1 (1) BESLUT 2015-12-01 Dnr SU FV-1.1.6-3218-15 Handläggare: Mikael Lundén Internrevisionschef Revisionsplan för 2016 vid Stockholms universitet har efter en riskanalys av universitetets verksamhet utarbetat en revisionsplan för 2016. En utgångspunkt för revisionsplanen är Stockholms universitets riskanalys. Beslut Universitetsstyrelsen beslutar att godkänna revisionsplan för 2016. Stockholms universitet Besöksadress: Telefon: 08-16 20 00 Universitetsvägen 12 106 91 Stockholm www.su.se E-post: mikael.lunden@su.se
1(6) 2015-11-19 Dnr: SU FV-1.1.6-3218-15 Mikael Lundén Internrevisionschef Virve Gröningson Internrevisor Revisionsplan för 2016 1. Inledning Internrevision vid Stockholms universitet bedrivs enligt Internrevisionsförordningen (2006:1228). Enligt förordningens 3 ska internrevisionen granska och lämna förslag till förbättringar av myndighetens processer för riskhantering, intern styrning och kontroll. ska bedrivas i enlighet med god internrevisionssed och internrevisorssed. 2. Organisation och resurser I enlighet med förordningen är internrevisionen en fristående enhet organisatoriskt placerad under universitetsstyrelsen till vilken internrevisionen rapporterar. består av två heltidstjänster, som vid behov kan kompletteras med externa revisionstjänster. 3. analys Revisionsplanen ska grundas på en av internrevisionen genomförd analys av risken för väsentliga fel i den granskade verksamheten. Utgångspunkten för denna analys är Stockholms universitets riskanalys. Den är upprättad efter en metod som bygger på att först identifiera väsentliga riskområden i verksamheten och därefter kartlägga hur universitetet hanterar dessa risker. gör en egen bedömning av verksamhetens risker och redovisar sina synpunkter till styrelsen. 4. Förslag till revisionsområden 2016 Utifrån s genomförda riskanalys, egna bedömningar och observationer i tidigare granskningsarbete, föreslås att följande granskningar ska genomföras under 2016. Stockholms universitet Besöksadress: Hus F, 6 tr. rum Telefon: 08-16 44 99 669 och 672 106 91 Stockholm E-post: mikael.lunden@su.se
2(6) 4.1 Affärstransaktioner mellan SU och anställdas bolag, medelrisk Negativa händelser och negativ publicering i media kan skada förtroendet för universitetet, dess utbildning och forskning. Om regelverket och riktlinjer inte följs, t ex inom känsliga områden som affärstransaktioner mellan SU och SU-anställd eller dennes bolag, kan det innebära förtroendeskada. Granskningsaktiviteter genomförde under 2015 en förstudie om att det förekommer affärstransaktioner mellan Stockholms universitet och anställdas bolag. Granskningen visade bl.a. att en institution hade köpt utbildningstjänster från ett företag som ägs av anställda vid universitetet. Samma företag hade även anlitats av förvaltningen. Med anledning av granskningsresultatet i förstudien bedömer internrevisionen att det är motiverat att genomföra en mer omfattande granskning av förekomsten av affärstransaktioner mellan anställd och dennes bolag. Granskningen görs genom stickprov och intervjuer på ett antal institutioner. 4.2 Brister i myndighetsutövning, medelrisk för att anställda saknar tillräcklig kunskap om gällande regelverk vid beslut som innebär myndighetsutövning mot enskilda/studenter. Bristande regelefterlevnad och bristande myndighetsutövning. Brister kan leda till förtroendeskada och till att enskilda drabbas av felaktiga beslut. Granskningsaktivitet avser att granska om anställda har erforderlig kunskap vid myndighetsutövning mot enskilda/studenter. Områden som berörs är rättssäkerhetsfrågor vid antagning, examination och tillgodoräknanden. Granskningen omfattar även styrande dokument och om utbildning sker till anställda i frågor om myndighetsutövning. Granskningen avser att översiktligt klargöra olika processer organisationen tillämpar för att reglerna efterlevs.
3(6) Granskningen genomförs genom intervjuer och dokumentstudier vid studentavdelningen och ett antal institutioner. Syftet är att kartlägga och analysera brister samt lämna förslag på förbättringsåtgärder. 4.3 Regelefterlevnaden avseende representation, hög risk Av internrevisionens årsrapport för 2014 framgick bl.a. att de granskade institutionerna hade bristande rutiner avseende representation. Ofta saknades det olika underlag exempelvis deltagare och syfte med representationen. Ibland var även momsredovisningen felaktig. Eftersom underlagen är bristfälliga kan internrevisionen konstatera att det är komplicerat och ibland omöjligt att följa upp om representationskostnaderna är motiverade och därmed har koppling till verksamheten. Trots att en ny representationspolicy beslutades under 2014 visade granskningen att ytterligare justeringar av policyn är nödvändiga. menade även att det fanns behov av utbildning och informationsinsatser avseende reglerna för representation samt att ekonomihandboken borde ha kompletterats med ett kapitel om representation. Om regelverket avseende representation inte är tydligt riskerar universitetets redovisning av kostnader för intern- och extern representation och moms blir felaktigt bokförd. en är även stor för att skatteverkets regler avseende förmånsbeskattning m.m. inte följs. Det finns också betydande risk för oegentligheter. Felaktig representation kan även förorsaka förtroendeskada för universitetet och dess utbildning och forskning. har i sin riskbedömning bedömt att risken för felaktig hantering av representation och reglerna kring denna är hög. Granskningsaktiviteter Granskningen har som syfte att kontrollera om ett antal institutioner och övriga enheter har tillfredsställande rutiner för att hantera representation. En frågeställning i granskningen är att klargöra om gällande lagstiftning, skatteverkets regler och universitetets policy följs. avser att genomföra en större substansgranskning och identifierade avvikelser mot gällande regler för representation kommer att analyseras. 4.4 Prefektrollen och det administrativa stödet, hög risk Prefektrollen är omfattande och innebär att ha ett övergripande ansvar för både utbildning, forskning och administration. I måldokumentet Strategier för Stockholms Universitet 2015-
4(6) 2018 1 framgår bl.a. att de akademiska ledarna måste erbjudas stöd i sin roll så att de kan fortsätta sin vetenskapliga verksamhet både under och efter chefskapet. Vidare framgår av strategierna att för att det vardagliga arbetet på institutionerna ska fungera krävs att institutionerna har kvalificerade administrativa chefer som leder institutionernas administrativa arbete i nära samarbete med prefekten. Det behövs för att avlasta prefekten administrativa uppgifter och därutöver skapa kontinuitet vid prefektbyten. I strategierna nämns även att det är nödvändigt att kontinuerligt pröva huruvida uppgifter av administrativ art ska hanteras decentraliserat inom kärnverksamheten eller samordnas inom den centrala förvaltningen. Stockholms universitet har under de senaste åren inlett en process för att slå samman institutioner till större enheter. Omfattningen av prefektens administrativa arbetsuppgifter etc. har vid dessa sammanslagna institutioner ökat väsentligt då organisationen har blivit större och de externa kontakterna ökat. Samtidigt har prefekten det fortsatta ansvaret för sin undervisning och forskning. Prefekten har ett flertal arbetsuppgifter som sträcker sig över många olika ansvarsområden. Därutöver är regelverken komplexa vilket innebär omfattande administration på varje institution. Samtidigt ställs det höga krav på att institutionen tillämpar mål och strategier och interna kontrollrutiner. Enligt internrevisionen finns det i sammanhanget ett antal riskområden som måste beaktas. Exempel på en sådan risk är att institutionen inte verkar utifrån beslutade mål och strategier vilket försvårar det långsiktiga utvecklingsarbetet vid universitetet. Vidare finns det risk för ett otydligt ledarskap bl.a. på grund av bristande stöd och support till prefekten i dennes roll som chef. Det finns också risk för brister i den administrativa kompetensen vilket kan leda till försvagad styrning och uppföljning av verksamheten. har i sin riskbedömning bedömt att de risker som är förknippade med prefektrollen är hög. Även risken för att det administrativa stödet är otillräckligt och sårbart vid institutionerna, betecknar internrevisionen som hög. Det finns i sammanhanget också betydande risker för att de lokala administrationerna idag utför arbetsuppgifter som med fördel istället skulle kunna utföras med bättre samordning på den centrala förvaltningsnivån. 1 Fastställd av Stockholms universitetsstyrelse 5 dec. 2014 dnr SU FV-1.1.2-3511-14
5(6) Granskningsaktiviteter Granskningens syftar till att övergripande analysera arbetssituationen för prefekterna vid Stockholms universitet. Aktuella områden i granskningen fokuseras på ansvar och befogenheter, styrning och ledning, information och kommunikation och stöd och resurser. Vidare avser granskningen att klargöra hur prefekten introduceras på uppdraget. Granskningen har även ett fokus på hur det administrativa stödet är dimensionerat vid institutionerna. I granskningen kommer därvid frågan om möjligheter till central hantering av vissa administrativa uppgifter som i nuläget hanteras på institutionsnivå, att diskuteras övergripande. Granskningen genomförs bl.a. genom intervjuer med personal vid fakulteter, institutioner, rektor och företrädare för förvaltningen. 5 Löpande granskningsinsatser 5.1 Institutionernas interna styrning och kontroll Den långtgående decentraliseringen ställer höga krav på att myndighetens interna styrning och kontroll är utformad så att den fungerar på alla nivåer. Oavsett verksamhet gäller samma regler. Målen ska nås, krav om att verksamheten är effektiv med god hushållning av statens medel, följa lagar, förordningar och andra regler, samt lämna tillförlitlig rapportering. Att god styrning och kontroll faller bort med decentraliseringen och att prefektuppdraget inte är tillräckligt definierat avseende intern styrning och kontroll (ISK). en är även att ISK inte är tillräcklig för att säkerställa kraven i myndighetsförordningens tredje paragraf 2. 2 SFS 2007:515
6(6) Granskningsaktivitet avser att granska den interna styrningen och kontrollen vid ett antal institutioner. Granskningsaktiviteterna kommer att variera beroende på vilka risker som föreligger vid respektive institution. En fördjupad riskanalys genomförs i samband med att granskningen på institutionen inleds. Exempelvis kan följande riskområden komma att granskas: Administrativa resurser, budgetering och ekonomisk uppföljning, IT-säkerhet, myndighetsutövning, inköp, bisysslor, betalningshantering. 6 Förstudie 6.1 Nationellt centrum för livsvetenskaplig forskning (SciLifeLab) Under 2015 har universitetets internrevision i samarbete med internrevisionerna vid KI, KTH och UU fört samtal med delar av ledningen för SciLifeLab. Bakgrunden är att KTH och KI på uppdrag av sina styrelser har genomfört granskningar av SciLifeLab. Granskningarna har i båda fallen inriktats på organiseringen, ledningen och styrningen samt den ekonomiska rapporteringen för SciLifeLab vid respektive universitet. Resultatet av granskningarna visar bl.a. att den nuvarande styrningen av SciLifeLab inte är tillräcklig och att det finns behov av att vidta åtgärder. I granskningarna klarläggs relativt omfattande brister avseende de delar av projektet som bedrivs vid KTH och KI. Exempelvis nämns administrativa brister i arbetsmiljö, organisation och ekonomisk uppföljning. Internrevisionerna vid de fyra universiteten kommer under hösten 2015 att träffa ledningen för SciLifeLab för att diskutera de klarlagda problemen. har påbörjat ett samtal med prorektorn vid SU för att klarlägga de problem som SU har identifierat i projektet. avser att följa arbetet med SciLifeLab under 2016 och de särskilda förutsättningar som gäller för SU. Då SciLifeLab omsätter statliga anslagsmedel till betydande belopp (ca 340 mnkr 2014) fördelat på de fyra universiteten, finns det relativt stora risker förknippade med en konstaterat otillräcklig styrning och ledning av projektet. vid SU avser att genomföra en förstudie under 2016 för att klargöra eventuella problem och frågeställningar utifrån den del av projektet som bedrivs inom SU. Bilaga 1. Planerad tidsåtgång
Bilaga 1. Revisionsplan Planerad tidsåtgång för år 2016 Verksamhetsområde Antal dagar Avrapporteringstidpunkt Internrevision två personer: Affärstransaktioner mellan SU och anställdas bolag 45 Första halvåret Brister i myndighetsutövning 45 Första halvåret Regelefterlevnaden avseende representation 45 Andra halvåret Prefektrollen och det administrativa stödet 45 Första halvåret Förstudie SciLifeLab 30 Andra halvåret Institutionernas interna styrning och kontroll 90 Löpande Reservtid till ad hoc-granskning 20 Summa egen revision Summa extern revision 320 dagar 20 (Granskning av representation) Övrig resursåtgång: Rådgivning 15 Planering, riskanalys och årsrapportering 15 Kvalitetssäkrings- och kvalitetsförbättringsarbete 15 Interna och externa möten 20 Utbildning och kompetensutveckling 25 Övrigt 10 Summa övrig resursåtgång 100 dagar TOTALT 420 arbetsdagar 2015-10-23