Intern styrning och kontroll Fastställd av rektor 2014-02-04
Innehållsförteckning Inledning 3 1 Processen för intern styrning och kontroll 3 1.1 Riskanalyser 4 1.1.1 Riskidentifikation 4 1.1.2 Riskvärdering 5 1.1.3 Beslut om hantering 5 1.2 Åtgärder och uppföljning 5 2 ISK-bedömning 6 2.1 Förutsättningar för betryggande intern styrning och kontroll 6 2.2 Bedömningen 7 3 Fortsatt arbete 2014 8 2
Inledning Syftet med detta dokument är att ge en övergripande bild av universitetets process för intern styrning och kontroll och tillämpningen av det externa regelverket. Samtidigt ska det utgöra ett underlag för konsistoriets bedömning av den interna styrningen och kontrollen som görs i samband med beslut om årsredovisningen. Tyngdpunkten ligger därför på att beskriva arbetsmetoder snarare än att göra en beskrivning av enskilda sakförhållanden. Under 2013 har uppföljning av tidigare års riskanalyser genomförts på institutionsnivå. Rektors ledningsråd har, mot bakgrund av dessa, uppdaterat den övergripande riskanalysen för universitetet som helhet och aktualiserat risker på universitetsgemensam nivå. Denna riskanalys har fastställts av rektor och presenterats för konsistoriet i december 2013, Intern styrning och kontroll, Riskanalyser 2013,. Avsnitt 1 beskriver regelverket kring intern styrning och kontroll och universitetets riktlinjer för tillämpning av detta, i avsnitt 2 presenteras de huvudsakliga slutsatserna av 2013 års arbete och avsnitt 3 anger översiktligt hur arbetet kommer att bedrivas under 2014. 1 Processen för intern styrning och kontroll Universitetets arbete med intern styrning och kontroll utgår från att verksamheten ska bedrivas enligt de fyra verksamhetskraven i 3 myndighetsförordningen (2007:515) effektivitet författningsenlighet rättvisande återrapportering och god hushållning med resurser Med effektiv verksamhet avses att myndigheten bedriver den verksamhet som riksdag och regering beslutat om samt att regeringens mål för verksamheten uppnås. I universitetets fall är det främst högskolelagen som ger uttryck för statsmakternas mål. Universitetets egna mål på övergripande nivå framgår av Mål och strategier för Uppsala universitet. Verksamhetskraven har redan tidigare ställts från statsmakternas sida (i högskolelag, högskoleförordning och myndighetsförordning) och innebär därför i sak inget nytt. Däremot finns det numera en obligatorisk process för att säkerställa kravuppfyllelsen. Processen har beslutats av regeringen och återfinns i förordningen (2007:603) om intern styrning och kontroll, FISK. Momenten i denna process är: riskanalys kontrollåtgärder uppföljning dokumentation Av 2 kap 2 p2 högskoleförordningen (1993:100) framgår att högskolans styrelse ska säkerställa att det vid högskolan finns en intern styrning och kontroll som fungerar på ett 3
betryggande sätt. I anslutning till underskriften av årsredovisningen ska konsistoriet, enligt 2 kap 8 förordning (2000:605) om årsredovisning och budgetunderlag, göra en bedömning av den interna styrningen och kontrollen och ange eventuella brister. Grunden för bedömningen är den dokumentation som upprättats enligt 6 förordningen om intern styrning och kontroll. 1.1 Riskanalyser I universitetets Riktlinjer för tillämpning av förordningen (2007:603) om intern styrning och kontroll, UFV 2009/1486 anges att: Processen för intern styrning och kontroll ska vara integrerad i ordinarie verksamhetsplanering och uppföljning för att på ett effektivt sätt bidra till utveckling och förnyelse samt förstärka kvalitetsarbetet vid universitetet. Riskanalysen ger möjligheter till en strukturerad analys av de faktorer som skulle kunna orsaka att verksamheten inte bedrivs effektivt och med god resurshushållning, regelefterlevnad och rättvisande återrapportering. Riskanalyser kan därmed stärka möjligheterna att prioritera olika alternativ och att effektivisera verksamheten. Analyserna kan bidra till att vissa oönskade händelser kan förutses och därmed undvikas. En ytterligare avsikt med riskanalyserna är att ge konsistoriet och universitetsledningen en samlad och strukturerad bild av de viktigaste riskområdena vid universitetet och en möjlighet att påverka hanteringen av dem. Metoden för att utföra riskanalyser anges i riktlinjerna och innefattar de tre stegen riskidentifikation, riskvärdering och beslut om hantering. 1.1.1 Riskidentifikation Det första steget i riskanalysen består i att identifiera riskerna, vilket enligt förordningen om intern styrning och kontroll innebär att fastställa händelser som utgör hot mot att målen uppnås. I 1 kap högskolelagen (1992:1434) och i regleringsbrevet finns bestämmelser för universitetets verksamhet uttryckta som mål. Dessa har i Mål och strategier för Uppsala universitet utvecklats och delats upp i fyra fokusområden: Ett universitet för framstående forskning, Ett universitet för förstklassig utbildning, Ett universitet i samhället och En universitetsmiljö i utveckling. I en miljö som strävar efter utveckling och förnyelse kan begreppet risk i förordningens betydelse av hot mot verksamhetens måluppfyllelse ha en alltför negativ klang och leda tankarna till att man ska undvika att ta risker när risktagandet i själva verket är en förutsättning för framgång. I universitetets riktlinjer för tillämpning av förordningen om intern styrning och kontroll anges att riskanalyser utgör ett verktyg för att göra strukturerade och medvetna val. Riskerna kan därför också identifieras genom att använda sig av frågorna Vad behöver vi? respektive Hur behöver vi vara? På så vis formuleras de framgångsfaktorer som är viktiga för måluppfyllnad. Dessa framgångsfaktorer vänds sedan till sin motsats och utgör därmed risker i regelverkets mening. Denna metod har visat sig bidra till en ökad acceptans för tillämpningen av regelverket och har, tillsammans med diskussionerna kring 4
verksamhetens mål på olika nivåer, varit en viktig framgångsfaktor för arbetet med intern styrning och kontroll. Identifieringen av framgångsfaktorerna/riskerna utgår ifrån universitetets Mål och strategier och sker i form av frågan: Vilka händelser skulle kunna ha negativ påverkan på? 1.1.2 Riskvärdering Det andra steget i riskanalysen innebär enligt förordningen om intern styrning och kontroll, att bedöma sannolikheten för att en händelse inträffar samt konsekvenserna om så sker. Värderingsskalan uttrycks i enkla termer av mycket sällan - mycket ofta (1-5) respektive mycket liten - mycket stor (1-5) vilket innebär att bedömningen görs ur ett individuellt, kvalitativt perspektiv. 1.1.3 Beslut om hantering Det tredje steget i riskanalysarbetet är att, mot bakgrund av de identifierade och värderade riskerna, besluta om hur riskerna ska hanteras. Teoretiskt sett finns fyra alternativa hanteringsbeslut: att eliminera en risk genom att upphöra med verksamheten som ger upphov till denna risk, att acceptera en risk genom att välja bort direkta åtgärder (men fortsatt bevaka risken), att dela en risk med annan part t.ex. genom en försäkring eller, och framför allt, att med olika former av kontrollåtgärder minimera riskens skadeverkningar. Enligt den teoretiska modellen ska beslut om hantering fattas mot bakgrund av den önskade risknivån/riskaptiten och bedömas i ett kostnads- och nyttoperspektiv. För universitetets del fattas beslut om hantering i stor utsträckning utifrån en kvalitativ värdering, där flera faktorer vägs in. 1.2 Åtgärder och uppföljning Åtgärder för att hantera de risker som identifieras kategoriseras i två grupper. Vissa åtgärder kan beskrivas som befintliga aktiviteter och består till stor del av löpande rutiner och processer där många inte är direkt uppföljningsbara, exempelvis det ständigt pågående kvalitetsarbetet inom utbildning och forskning. Andra åtgärder utgörs av nya utvecklingsinsatser som kan beslutas och följas upp på olika sätt beroende på insatsens karaktär. Uppföljningen är integrerad i den ordinarie planerings- och uppföljningsprocessen och vetenskapsområdenas riskanalyser används som ett underlag i rektors årliga verksamhetsdialoger inför beslut om resurstilldelning. Ansvaret för att följa upp att åtgärderna utförs och får avsedd effekt följer universitetets delegationsordning. 5
2 ISK-bedömning 2.1 Förutsättningar för betryggande intern styrning och kontroll En del av arbetet med intern styrning och kontroll bedrivs inom ramen för Integrerad RISkhantering (IRIS) med fokus på att utveckla och integrera processen såväl i utbildning och forskning som i förvaltningens arbete. Bakgrunden till IRIS är att det finns flera lagar och förordningar som ställer krav på att arbeta med riskanalyser som verktyg: förordningen om intern styrning och kontroll, arbetsmiljölagen, förordningen om riskhantering i staten och föreskrifter om statliga myndigheters arbete med säkert elektroniskt informationsutbyte är exempel på detta som berör universitetet. Dessa analyser bör så långt som möjligt samordnas i beskrivning, metod och tid så att likheter och skillnader tydligt framgår. Målen med samordningsarbetet är att: utforma en enhetlig tillämpning av riskhanteringsverktyget integrera riskhanteringen i ordinarie planering så att resultatet av analyserna kan beaktas i den övergripande planeringen och uppföljningen På universitetets webbsida finns en sida med information som riktar sig till institutioner och avdelningar om arbetet med riskanalyser ur de olika perspektiven samt blanketter för inrapportering. Inför den årliga verksamhetsplaneringen görs områdesvisa sammanställningar av riskanalyser så de kan användas som ett underlag för beslut. En förutsättning för betryggande intern styrning och kontroll är att överliggande nivåer får kännedom om vilka risker som finns i organisationen och som är av karaktären att de borde hanteras på en högre nivå och/eller att fler i organisationen borde få kännedom om hur risken hanteras och dra nytta av andras erfarenheter. Vissa risker uppträder lokalt på institutionsnivån, andra på överliggande nivåer och vissa ligger helt utanför universitetets påverkan. Risker åtgärdas också på olika nivåer, på institutionen, fakultets-/områdesvis och på ledningsnivå. I samband med utformandet av arbetsordningen för universitetet har den interna delegationsordningen tydliggjorts och det kan konstateras att ansvaret att verka för god intern styrning och kontroll och för att följa lagar och förordningar numera är tydligt angivet på samtliga nivåer och för samtliga ansvariga, från rektor till prefekt såväl som från universitetsdirektör till avdelningschefer. För en betryggande intern styrning och kontroll och för att hantera ovanstående risk krävs också en väl fungerande planerings- och uppföljningsprocess för att föra ut uppdrag och regelverk i organisationen och för att följa upp de beslut som fattats. En annan viktig framgångsfaktor som samtidigt utgör ett övergripande skydd mot risker avseende universitetets integritet, rör kvaliteten i verksamheten. Uppföljning i betydelsen utveckling och utvärdering av denna kvalitet görs löpande på en mängd olika vis och i olika sammanhang, såväl internt som externt. Inom utbildningen kan nämnas Högskoleverkets utvärderingar, studenternas kursvärderingar, kurs- och programutveckling, pedagogisk utveckling, Kreativt utvecklingsarbete vid Uppsala universitet, KrUUt, satsningen på excellenta lärare etc. Universitetet har utarbetat rutiner som säkerställer snabba och kraftfulla åtgärder för de utbildningar som av Högskoleverket fått omdömet bristande kvalitet. Inom forskningen kan nämnas Kvalitet och Förnyelse 2011, KoF11, extern publicering av forskningsresultat, konkurrensutsatt extern bidragstilldelning, 6
sakkunnigförfarandet vid anställningar och internationella rankinglistor. Denna löpande utvärdering kan ses som en indirekt uppföljning av kontrollåtgärder och i många fall görs därför ingen separat uppföljning av specifika åtgärder. Fortfarande har risken att vissa av de administrativa systemen inte håller måttet fullt ut som ett stöd till verksamheten värderats som relativt allvarlig och åtgärder pågår och utvecklas för att hantera denna risk. Ett större projekt har inletts under året som syftar till att skapa förutsättningar för ett kontinuerligt kvalitetsarbete i administrationen genom att analysera, utveckla och harmonisera administrativa arbetsflöden inom hela universitetet och en handlingsplan för IT 2014-2016 har tagits fram med utgångspunkten att samordna och finna strategier som leder till effektiva gemensamma lösningar. Det finns ett stort behov av att långsiktigt skapa en stabil datamiljö för universitetets studenter och anställda. De pågående åtgärderna gör att riskerna avseende de administrativa stödsystemen ligger inom universitetets accepterade risknivå/riskaptit och den interna styrningen och kontrollen bedöms därför sammantaget vara tillfredsställande på denna punkt. Att systematiskt och heltäckande följa upp all regelefterlevnad inom universitetet vore inte kostnadseffektivt och inte heller praktiskt möjligt men genom de separata avrapporteringar från universitetsförvaltningens enheter som gjorts under tidigare år kan det konstateras att processerna för att säkerställa att lagar och förordningar följs är väl utvecklade. I introduktionen av nyanställda skapas en medvetenhet om grundläggande värden i verksamheten och god kännedom om de regler och riktlinjer som styr. Det har också bekräftats vid tidigare intervjuer med prefekter, dekaner och vicerektorer. En specifik risk som uppmärksammats tidigare i detta sammanhang gäller följsamheten avseende Lagen om offentlig upphandling, LOU. Under senare år har det bedrivits ett omfattande arbete för att hantera denna risk. Enheten för upphandling har omorganiserats till Ekonomiavdelningen (numera avdelningen för Ekonomi och upphandling), ett elektroniskt inköpsverktyg kommer att implementeras och de sammanlagda resurserna för universitetets inköpssamordning har utökats. Det finns numera också lättillgänglig information på universitetets hemsida om vilka avtal universitetet har upprättat och länkar till statliga ramavtal samt Riktlinjer för upphandling, UFV 2010/1853. 2.2 Bedömningen I samband med inrapporteringen av de allvarligaste riskerna och deras hantering har ansvariga prefekter gjort en egenbedömning av den interna styrningen och kontrollen inom respektive institution. Denna bedömning har gjorts utifrån universitetets riktlinjer för tillämpning av förordningen om intern styrning och kontroll och kan ses som ett uttryck för universitetets förmåga att uppfylla sina mål. Den stora majoriteten har angivit att den interna styrningen och kontrollen inom respektive institution är betryggande. De risker som getts höga riskvärden har analyserats i rektors ledningsråd. Med beaktande av befintliga aktiviteter beslutades för 2013 att samtliga rapporterade risker var väl omhändertagna och låg inom universitetets önskade risknivå/riskaptit. Även om årets ISK-arbete visar att det kan finnas risker för universitetets måluppfyllnad är bedömningen att de pågående och planerade åtgärderna gör att riskerna är omhändertagna och ligger inom en acceptabel nivå. Därmed utgör de inte någon brist och därför kan den interna styrningen och kontrollen i allt väsentligt anses betryggande. 7
3 Fortsatt arbete 2014 Det fortsatta ISK-arbetet kommer att bedrivas med de fyra fokusområdena i Mål och strategier för Uppsala universitet som en fortsatt utgångspunkt och på ett sådant sätt att samtliga berörda parter ska kunna dra nytta av arbetet. Under året kommer integrationen i de ordinarie planerings- och uppföljningsprocesserna att fördjupas. Den granskning av universitetets arbete med intern styrning och kontroll som utförts av internrevisionen kommer att ligga som grund för fortsatt utvecklingsarbete. 8