Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen. Linköpings universitet

Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen Linköpings universitet 20 november 2014

Sammanfattning I enlighet med 7 Internrevisionsförordningen (2006:1228) skall internrevisionen bedrivas enligt god internrevisionssed. Det innebär att en internrevisionsfunktion utvärderas vart femte år av en kvalificerad och oberoende part. En sådan utvärdering kan ske antingen som en extern kvalitetsutvärdering eller som en extern validering av genomförd intern kvalitetsbedömning. Internrevisionen vid Linköpings universitet har beslutat sig för att göra en intern kvalitetsbedömning och önskar därför en extern validering av den egna bedömningen. Lind Andersson har fått i uppdrag att genomföra den externa valideringen. Denna rapport innehåller våra observationer och slutsatser efter genomförd validering. Internrevisionschefen har, efter att hon genomfört sin självutvärdering av internrevisionsfunktionen, bedömt att internrevisionen väl svarar upp till internationella standarders för yrkesmässig internrevision, men att förbättringsområden finns inom några områden. Efter att vi genomfört vår validering av den interna kvalitetsbedömningen anser vi att internrevisionsfunktionen vid Linköpings universitet är etablerad i överensstämmelse med Internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt accepterade riktlinjer från yrkesmässig internrevision. Det tillämpade arbetssättet står väl i överensstämmelse med god internrevisionssed. Internrevisionen verkar i överensstämmelse med IIA:s Yrkesetiska kod. Vår uppfattning är att internrevisionsfunktionen vid Linköpings universitet upplevs som relevant och kompetent av styrelse och ledning, tillför ett mervärde och hjälper universitetet att uppnå sina mål. Utan att dra ner helhetsintrycket vill vi också framföra några rekommendationer för fortsatt utveckling av internrevisionsfunktionen: Överväg att synkronisera tidpunkten för ledningens och internrevisionens riskanalys Överväg att ge styrelsens ordförande uppdraget att ansvara för utvecklingssamtal med internrevisionschefen Utveckla arbetsprogrammen för enskilda granskningsuppdrag Göteborg 20 november 2014 Mikael Andersson Johan Norrback Certifierad internrevisor Ackrediterad kvalitetssäkrare, IIA

Innehåll 1. Inledning... 1 1.1 Bakgrund... 1 1.2 Syfte... 1 1.3 Angreppssätt... 1 2. Resultat... 2 2.1 Sammanfattande bedömning... 2 3. Rekommendationer... 4 3.1 Överväg att synkronisera tidpunkten för ledningens och internrevisionens riskanalys.. 4 3.2 Överväg att ge styrelsens ordförande uppdraget att ansvara för utvecklingssamtal med internrevisionschefen... 4 3.3 Utveckla arbetsprogrammen för enskilda granskningsuppdrag... 4 Bilaga A Detaljerad bedömning... 6 Utvärderingskriterier... 6 Detaljerad analys... 6 Bilaga B Koppling mellan internrevisionsförordningen samt Ekonomistyrningsverkets föreskrifter och allmänna råd mot IIA:s riktlinjer...16

1. Inledning 1.1 Bakgrund I enlighet med 7 Internrevisionsförordningen (2006:1228) skall internrevisionen bedrivas enligt god internrevisionssed. Det innebär att en internrevisionsfunktion utvärderas vart femte år av en kvalificerad och oberoende part. Internrevisionschefen är ansvarig för att en sådan utvärdering genomförs. En utvärdering kan ske antingen som en extern kvalitetsutvärdering eller som en extern validering av genomförd intern kvalitetsbedömning. Internrevisionen vid Linköpings universitet har beslutat sig för att göra en intern kvalitetsbedömning och önskar därför en extern validering av den egna bedömningen. Lind Andersson har fått i uppdrag att genomföra den externa valideringen. Uppdraget har utförts av Mikael Andersson, som är ackrediterad kvalitetssäkrare och Johan Norrback. Denna rapport innehåller våra observationer och slutsatser efter genomförd utvärdering. 1.2 Syfte Syftet med den externa valideringen är att bedöma huruvida Linköpings universitets internrevision följer Internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt accepterade riktlinjer från yrkesmässig internrevision (the Institute of Internal Auditors (IIA) Standards). Vidare är syftet att, i förekommande fall, lämna rekommendationer kring hur internrevisionen kan förbättras för att vara ett effektivt stöd för styrelsen i myndighetens process för god intern styrning och kontroll. 1.3 Angreppssätt Den externa valideringen har genomförts i enlighet med IIA:s metod för extern validering. Valideringen är genomförd i fyra steg: Planering Intervjuer och insamling av dokumentation Analys Rapportering 1.3.1 Planering Den externa valideringen planerades tillsammans med internrevisionschefen Margareta Fallsvik. Tillsammans bestämdes vilka personer som skulle intervjuas, när valideringen skulle äga rum, vad som skulle granskas samt vilka personer som skulle genomföra arbetet. 1.3.2 Intervjuer och insamling av dokumentation Internrevisionschef, samtliga medarbetare på internrevisionsfunktionen, myndighetsledning samt medarbetare som omfattats av en internrevisionsgranskning har intervjuats. Dessutom har den granskningsledare hos Riksrevisionen som ansvarar för revisionen av Linköpings universitet intervjuats. Vi har tagit del av dokumentation kring internrevisionens organisation, dess plats i myndigheten, internrevisionens planeringsprocess samt rapportering och uppföljning. Vidare har vi tagit del av granskningsdokumentation kring enskilda internrevisionsprojekt. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 1

Intervjuade personer Internrevisionen Margareta Fallsvik Internrevisionschef Leif Blomberg Internrevisor Mattias Pettersson Internrevisor Myndigheten Anna Ekström Styrelsens ordförande Helen Dannetun Rektor Kent Waltersson Universitetsdirektör Margarita Nikoltjeva-Hedberg Prefekt matematiska institutionen Riksrevisionen Samuel Ershammar Granskningsledare 1.3.3 Analys Vi har därefter genomfört en analys av den insamlade informationen för att bedöma om internrevisionen vid Linköpings universitet följer Internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt accepterade riktlinjer från yrkesmässig internrevision. De observationer som identifierades i samband med utvärderingen har lett till rekommendationer som ges i syfte att utveckla och stärka internrevisionsfunktionen. 1.3.4 Rapportering Vår sammanfattande bedömning samt rekommendationer presenteras i denna rapport, vilken också diskuterats med internrevisionschefen. 2. Resultat 2.1 Sammanfattande bedömning Internrevisionschefen har, efter att hon genomfört sin självutvärdering utifrån IIA:s standards av internrevisionsfunktionen vid Linköpings universitet, bedömt att internrevisionen väl svarar upp till IIA standards, men att förbättringsområden finns inom några områden. Internrevisionschefen har därefter gjort en separat självutvärdering gentemot internrevisionsförordningen (2006:1228) samt ESV:s föreskrifter och allmänna råd till denna. Även här är internrevisionschefens bedömning att internrevisionen väl svarar upp till dessa. Några förbättringsområden har dock noterats av internrevisionschefen; bättre dokumentation av det interna kvalitetssäkringsarbetet, en extern kvalitetssäkring behöver ske senast 2014 samt att internrevisionen kan bli bättre på att i riskanalysen bedöma risker för otillbörlig påverkan, bedrägerier och annan oegentlighet. Efter att vi genomfört vår validering av den genomförda interna kvalitetsbedömningen anser vi att internrevisionsfunktionen är etablerad i överensstämmelse med Internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd samt allmänt accepterade riktlinjer från yrkesmässig internrevision. Det tillämpade arbetssättet står väl i överensstämmelse med god internrevisionssed. Internrevisionen verkar i överensstämmelse med IIA:s Yrkesetiska kod. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 2

Nedan presenteras en sammanfattning av vår oberoende valideringen av självutvärderingen. Bedömning har gjorts huruvida internrevisionsfunktionens verksamhet sker i överensstämmelse med IIA:s standarder och etiska riktlinjer. Bedömningen är graderad i en tregradig skala i enlighet med IIA:s metod för utvärdering av internrevisionsfunktioner. Utvärderingskriterierna presenteras i Bilaga A nedan där också en utförlig beskrivning av utvärdering mot respektive standard återfinns. Bedömningen har även gjorts mot Internrevisionsförordningen samt Ekonomistyrningsverkets föreskrifter och allmänna råd. Då dessa i många fall sammanfaller med IIA:s riktlinjer och yrkesetisk kod har vi kommenterat eventuella avvikelser i Bilaga A under respektive standard. I Bilaga B visar vi översiktligt under vilka riktlinjer utvärderingen mot internrevisionsförordningen samt Ekonomistyrningsverkets föreskrifter och allmänna råd återfinns i denna utvärderingsrapport. Riktlinjer avseende egenskaper = Generally conforms PC = Partly conforms DNC = Does not conform Lind Anderssons bedömning Internrevisionschefens bedömning 1000 Syfte befogenhet och ansvar 1100 Oberoende och objektivitet 1200 Kompetens och vederbörlig yrkesskicklighet 1300 Kvalitetssäkring och kvalitetsförbättringsprogram Riktlinjer avseende utförande 2000 Leda internrevisionsverksamhet 2100 Arbetets beskaffenhet 2200 Planering av åtagande 2300 Genomförande av åtagande 2400 Rapportera resultat 2500 Övervaka process och resultat 2600 Uttalande rörande ledningens riskacceptans Sammanfattande omdöme Yrkesetisk kod Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 3

3. Rekommendationer Vår uppfattning är att internrevisionsfunktionen vid Linköpings universitet upplevs som relevant och kompetent av styrelse och ledning, tillför ett mervärde och hjälper universitetet att uppnå sina mål. Utan att dra ner helhetsintrycket vill vi också framföra några rekommendationer för fortsatt utveckling av internrevisionsfunktionen. Rekommendationerna riktar sig till såväl internrevisionsfunktionen som styrelsen och ledningen. 3.1 Överväg att synkronisera tidpunkten för ledningens och internrevisionens riskanalys Internrevisionen upprättar årligen en riskanalys som ligger till grund för revisionsplanen. Denna riskanalys görs under hösten. Universitets riskanalys antas av styrelsen årligen i samband med undertecknandet av årsredovisningen. Eftersom internrevisionens revisionsplan presenteras för styrelsen vid årets sista möte behöver internrevisionens riskanalys vara färdigställd före universitets riskanalys. Därför har internrevisionen utgått från universitets riskanalys föregående år. Rekommendation Riskanalysens karaktär är att bedöma framtida risker och är därför inte med nödvändighet kopplad till årsredovisningen som har ett fokus på historisk information. Därför är vår rekommendation att universitetet gör sin riskanalys mot verksamhetsplanen i samband med fastställande av budget för kommande verksamhetsår och inte vid fastställandet av bokslut. Om denna förändring görs kan internrevisionen också dra större nytta av ledningens riskanalys, som då tidsmässigt kan synkroniseras med internrevisionens riskanalys. 3.2 Överväg att ge styrelsens ordförande uppdraget att ansvara för utvecklingssamtal med internrevisionschefen Internrevisionen är organiserad som en oberoende enhet under universitetsstyrelsen. Administrativt är internrevisionen placerad under rektor. Universitetsdirektören sätter internrevisionschefens lön. I ESV:s handledning Statlig internrevision för myndigheter sägs att det lämpligt att internrevisionschefen har utvecklingssamtalet med sin uppdragsgivare, det vill säga styrelsens ordförande. Rekommendation Styrelsen bör överväga att styrelsens ordförande i fortsättningen håller utvecklingssamtal med internrevisionschefen. Det bör även diskuteras i vilken mån styrelsens ordförande också ska involveras i lönesättning av internrevisionschefen. 3.3 Utveckla arbetsprogrammen för enskilda granskningsuppdrag Enligt god internrevisionssed ska internrevisor utarbeta ett arbetsprogram som leder till att uppdragets mål nås. I de uppdrag vi särskilt granskat har granskningsprogrammet utgjorts av ett avsnitt i granskningsplanen som kallas granskningens metod och urval. Här beskrivs översiktligt hur uppdragets målsättningar ska nås. Utifrån denna information är det svårt att i efterhand bedöma om de aktiviteter som genomförts i ett enskilt granskningsuppdrag motsvarar dem som faktiskt har planerats skulle genomföras. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 4

Rekommendation Vår bedömning är att arbetsprogrammen behöver bli mer detaljerade och innefatta aktiviteter för att identifiera, analysera, utvärdera och dokumentera information under uppdraget för att det ska vara möjligt att följa upp att det som godkänts i planeringsfasen faktiskt har genomförts. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 5

Bilaga A Detaljerad bedömning Utvärderingskriterier - Generally conforms Internrevisionens struktur, principer, rutiner och processer är i allt väsentligt i enlighet med de krav som finns fastställda för respektive standard. Omdömet "generally conforms" innebär inte att det inte finns förbättringsmöjligheter. Innebörden är att den allmänna målsättningen för standarden är uppfylld, men därutöver finns det alltid möjlighet att förbättra ytterligare. PC - Partially conforms Verksamheten bedrivs i linje med de krav som finns för respektive standard. Dock uppfyller internrevisionen inte vissa av de huvudmålsättningar som finns specificerade for respektive standard. Partially conforms innebär att det finns betydande förbättringsmöjligheter. Det bör även uppmärksammas att en del av de iakttagna bristerna kan avse ledningen snarare än internrevisionen. DNC - Does not conform Internrevisionen uppfyller inte flera eller samtliga av respektive målsättningar för standarderna. I de fall omdömet DNC har erhållits är det sannolikt att bristen kommer att ha en väsentlig inverkan på internrevisionens arbete. Vidare finns ett antal viktiga områden som bör förbättras. Det bör även uppmärksammas att en del av de iakttagna bristerna kan avse ledningen snarare än internrevisionen. Detaljerad analys Nedan presenteras vår detaljerade analys där jämförelse skett mellan internrevisionens nuvarande arbetssätt och IIA:s riktlinjer. 1000 Syfte, befogenheter och ansvar Bedömning: 1000 Syfte, befogenhet och ansvar Universitetsstyrelsen beslutade 2014-04-23 om en uppdaterad "Instruktion för Internrevisionen vid Linköpings universitet med anledning av ESV:s förändringar i föreskrifter och allmänna råd till internrevisionsförordningen (2006:1228). I denna instruktion definieras internrevisionens syfte, befogenhet och ansvar. Av instruktionen framgår hur internrevisionen ska placeras organisatoriskt. Instruktionen bemyndigar Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 6

1010 Igenkännandet i instruktionen av Definitionen av internrevision, Yrkesetisk Kod och Riktlinjerna även tillgång till information och personal som är relevanta för att genomföra uppdrag samt definierar omfattningen av internrevisionens verksamhet. I instruktionen går det att känna igen Institute of Internal Auditor s (IIA) definition av internrevision samt att internrevisionen ska beakta IIA:s yrkesetiska kod och riktlinjer. 1100 Oberoende och objektivitet Bedömning: 1110 Organisatoriskt oberoende Internrevisionen är organiserad som en oberoende enhet under universitetsstyrelsen. Administrativt är internrevisionen placerad under rektor. Internrevisionen är av naturliga skäl inte oberoende gentemot styrelsen men internrevisionen är oberoende gentemot den verksamhet som ska granskas vilket är i enlighet med internrevisionsförordningen och god internrevisionssed. Universitetsdirektören sätter internrevisionschefens lön. Enligt tolkningen till IIA:s standard 1110 sägs att ett exempel på funktionell rapportering till styrelsen är när styrelsen godkänner internrevisionschefens lön och andra förmåner. I ESV:s handledning Statlig internrevision för myndigheter sägs att det lämpligt att internrevisionschefen har utvecklingssamtalet med sin uppdragsgivare, det vill säga styrelsens ordförande. En sådan förändring är något styrelsen bör överväga. Enligt god internrevisionssed ska internrevisionschefen åtminstone årligen bekräfta internrevisionsverksamhetens organisatoriska oberoende. I internrevisionschefens självutvärdering har det noterats att en sådan årlig bekräftelse inte har avgivits. Detta avser internrevisionschefen åtgärda i samband med presentationen av internrevisionens Verksamhetsrapport för 2014. 3.2 1111 Direkt samverkan med styrelsen 1120 Individuell objektivitet Av såväl internrevisionens instruktion och våra genomförda intervjuer framgår att internrevisionschefen rapporterar och samverkar direkt med styrelsen. Detta sker bland annat genom att internrevisionschefen har närvarorätt och yttranderätt på styrelsemötena, att styrelsen fastställer revisionsplanen samt att rapportering efter avslutad granskning görs till styrelsen. Enligt internrevisionens gällande Revisionshandbok ska den enskilde revisorns objektivitet och oberoende bedömas innan ett gransknings- eller rådgivningsuppdrag påbörjas. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 7

1130 Begränsning av oberoende eller objektivitet Detta sker genom att internrevisionschefen och granskningsledare går igenom internrevisionens checklista för uppstart där den enskilde revisorns oberoende och objektivitet bedöms. Vår bedömning är att internrevisionen bedrivs med hänsyn tagen till individuell objektivitet. Om oberoende eller objektivitet är faktiskt eller synbarligen begränsad ska information lämnas till berörda parter. Vi har i vår genomgång inte noterat några tillfällen då oberoendet eller objektiviteten har varit begränsad. 1200 Kompetens och vederbörlig yrkesskicklighet Bedömning: 1210 Kompetens Instruktionen för internrevisionen anger inget om kompetenskrav eller kompetensmål för internrevisionsverksamheten. Det nämns endast att internrevisionen ska förbättra sina kunskaper och färdigheter genom fortlöpande yrkesmässig utveckling. 1220 Vederbörlig yrkesskicklighet För närvarande har internrevisionsfunktionen två och en halv heltidsresurser till sitt förfogande. Revisionschefen tjänstgör 80% vid Linköpings universitet och 20% vid Malmö högskola. Revisionschefen har över tio års erfarenhet som revisionschef vid Linköpings universitet. Dessförinnan har hon innehaft andra chefspositioner. Därutöver finns det två ytterligare medarbetare vid internrevisionen varav en innehar en CISA-certifiering och den andre har erfarenhet bland annat från Riksrevisionen. I revisionsplanen för 2014 identifieras ett behov av att någon inom internrevisionsfunktionen certifieras enligt internationell standard (Certified Internal Auditor). Det finns även ett behov av fortbildning för att behålla CISA-certifiering. Sammantaget uppvisar nuvarande bemanning vid internrevisionen en bredd både vad gäller kunskap och erfarenhet om den organisation som ska granskas och inom revisionsmetodik. Ambitionen att skaffa certifiering enligt internationell standard ligger i linje med ESV:s uttalande om kompetensprofil för statliga internrevisorer. Vid våra intervjuer har det också framkommit att internrevisionen uppfattas som kompetent av organisationen. Samverkan med Malmö högskola bidrar även till kompetensen hos revisorerna genom möjlighet till breddad erfarenhet och jämförelse med annan myndighet inom sektorn. Både i intervjuer och genom den granskning av specifika projekt vi gjort har det framkommit att internrevisionen tillämpar den omsorg och Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 8

skicklighet som kan förväntas av en omdömesgill och kompetent internrevisor. 1230 Fortlöpande professionell utveckling Enligt Revisionsplanen för 2014 avsätts 280 timmar för kompetensutveckling. Detta motsvarar 93 timmar per anställd. Enligt ESV:s rapport Redovisning av den statliga internrevisionen 2014 är genomsnittet för kompetensutveckling mellan 70 och 80 timmar per internrevisor och år de senaste två åren. Detta innebär att internrevisionen vid Linköpings universitet sätter av tid för kompetensutveckling som är väl i paritet med andra statliga internrevisionsfunktioner. 1300 Kvalitetssäkring och kvalitetsförbättringsprogram Bedömning: 1310 Krav på kvalitetssäkrings- och kvalitetsförbättringsprogram 1320 Rapportera om kvalitetssäkrings- och kvalitetsförbättringsprogrammet Internrevisionens rutiner för kvalitetssäkring framgår av internrevisionens revisionshandbok. Kvalitetssäkringsprogrammet är uppdelat på tre delar: 1) Intern kvalitetssäkring fortlöpande intern kvalitetskontroll, 2) Intern kvalitetssäkring självutvärdering och 3) Extern kvalitetssäkring I den första delen är kvalitetssäkringsaktiviteter samlade som sker löpande under året. Detta omfattar uppföljning och utveckling av funktionen, kvalitetssäkring av årsprocessen, kvalitetssäkring av egna revisionsprojekt, enkät till de reviderade, periodisk projektbedömning och intern projektutvärdering. Den andra delen av kvalitetssäkringsprogrammet sker en gång per år då avdelningen genomför en självutvärdering baserad dels på upplevelsen och följsamheten utifrån IIA standarder, dels en uppföljning utifrån Internrevisionsförordningen (2006:1228) och ESV:s föreskrifter och allmänna råd till denna. Även internrevisionens egna mål och måluppfyllelse utvärderas. Den tredje delen av kvalitetssäkringsprogrammet redogör för den externa kvalitetsgranskningen som genomförs vart femte år. Internrevisionen rapporterar i den årliga verksamhetsrapporten till styrelsen att en självutvärdering av verksamheten har utförts. Någon bedömning huruvida arbetet bedrivits i enlighet med god sed och enligt internrevisionsförordningen (2006:1228) rapporteras dock inte till styrelsen. Detta är något som också bör ske. 2000 Leda internrevisionsverksamhet Bedömning: 2010 Planering Internrevisionen upprättar årligen en riskanalys som ligger till grund för revisionsplanen. Denna riskanalys görs under hösten och innefattar intervjuer med styrelsens ordförande, ledande befattningshavare och personer på olika nivåer i 3.1 Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 9

2020 Kommunikation och godkännande 2030 Resurshantering organisationen, kunskaper och erfarenheter från tidigare gransknings- och rådgivningsuppdrag samt generella risker från andra motsvarande organisationer. Internrevisionen har anpassat sin riskanalys till den struktur som används av universitetet i enlighet med förordningen (2007:603) om intern styrning och kontroll. Universitets riskanalys antas av styrelsen årligen i samband med undertecknandet av årsredovisningen. Eftersom internrevisionens revisionsplan presenteras för styrelsen vid årets sista möte behöver internrevisionens riskanalys vara färdigställd före universitets riskanalys. Därför har internrevisionen utgått från universitets riskanalys föregående år. Genom att internrevisionen genomför intervjuer med ledande befattningshavare inför sin riskanalys bedömer vi att internrevisionen har rimliga förutsättningar att fånga upp förändringar i ledningens sätt att se på risker under året även om styrelsen ännu inte fattat beslut om riskanalysen för året. Den av internrevisionen utarbetade revisionsplanen fastställs av styrelsen årligen. Revisionsplanen innehåller såväl årets planerade aktiviteter som förväntat resursbehov. Om internrevisionsplanen behöver förändras väsentligt under innevarande år ska internrevisionschefen ta upp detta med styrelsens ordförande och rektor. Styrelsen ska sedan fatta beslut om revisionsplanen ska ändras. Under de senaste åren har det inte varit aktuellt med några väsentliga förändringar av planen. Internrevisionen utgörs för närvarande av en internrevisionschef som tjänstgör till 80% vid Linköpings universitet (resterande 20% är internrevisionschefen anställd vid Malmö högskola) samt två heltidsanställda medarbetare. Motsvarande 30% av en heltidstjänst säljs till Malmö högskola. Totalt har internrevisionen därmed 2,5 heltidstjänster till förfogande. Normalbudgeten för internrevisionen innehåller små möjligheter att under löpande år anlita ytterligare kompetens. I revisionsplanen ingår en sammanställning av internrevisionens totala verksamhet för budgetåret i form av en tidplan över planerade projekt samt bedömd resursåtgång för varje projekt. Tid avsätts också för uppföljning av att åtgärder vidtas med anledning av resultatet av tidigare gjorda granskningar samt i viss mån även för rådgivningsuppdrag. Vår bedömning är att internrevisionens totala Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 10

resurser är tillräckliga för att uppnå den godkända planen. 2040 Principer och rutiner Enligt Instruktion för Internrevisionen vid Linköpings universitet ska verksamheten bedrivas enligt god internrevisions- och internrevisorssed. Det innebär att internrevisionschefen ska fastställa principer och rutiner för att vägleda internrevisionsverksamheten. Internrevisionschefen har beslutat om internrevisionens Revisionshandbok, som består av 30 avsnitt som fastställts 2013 och därefter reviderats vid behov. Vår bedömning är att internrevisionschefen har utarbetat lämpliga riktlinjer så att internrevisionsverksamheten kan genomföras i enlighet med god internrevisionssed och god internrevisorssed. 2050 Samordning Instruktion för Internrevision vid Linköpings universitet hänvisar till internrevisionsförordningen (2006:1228) om att internrevisionen kan samordnas med andra myndigheter. 2060 Rapportering till ledning och styrelse En sådan samordning sker med Malmö högskola, som använder sig av resurser från Linköpings universitet motsvarande 0,3% heltidstjänster. Vår uppfattning är att denna samordning är till gagn för både Linköpings universitet och Malmö högskola. Vi har vidare noterat att internrevisionschefen har regelbundna möten med Riksrevisionen för att informera om varandras planerade granskningsuppdrag. Det har i övrigt inte framkommit synpunkter på att internrevisionen i sitt arbete överlappar någon annan intern eller extern leverantörer av säkringsoch rådgivningstjänster. Internrevisionschefens rapportering till uppdragsgivaren beskrivs utförligt i instruktionen. För varje universitetsövergripande aktivitet i revisionsplanen skrivs en sammanfattande rapport som ställs till styrelse och rektor. Vid en institutions-/avdelningsgranskning upprättas en separat rapport som ställs till prefekt/avdelningschef. Årligen skrivs en sammanfattande rapport över utförda revisioner samt övriga arbetsuppgifter under året. Rapporten tillställs styrelsen. Baserat både på den granskade dokumentationen och på våra intervjuer bedömer vi att rapportering till uppdragsgivaren fungerar väl. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 11

2100 Arbetets beskaffenhet Bedömning: 2110 2120 2130 Ledning, Riskhantering och Styrning och kontroll Av instruktionen för internrevision framgår att internrevisionens uppgift är att granska och lämna förslag till förbättringar av universitetets processer för riskhantering, styrning, kontroll och ledning vilket står i överensstämmelse med god internrevisionssed. Vi har tagit del av revisionsplaner med internrevisionens granskningar och uppföljningar 2012-2014 och kan konstatera att internrevisionen genomför granskningar inom samtliga tre områden styrning, riskhantering och kontrollprocesser i enlighet med allmänt accepterade riktlinjer från yrkesmässig internrevision. Enligt IIA:s standard ska internrevisionen utvärdera risken för att bedrägerier inträffar och hur organisationen hanterar bedrägeririsker. ESV föreskriver att i analysen av verksamhetens risker ingår att bedöma risken för otillbörlig påverkan, bedrägerier och annan oegentlighet. I självanalysen kommenterade internrevisionschefen att internrevisonen kan bli bättre på att bedöma sådana risker. Vi har också noterat att internrevisionens riskanalys avseende oegentligheter är knapphändig instämmer därmed i internrevisionschefens bedömning. 2200 Uppdragsplanering Bedömning: 2201 Planeringsöverväganden 2210 Målsättningar för åtagandet 2220 Åtagandets omfattning 2230 Resursallokering för åtagandet I internrevisionens Revisionshandbok framgår att inför en granskning ska bakgrundsinformation insamlas. Denna innebär bland annat att internrevisionen tar del av riskanalysen som låg till grund för granskningsuppdraget, samlar in information om policys, planer, lagstiftning mm. samt gör en förnyad riskbedömning. I de uppdrag vi granskat har vi kunnat konstatera att det gjorts en granskningsplan för respektive uppdrag. I de tematiska uppdragen har det även gjorts en fördjupad riskanalys. I institutionsgranskningarna har ett standardrevisionsprogram tillämpats. I planeringsfasen utarbetas målsättningar för uppdraget och den specifika revisionsfrågan fastställs. Målsättningen för åtagandet är fastställda i granskningsplanerna och koppling till den identifierade risken är tydlig. Granskningarnas omfattning beskrivs tydligt i granskningsplanen där också avgränsningar redovisas. I granskningsplanen görs en beräkning på planerad tidsåtgång för uppdraget. Enligt den mall som finns i Revisionshandboken ska även en nedbrytning av resurser göras på delmoment. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 12

2240 Arbetsprogram för åtagandet Detta infördes 2014. I de två uppdrag vi särskilt granskat finns en beräkning av totala planerade resursåtgången men ingen nedbrytning av tiden på delmoment eftersom dessa uppdrag gjordes 2013. Av granskningsplanen framgår vilka medarbetare som ska delta i uppdraget samt vilken roll som respektive medarbetare ska ha. Enligt god internrevisionssed ska internrevisor utarbeta ett arbetsprogram som leder till att uppdragets mål nås. I de uppdrag vi särskilt granskat har granskningsprogrammet utgjorts av ett avsnitt i granskningsplanen som kallas granskningens metod och urval. Här beskrivs översiktligt hur uppdragets målsättningar ska nås. I ett av uppdragen beskrivs exempelvis att tester och kontroller kommer att ske utifrån bedömda riskområden. Vår bedömning är att arbetsprogrammen behöver bli mer detaljerade och innefatta aktiviteter för att identifiera, analysera, utvärdera och dokumentera information under uppdraget för att en uppföljning ska vara möjlig att göra så att det som godkänts i planeringsfasen faktiskt har genomförts. PC 3.3 2300 Genomförande av åtagande Bedömning: 2310 Identifiera information Den insamlade informationen ska vara tillräcklig, tillförlitlig, relevant och användbar för att uppnå uppdragets målsättning. 2320 Analys och utvärdering 2330 Dokumentera information 2340 Övervakning av åtagandet För de uppdrag som vi tagit del av bedömer vi att informationen har varit tillförlitlig, relevant och användbar. Vi har sett att det finns dokumentation som stöder de observationer som lyfts i internrevisionens rapporter och informationen är tydligt kopplad till granskningsfrågorna. Internrevisionen baserar sina slutsatser på den granskning som utförts, vilket också framgått i uppdragsdokumentation som vi tagit del av. Internrevisionens revisionshandbok anger tydligt vilka dokument som ska sparas och hur de arkiveras. De uppdrag vi tagit del av har också varit väldokumenterade och tydliga. Internrevisionschefen har ett övergripande ansvar för att övervaka uppdrag, men kan också utse lämpliga medarbetare inom internrevisionen för att utföra denna uppföljning. Internrevisionen har använt en checklista för denna kvalitetsbedömning som finns bifogad i dokumentationen för varje uppdrag. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 13

2400 Rapportera resultat Bedömning: 2410 Kriterier för rapportering 2420 Rapporteringens kvalitet 2430 Användning av "Utfört i överensstämmelse med Internationella Riktlinjer för Yrkesmässig internrevision" 2440 Spridning av resultaten Enligt god internrevisionssed ska internrevisionens rapporter innehålla uppdragets målsättning och omfattning liksom slutsats och eventuella rekommendationer. Vi har tagit del av ett urval rapporter från internrevisionen. Rapporterna har varit väldisponerade och de observationer och rekommendationer som görs är relevanta och anknyter till granskningens syfte. Enligt god internrevisionssed uppmuntras internrevisorer att också erkänna tillfredsställande prestationer. Vi har noterat att detta också sker i internrevisionens rapporter. Internrevisionens rapportering ska vara korrekt, objektiv, tydlig, koncis, konstruktiv, fullständig och i rätt tid. Rapporterna vi tagit del av har varit väldisponerade och beskrivningen koncis och med tydliga hänvisningar till källmaterial och koppling till faktiska observationer. Internrevisionen använder sig inte av detta uttryck i sin revisionsrapportering. Efter genomfört uppdrag utarbetas ett rapportutkast som delges intervjupersoner för sakgranskning. Efter att rapporten varit ute för sakgranskning och synpunkter tagits tillvara fastställs rapporten av internrevisionschefen. Därefter sänds den till styrelsen och rektor. I normalfallet sker även en presentation för styrelsen. Om det är en institutionsgranskning sänds rapporten till institutionsstyrelsen med kopia till universitetsdirektören. Vi noterar att den fastlagda rutinen har följts. 2500 Övervaka process och resultat Bedömning: 2500 Övervaka process och resultat I internrevisionens riktlinjer står att den årliga sammanfattande verksamhetsrapporten ska innehålla ett avsnitt om uppföljning av de åtgärder som styrelsen beslutat med anledning av tidigare års granskningar. I de årliga verksamhetsrapporter vi tagit del av framgår det tydligt att det varje år görs en uppföljning av granskningar som genomförts tidigare år. Internrevisionens uppföljningar synes Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 14 E/T

fungera väl. 2600 Uttalande rörande ledningens riskacceptans Bedömning: 2600 Uttalande rörande ledningens riskacceptans Vid våra diskussioner med internrevisionschefen har vi inte fått några indikationer på att internrevisionen har bedömt att myndigheten accepterat en risknivå som kan vara oacceptabel för organisationen. Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 15

Bilaga B Koppling mellan internrevisionsförordningen samt Ekonomistyrningsverkets föreskrifter och allmänna råd mot IIA:s riktlinjer Eftersom internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återspeglas i IIA:s riktlinjer har vi valt att presentera utvärderingen utifrån IIA:s riktlinjer. Nedanstående tabell syftar till att visa under vilka riktlinjer som internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återfinns. Tabell som beskriver under vilka riktlinjer som utvärderingen mot Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd i huvudsak återfinns IIA:s Riktlinjer avseende egenskaper 1000 Syfte befogenhet och ansvar Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd Internrevisionsförordningen 3, 5, 6, 10, 11 ESV:s allmänna råd till 5, 10 1100 Oberoende och objektivitet ESV:s föreskrifter till 2 1200 1300 Kompetens och vederbörlig yrkesskicklighet Kvalitetssäkring och kvalitetsförbättringsprogram IIA:s Riktlinjer avseende utförande Internrevisionsförordningen och ESV:s föreskrifter och allmänna råd 2000 Leda internrevisionsverksamhet Internrevisionsförordningen 2, 4, 6, 7, 9, 10 2100 Arbetets beskaffenhet 2200 Planering av åtagande 2300 Genomförande av åtagande 2400 Rapportera resultat 2500 Övervaka process och resultat 2600 Uttalande rörande ledningens riskacceptans Internrevisionsförordningen 3 ESV:s föreskrifter till 4 Internrevisionsförordningen 9, 10 ESV:s allmänna råd till 9 Extern validering av intern kvalitetsutvärdering av internrevisionsfunktionen LiU 2014 16

Lind Andersson Consulting AB Teknologgatan 6 411 32 Göteborg Tulegatan 12 113 53 Stockholm Telefon 031-234 500 08-234 425 E-post info@lindandersson.se www.lindandersson.se