Dnr 2015/1842. Riskanalys och revisionsplan 2016

Relevanta dokument
2017/2174. Revisionsplan Internrevisionen. Fastställd av Konsistoriet

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Revisionsplan för Linnéuniversitetet 2015

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Revisionsplan för 2016

Revisionsplan juli 2014 t.o.m. februari 2015

Revisionsplan för Linnéuniversitetet 2016

Internrevisionens revisionsplan 2008

Revisionsrapport Karolinska Institutet Stockholm

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Revisionsplan för 2018

Internrevisionsrapport 2018

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för internrevisionen vid Linnéuniversitetet

REVISIONSPLAN FÖR ÅR 2012

Program för samverkan

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Riktlinjer för informationssäkerhet

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Processen för verksamhetsplanering och uppföljning

Verksamhetsplan Styrelsen för forskarutbildning. Dnr: 1302/ Fastställd:

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Instruktion för Internrevision vid Linköpings universitet

Regler och riktlinjer för intern styrning och kontroll vid KI

Intern styrning och kontroll

Riktlinjer för internrevisionen vid Sida

Riktlinjer för internrevisionen

Handlingsplan för

Internrevisionsförordning (2006:1228)

Revisionsplan för 2013

Handlingsplan för hållbar utveckling

Intern styrning och kontroll

Ledamot av styrelsen för ett universitet eller en högskola

Institutionsgranskningar 2016: sammanfattning

Process för intern styrning och kontroll

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Revisionsplanen fastställd av konsisistoriet den 4 december Postadress Besöksadress Telefon E-Post Karolinska Institutet STOCKHOLM

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Idrottsnämndens system för internkontroll

Handlingsplan för Uppsala universitet - Campus Gotland,

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Lokala regler och anvisningar för intern kontroll

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Informationssäkerhetspolicy för Ånge kommun

Instruktion för internrevisionen vid Malmö högskola

Antagning av doktorander

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Riktlinjer för informationssäkerhet

Institutionen för kulturvetenskaper

Handlingsplan för hållbar utveckling,

HISTFILFAK 2016/108. Mål och strategier. Historisk-filosofiska fakulteten. Fastställda av Historisk-filosofiska fakultetsnämnden

Handlingsplan för internationalisering

Revisionsplan 2018 Fastställd:

Strategi för systematisk uppföljning och granskning av hälso- och sjukvården i Stockholms läns landsting

Institutionen för kost- och idrottsvetenskap

Intern styrning och kontroll

Vägledning för utbildningsutvärderingar

Revisionsplan för Linköpings universitet 2008.

Ledamot av styrelsen för ett universitet eller en. högskola

Intern styrning och kontroll

SAMFAK 2014/114. Mål och strategier. Samhällsvetenskapliga fakulteten. Fastställd av Samhällsvetenskapliga fakultetsnämnden

Uppgifter och beslutanderätter till avdelningschefer vid universitetsförvaltningen

Yttrande över regeringens betänkande Trygghet och attraktivitet en forskarkarriär för framtiden (SOU 2016:29).

Högskolan som både myndighet och akademi. Daniel Gillberg Planeringsdirektör, Uppsala universitet

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Revisionsplan för internrevisionen vid Sida

Revisionen i finansiella samordningsförbund. seminarium

Ramverk för kvalitetssäkring av forskning - en idéskiss

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Upprättande och förvaltning av regeldokument

Revisionsrapport. Revision vid Sveriges lantbruksuniversitet 2010

Intern styrning och kontroll i upphandlings- och inköpsprocessen

BILAGA RISKANALYS 2019 FORSKNING SOM PÅVERKAR

Mål och strategier för Uppsala universitet - Campus Gotland

Mål och strategier för Uppsala universitet

Chefen för UU Innovations uppgifter och beslutanderätter

ETISKA RIKTLINJER FÖR HANTERING AV EXTERNA FORSKNINGSBIDRAG

Bedömning av arbetsprestationer

Riskanalys för myndigheterna inom SOES

Antagning av excellent lärare vid Samhällsvetenskapliga

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

RISKANALYS JMG, Institutionen för journalistik, medier och kommunikation, inkl SOMinstitutet DNR V 2015/965 DATUM:

Institutionen för kulturvetenskaper

Intern styrning & kontroll samt internrevision i staten

Ledningssystem för Informationssäkerhet

Revisionsrapport. Årsredovisning för Linköpings universitet Sammanfattning. Linköpings universitet LINKÖPING

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016

HANDLINGSPLAN OCH VERKSAMHETSPLAN 2016

Myndigheten för samhällsskydd och beredskaps författningssamling

Kommittédirektiv. Pedagogisk förnyelse av den högre utbildningen. Dir. 2000:24. Beslut vid regeringssammanträde den 6 april 2000.

Revisionsberättelse för Myndigheten för yrkeshögskolan 2014

Revisionsberättelse för Migrationsverket 2016

Transkript:

Riskanalys och revisionsplan 2016

Inledning Enligt Internrevisionsförordningen (2006:1228) ska myndigheternas ledning besluta om revisionsplan för internrevisionen. I revisionsplanen fastställs internrevisionens uppdrag inför det kommande året. Eftersom internrevisionen använder ett brutet rapporteringsår sträcker sig planen från den 1 mars 2016 till och med den 28 februari 2017. Målet för internrevisionens arbete är att tillföra värde och förbättra verksamheten vid Uppsala universitet. Genom ett systematiskt och strukturerat arbetssätt vill internrevisionen bistå universitetet i arbetet med att uppnå målen och öka effektiviteten i verksamheten. Metod Enligt Internrevisionsförordningens paragraf 4 ska internrevisionen, utifrån en analys av verksamhetens risker, självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av tredje paragrafen i myndighetsförordningen 1. Internrevisionens självständiga riskanalys ska utgå från verksamhetens egen verksamhetsplanering och analys av de risker som kan hota verksamhetsmålen. Riskanalysen ska omfatta hela den verksamhet universitetet ansvarar för, nedan kallat revisionsområdet 2. Internrevisionens självständiga riskanalys grundar sig på universitetets egen riskanalys, fastställd av Rektor 2015-11-26 (UVF 2015/1052) som utgår från Mål och strategier för Uppsala universitet (UFV 2013/110), fastställda av Konsistoriet i november 2014. Hänsyn har också tagits till den Risk- och sårbarhetsanalys (UFV 2015/1595) som sammanställs i enlighet med riktlinjer från Myndigheten för Samhällsskydd och Beredskap. Denna analys är obligatorisk för myndigheter som är samhällsviktiga ur ett krisberedskapsperspektiv. Det gäller inte Uppsala universitet i första hand men universitetet har ändå valt att utför en sådan analys i egennyttans namn. Säkerhetsavdelningen presenterar en månatlig Säkerhetsrapport som också ingår i underlaget för riskanalysen. Internrevisionen har också tagit del av verksamhetsplaneringen inför 2016 och annan dokumentation upprättad i samband med verksamhetsplaneringen. Därutöver har internrevisionen beaktat information om risker erhållen under året i samband med granskningar, omvärldsanalys och informationsinsamling och vid intervjuer med personer i olika positioner inom universitetet under året och under höstens riskanalysarbete. Internrevisionen använder sig av ett löpande arbetsdokument där revisionsområdet 1 3 Myndighetens ledning ansvarar inför regeringen för verksamheten och skall se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. 2 Audit universe enl internationell praxis. 2

definieras från de begrepp som används i Mål och Strategier för Uppsala universitet; forskning, utbildning samt excellens och samhällsnytta. Dessa områden har sedan delats in i processbaserade delområden som till exempel gemensamma forskningsstrukturer och samarbeten, studentadministration och informationssäkerhet. De processbaserade delområdena har därefter delats in i fokusområden som hantering av gästforskare, antagningsrutiner för studenter och rutiner för informationsklassning. På så vis bryts de strategiska riskområdena från Mål och strategier ner till operativa fokusområden som sedan riskbedöms. Riskbedömningen är mer av karaktären bruttobedömning än nettobedömning eftersom internrevisionen inte har bedömt riskerna för hela revisionsområdet på ett konsekvent vis tidigare. Nettobedömningar kan endast göras för de områden internrevisionen granskat och bedömt. Målsättningen är att det löpande arbetsdokumentet ska vara ett så kallat levande dokument som ständigt förbättras vad gäller identifieringen av revisionsområdet och dess underprocesser samt värderingen av risker. Årets värdering har gjorts i enlighet med de begrepp som används i universitetets riskanalys; låg måttlig eller hög med avseende på sannolikhet och konsekvens. Året revisionsplan bygger på de risker internrevisionen bedömt som mest kritiska ur ett sannolikhets- och konsekvensperspektiv; dock inte de risker som har prioriterats för åtgärder i universitetets egen verksamhetsplanering. Dessa risker, och åtgärder som planeras med anledning av dessa, förs till internrevisionens löpande riskdokument i syfte att följa händelseförloppet inför planeringen av 2017 års internrevisionsplan. 3

Sammanfattning av internrevisionens riskanalys I detta kapitel redogörs för de mest väsentliga riskerna i sammanfattning. Riskerna presenteras i samma ordning som Mål och strategier för Uppsala universitet presenteras. Riskbeskrivningen är att betrakta som information till Konsistoriet och är inte av beslutskaraktär. Förslag på granskningsplan 2016 beskrivs därefter. Konsistoriet förväntas besluta om planen 2016 och föreslagna granskningsinsatser men kan även komma att föreslå ändringar i förslaget till plan. Världsledande forskning Universitetets målsättning avseende forskningen är i korthet att rollen som internationellt ledande forskningsinstitut ska stärkas så att de mest kvalificerade forskarna och lärarna från hela världen attraheras och behålls. Några av de risker som kan hota denna målsättning är: - Risk att forskningens oberoende minskar. Enligt universitetets riskanalys blir såväl de direkta anslagen som forskningsrådens bidrag alltmer ändamålsstyrda samtidigt som kravet på medfinansiering ökar. Risk kan då uppstå att det strategiska initiativet förskjuts från lärosätet till finansiärerna och att bidragen blir alltmer ändamålsstyrda vilket påverkar forskarnas oberoende. Risken att det forskningsstrategiska initiativet hamnar utanför universitetet är högprioriterad i universitetets riskanalys och ingår därför inte i underlaget för internrevisionens plan 2016. - Risk för stagnerande anslag och bidrag till forskningen. Risk att forskningen påverkas vid Akademiska sjukhuset p.g.a ansträngd ekonomi påtalas också i universitetets riskanalys liksom risken att EU-medel inte söks på grund av besvärliga ansökningsprocedurer. Stödet till forskare för att stimulera och stödja ansökningar till EU ska därför utvecklas och universitetet bedömer att risken därmed är hanterad. Internrevisionen bedömer dock att en genomsnittligt hög operativ risk kan föreligga i rutinerna för hantering av EU-medel innan stödet har utvecklats och implementerats. Internrevisionen planerar därför att utvärdera risken vid ett antal institutioner under 2016. - Risk för felaktig avtalssignering inom forskningen Internrevisionens intervjuer visar att en risk att forskare tecknar avtal i eget namn med finansiärer kan uppstå på grund av okunskap, tidspress eller andra orsaker 3. Risk kan uppstå att universitetet kan komma att vara bunden vid dessa avtalsvillkor, på gott eller ont, på grund av den ställningsfullmakt forskaren ger sken av att inneha. Internrevisionen bedömer sannolikheten för risken som måttlig men med hög konsekvens varför eventuell förekomst av avtal tecknade i eget namn vid institutionerna kommer att granskas vid ett antal institutioner under 2016. 3 Med forskare avses både personer anställda i rollen som forskare och andra personer, som tex lärare, som forskar. 4

- Risk för forskningsfusk Risken att universitetets förmåga att hantera forskningsfusk och andra etiska frågor inte räcker till har identifierats i både universitetets och internrevisionens riskanalyser även om universitetet bedömer att den minskat något. Om risken realiseras kan omvärldens förtroende för universitetet påverkas och möjligheterna att attrahera de bästa forskarna kan minska. Regeringen vill skärpa kontrollen över forskningsfusk och har bl.a. tillsatt Margareta Fahlgren, professor i litteraturvetenskap vid Uppsala universitet, som särskild utredare för ärenden av misstänkt forskningsfusk. Universitetet har prioriterat risken inför 2016 varför någon bevakning från internrevisionens sida inte är aktuell under det kommande året. - Risker hänförliga till gemensamma forskningsstrukturer och samarbeten. Internrevisionen har under 2015 deltagit i diskussioner avseende den interna kontrollen i administrationen av SciLifeLab tillsammans med ledningen för SciLifeLab och de internrevisionsavdelningar som hör till de övriga universiteteten som deltar i samarbetet. Risker hänförliga till administrativa rutiner har identifierats i internrevisionsrapporter från KI och KTH varför alla inblandade universitet nu arbetar, och planerar att fortsätta arbetet under 2016, med förbättringar av styrningen och kontrollen av de administrativa rutinerna. Vetenskapsrådet har utvärderat satsningarna på strategiska forskningsområden, bland annat inom SciLifeLab som fick höga betyg när det gäller forskningen. Internrevisionen bedömer den administrativa risken vid Uppsalanoden inom SciLifeLab som måttlig både när det gäller sannolikhet och konsekvens och planerar därför att följa händelseutvecklingen och inkludera resultaten i nästa års riskanalys. I universitetets riskanalys påtalas risken att universitetet inte kan dra nytta av de europeiska KIC-samarbetena, bland annat på grund av risken att inte få täckning för kostnaderna och att samarbetena är komplexa samtidigt som de svenska regelverken är oflexibla och svåranpassade. Universitetet värderar risken som måttlig men prioriterar den för fortsatt särskild bevakning och uppföljning varför internrevisionen inte planerar någon särskild åtgärd inom området under 2016. - Operativa risker i anslutning till gästforskares verksamhet vid universitetet. Internrevisionens riskanalys indikerar att en måttlig risk kan förekomma att gästforskare knyts till universitetet utan fullständigt reglerade förutsättningar. Det kan då vara oklart vad som händer om inte gästforskarens villkor är synkroniserade med universitetets eller om gästforskaren missköter sig. Ibland händer det att både arbetsgivaransvar och skatteregler är oreglerade i avtalen. Internrevisionen bedömer risken som måttlig både vad det gäller sannolikhet och konsekvens och avser att undersöka gästforskares avtal vid ett antal institutioner under 2016. - Operativa risker hänförliga till publicering av forskningsresultat. Enligt universitetets interna uppföljning i 2015 års uppföljning av KoFutvärderingarna 2007 och 2011 inkluderades även bibliometri i utvärderingarna. Bibliometriska analyser hämtade från internationella citeringsdatabaser upplevs inte ge en rättvisande bild av publiceringen inom vissa delar av universitetet och bibliometri kan vara förknippat med olika typer av metodologiska utmaningar och frågor om hur pass användbar publikationsdatabasen DIVA är. Internrevisionen har svårt att uppskatta risken inom området men kommer att bevaka detta inför 2017 års riskanalys. 5

Förstklassig utbildning Universitetets målsättning är i korthet att utbildningarna på grund- och forskarnivå ska hålla högsta nationella och internationella kvalitet. Utbildningarna ska vara välkända och attraktiva val för studenter från hela världen. Alla studenter ska också ha möjlighet att tillgodogöra sig kritiskt tänkande, grundläggande etiska principer och ett vetenskapligt förhållningssätt. Några av de risker som kan hota denna målsättning hänför sig till: - Risk för brister i rutiner för rekrytering av lärare Riskerna internrevisionen identifierat hänför sig till institutionernas regelefterlevnad när det gäller egenrekrytering samt huruvida pedagogisk skicklighet tillmäts tillräckligt stor betydelse vid rekryteringarna. En universitetsövergripande risk som nämns i universitetets riskanalys är det svenska löneläget som kan försvårar rekrytering av internationella toppkrafter inom vissa ämnen, en annan sådan risk är relaterad till otillräckliga karriärvägar och meriteringsanställningar vid UU. Konsistoriet har beslutat om särskilda satsningar om 12 mnkr på meriteringsanställningar under 2016. Internrevisionen bedömer riskerna som måttliga vad gäller sannolikhet men höga när det gäller konsekvensen på längre sikt och planerar att under 2016 granska regelefterlevnaden på institutionsnivå när det gäller rekrytering av lärare. - Risk för sjunkande kvalitet inom lärarkåren Både när det gäller ämnesmässig fortbildning och pedagogisk sådan, visar internrevisionens riskanalyser på en tidsbrist när det gäller lärares fortbildning som kan få till resultat att lärarna inte håller den kvalité som målsättningen om förstklassig utbildning kräver. Handledares träning inför rollen och hur handledarresurser och tid fördelas kan påverka utfallet av doktorandernas arbete och är också en väsentlig faktor för Uppsala universitets varumärke. Internrevisionen har inte tidigare bedömt dessa risker men uppskattar riskerna som måttliga sannolikhetsmässigt men höga vad gäller konsekvensen på längre sikt och planerar att inom institutionsgranskningen 2016 belysa problematiken med lärares fortbildning och handledarutbildning. - Risk för sjunkande finansiering av utbildningen I universitetets riskanalys påtalas en risk för minskad finansiering av utbildningen vilket kan leda till försämrad kvalitet i utbildningen. Antalet betalstudenter har inte utvecklas som önskat och ersättningen från statsmakterna per helårsstudent har inte ökat i takt med kostnaderna. Risken är högprioriterad och universitetet tog i Myndighetsdialogen 2015 upp internationaliseringen som en framgångsfaktor. Åtgärder behöver vidtas vad gäller tillgång till stipendier, regler, kapacitet och rutiner vid Migrationsverket mm. Internrevisionen bevakar området men planerar ingen granskning av detta under 2016. - Risk för oetiskt beteende inom utbildningen Begreppet skuggdoktorand hänför sig till ännu icke antagna doktorander som forskar inom universitetet men utan officiell långsiktig finansiering med allt vad detta kan innebära för bland annat långsiktigheten i forskningen och arbetsgivareansvaret. Internrevisionen bedömer risken för oetiskt beteende relaterat till antagningsrutinerna för doktorander på institutionsnivå och efterlevnad av antagningsordningen för doktorander som medelhög vad gäller sannolikhet och konsekvens. 6

Internrevisionen planerar att, i samband med granskningen av rekryteringsrutiner vid institutionerna under 2016 stickprovsvis kartlägga hur doktorandplatser fördelas. - Risk för bristande rutiner för tentamina Tentafusk är ett område som ständigt ses över i preventivt syfte. Enligt diariet har anmälningarna om misstänkt tentafusk ökat från 35 anmälningar under 2014 till 51 under 2015. Under 2013 var det endast 14 anmälningar som registrerades i diariet. Risker hänförliga till hanteringen av tentamina kan vara till exempel risker för identitetsfusk med resultatet att fel person tenterar, risker för olika typer av fusk beroende på svårigheter att kontroller de stora tentamensgrupperna och svårigheter att kunna kontrollera elektrisk utrustning hos studenterna. Det har också inträffat att studenter hävdat att felaktig rättning av deras tentamina gjorts och detta har inte kunnat verifieras eftersom inte originaltentan, eller kopia av denna, har sparats. Risk kan uppkomma att studenten ändrar i sin text och hävdar felaktig rättning. I förlängningen kan detta leda till en varumärkesrisk för universitetet om studentens examensintyg inte bygger på korrekt examina. Internrevisionen kommer att bevaka området men planerar ingen granskning under 2016 på grund av pågående åtgärder av till exempel tentamensvakternas situation och arbetsvillkor samt införandet av studentid. - Risker relaterade till utveckling av kurs- och programutbud Universitetskanslerämbetet, UKÄ, ska genomföra en uppföljning av hur uppdragsutbildning utförs och om utbildningens genomförande överensstämmer med förordningen. Uppdraget ska redovisas till regeringen i april 2016. Risker kan finnas att överskottspengar inte tillförs uppdragsutbildningen och att universitetet inte efterlever förordningen 2002:760 om uppdragsutbildning. Internrevisionen kommer att bevaka UKÄ:s rapport inför riskanalysen 2017. I universitetets tidigare riskanalys har också risken att riktade satsningar från regeringen på olika utbildningar kringskär universitetets utrymme för egna prioriteringar vad gäller kursutbud. Risken uppges vara hanterad genom en bra dialog med utbildningsdepartementet samt i väl avvägda budgetunderlag. Internrevisionen planerar ingen granskning av detta under 2016. - Risk för bristande forskningsanknytning Risk kan finnas att utbildningen, i otillräcklig omfattning, väcker studenternas intresse för forskarutbildning vilket i förlängningen skulle kunna leda till brist på forskare i framtiden. Internrevisionen bedömer risken som medelhög och planerar att, under 2016, identifiera konkreta exempel på hur forskningsalternativet beskrivs för studenterna vid institutionerna. 7

Akademisk excellens och samhällsnytta För att kunna kombinera akademisk excellens med samhällsnytta har universitetet satt upp målsättningar avseende hög kvalitet i all verksamhet, en organisation som bygger på samspel mellan linjeorganisationen och den kollegiala organisationen, fungerande samverkan med andra delar av samhället (privat, offentlig och ideell sektor) samt stödfunktioner och infrastruktur som motsvarar verksamhetens behov och de externa förutsättningarna. Några av de risker internrevisionens har identifierat som kan hota dessa målsättningar är relaterade till: - Risk för ineffektiv infrastruktur inom it-organisationen Internrevisionens granskning av it infrastruktur 2015 visar på en risk för en ineffektiv, kostnadskrävande och svårstyrd it-miljö även om utvecklingen mot en tydligare it-struktur har påbörjats. Den centrala infrastrukturen är dokumenterad och relativt känd men kopplingar till de olika lokala enheterna, vem som gör vad och hur lokalt och samband mellan lokala enheter är i skrivande stund inte dokumenterad på ett enhetligt vis. Risk finns för kostnadskrävande arbetsrutiner och dubbleringar av sådana, ineffektiva systemlösningar för universitetet i sin helhet vilket kan öppna för säkerhetsbrister i systemen. Internrevisionen bedömer att riskerna är medelhöga till höga varför en granskning av den tekniska infrastrukturen planeras även inför 2016. - Risk för brister i informationssäkerheten; informationsklassning Eftersom ingen fullständig kännedom finns om den organisation som hanterar informationsresurser (innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information samt de informationssystem, hård- och mjukvara, och kommunikationslösningar som hanterar informationen) bedömer internrevisionen att en riktig informationsklassning kan vara svår att utföra. Utifrån detta resonemang bedöms sannolikheten att informationsresurserna inte är tillräckligt skyddade med avseende på sekretess, riktighet, tillgänglighet och handhavande enligt reglerna om hantering av allmänna handlingar som medelhög, liksom konsekvenserna av detta. Eftersom risken till stor del är avhängig riskerna avseende infrastruktur planerar inte internrevisionen någon granskning av informationsklassningen under 2016. - Risk för brister i Kris- och kontinuitetshantering Universitetet arbetar aktivt med utbildning, övning och andra åtgärder för att kunna förebygga, motstå och hantera krissituationer. I augusti 2015 presenterade Justitiedepartementet ett nytt förslag till förordning för statliga myndigheters informationssäkerhet 4. Arbetet med kontinuitetsplanering ska bland annat baseras på informationsklassificering. Internrevisionen bedömer att risk för brister i kris- och kontinuitetshanteringen kan uppstå med hänvisning till bristen på informationsklassning. Riskerna prioriteras för fortsatt särskild bevakning och uppföljning varför internrevisionen inte planerar någon granskning inom området under 2016. - Intern kommunikation 4 2015:23 Informations- och cybersäkerhet i Sverige - Strategi och åtgärder för säker information i staten. 8

Intern kommunikation hanteras framför all via den interna webben och via två interna tidskrifter. Avdelningen för kommunikation och externa relationer inom universitetet har ingen enhet som enbart ägnar sig åt den interna kommunikationen och förändringar i regelverk eller implementeringar av nya regelverk framhävs eller påvisas inte särskilt på den interna webben även om Mål och regelsamlingen återfinns här. Internrevisionen erfar att intern information avseende regelverk oftast tar andra vägar, mer eller mindre informella. Internrevisionen har, under 2015 års granskningar, uppmärksammat en risk att befintliga kanaler inte framhäver ändringar i den interna regelverksfloran i tillräcklig utsträckning. Interna regelverk kan vara okända och/eller så känner inte mottagaren till om regelverken gäller deras verksamhet. Internrevisionen bedömer sannolikheten för riskan att den interna kommunikationen brister avseende regelverkens spridning som medelhög med medelhög konsekvens och planerar att under 2016 kartlägga hur den interna kommunikationen avseende regelverk upplevs från institutionernas håll. - Risk för externa beroende i samband med lokalförsörjningen Risk för att universitetets beroende av andra parter i gemensamma byggprojekt kan leda till dyrare lösningar än universitetet planerat. Utomstående parter kan ha andra krav än universitetet vad gäller miljöklasser, avtalsperioder mm som tvingar på universitetet en dyrare lösning än den planerade. Hyresförhandlingar och fördelning av hyreskostnader kan bli så komplexa att extern hjälp behövs inför dessa och ytterligare beroenden skapas. Sannolikheten för att ogynnsamma externa beroenden inträffar uppskattas bruttomässigt som medelhög med hög konsekvens. Internrevisionen har dock svårt att i nuläget uttala sig om riskerna varför området kommer att bevakas under 2016 inför nästa års riskanalys. - Risk att bidrag söks som inte förbrukas Risk kan finnas att institutioner ansöker om mer bidrag än de har kapacitet att ta hand om på grund av att man söker på flera ställen eftersom risken att ansökningarna inte beviljas är stor. Om institutionen inte har kapaciteten att genomföra forskningen eller utbildningen blir pengarna liggande som "oförbrukade bidrag". Enligt uppgift från Riksrevisionen finns också en risk för dubbelredovisning av bidragsfinansierad verksamhet vid institutionerna. Internrevisionen bedömer risken som medelhög både vad det gäller sannolikhet och konsekvens och planerar att under 2016 stickprovsmässigt kartlägga hur bidragsfinansieringen hanteras vid institutionerna. - Risker relaterade till centralt administrativt stöd inom vetenskapsområdena Det administrativa stödet avser främst personal, ekonomi, upphandling och studieadministration. Om det inte finns ett gott samarbete och kommunikation mellan den administration som finns på förvaltningen och administrationen inom vetenskapsområdena riskeras resursslöseri samt sämre kvalitet i de administrativa processerna. Internrevisionen har uppfattat en viss risk att tekniska system upphandlas utan tillräcklig upphandlingskompetens och utan att använda det upphandlingsstöd som erbjuds med ineffektiv och eventuellt fördyrad upphandling som följd. Risken är särskilt aktuell när det gäller upphandling av it-stöd lokalt. Internrevisionen bedömer risken som medelhög och planerar att under 2016 kartlägga hur det administrativa stödet och samverkan mellan förvaltningens administrativa 9

enheter och administrationen inom vetenskapsområdena fungerar vid de institutionsgranskningar som planeras. - Inkommande e-post På grund av den stora mängden inkommande e-post och osäkerhet om regelverken kan en risk för svårigheter att efterleva offentlighetsprincipen uppstå när universitetet erhåller e- post. De interna regelverken förordar användningen av funktionsbrevlådor; en gemensam e-postadress för varje institution eller avdelning i syfte att underlätta följsamheten mot regelverket. Sannolikheten att funktionsbrevlådor inte används bedöms som medelhög med medelhög risk för skadliga konsekvenser. Eftersom offentlighetsprincipen är av stor betydelse för samhället planerar internrevisionen ändå att granska efterlevnaden av rekommendationen och användningen av funktionsbrevlådor vid några institutioner under 2016. - Antagning Antagningsperioden är redan tidigare en hårt ansträngd period för vissa av universitetets anställda. Studenterna har fått en utökad möjlighet att ladda upp dokument i samband med ansökningar för att styrka sin ansökan. Mängder av ostandardiserade dokument laddas därför upp som ibland kan ta en ansenlig tid att värdera. Sannolikheten för att misstag görs i antagningshanteringen bedöms därför som hög. Konsekvensen av en felaktig hantering är hög för de studenter som drabbas och för universitetets attraktionsförmåga som lärosäte. Internrevisionen kommer att bevaka hur riskerna hanterades under 2016 års antagningsperiod och föra resultatet till 2017 års riskanalys. 1 0

Förslag till revisionsplan 1 mars 2016 28 februari 2017 I syfte att belysa ovanstående risker från ett verksamhetsperspektiv föreslår internrevisionen att följande rutiner granskas inom minst sex institutioner under 2016; två från varje vetenskapsområde. Strategiskt målområde Riskområde Syfte Världsledande forskning Ansökningsrutiner EU-stöd Granskning av väsentliga nyckelkontroller i rutinerna Avtalssignering forskare Inventering av ett antal forskningsavtal med avseende Avtalshantering gästforskare på signering Granskning av väsentliga nyckelkontroller i rutinerna Förstklassig utbildning Rekrytering av lärare Granskning av nyckelkontroller som ska säkra efterlevnaden av universitetets rekryteringsrutiner och ökad satsning på meriteringsanställningar 5. Excellens och samhällsnytta Lärares vetenskapliga och pedagogiska fortbildning Handledares roll och fortbildning Doktorandplatsers utlysning Forskningsanknytning under utbildningen Intern kommunikation avseende regelverk Rutiner för hantering av bidragsfinansiering Samverkan lokal och central administration Granskning av institutionens rutiner för att trygga lärares höga och ändamålsenliga kompetens i enlighet med Anställningsordningen Kartläggning av institutionens rutiner för utbildning av handledare Kartläggning av institutionens rutiner för utlysning av doktorandplatser och eventuell förekomst av skuggdoktorander Identifiera konkreta exempel på hur forskningsalternativet beskrivs för institutionens studenter Granskning av hur regelverk som rör institutionen når fram och hur efterlevelse säkras. Granskning av väsentliga nyckelkontroller i rutinerna för bidragsfinansiering Beskrivning av institutionens uppfattning om hur samverkan med Förvaltningens administrativa avdelningar fungerar. 5 Anställningsordning för Uppsala universitet; föreskrifter för läraranställningar, rekrytering och befordran av lärare, UFV 2010/1842, gäller från och med 9 november 2012. 1 1

Hantering av inkommande e- post Kartläggning av användningen av funktionsbrevlådor för e- post Därutöver planeras följande universitetsövergripande granskning(ar): Strategiskt målområde Riskområde Syfte Excellens och samhällsnytta It infrastruktur Resurser Internrevisionen disponerar från och med den 1 februari 2016 två heltidsanställda personer på grund av Susanne Anderssons tjänstledighet för att prova annat arbete inom staten. Det innebär att Susanne kan välja att komma tillbaka till internrevisionen inom en sexmånadersperiod vilket försvårar resursplaneringen något under 2016. Resurserna kommer därför att vid behov kompletteras externt via konsulter. I nedanstående, mycket översiktliga planering, räknas därför tillgängliga resurser såsom summan av tre heltidstjänster. Med tanke på risken att rekryteringen drar ut på tiden eller att konsulttimmar inte kan upphandlas vid den mest optimala tidpunkten lämnas lite luft i planeringen på 350 timmar. Den ungefärliga resursåtgången för ovanstående granskningar och övriga arbetsuppgifter uppskattas enligt nedan: Uppgift Sex institutionsgranskningar 3000 Granskning av it-infrastruktur 300 Rekrytering 150 Upphandling; avrop ut ramavtal 60 Handledning och upplärning/inlärning 200 Interna kvalitetsförbättringar/intern kvalitetsutvärdering 2016 Utveckling av internrevisionens riskanalysmodell Uppskattat antal timmar 150 100 Riskanalys inför 2017 150 Planering inför 2017 150 Bollplank och rådgivning 150 Kompetensutveckling, nätverksaktiviteter och konferenser, omvärldsbevakning 300 Administration 100 Summa planerade granskningstimmar 4810 Tillgängliga resurser 5160 1 2