Handledning Ansvaret för intern styrning och kontroll. Ansvaret enligt myndighetsförordningen och förordningen om årsredovisning och budgetunderlag

Relevanta dokument
Handledning Samarbete om risker i verksamheten

Frågor om internrevision

Rapport Säkerställd intern styrning och kontroll Myndigheternas redovisning i årsredovisningarna för 2013 ESV 2014:36

Regler och riktlinjer för intern styrning och kontroll vid KI

Rapport Säkerställd intern styrning och kontroll Myndighetsledningarnas bedömning av intern styrning och kontroll i årsredovisningen för 2014

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Handledning Att hantera verksamhetsrisker. Processen enligt förordningen om intern styrning och kontroll 2012:47

Frågor om internrevision och intern styrning och kontroll 2019

Internrevisionsförordning (2006:1228)

Uppgifter till redovisningen över internrevisionen

Frågor om internrevision och intern styrning och kontroll 2017

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport Karolinska Institutet Stockholm

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Intern styrning & kontroll samt internrevision i staten

Riktlinjer för internrevisionen vid Sida

Nätverk för intern styrning och kontroll. Nätverksträff 1,

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Policy för internkontroll för Stockholms läns landsting och bolag

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Nya regler för redovisning av intern styrning och kontroll i årsredovisningen. Seminarium med myndigheter 4 december 2018

Arbetsordning Högskolan Dalarna

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Reglemente för internkontroll

Dokumentnamn Dokumenttyp Datum Arbetsordning med styrelsens delegationer för Tillväxtverket

Arbetsordning för styrelsen vid Högskolan i Gävle. Fastställd av Högskolestyrelsen Dnr HIG-STYR 2011/1731

Arbetsordning Högskolan Dalarna

Tillväxtverkets riktlinjer för intern styrning och kontroll

Nätverk för intern styrning och kontroll. Nätverksträff 2, Patrick Freedman och Karolina Larfors

Instruktion för internrevisionen vid Malmö högskola

Instruktion för Internrevision vid Linköpings universitet

Ledamot av myndighetsstyrelse

Reglemente för intern kontroll

Riktlinje för intern styrning och kontroll

Föreskrift: Arbetsordning för styrelsen vid Högskolan i Gävle. Fastställd av Högskolestyrelsen Dnr HIG-STYR 2016/125

Revisionsberättelse för Migrationsverket 2016

Riktlinjer för internrevisionen vid Linnéuniversitetet

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Revisionsberättelse för Länsstyrelsen i Kalmar län 2017

Revisionsberättelse för Myndigheten för yrkeshögskolan 2014

Lokala regler och anvisningar för intern kontroll

Revisionsberättelse för Försäkringskassan 2016

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Ekonomistyrningsverkets förslag på nya föreskrifter och allmänna råd

Revisionsberättelse för Statens Skolverk 2016

Frågor om internrevision och intern styrning och kontroll 2018

Rapport Intyg ersätter tidigare intyg. 16 oktober oktober 2011 Europeiska jordbruksfonden för landsbygdsutveckling (EJFLU)

Arbetsordning för högskolestyrelsen

REVISIONSPLAN FÖR ÅR 2012

Revisionsberättelse för Migrationsverket 2017

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

LIDINGÖ STADS FÖRFATTNINGSSAMLING F 20 / 2017 REGLEMENTE FÖR INTERN KONTROLL I LIDINGÖ STAD

Revisionsberättelse för Uppsala Universitetet 2017

Revisionsberättelse för Statistiska centralbyrån 2016

Revisionsberättelse för Statens jordbruksverk 2017

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Revisionsberättelse för Luftfartsverket 2016

Regeringsrapport internrevision/ intern styrning och kontroll Catrin Lind Ebert

Idrottsnämndens system för internkontroll

REGLEMENTE INTERN KONTROLL

Revisionsberättelse för Sveriges riksbank 2017

Revisionsberättelse för Statens historiska museer 2017

Revisionsberättelse för Linköpings universitet 2016

Riktlinjer för intern kontroll

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016

REGLER FÖR INTERN KONTROLL

Revisionsrapport avseende granskning av Folke Bernadotteakademin

Riktlinjer för intern kontroll

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Regler. Fö r intern köntröll. Vision. Program. Policy. Regler. Handlingsplan. Riktlinjer Kommunfullmäktige Kommunstyrelsen Nämnd

Myndighetsförordning (2007:515)

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Revisionsberättelse för Pensionsmyndigheten 2016

Internrevisionsrapport 2018

Revisionsberättelse för Affärsverket svenska kraftnät 2017

Utdrag ur universitetsstyrelsens protokoll 14 december Regler för Internrevisionen

Stadsledningskontorets system för intern kontroll

Intern kontroll och riskbedömningar. Strömsunds kommun

Internrevisionens revisionsplan 2008

Ny revisionsberättelse

Reglemente för intern kontroll

Revisionen i finansiella samordningsförbund. seminarium

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

Beslut om ändring i arbetsordningen (STY ) för Tullverket

Revisionsplan för Linnéuniversitetet 2015

Ledamot av styrelsen för ett universitet eller en högskola

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Revisionsberättelse för Regionala etikprövningsnämnden i Göteborg 2016

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Överlämnande av revisionsberättelse för Konsumentverkets årsredovisning för 2016

Frågor att ställa om IK

Riktlinjer för internkontroll i Kalix kommun

Arbetsordning för Finansinspektionen

Revisionsberättelse för Sveriges riksbank 2015

Remissvar: Konsekvensutredning med remiss. ESVs förslag på nya föreskrifter och allmänna råd inför 2013.

REGLEMENTE FÖR. Intern kontroll. Antaget Tillsvidare, dock längst fyra år från antagande

Revisionsrapport. Rådet för Europeiska socialfonden i Sverige årsredovisning Sammanfattning

Organisation av och uppföljning av intern kontroll

Riktlinjer för intern kontroll i Örebro kommun

Transkript:

Handledning Ansvaret för intern styrning och kontroll Ansvaret enligt myndighetsförordningen och förordningen om årsredovisning och budgetunderlag 2012:46

ESV:s handledningar ska vara ett stöd vid tolkning av föreskrifter och allmänna råd inom områden där ESV är normerande. Publikationen kan laddas ner som PDF och beställas från www.esv.se. Beställningar kan även göras via: Ekonomistyrningsverket, Publikationsservice Box 45316, 104 30 Stockholm publikationsservice@esv.se Fax: 08-690 45 10 Datum: 2012-12-21 Dnr: 49-906/2012 ISBN: 978-91-7249-340-7 Copyright: ESV Författare: Tomas Kjerf och Patrick Freedman Omslag: istockphoto/gehring János Tryckeri: Taberg Media Group AB, Taberg 2013

Förord Av budgetpropositionen för 2013 framgår att en intern styrning och kontroll som fungerar på ett betryggande sätt är nödvändig för att myndigheterna ska kunna fullgöra sina instruktionsenliga uppgifter och samtidigt uppfylla sitt verksamhetsansvar. 1 Myndighetsledningarna har ett odelat ansvar för den interna styrningen och kontrollen och för att säkerställa att den förbättras och utvecklas i den egna organisationen. Intern styrning och kontroll kan sägas ta sin början med 1 kapitlet 6 regeringsformen som säger att regeringen ansvarar inför Riksdagen för hur regeringen styr landet. I flera författningar framgår att ansvaret innebär att fullgöra en effektiv, produktiv, rättssäker och spårbar verksamhet. Myndighetsledningen är ansvarig för att säkerställa en sådan betryggande intern styrning och kontroll enligt myndighetsförordningen och ska göra en bedömning av den interna styrningen och kontrollen enligt förordningen om årsredovisning och budgetunderlag. Denna handledning är tänkt som ett stöd i arbetet med att säkerställa en betryggande intern styrning och kontroll och bidra till ett effektivt fungerande regelverk. Stockholm december 2012 Eva Lindblom 1 Regeringens proposition 2012/13:1, Budgetpropositionen för 2013, s. 456

4 ansvaret för intern styrning och kontroll

Innehåll 1 Inledning 7 1.1 Sammanfattning 7 1.2 Syfte, avgränsning och målgrupp 7 1.3 Innehåll i respektive kapitel 8 2 Ansvar för intern styrning och kontroll vad innebär det? 9 2.1 Myndighetsledningen har ansvaret 9 2.1.1 Styrningen och kontrollen ska vara betryggande 9 2.1.2 Styrningen och kontrollen ska löpande förbättras 9 2.1.3 Styrningen och kontrollen ska vara ändamålsenlig _ 9 2.2 Verksamheten ska vara effektiv, laglig och ekonomisk 10 2.2.1 Vad innebär dessa förutsättningar i praktiken? 10 2.2.2 En modell för att praktisera intern styrning och kontroll 11 2.3 Myndighetschefen ansvarar inför styrelsen 12 2.4 Målet med kontrollen: Att fullgöra ansvaret för verksamheten 12 2.5 Myndighetens arbetsordning 13 2.5.1 Vad innebär organisering, arbetsfördelning, delegering och handläggning? 13 2.6 Riktlinjer till myndighetschefen 14 3 Så bedömer ni den interna styrningen och kontrollen 17 3.1 Ansvarstagande av myndighetsledningen 17 3.2 All verksamhet ska bedömas 17 3.3 Vad innebär det att den interna styrningen och kontrollen är betryggande? 18 3.4 När ni bedömer att det finns brister 19 3.5 Redovisa bristerna 20 3.5.1 Hur ni kan identifiera brister 20 3.5.2 Vad räknas som en brist? 21 3.5.3 Vad räknas inte som en brist? 21 3.5.4 Vilken information ska lämnas i årsredovisningen? 22 3.6 Redovisa hur ni ska åtgärda redovisade brister 22 3.7 Redovisa grunderna för er bedömning 22 3.8 Ytterligare informera om hur risker och brister åtgärdas 23 3.9 Ni bör stödja er på dokumentation i er bedömning 24 3.9.1 Vad ska ingå i dokumentationen? 24 3.9.2 Planera dokumentationen samtidigt med verksamheten 25 4 Undantag från bestämmelserna 27 Referenser 29 Bilaga 1 Vad ska ingå i en arbetsordning? 31 Bilaga 2 Frågor för att säkerställa den interna styrningen och kontrollen 33 Bilaga 3 Intern styrning och kontroll i förordningar 37 Bilaga 4 Väsentliga brister 39 Ordlista 41 ansvaret för intern styrning och kontroll 5

6 ansvaret för intern styrning och kontroll

1 Inledning 1.1 Sammanfattning Denna handledning tar upp myndighetsledningens ansvar att säkerställa och bedöma intern styrning och kontroll, såsom detta beskrivs i myndighetsförordningen och förordningen om årsredovisning och budgetunderlag. Ledningen kan säkerställa att styrningen och kontrollen är betryggande med ett flertal olika aktiviteter. Först och främst ska de tydligt delegera ansvar och befogenheter till chefer och medarbetare för verksamheten enligt budget och plan. Då finns det också någon att ha kontroll över. Därefter ska de upprätta regler och rutiner för verksamheten. De ska även upprätta en ändamålsenlig arbetsfördelning inom myndighetens organisation i stab och linje. Intern styrning och kontroll kan också säkerställas med den riskhantering som görs på myndigheten. Att ledningen informerar alla medarbetare om riskerna och hur de ska hanteras har en särskild betydelse. Slutligen ska ledningen följa upp och bedöma om arbetet ovan fungerar. Till sitt stöd har vissa myndigheter då internrevision och ska då även följa vissa former i sin riskhantering. 1.2 Syfte, avgränsning och målgrupp Denna handledning vänder sig till er som ska lämna en bedömning av den interna styrningen och kontrollen i årsredovisningen, och särskilt till de handläggare på er myndighet som har till uppgift att stödja ledningen i deras bedömning. Dessa handläggare kan ha befattningar som chef, controller, koordinator eller samordnare, alla vilka innebär en kontroll över verksamheten i något avseende. Handledningen kan även läsas av myndighetsledningar som vill ha stöd vid sin bedömning. De metoder och riktlinjer som vi här beskriver syftar till att ge er vägledning i hur ni ska följa bestämmelserna om att säkerställa intern styrning och kontroll enligt 3, 4, 13 myndighetsförordningen (2007:515) och bedöma intern styrning och kontroll enligt 2 kapitlet 8 förordningen (2000:605) om årsredovisning och budgetunderlag. Handledningen behandlar inte riskhantering enligt förordningen (2007:603) om intern styrning och kontroll eller myndighetsledningens internrevision enligt internrevisionsförordningen (2006:1228). Inte heller tar den upp praktikfall av tillämpning. Det sistnämnda hittar ni i stället i publikationen Systematiserat sunt förnuft 2, där det finns exempel på hur ni kan gå till väga för att hitta arbetssätt att arbeta med intern styrning och kontroll. 2 Systematiserat sunt förnuft. ESV 2011:2 ansvaret för intern styrning och kontroll 7

inledning 1.3 Innehåll i respektive kapitel I kapitel två beskriver vi vilka som ansvarar för intern styrning och kontroll, och vad detta ansvar består i. Kapitel två handlar också om hur ni kan införa intern styrning och kontroll i verksamheten genom den organisering, delegering och arbetsfördelning som redan finns inom er myndighet. I kapitel tre beskriver vi hur myndighetsledningen kan bedöma och redovisa om den interna styrningen och kontrollen fungerar på ett betryggande sätt. I kapitel fyra finns information om undantag från bestämmelserna. I referenserna tar vi upp andra publikationer och utredningar som också behandlar intern styrning och kontroll. Där finns även hänvisningar till de författningar som reglerar intern styrning och kontroll. Ordlistan förklarar viktiga begrepp som används i handledningen. Fler begrepp finns i ESV:s ordbok om ekonomisk styrning i staten 3. 3 ESV:s ordbok om ekonomisk styrning i staten 2011:9 8 ansvaret för intern styrning och kontroll

ansvar för intern styrning och kontroll vad innebär det? 2 Ansvar för intern styrning och kontroll vad innebär det? 2.1 Myndighetsledningen har ansvaret Det finns skilda uppfattningar om den interna styrningens och kontrollens omfattning och inriktning. Men det förändrar inte det mest grundläggande, nämligen att det är myndighetsledningen som har ansvar för att utforma och upprätthålla en betryggande intern styrning och kontroll över verksamheten. Så här står det i myndighetsförordningen: Myndighetens ledning ska säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt. 4 2.1.1 Styrningen och kontrollen ska vara betryggande Vad betyder det då att den interna styrningen och kontrollen är betryggande? Jo, den ska med rimlig säkerhet säkerställa att myndigheten fullgör sina uppgifter, når sina mål och hanterar sina uppdrag. På så sätt fullgör också ledningen sitt ansvar för hela verksamheten. I en organisation där beslutanderätt och arbetsfördelning delegeras inom verksamheten innebär betryggande intern styrning och kontroll att myndighetsledningen kan förlita sig på att det system som finns för att planera, genomföra och följa upp verksamheten ger en rättvisande och tillförlitlig bild. Myndighetsledningen kan då utan att själv delta i handläggning eller beslut ha kontroll över verksamheten. 2.1.2 Styrningen och kontrollen ska löpande förbättras Myndighetsledningen har ansvar för att arbetet med den interna styrningen och kontrollen i den egna organisationen ständigt fortsätter och utvecklas. I detta förbättringsarbete behöver ledningen ta hänsyn till sin specifika verksamhets karaktär. Detta påverkar både vilka risker ledningen kan acceptera och hur arbetet med intern styrning och kontroll utformas. 5 2.1.3 Styrningen och kontrollen ska vara ändamålsenlig Intern styrning och kontroll bör införas i verksamhetens strukturer och processer genom hela kedjan av beslut och andra aktiviteter. Intern styrning och kontroll påverkar till exempel hur verksamheten är organiserad, hur arbetet är fördelat inom organisationen, hur ansvar och befogenheter delegeras samt hur ärenden 4 4 4 punkten myndighetsförordning (2007:515) 5 Regeringens proposition 2011/12:1, Budgetpropositionen för 2012 förslag till statsbudget för 2012 finansplan och skattefrågor, s. 673 ansvaret för intern styrning och kontroll 9

ansvar för intern styrning och kontroll vad innebär det? handläggs. Det innebär att en verksamhetsanpassad intern styrning och kontroll är ändamålsenlig för myndighetens behov. En ändamålsenlig intern styrning och kontroll ger ledningen förutsättningar att driva verksamheten på ett effektivare sätt och med större träffsäkerhet uppnå önskat resultat. Inom det ekonomiadministrativa området kan brister och ofullständigheter i redovisningen, ekonomiska rapporter och beslutsunderlag motverkas. Med en god intern styrning och kontroll kan både avsiktliga och oavsiktliga fel förhindras och oegentligheter och andra former av bedrägligt beteende begränsas. 2.2 Verksamheten ska vara effektiv, laglig och ekonomisk Myndighetsledningen har ansvar för att verksamheten genomförs inom vissa förutsättningar. Så här står det i myndighetsförordningen: Myndighetens ledning ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. 6 Detta kan kallas för generella mål 7 för verksamheten till skillnad mot (specifika) mål för en viss verksamhet eller egenskap i verksamheten. 2.2.1 Vad innebär dessa förutsättningar i praktiken? Innebörden av att verksamheten bedrivs effektivt är i allmänhet att den ofta eller snabbt når sitt resultat ändamålsenligt och resurssnålt. Det kan också uttryckas med rätt kvantitet eller rätt kvalitet. Effektivt är att göra rätt, på rätt sätt, i rätt tid till rätt antal och så vidare. Att hushålla väl innebär att ärenden ska handläggas så billigt som möjligt. Tillsammans med effektiv verksamhet motsvarar det att verksamheten bedrivs produktivt och effektivt (jämför engelskans Economic, Efficient och Effective). Att verksamheten följer gällande rätt är ett annat uttryck för regeringsformens bestämmelse om att den offentliga makten utövas under lagarna (jämför engelskans Compliance). Det framgår även av förvaltningslagen att säkerheten inte ska eftersättas. Vanligen innebär det att rättssäkerhet är överordnat i styrning. En rättvisande och tillförlitlig redovisning kan sägas handla om genomskinlighet eller spårbarhet i förvaltningen på samma sätt som allmänna handlingars offentlighet enligt tryckfrihetsförordningen är ett uttryck för detta (jämför engelskans Transparency). 6 3 myndighetsförordning (2007:515) 7 Alternativt: övergripande mål. 10 ansvaret för intern styrning och kontroll

Bedömning Riskanalys Kontrollåtgärder Uppföljning Dokumentation ansvar för intern styrning och kontroll vad innebär det? 2.2.2 En modell för att praktisera intern styrning och kontroll Modellen Internal Control, 8 som används såväl inom Sverige som internationellt, delar upp intern styrning och kontroll i följande delar: kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt övervakning. Modellen kan illustreras på följande sätt. Uppgift/mål Intern miljö Information & kommunikation Resultat Kontrollmiljön eller den interna miljön kanske främst består av det som inte låter sig regleras vare sig med förordning eller med myndighetens närmare föreskrifter. Ett vanligt sätt att sammanfatta den interna miljön är att säga att den utgår från myndighetsledningens göranden och låtanden, (jämför engelskans tone at the top ). Det saknas dock inte helt normering. Exempel på bestämmelser om intern miljö återfinns i myndighetsförordningen. Det handlar då till exempel om delegering av ansvar och befogenhet till chefer och medarbetare för genomförandet av verksamheten, arbetsfördelning inom organisationen av verksamhetens olika uppgifter, regler och rutiner för handläggning av ärenden. Riskbedömning och kontrollaktiviteter eller riskanalys och kontrollåtgärder handlar om riskhantering. Det är att identifiera och hantera hinder för att utföra verksamheten. Riskanalys och kontrollåtgärder ingår i förordningen om intern styrning och kontroll men riskanalys finns även i förordningen (1995:1300) om statliga myndigheters riskhantering. Den senare förordningen gäller alla myndigheter under regeringen medan den förra är begränsad till myndigheter med internrevision. Kontrollåtgärder återfinns i även i andra förordningar bland annat förordningen (2000:606) om myndigheters bokföring men då utan att de föregås av riskanalys. Kännedom om risker och hur de hanteras behöver vara kända inom myndigheten. Det kan uppnås genom att informera och kommunicera. Information och kommunikation ingår i myndighetsförordningen i ansvaret att göra målen för verksamheten kända hos medarbetarna. Myndighetsledningen inom de myndigheter som ska inrätta internrevision ska göra en bedömning av den interna styrningen och kontrollen i årsredovisningen enligt förordningen om årsredovisning och budgetunderlag. 8 Internal Control, Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission 1992 ansvaret för intern styrning och kontroll 11

ansvar för intern styrning och kontroll vad innebär det? En mer utvidgad modell för intern styrning och kontroll kan inledas med att avgränsa verksamheten till en uppgift, ett mål eller ett uppdrag som utgångspunkt för den följande riskhanteringen. Intern styrning och kontroll kan då sägas ge ett ansvar till myndighetsledningen att svara på frågorna: Vart är vi på väg och hur kommer vi dit? Vilka hinder finns på vägen och hur ska vi hantera dem? Det enkla svaret på den första frågan är att era uppgifter finns i instruktionen medan verksamhetens mål och uppdrag finns i regleringsbrevet. Hur ni ska komma dit är beskrivet i verksamhetsplanen. Svaret på den andra frågan är den riskhantering som uppkommer med riskanalys och kontrollåtgärder. 2.3 Myndighetschefen ansvarar inför styrelsen Myndighetschefen är den som ska kommunicera med styrelsen om den interna styrningen och kontrollen. 9 Så här står det i myndighetsförordningen: Myndighetschefen ansvarar inför styrelsen och ska sköta den löpande verksamheten, hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och verkställa styrelsens beslut. 10 Det är myndighetschefen som på styrelsens uppdrag verkställer beslut och vidtar åtgärder för att säkerställa att den interna styrningen och kontrollen är betryggande. Riskanalys, kontrollåtgärder och uppföljning är löpande verksamhet (även om inte alla delar genomförs årligen) som ska skötas av myndighetschefen. Myndighetschefens kommunikation med styrelsen är en förutsättning för att ledningen ska kunna fullgöra sitt ansvar för verksamheten. Styrelsen kan med sina direktiv och riktlinjer till chefen ange vilka underlag de behöver för att göra sin bedömning. När styrelsen sedan fattar sina beslut är det myndighetschefen som ska verkställa dem. Det kan innebära att chefen delegerar åtgärderna enligt den ansvarsfördelning som finns inom myndigheten, men det är fortfarande myndighetschefen som är ansvarig inför styrelsen. 2.4 Målet med kontrollen: Att fullgöra ansvaret för verksamheten Intern styrning och kontroll har som mål att myndighetsledningen ska kunna fullgöra sitt ansvar för verksamheten. Så här står det i förordningen om intern styrning och kontroll: Med intern styrning och kontroll avses den process som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av myndighetsförordningen. 11 9 Detta gäller inte enrådighetsmyndigheter. 10 13 myndighetsförordning (2007:515) 11 2 förordning (2007:603) om intern styrning och kontroll 12 ansvaret för intern styrning och kontroll

ansvar för intern styrning och kontroll vad innebär det? Oavsett vilken modell eller metod för styrning ni tillämpar ska den interna styrningen och kontrollen fungera inom resultatstyrningen och de processer och projekt ni har definierat för verksamheten. Det är en del av den interna styrningen och kontrollen att tydligt identifiera vad som är målen i verksamheten (uppgift, mål och uppdrag). Ni kan också arbeta med en målhierarki 12 anpassad efter organisation, arbetsfördelning och delegering inom er myndighet. Riskhantering och andra delar av arbetet som är relaterade till risker är centrala i ansvaret för verksamheten. Det gäller åtgärder för att hantera risker, information och kommunikation om risker, samt den interna miljöns förhållande till risker. Till sitt stöd för att säkerställa en betryggande intern styrning och kontroll har vissa myndigheter internrevision. Internrevisionen arbetar enligt myndighetsledningens riktlinjer och revisionsplan och lämnar förslag till förbättringar av den interna styrningen och kontrollen. Internrevision är vid sidan av myndighetsledningens ansvar för verksamheten grundläggande för en betryggande intern styrning och kontroll. I bilaga 2 finns exempel på frågor ni bör ställa er för att säkerställa en betryggande intern styrning och kontroll. 2.5 Myndighetens arbetsordning Ansvaret för att säkerställa en betryggande intern styrning och kontroll kan inte delegeras men myndighetsledningen kan fastställa den arbetsordning som behövs för att de ska kunna fullgöra sitt ansvar. Så här står det i myndighetsförordningen: Myndighetens ledning ska i arbetsordningen besluta de närmare föreskrifter som behövs om myndighetens organisation, arbetsfördelningen mellan styrelse och myndighetschef, delegeringen av beslutanderätt inom myndigheten, handläggningen av ärenden och formerna i övrigt för verksamheten. 13 Med arbetsordningen ger myndighetsledningen sin uppfattning om myndighetens organisering, arbetsfördelning, delegering och handläggning av ärenden. Detta är grundläggande för hur myndighetsledningen styr och kontrollerar verksamheten. Det interna ansvaret och den interna befogenheten för verksamheten blir då konkret. 2.5.1 Vad innebär organisering, arbetsfördelning, delegering och handläggning? Organisering med en linje för verksamheten och en stab för stöd 14 till myndighetschefens styrning är grunden för arbetsfördelningen, delegeringen och handlägg- 12 Alternativt: nedbrytning av mål. 13 4 2 punkten myndighetsförordning (2007:515) 14 Detta gäller även för andra organisationsmodeller. ansvaret för intern styrning och kontroll 13

ansvar för intern styrning och kontroll vad innebär det? ningen. Organisationen visar att myndighetschefen sköter den löpande verksamheten och om myndighetsledningen har internrevision till sin hjälp. Arbetsfördelningen mellan styrelse och myndighetschef framgår huvudsakligen av 13 myndighetsförordningen. Där står att det är myndighetschefen som sköter den löpande verksamheten. I de ärenden som styrelsen inte kan delegera beslutanderätt ser myndighetschefen till att ärendena är beredda inför beslut. Arbetsfördelning sker även till linjer och stab för att genomföra verksamheten. Delegering av ansvar och befogenhet till chefer och medarbetare definierar vad och vilka som myndighetsledningen styr och kontrollerar. När myndighetsledningen anger vad en chef får fatta beslut om ger det en grund för ansvarsutkrävande. Inget hindrar dock att delegationen kan ske i ytterligare led. Vanligt är att delegation ges både generellt via arbetsordningen men även individuellt via särskilda delegationsbeslut. Handläggning av ärenden är den konkreta utformningen av verksamheten i till exempel processer och projekt. Det öppnar för en vid tolkning av hur verksamheten kan beskrivas. Beskrivningen kan vara specifik i form av regler och rutiner, men den kan också vara mer generell i form av principer och förhållningssätt. I bilaga 1 presenteras vad en arbetsordning kan behandla för att forma den interna miljön när det låter sig göras mer formellt. 2.6 Riktlinjer till myndighetschefen Myndighetsledningens utformning av den interna styrningen och kontrollen kan ta sin utgångspunkt i att myndighetschefen är ansvarig inför styrelsen. 15 Så här står det i myndighetsförordningen: Myndighetschefen ska sköta den löpande verksamheten enligt de direktiv och riktlinjer som styrelsen beslutar. 16 Direktiv och riktlinjer till myndighetschefen är ett sätt för styrelsen att säkerställa en betryggande intern styrning och kontroll. Direktiven och riktlinjerna till myndighetschefen kan innehålla följande: Vad som ingår i den löpande verksamhet som ska skötas av hen. Hur chefen ska informera om verksamheten, inklusive hens regelbundna och systematiska uppföljning och bedömning av intern styrning och kontroll. Vilka underlag för beslut som hen ska lämna till styrelsen. Hur hen ska verkställa beslut. Hur hen ska samverka med andra myndigheter för att utveckla och samordna den statliga arbetsgivarpolitiken. 15 Detta gäller inte enrådighetsmyndigheter. 16 13 myndighetsförordning (2007:515) 14 ansvaret för intern styrning och kontroll

ansvar för intern styrning och kontroll vad innebär det? Hur hen ska se till att de anställda är förtrogna med målen för verksamheten, skapa goda arbetsförhållanden och ta till vara och utveckla de anställdas kompetens och erfarenhet. Hur arbetsordning och verksamhetsplan ska beredas inför beslut. Hur en invändning 17 från Riksrevisionen i revisionsberättelsen ska beredas inför beslut. Hur internrevisionens förslag ska beredas inför beslut. Myndighetens styrelse kan ge direktiv och riktlinjer även för andra ärenden som är delegerade till myndighetschefen att sköta. 17 Riksrevisionen använder begreppet reservation. ansvaret för intern styrning och kontroll 15

16 ansvaret för intern styrning och kontroll

så bedömer ni den interna styrningen och kontrollen 3 Så bedömer ni den interna styrningen och kontrollen 3.1 Ansvarstagande av myndighetsledningen Den bedömning som myndighetsledningen gör av om den interna styrningen och kontrollen är betryggande är ett ansvarstagande som följer av kravet att säkerställa en betryggande intern styrning och kontroll. 18 Ledningen vid de förvaltningsmyndigheter under regeringen som omfattas av förordningen om intern styrning och kontroll ska i anslutning till underskriften i årsredovisningen lämna en bedömning av huruvida den interna styrningen och kontrollen är betryggande. 19 Bedömningen ska i likhet med informationen i övrigt i årsredovisningen ge underlag för regeringens uppföljning, prövning eller budgetering av myndighetens verksamhet. Ansvarstagande sker med intygandet i underskriftsmeningen att årsredovisningen ger en rättvisande bild 20. Det innefattar även bedömningen av om den interna styrningen och kontrollen är betryggande. Beslut om risker, om att vidta åtgärder och om åtgärder med anledning av löpande uppföljning och bedömning kan delegeras men inte bedömningen av intern styrning och kontroll i årsredovisningen. Internrevisionen, myndighetens chefer och medarbetare kan dock göra en bedömning som underlag för myndighetsledningens bedömning i årsredovisningen. Ansvaret omfattar förutom att processen för intern styrning och kontroll följs även att myndighetsledningen beslutar de närmare föreskrifter som behövs om myndighetens organisering, delegering av beslutanderätt, handläggning av ärenden och formerna i övrigt för verksamheten för att säkerställa en betryggande intern styrning och kontroll. När det finns en styrelse ska den även besluta om arbetsfördelning mellan styrelse och myndighetschef och ge direktiv och riktlinjer till myndighetschefen om verksamheten. Myndighetsledningen ansvarar också för riktlinjer och revisionsplan för sin internrevision. 21 3.2 All verksamhet ska bedömas Ledningen ska bedöma myndighetens hela verksamhet såsom den beskrivs i instruktion, regleringsbrev eller andra regeringsbeslut. Det gäller både vad myndigheten ska göra och får göra oavsett finansieringsform. 18 4 4 punkten myndighetsförordning (2007:515) 19 2 kap. 8 förordning (2000:605) om årsredovisning och budgetunderlag 20 2 kap. 8 2 stycket förordning (2000:605) om årsredovisning och budgetunderlag 21 10 internrevisionsförordning (2006:1228) ansvaret för intern styrning och kontroll 17

så bedömer ni den interna styrningen och kontrollen Så här står det i allmänna råden till förordningen om årsredovisning och budgetunderlag: Ledningens intygande och bedömning omfattar all verksamhet som myndigheten ansvarar för, oavsett finansieringsform, och inkluderar därför verksamhet som helt eller delvis finansieras med EU-medel. 22 Bedömningen gäller även för den verksamhet som utförs av andra än de anställda inom er myndighet, till exempel om ni har köpt in en tjänst eller om ni har ett samarbete med en annan myndighet. Även om myndighetsledningen inte ansvarar för en annan myndighets verksamhet är den ansvarig för att i överenskommelser och avtal tillförsäkra sig information om hur den andra myndigheten har säkerställt sin interna styrning och kontroll eller hur leverantören upprätthåller motsvarande ordning. Bedömningen gäller då i stället om ni har tagit med detta i era avtal och överenskommelser, samt om ni tar emot och återkopplar information om avvikelser. 3.3 Vad innebär det att den interna styrningen och kontrollen är betryggande? Myndighetsledningen ska intyga att årsredovisningen ger en rättvisande bild. Det intygandet omfattar även bedömningen av intern styrning och kontroll. Så här ska intygandet se ut: Jag/Vi bedömer att den interna styrningen och kontrollen vid myndigheten är betryggande. 23 Meningen säger att myndighetsledningen har säkerställt en ordning för att fullgöra ansvaret för verksamheten som är betryggande. Myndighetsledningen är trygg i sitt ställningstagande. Det interna styr- och kontrollsystemet är utvecklat på ett sådant sätt att ledningen med tillförsikt kan anta att systemet för intern styrning och kontroll uppmärksammar och hanterar risker i verksamheten och identifierar brister i systemet. Ledningen kan då konstatera att den interna styrningen och kontrollen vid myndigheten är betryggande. För att underlätta bedömningen kan ni dela in den efter olika aspekter av intern styrning och kontroll. Ni kan till exempel arbeta efter etablerade modeller för internkontroll (Internal Control 24 ) eller riskledning (Risk Management 25 ). Det går dock lika bra att formulera det som känns viktigt för den egna verksamheten. Här följer några frågor som ska ingå i bedömningen för de flesta verksamheter. 22 Allmänna råd till 2 kap. 8 förordning (2000:605) om årsredovisning och budgetunderlag 23 Föreskrifter till 2 kap. 8 förordning (2000:605) om årsredovisning och budgetunderlag 24 Internal Control, Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission 1992 25 Enterprice Risk Management, Committee of Sponsoring Organizations of the Treadway Commission 2004 18 ansvaret för intern styrning och kontroll

så bedömer ni den interna styrningen och kontrollen Bidrar arbetsordning, verksamhetsplanering och riskhantering till en effektiv, produktiv, rättsenlig och spårbar verksamhet? Har ledningen informerat chefer och medarbetare om uppgifter, mål och uppdrag? Har ledningen informerat chefer och medarbetare om verksamhetens resultat (prestationer och effekter), framgångar såväl som motgångar (resultatanalys)? Har ledningen informerat chefer och medarbetare om verksamhetens hot och möjligheter (omvärldsanalys), styrkor och svagheter (resursanalys)? Stödjer riskhanteringen att myndigheten fullgör sina uppgifter, når sina mål och utför sina uppdrag? Tar ledningen tillvara medarbetarnas bidrag till ständiga förbättringar och vardagsrationalisering för att löpande utveckla verksamheten? Syftet är att ta ställning till om förhållandena är tillfredsställande eller inte. 3.4 När ni bedömer att det finns brister Ledningen kan göra bedömningen att det finns brister i den interna styrningen och kontrollen. Då ska intygandet se ut så här: Jag/Vi bedömer att brister avseende den interna styrningen och kontrollen vid myndigheten föreligger på följande punkter. 26 Denna bedömning utesluter inte att den interna styrningen och kontrollen trots bristerna är betryggande. Det två olika bedömningsmeningarna är inte varandras motsatser. Ni redovisar att det finns brister men tar inte ställning till om dessa innebär att den interna styrningen och kontrollen inte är betryggande. Myndighetsledningen kan redovisa bristerna och bedöma att den interna styrningen och kontrollen är betryggande. En sådan bedömning ska dock inte lämnas, utan det är bristerna som är den väsentliga informationen. Bristerna kan även vara sådana att processen för intern styrning och kontroll inte ger ledningen en försäkran om att myndigheten med rimlig säkerhet fullgör ansvaret för verksamheten. Det är då en brist som ska redovisas. Det finns inte något krav på att ni måste göra ett uttalande om att den interna styrningen och kontrollen inte är betryggande. Ofta är frågan mer komplex, och blir ofta föremål för dialog mellan regeringen och myndighetens ledning. De redovisade bristerna kan vara ett underlag för myndighetschefen att ta ställning till om en sådan dialog bör föras och samtidigt utgöra ett underlag för dialogen och prövningen av verksamheten. 26 Föreskrifter till 2 kap. 8 förordning (2000:605) om årsredovisning och budgetunderlag ansvaret för intern styrning och kontroll 19

så bedömer ni den interna styrningen och kontrollen 3.5 Redovisa bristerna När det finns brister i den interna styrningen och kontrollen ska ni redovisa dem i årsredovisningen. Underskriftsmeningen är en upplysning till regeringen som kan leda till att de vidtar åtgärder. Så här ser meningen ut: I det fall ledningen bedömer att det finns brister inom den interna styrningen och kontrollen ska aktuella brister kortfattat och i punktform framgå av underskriftsmeningen. 27 Till de aktuella bristerna räknas alla brister som finns när årsredovisningen upprättas. Det gäller även brister som uppkommit efter räkenskapsårets slut. I beskrivningen bör det framgå vad som är bristen, men inte varför det är en brist och hur den påverkar ansvaret för verksamheten. Det senare är underförstått, annars vore det inte en brist värd att ta upp. De skäl som ligger till grund för bristen ska framgå av den underliggande dokumentationen, och behöver inte framgå av underskriftsmeningen. 3.5.1 Hur ni kan identifiera brister Finns det några kännetecken som tyder på brister? Ja, i listan nedan finns tecken som pekar på brister i den interna styrningen och kontrollen, men det är inte uteslutet att bedömningen kan vara en annan. Det kan ändå trots allt vara inom den av myndigheten accepterade risken som omständigheterna, händelsen har inträffat eller förhållandet har uppkommit. Er myndighet når inte målen i verksamheten: fullgöra uppgifter, nå mål eller utföra uppdrag utan att motverka effektivitet, produktivitet, rättsenlighet eller spårbarhet. 28 Er myndighet behöver i årsredovisningen lämna information om inträffade händelser eller uppkomna förhållanden av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten. 29 Er myndighet behöver kommentera verksamhetens resultat i resultatredovisningen med anledning av inträffade händelser eller uppkomna förhållanden för att ge en rättvisande bild av den genomförda verksamheten. 30 27 Föreskrifter till 2 kap. 8 förordning (2000:605) om årsredovisning och budgetunderlag 28 3 myndighetsförordning (2007:515) 29 2 kap. 4 förordning (2000:605) om årsredovisning och budgetunderlag 30 2 kap. 6 med föreskrifter och 3 kap. 1 med föreskrifter till förordning (2000:605) om årsredovisning och budgetunderlag 20 ansvaret för intern styrning och kontroll

så bedömer ni den interna styrningen och kontrollen Er myndighet behöver lämna information om inträffade händelser eller upp komna förhållanden efter balansdagen som är så väsentliga att ett utelämnade av informationen skulle påverka möjligheten att göra korrekta bedömningar och fatta välgrundade beslut på informationen i balans- och resultaträkningarna. 31 3.5.2 Vad räknas som en brist? Brister kan vara både moment som inte är rätt genomförda och moment som saknas. En ofullständig riskanalys kan vara en brist i den interna styrningen och kontrollen. Det kan handla om att ni har missat risker som hotar att verksamhetsansvaret fullgörs, eller att riskanalysen inte är tillräckligt uppdaterad. Ett annat exempel på en brist är när en kontrollåtgärd som beslutats av ledningen inte har genomförts, och ledningen inte har ändrat sitt ställningstagande. Ett nytt ställningstagande kan bero på de begränsningar som följer av det inte är kostnadseffektivitet att vidta åtgärden eller det är en systemövergripande risk som inte blir åtgärdad 32. 3.5.3 Vad räknas inte som en brist? Alla risker behöver inte åtgärdas. Ni kan ha gjort en avvägning mellan den kostnad en viss åtgärd för med sig och den förväntade nyttan av åtgärden, och kommit fram till att inte vidta någon åtgärd. Då är det inte någon brist att åtgärden inte vidtas. Om ni inte har gjort en sådan avvägning behöver inte heller det vara en brist. 33 Åtgärden kan till exempel vara så liten att en bedömning av kostnaden mot nyttan är uppenbart obehövlig. I vissa fall är ni inte själva ansvariga för att vidta en åtgärd. Myndigheter ska samarbeta i de fall en åtgärd kan vidtas på annan myndighet än den som har risken i verksamheten. Om er myndighet inte har verkat för detta samarbete är det en brist. Det är däremot inte en brist om åtgärden inte vidtas av den andra myndigheten. Men ni ska då informera regeringen om situationen 34. Ibland utför ni kanske en verksamhet trots en oacceptabel risk, och nödvändiga åtgärder är planerade men ännu inte vidtagna. Detta räknas inte som en brist i den interna styrningen och kontrollen. Situationen räknas då som att myndigheten i praktiken accepterar en risk i väntan på att åtgärderna är genomförda. Ni avgör vilka risker som ska accepteras i verksamheten. En accepterad risk kräver ingen åtgärd eller ytterligare åtgärd om den redan är tillfredsställande hanterad. Så länge felen är inom den accepterade nivån räknas de inte som brister i den interna styrningen och kontrollen. 31 Föreskrifter till 2 kap. 7 förordning (2000:605) om årsredovisning och budgetunderlag 32 Samarbete om risker i verksamheten 2012:17 33 Myndigheten ska dock enligt 3 förordningen (1995:1300) beräkna kostnaden staten har eller förväntas ha med hänsyn till riskerna. 34 Mer om detta finns i ESV:s handledning Samarbete om risker i verksamheten, ESV 2012:17. ansvaret för intern styrning och kontroll 21

så bedömer ni den interna styrningen och kontrollen Det är därmed inte heller en brist om en accepterad risk faller ut, men om detta förändrar verksamhetens resultat väsentligt kan ni kommentera det i resultatredovisningen 35. 3.5.4 Vilken information ska lämnas i årsredovisningen? Den information som ni lämnar i årsredovisningen ska vara av väsentlig betydelse för regeringens uppföljning, prövning och budgetering av verksamheten. Informationen är väsentlig om ett utelämnade eller en felaktighet kan ha betydelse för de beslut som regeringen fattar utifrån den information som lämnas. Till exempel om information om brister utelämnas som för en extern bedömare är väsentlig. 3.6 Redovisa hur ni ska åtgärda redovisade brister Om det finns brister i er interna styrning och kontroll har ni troligen också vidtagit åtgärder för att komma till bukt med problemen. Det kan också vara så att ni har planerat åtgärder som ska göras under den kommande tiden. Er beskrivning av dessa åtgärder ska inte ingå i underskriftsmeningen eller kompletteringen. I stället kan ni lägga er beskrivning som en tilläggsupplysning till berörda poster i resultat- och balansräkningarna, som en kommentar till verksamhetens resultat, tillsammans med väsentliga uppgifter eller tillsammans med den sammanfattande redovisningen av de omständigheter som legat till grund för bedömningen. Det är viktigt att ni tydligt hänvisar till var ni har lagt denna information. Så här står det i allmänna råden till förordningen om årsredovisning och budgetunderlag: I det fall myndigheten redovisar åtgärder som har vidtagits eller planeras vidtas med anledning av redovisade brister bör myndigheten i underskriftsmeningen hänvisa till var dessa åtgärder redovisas. 36 3.7 Redovisa grunderna för er bedömning Bedömningsmeningarna ger inte någon information till regeringen om orsakerna till er bedömning av den interna styrningen och kontrollen. För att regeringen ska kunna följa upp och pröva den interna styrningen och kontrollen på er myndighet behöver ni därför ge ytterligare information. Så här står det i allmänna råden till förordningen för årsredovisning och budgetunderlag: Som grund för underskriftsmeningen bör myndigheten lämna en sammanfattande redovisning av de omständigheter som har legat till grund för ledningens bedömning av den interna styrningen och kontrollen. 37 35 Föreskrifter och allmänna råd till 3 kap. 1 förordning (2000:605) om årsredovisning och budgetunderlag. Kommentarer till resultatredovisningen behandlas i handledningen Resultatredovisning ESV 2009:29 s. 22. 36 Allmänna råd till 2 kap. 8 förordning (2000:605) om årsredovisning och budgetunderlag 37 Allmänna råd till 2 kap. 8 förordning (2006:605) om årsredovisning och budgetunderlag 22 ansvaret för intern styrning och kontroll

så bedömer ni den interna styrningen och kontrollen Den sammanfattande redovisningen bör bygga på den dokumentation som har legat till grund för er bedömning och de ställningstaganden ni har gjort. Som jämförelse kan nämnas redovisningen i bolagsstyrningsrapporten om de viktigaste inslagen i bolagets system för intern kontroll och riskhantering 38. Läs mer om vad som kan ingå i dokumentationen i kapitel 3.9. Omständigheter som kan ligga till grund för bedömningen av intern styrning och kontroll är till exempel: otillbörlig påverkan och brottslighet, 39 om samarbete vid risker i verksamheten inte inneburit att nödvändiga åtgärder blivit vidtagna, 40 om internrevisionen gör en annan bedömning av riskerna i verksamheten än den ni gjort i er riskanalys 41 samt resultatet av den interna och externa kvalitetsbedömningen av internrevisionen 42. Om ni gjort åtgärder med anledning av en invändning (ett negativt uttalande eller ett uttalande med reservation) från en extern revision ska ni redovisa dem i en skrivelse till regeringen. 43 3.8 Ytterligare informera om hur risker och brister åtgärdas Ni kan lämna ytterligare information om de identifierade riskerna och redovisade bristerna. Så här står det i allmänna råden till förordningen om årsredovisning och budgetunderlag: Myndigheten kan lämna en redovisning av risker och hur dessa ska hanteras samt hur eventuella brister ska åtgärdas. 44 Det är när ni bedömer att informationen är av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten, 45 som ni kan lämna denna redovisning. Det är de risker som inte är accepterade i verksamheten och de åtgärder som är vidtagna eller planerade som kan vara av intresse att redovisa. Ni kan även redovisa de fall när ni av något skäl inte kan införa en åtgärd för en risk eller när åtgärder som en annan myndighet kan införa inte har införts. I dessa fall fortgår verksamheten med en risk som inte är accepterad. När ni redovisar brister kan ni även beskriva vilka åtgärder som är möjliga. 38 6 kap. 6 2 punkten Årsredovisningslag (1995:1554) 39 Allmänna råd till 3 förordning (2007:603) om intern styrning och kontroll 40 Allmänna råd till 4 förordning (2007:603) om intern styrning och kontroll 41 4 internrevisionsförordning (2006:1228) 42 Föreskrifter till 7 internrevisionsförordning (2006:1228) 43 28 myndighetsförordning (2007:515) 44 Allmänna råd till 2 kap. 8 förordning (2006:605) om årsredovisning och budgetunderlag 45 Jmf. 2 kap. 4 4 stycket (2006:605) om årsredovisning och budgetunderlag, se också ESV:s föreskrifter 2 kap. 4 4 stycket i samma förordning. ansvaret för intern styrning och kontroll 23

så bedömer ni den interna styrningen och kontrollen 3.9 Ni bör stödja er på dokumentation i er bedömning Er bedömning av den interna styrningen och kontrollen ska grunda sig på den dokumentation ni har från systematisk och regelbunden uppföljning och bedömning av identifierade risker och vidtagna åtgärder. Så här står det i allmänna råden till förordningen om årsredovisning och budgetunderlag: Ledningens bedömning av den interna styrningen och kontrollen utgår från dokumentationen enligt förordningen om intern styrning och kontroll. 46 Ledningen ansvarar för att den här dokumentationen finns. Om er myndighet har en anpassad modell för arbetet med intern styrning och kontroll som bidrar till ett strukturerat arbetssätt och enhetligt synsätt har ni ökade möjligheter att göra en kvalificerad bedömning. Dessutom ska ledningen kunna styrka sin bedömning med denna dokumentation. Genom dokumentationen går det att följa er myndighets process för intern styrning och kontroll från riskanalys till beslut om kontrollåtgärder till uppföljning och bedömning. 47 3.9.1 Vad ska ingå i dokumentationen? Om ni bedömer att det finns brister i den interna styrningen och kontrollen, ska ni beskriva skälen för denna bedömning i dokumentationen. Så här står det i allmänna råden till förordningen om årsredovisning och budgetunderlag: Om myndigheten bedömer att det föreligger brister inom den interna styrningen och kontrollen behöver skälen för bedömningen framgå i den ovan angivna dokumentationen. 48 Ni bör också redovisa de risker som ni bedömt som väsentliga för er myndighets förmåga att fullgöra sina uppgifter och nå sina mål. I denna redovisning bör ni också beskriva vidtagna eller planerade åtgärder och hur de ska eller har följts upp och bedömts. Dessutom bör ni beskriva vem som har ansvar för att genomföra åtgärderna och inom vilka tidsramar. Det går att själv kontrollera den interna styrningen och kontrollen med utgångspunkt från vad som framgår av bestämmelser. Avvikelserna vid en sådan kontroll ger anledning till bedömning av avvikelsernas betydelse för att säkerställa att den interna styrningen och kontrollen är betryggande. Resultatet av kontrollen är ett underlag för att bedöma den interna styrningen och kontrollen. Redovisa också resultatet av internrevisionens granskning i form av iakttagelser och rekommendationer till myndighetsledningen, samt de råd internrevisionen 46 Allmänna råd till 2 kap. 8 förordning (2000:605) om årsredovisning och budgetunderlag 47 5 förordning (2007:603) om intern styrning och kontroll 48 Allmänna råd till 2 kap. 8 förordning (2007:605) om årsredovisning och budgetunderlag 24 ansvaret för intern styrning och kontroll

så bedömer ni den interna styrningen och kontrollen gett till styrelsen och chefen för myndigheten. 49 Slutligen bör ni beskriva de åtgärder ni gjort med anledning av Riksrevisionens revisionsberättelse. 50 3.9.2 Planera dokumentationen samtidigt med verksamheten Ni kan i samband med verksamhetsplaneringen ange ert behov av information så att den samlade dokumentationen upprättas på ett ändamålsenligt sätt och ger tillräckligt underlag för bedömningen av den interna styrningen och kontrollen. 49 5, 9 internrevisionsförordning (2006:1228) 50 28 myndighetsförordning (2007:515) ansvaret för intern styrning och kontroll 25

26 ansvaret för intern styrning och kontroll

undantag från bestämmelserna 4 Undantag från bestämmelserna Vi kan på Ekonomistyrningsverket i enskilda fall pröva och godkänna undantag från föreskrifter till förordningen om årsredovisning och budgetunderlag 51. Om ni bedömer att ni behöver göra avsteg från föreskrifterna ska ni lämna en begäran om undantag till ESV (registrator@esv.se med ärendemeningen Undantag från föreskrifter till 2 kap. 8 förordning om årsredovisning och budgetunderlag ). När vi prövar er begäran tar vi hänsyn till vad som är undantaget, varför ni behöver ett undantag och hur undantaget påverkar bilden av er interna styrning och kontroll. Om ni bedömer att ni behöver göra ett avsteg från de allmänna råden för att kunna ge en rättvisande bild av den interna styrningen och kontrollen får ni göra detta 52. I sådana fall ska ni berätta om avsteget i en tilläggsupplysning. Ni har alltid rätt att pröva hur ändamålsenliga reglerna som styr er verksamhet är, och kan föreslå ändringar. 53 Om regeringen har medgivit ett undantag från förordningen så står det i er instruktion, ert regleringsbrev eller i ett annat regeringsbeslut. 51 Föreskrifter till 11 kap. 1 förordning (2000:605) om årsredovisning och budgetunderlag 52 Föreskrifter till 2 kap. 6 förordning (2000:605) om årsredovisning och budgetunderlag 53 9 kap. 2 förordning (2000:605) om årsredovisning och budgetunderlag ansvaret för intern styrning och kontroll 27

28 ansvaret för intern styrning och kontroll

referenser Referenser Lagar och förordningar Anslagsförordning (2011:223) Budgetlag (2011:203) Förordning (2007:603) om intern styrning och kontroll Förordning (1995:1300) om statliga myndigheters riskhantering Förordning (2000:605) om årsredovisning och budgetunderlag Förvaltningslag(1986:223) Internrevisionsförordning (2006:1228) Kungörelse (1974:152) om beslutad ny regeringsform Myndighetsförordning (2007:515) Ekonomistyrningsverkets publikationer ESV:s ordbok om ekonomisk styrning i staten 2011:9 Att hantera verksamhetsrisker 2012:47 Intern styrning under kontroll 2010:23 Resultatindikatorer 2007:32 Samarbete om risker i verksamheten 2012:17 Systematiserat sunt förnuft 2011:2 Säkerställd intern styrning och kontroll 2012:30 Andra utgivare Den gemensamma värdegrunden för statsanställda, 2012, Kompetensrådet för utveckling i staten Enterprise Risk Management, Integrated Framework, 2004, Committee of Sponsoring Organizations of the Treadway Commission Evaluating and Improving Internal Control in Organizations, 2012, International Federation of Accountants Internal Control, Integrated Framework, 1992, Committee of Sponsoring Organizations of the Treadway Commission Svensk standard ISO 31000:2009 Riskhantering Principer och riktlinjer, SIS Swedish Standard Institute ansvaret för intern styrning och kontroll 29

30 ansvaret för intern styrning och kontroll

bilaga 1 Bilaga 1 Vad ska ingå i en arbetsordning? En arbetsordning ska innehålla de närmare föreskrifter som behövs för verksamhetens organisering, arbetsfördelning, delegering, handläggning och övriga former. Det gör att arbetsordningen är ett uttryck för intern styrning och kontroll. I arbetsordningen kan ingå: 1. Myndighetens organisation med arbetsfördelning mellan stab och linjer. Beskrivningen visar under myndighetsledningen myndighetschefen och ställföreträdande myndighetschef samt de organ och råd som myndigheten ska inrätta till exempel personalansvarsnämnd. Här kan också framgå att internrevision är administrativt organiserad under myndighetschefen men rapporterar till myndighetsledningen. Det kan också framgå var säkerhetsskyddschefen och biträdande säkerhetsskyddschef samt utgivare av författningssamling finns. 2. Arbetsfördelningen mellan myndighetsledningen och myndighetschefen. Här kan också ingå direktiv och riktlinjer för den löpande verksamheten till myndighetschefen om de inte finns beskrivna i något annat dokument. Riktlinjerna kan till exempel handla om följande: Verksamhetsplanering Säkerställa intern styrning och kontroll (till exempel riskhantering) Ärenden av principiell karaktär eller större betydelse Att meddela föreskrifter Att fortlöpande utveckla verksamheten Samarbete med myndigheter och andra Att informera om myndighetens verksamhet Medverkan i EU-arbetet och annat internationellt arbete Myndighetens arbetsgivarpolitik Personalansvarsnämnd Att hålla styrelsen informerad om verksamheten Att förse styrelsen med underlag för beslut 3. Delegering av beslutanderätt till chefer och medarbetare inom myndigheten och rätten att delegera beslutanderätten vidare inom myndigheten. Delegation till enskilda chefer och medarbetare kan därutöver framgå av särskilda beslut. 4. Hur ärenden ska handläggas för att fullgöra förvaltningslagens (1986:223) och myndighetsförordningens (2007:515) krav på handläggningen. 5. Formerna för verksamheten i den uträckning det behövs för att styra handläggningen i löpande processer och unika projekt. Löpande processer kan vara de uppgifter som framgår av instruktionen och de unika projekten kan ansvaret för intern styrning och kontroll 31

bilaga 1 vara de uppdrag som framgår av regleringsbrevet. När det gäller unika projekt beslutas formerna för dessa vanligen i annan ordning. Löpande processer är förutom myndighetens uppgift även till exempel arbetet med verksamhetsplan, årsredovisning och budgetunderlag samt handlingsplan för att nå miljömål. Till formerna för verksamheten kan även hänföras policy och mål för verksamheten när dessa påverkar handläggningen av ärenden. Det gäller tillexempel miljöpolicy och miljömål för verksamheten. 6. Hur ärenden föredras och när de inte behöver föredras. 7. Hur åtgärder med anledning av Riksrevisionens revisionsberättelse bereds. Detta kan också vara lämpligt att på motsvarade sätt ta upp åtgärder med anledning av Ekonomistyrningsverkets granskning av förvaltningen av medel från EU. 8. Riktlinjer för internrevision om de inte beslutas i annan ordning. 32 ansvaret för intern styrning och kontroll