 1 1 1 1 Auktoriserad utan revisorsexamen 10 11 9 8 Certifiering i annan ordning 10 13 17 13 Totalt antal certifieringar 89 90 81 72 53

BILAGA 5 INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING Bilaga 5 Internrevisionens arbete och granskningens inriktning Informationen är inhämtad via internrevisionsenkäten Vad händer med internrevisionens iakttagelser och rekommendationer Totalt Ja Nej Har myndighetens ledning beslutat om åtgärder med anledning av internrevisionens rekommendationer? 65 65 0 Antal rekommendationer som internrevisionen lämnat till myndighetsledningen 1976 Antal rekommendationer som myndighetsledningen har accepterat 1833 Har myndigheten en fastställd process för att ta hand om myndighetsledningens beslut, i vilken beslut om internrevisionens rekommendationer ingår? 65 55 10 Råd och stöd från internrevision Totalt Ja Nej Har internrevisionen gett råd och stöd till myndighetens ledning 65 51 14 Om myndigheten leds av en styrelse, har internrevisionen gett råd och stöd till myndighetens chef 65 21 44 Har internrevisionen genomfört granskningar som har varit till stöd för myndighetsledningens uttalande i årsredovisningen om intern styrning och kontroll 65 55 10 Internrevisionens granskningsområden Granskningsområde samtliga myndigheter Andel Ledningsprocesser 33 % Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat regeringsbeslut) 39 % Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.) 28 % Granskningsområde enrådighetsmyndigheter Andel Ledningsprocesser 34 % Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat regeringsbeslut) 40 % Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.) 26 % Granskningsområde styrelsemyndigheter Andel Ledningsprocesser 32 % Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat regeringsbeslut) 37 % Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.) 30 % 54

BILAGA 5 INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING Granskningsområde enmansfunktioner Andel Ledningsprocesser 36 % Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat regeringsbeslut) 35 % Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.) 28 % Granskningsområde funktioner med fler än fem medarbetare Andel Ledningsprocesser 28 % Kärnprocesser (vad som är myndighetens uppgift enligt instruktion, regleringsbrev eller annat regeringsbeslut) 45 % Stödprocesser (it, lokalförsörjning, pa-frågor, ekonomihantering m.m.) 28 % Granskningens inriktning och innehåll, ledningsprocesser Inriktningen på granskningen av ledningsprocesser innefattar Andel Myndighetsledningens ansvar för verksamheten: organisation, arbetsfördelning, delegering, former för verksamheten och verksamhetsplan 85 % Myndighetens riskhantering: riskanalys, kontrollåtgärder, skadeförebyggande åtgärder, riskfinansiering och skadereglering, uppföljning och bedömning samt dokumentation 80 % Myndighetens allmänna uppgifter: utveckla verksamheten, samarbete med myndigheter och andra, tillhandhålla information om verksamheten samt följa sådana förhållanden utanför myndigheten som har betydelse för verksamheten 57 % Myndighetens informationssäkerhet 54 % Myndighetens handläggning av ärenden: kostnadsmässiga konsekvenser, föredragning, och beslut 38 % Myndighetens arbetsgivarpolitik: samverka med andra myndigheter för att utveckla och samordna den statliga arbetsgivarpolitiken, se till att de anställda är väl förtrogna med målen för verksamheten, skapa goda arbetsförhållanden och ta till vara och utveckla medarbetarnas kompetens och erfarenhet 32 % Myndighetens krisberedskap och höjd beredskap 28 % Myndighetens återrapportering till regeringen 26 % Myndighetens säkerhetsskydd 23 % Myndighetschefens ansvar gentemot styrelsen: direktiv och riktlinjer till myndighetschefen, hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och verkställa styrelsens beslut 20 % Myndighetens åtgärder med anledning av invändning i Riksrevisionens revisionsberättelse 12 % Myndighetens arbete med att inhämta yttrande genom remiss 6 % Övrigt: 15 % Ledning och styrning av verksamheten Upprättande och uppföljning av utfallsprognoser på sakanslag Miljöledningssystem Myndighetens beroende av kulturer Styrning av utvecklingsverksamhet Styrning av avveckling av äldre system Projekt för stärkande av intern styrning och kontroll Åtgärder för att införa ett informationssäkerhetssystem enligt LIS Intern styrning och kontroll för att minimera risken för oegentligheter Styrmodell för verksamhetsplanering och uppföljning 55

BILAGA 5 INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING Innehållet i granskningen av ledningsprocesser innefattar Andel Om verksamheten bedrivs effektivt 95 % Om verksamheten bedrivs enligt ledningens direktiv och riktlinjer 91 % Om verksamheten bedrivs enligt gällande rätt 88 % Uppföljning och bedömning av den interna styrningen och kontrollen 85 % Genomförandet av riskhantering: riskanalys, kontrollåtgärder, uppföljning och bedömning samt dokumentation 82 % Om verksamheten upprätthåller god hushållning 77 % Om verksamheten utvecklas 77 % Delegering av ansvar (ansvarsfördelning och ansvarstagande) 77 % Om verksamheten redovisas rättvisande och tillförlitligt 63 % Om de anställda är väl förtrogna med syfte och mål för verksamheten 62 % Arbetet med att motverka bedrägeri och oegentligheter 55 % Om de anställdes kompetens och erfarenhet tillvaratas och utvecklas 55 % Etik och värderingar i organisationen 46 % Om goda arbetsförhållanden upprätthålls 40 % Om verksamheten bedrivs enligt förpliktelser till EU 32 % Om verksamheten verkar för att samarbeta med annan myndighet 25 % Övrigt: 2 % Riskhantering och uppföljning av ISK Uppföljningsrevision av kontrollåtgärder inom it-säkerhet Granskningens inriktning och innehåll, kärnprocesser Inriktningen på granskningen av kärnrocesser innefattar Andel Myndighetens uppgifter enligt instruktion, regleringsbrev eller annat regeringsbeslut 75 % Myndighetens medverkan i EU-arbetet och annat internationellt samarbete 15 % Övrigt: 23 % Intern styrning och kontroll Samverkan med kommuner Förebygga fusk inom ut bildning Forskningssamverkan och centrumbildningar e-lärande Kvalitet i forskningsansökningar Regelefterlevnad (compliance och följsamhet) Remisshanteringen Projektstyrning (byggprojekt) Processer kopplade till forskningsverksamhet Granskning av leverantörer 56

BILAGA 5 INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING Innehållet i granskningen av kärnprocesser innefattar Andel Om verksamheten bedrivs enligt ledningens direktiv och riktlinjer 83 % Uppföljning och bedömning av den interna styrningen och kontrollen 82 % Om verksamheten bedrivs effektivt 82 % Om verksamheten bedrivs enligt gällande rätt 78 % Delegering av ansvar (ansvarsfördelning och ansvarstagande) 75 % Genomförandet av riskhantering: riskanalys, kontrollåtgärder, uppföljning och bedömning samt dokumentation 75 % Om verksamheten utvecklas 74 % Om verksamheten upprätthåller god hushållning 72 % Om verksamheten redovisas rättvisande och tillförlitligt 66 % Om de anställda är väl förtrogna med syfte och mål för verksamheten 58 % Arbetet med att motverka bedrägeri och oegentligheter 55 % Om de anställdes kompetens och erfarenhet tillvaratas och utvecklas 43 % Om goda arbetsförhållanden upprätthålls 40 % Etik och värderingar i organisationen 38 % Om verksamheten bedrivs enligt förpliktelser till EU 29 % Om verksamheten verkar för att samarbeta med annan myndighet 28 % Övrigt: 11 % Remisshantering Intern styrning och kontroll Bedrägerier och oegentligheter Utbetalningar 57

BILAGA 5 INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING Granskningens inriktning och innehåll, stödprocesser Inriktningen på granskningen av stödprocesser innefattar Andel Myndighetens upphandling 43 % Myndighetens inköpssamordning 26 % Myndighetens betalningar och medelsförvaltning 26 % Myndighetens allmänna handlingar 25 % Myndighetens årsredovisning 23 % Myndighetens elektroniska informationsutbyte 22 % Myndighetens redovisningssystem 22 % Myndighetens arbete med att ta emot inkommen handling, anteckna uppgifter och förteckna ärenden 18 % Myndighetens bokföringsskyldighet 15 % Myndighetens budgetunderlag 14 % Myndighetens arkivbildning 14 % Myndighetens disposition av anslag 12 % Myndighetens miljöledning 11 % Myndighetens kompensation för ingående mervärdesskatt 11 % Myndighetens delårsrapport 9 % Myndighetens kapitalförsörjning 9 % Myndighetens mottagande och förvaltning av donationer och åtagande att förvalta en stiftelse 6 % Myndighetens hantering av statliga fordringar 5 % Myndighetens uttag av avgifter 3 % Myndighetens energieffektiva åtgärder 3 % Myndighetens konsekvensutredning vid regelgivning 0 % Övrigt: 37 % It-säkerhet It-drift It-kostnader Outsourcing av it-drift Informationssäkerhet Risker i upphandling Fysisk säkerhet E-lärande Styrdokument inom det ekonomiadministrativa området Myndighetens representation Rutiner för hantering av bisyssla Kontroll över tjänsteresor Personal och kompetensförsörjning Jävsfrågor Donationer och bidrag Informations och kommunikationsarbete Projektstyrning Mångfaldsarbete Intern styrning och kontroll i dotterbolag Lönehanteringsprocesser 58

BILAGA 5 INTERNREVISIONENS ARBETE OCH GRANSKNINGENS INRIKTNING Innehållet i granskningen av stödprocesser innefattar Andel Om verksamheten bedrivs effektivt 82 % Om verksamheten bedrivs enligt ledningens direktiv och riktlinjer 77 % Genomförandet av riskhantering: riskanalys, kontrollåtgärder, uppföljning och bedömning samt dokumentation 75 % Uppföljning och bedömning av den interna styrningen och kontrollen 75 % Delegering av ansvar (ansvarsfördelning och ansvarstagande) 72 % Om verksamheten bedrivs enligt gällande rätt 71 % Om verksamheten utvecklas 68 % Om verksamheten upprätthåller god hushållning 68 % Om verksamheten redovisas rättvisande och tillförlitligt 58 % Arbetet med att motverka bedrägeri och oegentligheter 54 % Om de anställda är väl förtrogna med syfte och mål för verksamheten 51 % Om de anställdes kompetens och erfarenhet tillvaratas och utvecklas 37 % Etik och värderingar i organisationen 34 % Om goda arbetsförhållanden upprätthålls 32 % Om verksamheten bedrivs enligt förpliktelser till EU 23 % Om verksamheten verkar för att samarbeta med annan myndighet 18 % Övrigt: 9 % Tydlighet och ändamålsenligheten i interna styrdokument Informationssäkerhet och riskhantering 59

BILAGA 6 SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING Bilaga 6 Sammanställning av förbättringsområden från kvalitetssäkring Externa kvalitetssäkringar Förbättringsförslag utifrån IIA:s International Professional Practice Framework (IPPF) 47 Områden med förbättringsförslag utifrån IPPF, 10 myndigheter Antal myndigheter 1000 Syfte, befogenheter och ansvar 3 1100 - Oberoende och Objektivitet 4 1200 - Kompetens och vederbörlig yrkesskicklighet 1 1300 - Kvalitetssäkring och kvalitetsförbättringsprogram 1 2000 - Leda internrevisionsverksamhet 7 2100 - Arbetets beskaffenhet 2 2200 - Planering av åtagande 6 2300 - Genomföra åtagande 1 2400 - Rapportera resultat 3 2500 - Övervaka process och resultat 2 2600 -Uttalande rörande ledningens riskacceptans 1 1000 Syfte, befogenhet och ansvar: Rekommendationerna handlade bland annat om att ledningen borde formulera internrevisionens uppgift och utveckla formerna för internrevisionens rådgivning. Förslag till ledningen att tydliggör att internrevisionen är underställd styrelsen. Internrevisionens riktlinjer bör uppdateras. 1100 Oberoende och objektivitet: Förslag lämnas att ge styrelsens ordförande i uppdrag att ansvara för utvecklingssamtalet med internrevisionschefen. Rekommendation om att internrevisionens direkta samverkan med ledningen behövde öka. Styrelsen bör ha förberedande diskussioner med internrevisionen om internrevisionens inriktning och omfattning. Internrevisionen ska samverka direkt med styrelsen. Internrevisionens bemanning, resursplan, och behov bör diskuteras med styrelse och ledning utifrån riskanalys och förslag till revisionsplan. 1200 Kompetens och vederbörlig yrkesskicklighet: Rekommendationerna behandlar bland annat behovet av att höja revisionskompetensen inom internrevisionen. 47 De förbättringsförslag som redovisas här är enbart de som angivits som mest väsentliga i rapporterna från kvalitetssäkringarna. 60

BILAGA 6 SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING 1300 Kvalitetssäkring och kvalitetsförbättringsprogram: Rekommendationerna handlade bland annat om att införa en mer formaliserad återkoppling från intressenter. 2000 Leda internrevisionsverksamhet: Rekommendationerna handlar bland annat om att sambandet mellan organisationens mål och internrevisionens förslag till granskningar behöver dokumenteras tydligare. Modellen för riskanalys bör ses över för att få ett tydligt samband mellan organisationens mål, riskanalys och revisionsplan. Förslag till myndigheten att överväga att synkronisera tidpunkten för ledningens och internrevisionens riskanalyser. Ett annat förslag som lämnades var att ha mer kontinuerliga och strukturerade informationsutbyten med chefer i samband med riskanalysen och att använda myndighetens riskanalys som en del i underlaget för internrevisionens riskanalys. Föreslogs även att internrevisionen i samband med riskanalysen borde identifiera risker avseende oegentligheter. Ett annat förslag var att internrevisionen borde kartlägga den interna styrningen och kontrollen vid myndigheten. Rekommenderades att internrevisionen tar upp en diskussion med styrelse och GD om hur slutsatser, utlåtanden och bedömningar kan formaliseras i rapporterna. 2100 Arbetets beskaffenhet: Rekommendationerna handlade bland annat om att internrevisionen borde utveckla en process för att utvärdera myndighetens process för riskhantering. Framfördes att internrevisionens ansvar bör framgå av internrevisionens Audit Universe. 2200 Planering av åtagande: Rekommendationerna handlar bland annat om att utveckla arbetsprogramen för de enskilda granskningsuppdragen. Att uppdaterade granskningsprogram saknades. Planering av åttagande, revisionsfrågorna, riskbedömning, planeringsöverväganden, uppdragets omfattning, bedömningskriterier och målsättning bör framgå av granskningsplanen. Syfte, arbetsformer och tidplan bör presenteras vid ett uppstartsmöte. Revisionsfrågan bör diskuteras och metoder och avgränsningar dokumenteras tydligare. Riskanalysarbetet kan förbättras genom att internrevisionen och ledningen kommunicerar för att uppnå en samsyn om organisationens väsentliga brister. 2300 Genomföra åtagande: Rekommendationerna handlade bland annat om att omarbeta de interna reglerna för bevarandet av dokumentation. 2400 Rapportera resultat: Rekommendationerna handlade bland annat om att förkorta rapporteringsfasen och att förenkla rapporteringen och att internrevisionen borde överväga att använda sig av ett övergripande omdöme i rapporterna där det tydligt framgår vilka kriterier som omdömet grundar sig på. Internrevisionens 61

BILAGA 6 SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING rekommendationer bör utformas med begränsad inblandning från GD (styrelsemyndighet). GD:s kommentarer och åtgärder bör presenteras i en åtgärdsplan som presenteras för och fastställs av styrelsen samtidigt med internrevisionens rapport. 2500 Övervaka process och resultat: Rekommendationerna handlar bland annat om att utveckla processen för åtgärder med anledning av internrevisionens rekommendationer. (Processen är oklar och det är svårt att följa vilka åtgärder som styrelsen faktiskt beslutat om.) 2600 Uttalande rörande ledningens riskacceptans: Rekommendationen handlar om att internrevisionen ska rapportera till styrelsen om den operationella ledningens förmåga att identifiera de väsentligaste riskerna och hur man hanterar dem. Intern kvalitetssäkring De förbättringsområden som internrevisionsfunktionerna har identifierat i samband med intern kvalitetssäkring handlade bland annat om att: Anpassa revisionsprocessen till ledningsprocessens årsplan. Arbeta med riskanalysmetoder. Att knyta internrevisionens riskanalys till myndighetens egen analys. Att uppdatera interna instruktioner. Dokumentera återkopplingen från de som granskats. Effektivisera den interna distributionen av internrevisionens rapporter. Effektivisera kommunikationsvägarna med verksamheten. Föra en dialog med styrelsens ordförande om att öka nyttan med internrevisionen. Förbättra dokumentationen av granskningarna. Förbättra dokumentationen av riskanalysen. Förbättra och systematisera uppföljningen avseende åtgärder med anledning av internrevisionens rekommendationer samt förbättra dokumentationen av dessa. Förbättra rapporteringen till myndighetens ledning. Förbättra rutinerna för feedback till internrevisionen. Förbättra rutinerna för tidsplanering. Förbättra rutinerna kring dokumentation när externa konsulter används. Förtydliga och dokumentera revisionsmetodiken. Göra tydligare avgränsningar av revisionsuppdragen. Knyta fler internationella kontakter. Kompetensutvecklingsaktiviteter. Se över den löpande kommunikationen med verksamhetsansvariga. Se över rutinerna för bevarande av dokumentation. 62

BILAGA 6 SAMMANSTÄLLNING AV FÖRBÄTTRINGSOMRÅDEN FRÅN KVALITETSSÄKRING Ta fram Audit Universe. Ta fram former för självutvärdering. Uppdatera riktlinjerna. Utveckal uppföljningen av nyckeltal så att kvalitetsaspekten tas med. Utveckla administrativa rutiner. Utveckla formerna för internrevisionens riskanalys och hur den kommuniceras med för myndighetens ledning. Utveckla förankringen av granskningarna. Utveckla kvalitetsarbetet. Utveckla/uppdatera revisionshandboken och revisionsprocessen. Utöka arbetet med dataanalyser. Vidareutveckla riskanalysarbett med internrevisionens riskanalys. Öka andelen revision som genomförs av anställd internrevisor. 63

ORDLISTA Ordlista God internrevisionssed med god internrevisionssed menas att internrevisorn med yrkesmässiga revisionsmetoder har skaffat sig tillräckliga underlag för sina iakttagelser och rekommendationer God internrevisorssed med god internrevisorssed menas att internrevisorn följt de grundläggande värderingar och principer som utgår från etiska och yrkesmässiga krav Intern miljö, Intern kontrollmiljö de interna förutsättningar som påverkar en verksamhets förmåga att fullgöra sina uppgifter och nå sina mål Intern styrning och kontroll process som syftar till att en statlig myndighet med rimlig säkerhet fullgör ansvaret för verksamheten Internrevision revision som bedrivs av en funktion lokaliserad internt inom myndigheten Kontrollåtgärd aktiviteter som vidtas för att hantera risker utifrån en riskanalys Mål önskat framtida tillstånd Resultat de prestationer som myndigheten åstadkommer och de effekter prestationerna leder till Revision granskning och utvärdering utförd av en objektiv och oberoende funktion Rimlig säkerhet förhållande som innebär att den interna styrningen och kontrollen är tillräcklig för att kunna fullgöra verksamhetskraven Risk möjligheten att en negativ händelse ska inträffa Riskacceptens övergripande nivå på och/eller kategori av risker som är godtagbara för verksamheten Riskanalys samordnade aktiviteter för att identifiera händelser som utgör ett hot, värdera dessa och välja om och hur dessa ska accepteras Verksamhetskrav myndighetsledningens ansvar inför regeringen att verksamheten ska fullgöras inom vissa förutsättningar 64

65

ESV gör Sverige rikare Vi har kontroll på statens finanser, utvecklar ekonomistyrningen och granskar Sveriges EU-medel. Vi arbetar i nära samverkan med Regeringskansliet och myndigheterna. Ekonomistyrningsverket Drottninggatan 89 Tfn 08-690 43 00 Box 45316 Fax 08-690 43 50 104 30 Stockholm www.esv.se