Härmed överlämnas enligt 9 § lagen (2002:1022) om revision av statlig verksamhet m.m. följande granskningsrapport över effektivitetsrevisionen:

Internrevisionen vid myndigheter

– en funktion som behöver stärkas

Riksrevisionen har granskat den statliga internrevisionens förutsättningar att stärka myndigheternas interna styrning och kontroll. Resultatet redovisas i denna granskningsrapport. Rapporten innehåller slutsatser och rekommendationer som gäller regeringen och Ekonomistyrningsverket.

Företrädare för Finansdepartementet och Ekonomistyrningsverket har fått tillfälle att faktagranska och i övrigt lämna synpunkter på ett utkast till rapporten.

Avdelningschef för effektivitetsrevisionen Robert Boije har beslutat i detta ärende. Revisionsledare Maria Ljunggren har varit föredragande. Revisor Nedim Colo och t.f. enhetschef Leif Svensson har medverkat i den slutliga handläggningen.

Robert Boije

Maria Ljunggren

För kännedom:

Regeringen, Finansdepartementet

Ekonomistyrningsverket

R I K S R E V I S I O N E N

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Innehåll

R I K S R E V I S I O N E N

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Sammanfattning

Bakgrund

Internrevisionen i staten reglerades för första gången i förordningen (1995:686) om intern revision vid statliga myndigheter m.fl. Bakgrunden till förordningen var 1990-talets statsfinansiella kris i kombination med bristande intern styrning och kontroll i den statliga förvaltningen. Internrevisionsförordningen kom att gälla myndigheter med dels omfattande intern delegering av ansvar och befogenheter, dels administration av stora pengaflöden. Idag har 69 myndigheter internrevision, vilka tillsammans omfattar 90 procent av statens budget.

År 2006 utfärdade regeringen en ny internrevisionsförordning (2006:1228). I samband med detta fick Ekonomistyrningsverket (ESV) det övergripande förvaltningsansvaret för den statliga internrevisionen.

Ett motiv för Riksrevisionens granskning är de indikationer på internrevisionens bristande förutsättningar för att stärka intern styrning och kontroll som framkommit under senare tid. Det har också framförts kritik mot hur ESV utför sitt uppdrag att samordna, förvalta och utveckla internrevisionen.

Syfte och genomförande

Riksrevisionen har granskat internrevisionen vid statliga myndigheter. Granskningens syfte är att bedöma om internrevisionen har ändamålsenliga förutsättningar att stärka myndigheternas interna styrning och kontroll. I detta ingår att analysera hur ESV hanterar sitt uppdrag om internrevision samt regeringens interna samordning.

Granskningen utgår från följande frågor:

1.Är internrevisionens förutsättningar ändamålsenliga för att stärka myndigheternas interna styrning och kontroll?

2.Bedriver ESV sitt uppdrag om internrevisionen på ett ändamålsenligt sätt?

3.Är Regeringskansliets interna samordning av internrevisionen effektiv?

Det empiriska underlaget för granskningen består dels av fallstudier vid 14 myndigheter, dels av en dokumentanalys och intervjuer med berörda tjänstemän vid Regeringskansliet och ESV. Fallstudierna är valda för att spegla internrevisionen inom flera olika typer av myndigheter. Mot bakgrund av antalet undersökta fall och undersökningens upplägg finns det skäl att tro att flera av de problem som iakttagits även förekommer på andra myndigheter.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

Granskningens resultat och slutsatser

Riksrevisionens övergripande slutsats är att internrevisionens förutsättningar behöver stärkas. Internrevisionen har inte alltid möjlighet att utföra sitt uppdrag på ett ändamålsenligt sätt. Bland annat saknar många internrevisionschefer vid styrelsemyndigheter åtkomst till uppdragsgivaren.

Riksrevisionens granskning visar att enmansrevisorer har ett bättre samspel med myndighetsledningen men myndighetsledningen används också som stöd under granskningsarbetet. I majoriteten av fallen fungerar enmansrevisorernas granskningsprocess sämre eftersom flera enmansrevisorer inte genomför någon självständig riskanalys och myndighetsledningen oftare saknar en formaliserad process för att åtgärda internrevisionens rekommendationer. Dessutom genomför enmansrevisorerna i mindre utsträckning extern kvalitetssäkring av sitt arbete. Mot bakgrund av detta finns anledning att förmoda att det goda samspelet i dessa fall har inskränkt på internrevisionens förutsättningar att utföra oberoende granskning enligt gällande regelverk. Enligt Riksrevisionens bedömning är det troligt att funktioner med fler internrevisorer har bättre förutsättningar att bedriva en självständig granskning än enmansrevisorer.

Granskningen visar också att det finns ett behov av att ESV inom ramen för sitt uppdrag bidrar till att förtydliga internrevisionens regelverk. Däremot finns det enligt Riksrevisionens mening ingen anledning för ESV att arbeta specifikt med internrevisionens professionella utövning. Inom Regeringskansliet fungerar den interna samordningen men information om brister i internrevisionen når inte alltid fram till berört departement. En bidragande orsak till detta är att ESV:s årliga rapportering sällan innehåller myndighetsspecifik information.

Det finns brister i internrevisionens organisering

Granskningen visar att internrevisorerna har olika förutsättningar att utföra sitt uppdrag på ett ändamålsenligt sätt. Många internrevisionschefer i styrelsemyndigheter saknar åtkomst till uppdragsgivaren. I vissa fall handlar det om ointresse från uppdragsgivarens sida, vilket resulterat i att styrelseordförande helt lägger över ansvaret för internrevisionen på generaldirektören. I fall där det finns ett revisionsutskott stärks inte internrevisionschefens oberoende, eftersom personer från den operativa ledningen ingår i eller är adjungerande till utskottet.

En annan faktor som påverkar förutsättningarna att bedriva självständig granskning är om internrevisorerna rekryteras från den myndighet man granskar eller ej. I två fall har det förekommit att internrevisionen setts som en möjlighet att omplacera personer internt snarare än som en oberoende instans som ska genomföra kvalificerad självständig granskning av verksamheten. Att internrevisionschefen har lönesamtal med stabschef eller förvaltningschef urholkar också internrevisionens

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

oberoende, eftersom det kan tolkas som att internrevisionen är underordnad den som håller i lönesamtalet.

Enmansrevisorer behöver samverka med andra internrevisorer

För en enmansrevisor ligger det nära till hands att diskutera frågor som kommer upp i det dagliga arbetet med personer på plats i myndigheten, t.ex. med chefer i linjen, ekonomifunktionen eller stabschefen. Detta kan påverka förutsättningarna att bedriva självständig granskning och därför är det viktigt att enmansrevisorer har möjlighet att samverka med varandra. Vissa internrevisionschefer tillgodoser behovet genom formella överenskommelser om samverkan med andra myndigheters internrevision. Att ingå i samverkansavtal ger också enmansrevisorer möjlighet att diskutera sina granskningar och få oberoende synpunkter på genomfört arbete.

Delad internrevision urholkar internrevisionens förutsättningar

Granskningen visar att enmansrevisorer som delar sin tjänst mellan två myndigheter har svårt att upprätthålla ett granskningsarbete i enlighet med gällande regelverk. Kostnaden för en heltidstjänst har inte påtalats som ett problem. Däremot uttrycker några myndighetsledare att det finns ett större behov av internrevision än vad lösningen med en delad tjänst tillåter. När myndigheter delar på en internrevisor blir funktionen dessutom sårbar, eftersom eventuell tjänstledighet och sjukdom då drabbar flera myndigheter.

Det finns brister i granskningsprocessen

Riksrevisionens fallstudier visar att internrevisionen i vissa fall inte gör en självständig riskanalys. Det är allvarligt eftersom en självständig riskbedömning är grunden för det fortsatta granskningsarbetet. Om en sådan saknas går det varken att värdera det fortsatta arbetet eller utröna om internrevisionen har arbetat självständigt från övrig verksamhet. Dessutom försvåras dialogen med styrelsen om identifierade risker.

Extern kvalitetssäkring är viktig för att stärka internrevisionen

Den externa kvalitetssäkringen är viktig för att dels kvalitetssäkra internrevisionens arbete, dels stärka internrevisionens förutsättningar för ett organisatoriskt oberoende. Riksrevisionens granskning visar emellertid att vissa myndigheter inte genomför någon extern kvalitetssäkring alls, eller att en sådan sker mer sällan än vart femte år. Det gör att ledning och internrevision under en längre tid kan gå miste om möjligheter att förbättra internrevisionens förutsättningar att utföra sitt uppdrag.

Internrevisionen ser olika på om de ska lämna en bedömning

En internrevisor ska granska myndighetens process för intern styrning och kontroll, men det ställs inget krav på att internrevisorn lämnar ett formellt uttalande om processen till sin uppdragsgivare. Av Riksrevisionens fallstudier framgår att inte alla

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

uppdragsgivare efterfrågar någon sådan bedömning. Men en del internrevisorer tolkar internrevisionsförordningen som att de ska lämna en bedömning till myndighetsledningen om den interna styrningen och kontrollen. Enligt god sed tillför internrevisionen värde när den ger en objektiv och relevant försäkran om bl.a. styr- och kontrollprocesserna hos en myndighet. Mot denna bakgrund anser Riksrevisionen att internrevisorer bör lämna en bedömning till sin uppdragsgivare om den interna styrningen och kontrollen vid myndigheten.

ESV ger inte tillräckligt stöd för att tolka internrevisionens regelverk

Internrevisionscheferna har nytta av den samordning ESV erbjuder för praktiskt internrevisionsarbete. I granskningen framkommer dock att vissa internrevisorer och myndighetsledningar upplever att de inte får det stöd de behöver för att tolka regelverket. ESV:s stöd är viktigt eftersom det finns utrymme att tolka föreskrifterna på olika sätt. Vid behov är det därför angeläget att ESV klargör vad som gäller enligt regelverket på ett enhetligt sätt och påtalar detta för internrevisionen och myndighetsledningen.

ESV bör utveckla sin återkoppling till internrevisorerna

Inom ramen för ESV:s förvaltnings- och utvecklingsarbete samlar myndigheten information om internrevisionen på olika sätt. I granskningen framkommer att det är oklart hur ESV använder insamlad information för att förbättra internrevisionens förutsättningar. Riksrevisionen anser att uppdraget att verka för en utveckling av internrevisionen bl.a. innebär att ESV ska återkoppla iakttagelser till målgruppen och på så sätt verka för att internrevisionen arbetar enligt god sed.

Myndighetshandläggare behöver tydligare information om internrevisionen

Finansdepartementet samordnar inom Regeringskansliet den information som kommer in om den statliga internrevisionen och är i detta till viss del beroende av den årliga rapporten från ESV. Rapporterna återger internrevisionens regelefterlevnad men sällan kvaliteten på internrevisionens arbete eller i vilken utsträckning internrevisionen bidrar till att stärka intern styrning och kontroll. I de fall ESV uppmärksammar brister i internrevisionen så preciseras inte alltid vilka myndigheter det gäller i den årliga rapporten. Det innebär att berört departementet inte på ett tydligt sätt uppmärksammas på bristerna, trots att detta skulle vara användbart i myndighetsstyrningen.

Internrevisionen diskuteras inte av berörda parter

Varken ESV eller myndighetshandläggarna för en diskussion om internrevisionen med myndighetsledningen. I ESV:s fall beror detta på att myndighetsledningarna inte efterfrågar någon sådan dialog, medan myndighetshandläggarna inte ser

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

någon anledning av att diskutera internrevisionen med respektive myndighetsledning. Många myndighetsledare och myndighetshandläggare saknar också kunskap om vilka kriterier som varit avgörande för att deras myndighet lyder under internrevisionsförordningen. Det försvårar en diskussion om internrevisionens relevans och vad den ska åstadkomma.

Rekommendationer

Riksrevisionen riktar följande rekommendationer till regeringen och Ekonomistyrningsverket. Syftet med rekommendationerna är att förbättra internrevisionens förutsättningar att stärka myndigheternas interna styrning och kontroll.

Regeringen

Regeringen bör överväga om det ska införs krav på att varje myndighet som lyder under internrevisionsförordningen ska ha minst en heltidstjänst för internrevisionen. Ett sådant krav skulle kunna tjäna som utgångspunkt för vad som kan betraktas som tillräckliga resurser för internrevisionen.

Regeringen bör överväga att förtydliga huruvida internrevisionen ska lämna en årlig bedömning av myndighetens interna styrning och kontroll till myndighetsledningen. Ett sådant förtydligande skulle klargöra internrevisionens uppdrag för såväl myndighetsledning som internrevisor samt förtydliga innehållet i god sed så att denna tillämpas likvärdigt i den statliga internrevisionen.

Regeringen bör ge Ekonomistyrningsverket i uppdrag att samordna den externa kvalitetssäkringen av myndigheternas internrevision. Vidare bör regeringen ställa krav på att extern kvalitetssäkring genomförs minst vart tredje år.

Ekonomistyrningsverket

Ekonomistyrningsverket bör aktivt arbeta för att enmansrevisorer ska ingå samverkansavtal med andra internrevisorer för att öka enmansrevisorernas möjlighet att diskutera och kvalitetssäkra sitt revisionsarbete på ett strukturerat sätt.

Ekonomistyrningsverket bör utveckla sin återrapportering om internrevisionen till regeringen. Återrapporteringen bör inkludera uppgifter om enskilda myndigheter.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

Tabell 1 Definition av hur begrepp och yrkestitlar vid myndigheter används i granskningen

10 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

1 Inledning

Internrevisionen i staten regleras i internrevisionsförordningen (2006:1228). Internrevisionens uppgift är att analysera verksamhetens risker och självständigt granska om myndighetsledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet kan fullgöra det ansvar som framgår av myndighetsförordningen.1 Enligt 10 § i internrevisionsförordningen ska myndighetens ledning besluta om riktlinjer och revisionsplan för internrevisionen samt åtgärder med anledning av internrevisionens iakttagelser och rekommendationer.

Myndigheter med internrevision omfattas sedan 2008 av förordningen (2007:603) om intern styrning och kontroll, vilken kräver bl.a. att myndigheterna gör strukturerade riskanalyser och genomför kontroller och uppföljning utifrån detta. Att så sker granskas av internrevisionen.

Regeringens risk- och väsentlighetskriterier avgör vilka myndigheter som ska ha internrevision (se bilaga 1). Ungefär hälften av myndigheterna med internrevision är enrådighetsmyndigheter och ungefär hälften är styrelsemyndigheter.

Myndigheter som omfattas av internrevisionsförordningen ska ha en internrevisionschef. Vid några större myndigheter består internrevisionsfunktionen av fler än en heltidstjänst men i fler än hälften av fallen är internrevisionschefen den enda internrevisorn på myndigheten.

1.1 Motiv till granskning

Internrevisionsförordningen gäller myndigheter med omfattande intern delegering av ansvar och befogenheter och administration av stora pengaflöden. Tillsammans omfattar internrevisionsmyndigheter 90 procent av statens budget. Det är angeläget att regeringen kan förvissa sig om att myndigheternas interna styrning och kontroll fungerar väl. Den statliga internrevisionen har i detta sammanhang en central uppgift.2

Det är viktigt att internrevisionen har förutsättningar att bedriva sitt uppdrag självständigt utifrån ett organisatoriskt oberoende. Samtidigt finns det faktorer som försvårar för internrevisionen att bedriva självständig granskning för att stärka intern styrning och kontroll.3 Mot den bakgrunden har Riksrevisionen valt att

13 § Internrevisionsförordningen (2006:1228).

2Prop. 2006/07:1, s. 268. Budgetpropositionen för 2007 Förslag till statsbudget för 2007, finansplan, skattefrågor och tilläggsbudget m.m.

3Se exempelvis Ekonomistyrningsverket, 2012. Om internrevision, s. 46 och Ekonomistyrningsverket, 2016. Redovisning över den statliga internrevisionen 2016, s. 8 och s. 37.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

granska internrevisionens förutsättningar och i vilken utsträckning Ekonomistyrningsverkets (ESV) uppdrag4 och Regeringskansliets samordning främjar internrevisionens förutsättningar att bedriva självständig granskning.

1.2 Syfte och frågeställningar

Granskningens syfte är att bedöma om internrevisionen har ändamålsenliga förutsättningar att stärka myndigheternas interna styrning och kontroll. I detta ingår att analysera hur ESV hanterar sitt uppdrag om internrevision samt regeringens interna samordning.

Granskningen utgår från följande frågor:

1.Är internrevisionens förutsättningar ändamålsenliga för att stärka myndigheternas interna styrning och kontroll?

2.Bedriver ESV sitt uppdrag om den statliga internrevisionen på ett ändamålsenligt sätt?

3.Är Regeringskansliets interna samordning av internrevisionen effektiv?

Granskningen fokuserar på internrevisionens arbete och organisering samt ESV:s uppdrag att utveckla, förvalta och samordna internrevisionen. I granskningen ingår inte att bedöma ramverket för intern styrning och kontroll, så som Förordningen (2000:605) om årsredovisning och budgetunderlag, Myndighetsförordningen (2007:515 SFS) och Förordningen (2007:603) om intern styrning och kontroll.

1.3 Bedömningsgrunder

Den statliga internrevisionen regleras i första hand av internrevisionsförordningen (2006:1228) tillsammans med ESV:s föreskrifter och allmänna råd. Av 7 § internrevisionsförordningen framgår att internrevisionen ska bedömas enligt såväl god internrevisionssed som god internrevisorssed (hädanefter benämnda god sed).

Enligt ESV:s allmänna råd gällande 7 § kan vägledning hämtas från allmänt accepterade riktlinjer för yrkesmässig internrevision, och inom den statliga internrevisionen är det allmänt accepterat att hämta stöd och söka vägledning för god sed i internationella standarder och vägledningar från Institute of Internal Auditors (IIA) samt handledningar från ESV.

Riksrevisionen har i sina bedömningsgrunder i första hand utgått från internrevisionsförordningen och god sed, vilket i första hand beskrivs i IIA:s International

4 Se exempelvis Statskontoret, 2015. Myndighetsanalys av Ekonomistyrningsverket, s. 64.

12 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Professional Practice Framework (IPPF),5 samt ESV:s handledningar för internrevisionen.6

Riksrevisionen har utifrån ovan beskrivna föreskrifter och standarder valt ut ett antal grundläggande utgångspunkter för att internrevisionen ska kunna utföra sitt uppdrag, vilket innebär att granskningen inte omfattar samtliga utgångspunkter för god sed. Exempelvis har inte granskningen fokuserat på internrevisionens interna kontinuerliga kvalitetsarbete.7 Stöd har också tagits i Miller och Rittenberg (2015) som har lyft fram ett antal risker för internrevisionens oberoende och viktiga förutsättningar att utföra sitt uppdrag.8

Riksrevisionens fokus har varit att undersöka följande:

samspelet mellan internrevisor och myndighetsledning och tillgång till information

åtkomst till uppdragsgivaren, bl.a. vad gäller tid för möten och revisionsutskottets form

internrevisionens bemanning, budget och lönesättning

internrevisionens personella resurser

internrevisionens granskningsprocess och uppföljning av åtgärder

extern kvalitetssäkring av internrevisionen

internrevisionens förmåga att lämna en bedömning om myndighetens interna styrning och kontroll samt hur råd och stöd fungerar.

I anslutning till Riksrevisionens iakttagelser i kapitlen 2 och 3 redovisas relevanta delar av regelverket och de bedömningsgrunder som Riksrevisionen utgår från. I kapitel 2 redovisas bedömningsgrunderna i faktarutor.

1.4 Metod

Det empiriska underlaget för granskningen består i huvudsak av fallstudier vid 14 myndigheter samt dokumentstudier och intervjuer vid ESV och Regeringskansliet.

1.4.1 Fallstudier i två omgångar

För att bedöma internrevisionens förutsättningar har fallstudier genomförts i två omgångar. I urvalet ingår 14 av 69 myndigheter med internrevision. Fallstudierna fokuserat främst på 2014 och 2015 men i vissa fall har det varit nödvändigt att även inkludera tidigare år för att bättre förstå hur funktionen har utvecklats.

5The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF).

6Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen; Ekonomistyrningsverket, 2014. Handledning. Statlig internrevision för myndighetsledningar.

7Detta finns beskrivet i Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen, s. 27–28.

8Miller P och Rittenberg L (2015). The politics of internal auditing, s. 7.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

De myndigheter som ingått i fallstudierna är av olika karaktär och har organiserat sin internrevision på olika sätt. I urvalet ingår såväl enrådighetsmyndigheter som styrelsemyndigheter med respektive utan revisionsutskott. Vidare ingår myndigheter där internrevisionen består av en eller flera internrevisorer samt myndigheter som har egen internrevisionschef respektive delar internrevisionschefens heltidstjänst med en annan myndighet.

Majoriteten av internrevisionsmyndigheterna har enmansrevisorer. Därför ingår fler myndigheter med enmansrevisorer i urvalet. Hänsyn har tagits till myndigheternas geografiska spridning samt olika departementstillhörighet. Tabell 2 presenterar val av fallstudier med tillhörande bakgrundsfaktorer, där varje fall motsvarar en myndighet. D1a och D1b samt D2a och D2b är de myndigheter som har samordnat sin internrevision, dvs. de delar en internrevisionschefs heltidstjänst med en annan myndighet.

Tabell 2 Val av fallstudier

14 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

*) Siffran 1 innebär att myndigheten ingick i första urvalet av fallstudier och siffran 2 att myndigheten ingick i det andra urvalet.

**) Årtalet inom parentes anger när internrevisionsfunktionen inrättades.

Intervjuer har varit den främsta informationskällan. För att triangulera informationen från intervjuerna och komplettera den information som framkommit har följande källor använts:

internrevisionens senaste riktlinjer9

senast gjorda externa kvalitetssäkring

internrevisionens budgetar mellan 2006 och 2016

internrevisionens personalomsättning mellan 2006 och 2016

myndigheternas enkätsvar till ESV avseende 2015.

Första omgången omfattade sju fallstudier

Intervjuer har genomförts med respektive internrevisionschef. I sex av de sju myndigheter som undersökts har nuvarande internrevisionschef tillträtt under eller efter den period som undersökningen omfattar. I de fall internrevisionschefen nyanställdes 2016 har även tidigare internrevisionschef inkluderats i urvalet. Intervjuer har även genomförts med myndighetsledningen, styrelseordförande eller generaldirektör samt den person i myndighetsledningen – stabschef, biträdande generaldirektör, överdirektör eller förvaltningschef – som internrevisionschefen främst har kontakt med. I första omgången genomfördes totalt 25 intervjuer. Samtliga respondenter har fått möjlighet att faktagranska minnesanteckningarna från intervjuerna.

I den första omgången har respondenterna intervjuats med frågor som utgår från Riksrevisionens bedömningsgrunder. Frågorna har varit öppna, vilket har inbjudit respondenten till att utveckla sina svar. En dokumentanalys har därefter gjorts för att värdera kvaliteten av internrevisionens arbete och granskningsprocessen.

Öhrlings Pricewaterhousecoopers (PwC), med specialistkompetens inom internrevision, har på Riksrevisionens uppdrag genomfört en dokumentanalys (se checklista i bilaga 3), där man bedömde internrevisionens arbete 2014 och 2015 vad gäller

9De närmare föreskrifter som behövs om myndighetens internrevision och om hur myndigheten försäkrar sig om att internrevisionen följer god sed.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

effektivitet och relevans för den specifika verksamheten samt kvaliteten i internrevisionens arbete och granskningsprocess utifrån internrevisionsförordningen och god sed.

PwC har gått igenom totalt sju myndigheter och undersökt internrevisionens riskanalys, revisionsplan, årsrapporter samt två granskningar per myndighet,10 och man har analyserat kvalitet, relevans och koppling mellan riskanalys, revisionsplan och genomförda granskningar. En bedömning har också gjorts av hur väl internrevisionen har kopplat sina rekommendationer till iakttagelserna i granskningarna. Slutligen har PwC genomfört kompletterande telefonintervjuer med respektive internrevisionschef för att få en ökad förståelse samt hantera uppkomna frågor. Samtliga myndigheter har fått möjlighet att faktagranska dokumentanalysen.

Andra omgången prövade iakttagelserna

De iakttagelser som gjordes i första omgången fallstudier prövades i en andra omgång. I denna grupp valdes myndigheterna ut så att de i så många avseenden som möjligt matchade myndigheterna i det första urvalet. Det innebär att de har samma organisationsform och verksamhetsområde som motsvarande myndighet i första omgången. I ett fall tillhörde myndigheterna olika departement men de hade liknande verksamhetsrisker vid hantering av stora pengaflöden och bådas verksamhet var medborgarnära. De matchande myndigheterna hade i majoriteten av fallen haft internrevisionen lika länge som myndigheterna i den första omgången.

I den andra omgången genomfördes strukturerade intervjuer med internrevisionschef och styrelseordförande eller generaldirektör alternativt enbart generaldirektör; i vissa fall intervjuades även stabschef, överdirektör och avdelningschef. Totalt genomfördes 19 intervjuer i andra omgången. Samtliga respondenter fick möjlighet att faktagranska minnesanteckningarna.

I den andra omgången genomfördes ingen dokumentanalys men iakttagelserna från dokumentanalysen i den första omgången stämdes av i intervjuerna.

1.4.2 Semistrukturerade intervjuer med berörda tjänstemän

Riksrevisionen har också genomfört semistrukturerade intervjuer med berörda tjänstemän för att bedöma hur ESV utför sitt uppdrag samt värdera Regeringskansliets samordning av internrevisionen.

Vid två tillfällen har intervjuer genomförts med tre tjänstemän vid ESV som arbetar med internrevisionen. Syftet har varit att samla in information om hur ESV arbetar utifrån sitt uppdrag med att dels säkerställa att internrevisionen i myndigheterna

10I en av myndigheterna valdes inte två projekt ut eftersom PwC självt har bedrivit granskningar på myndigheten de aktuella åren.

16 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

arbetar enligt internrevisionsförordningen, dels stödja internrevisionen och ESV:s kontakt med regeringen.

Vidare genomfördes en intervju med de två tjänstemän vid Finansdepartementet som ansvarar för internrevisionen. Syftet var att samla in information för att bedöma hur departementet samordnar internrevisionen internt inom Regeringskansliet och hur kontakten med ESV fungerar.

Även myndighetshandläggare vid de myndigheter som har ingått i urvalet har intervjuats. Dessa myndighetshandläggare är kontaktpersoner för både myndigheterna och regeringen, och syftet har varit att undersöka deras tillgång till information om internrevisionen och hur samordningen fungerar mellan handläggarna och Finansdepartementet. Sex myndighetshandläggarna för de myndigheter som ingick i den första omgången fallstudier intervjuades i mötesform. En av myndighetshandläggarna avböjde ett möte och har därför svarat via e-post. De resterande sju myndighetshandläggarna som ingick i fallstudiernas andra omgång ombads enbart att lämna skriftliga svar på intervjufrågorna via e-post.

1.4.3 Referenspersoner

Under granskningsprocessen har Riksrevisionen anlitat två referenspersoner som läst och kommenterat rapportutkastet:

Gunilla Eklöv Alander, ekonomie doktor och lektor vid Företagsekonomiska institutionen Stockholms universitet.

Charlotta Löfstrand Hjelm, certifierad internrevisor och vice ordförande för Professional Certifications IIA.

Riksrevisionen är dock ensamt ansvarig för rapportens slutsatser

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

2 Internrevisionens förutsättningar

I detta kapitel behandlas internrevisionens förutsättningar att stärka myndigheternas interna styrning och kontroll. Förutsättningarna bedöms utifrån hur samspelet mellan internrevisor och myndighetsledning fungerar, hur internrevisionen är organiserad och hur granskningsprocessen fungerar. Kapitlet bygger på fallstudier vid 14 myndigheter samt kompletterande dokumentstudier avseende 2014 och 2015.

Sammantaget varierar internrevisorernas förutsättningar mellan olika myndigheter. Bland annat finns det myndigheter där internrevisionen inte har gjort någon självständig riskanalys baserad på myndighetens riskanalys trots att detta är grundläggande för att internrevisionen fortsatta granskningsarbete ska fungera. Det finns även internrevisorer som saknar direkt åtkomst till sin uppdragsgivare dvs. aldrig träffar sin uppdragsgivare ensam.

2.1 Övergripande resultat

I Tabell 3 redovisas hur respektive fallstudie svarar mot granskningens första revisionsfråga om internrevisionens förutsättningar. I tabellen redovisas de aspekter som ingår i bedömningen av revisionsfrågan. Se bilaga 4 för en närmare beskrivning av hur kvalitetskriterierna har operationaliserats. Varje fallstudie värderas i tabellen och kriterierna presenteras enligt följande:

grön = ändamålsenligt

gul = finns brister

röd = inte ändamålsenligt.

Samtliga problem som iakttogs i omgång ett återfanns också i omgång två. I några fall hittades problem i hälften eller fler av de 14 undersökta fallen. Det indikerar att dessa problem är relativt utbredda i en större krets av myndigheter. I den andra omgången har dock varken riskanalys, granskning och rekommendationer eller åtgärder bedömts i en dokumentanalys. I stället har dessa områden bedömts utifrån hur respektive respondent beskriver dem i de genomförda intervjuerna.

18 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Tabell 3 Internrevisionens förutsättningar att stärka intern styrning och kontroll, sammanställning av fallstudierna 2014 och 2015

Ett fungerande samspel

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

2.2 Samspelet fungerar inte alltid

11 § Internrevisionsförordningen och god sed påtalar att internrevisionen måste ha tillgång till uppgifter och information för att kunna lösa sitt uppdrag. 11 Riksrevisionen anser därför att det är viktigt att myndighetsledningen förstår och kommunicerar internrevisionens roll och uppgifter till verksamheten. Enligt ESV är förtroende mellan internrevisionen och myndighetsledningen en förutsättning för att internrevisionens arbete ska kunna fungera väl.12 Ett fungerande arbete baseras också på en ömsesidig respekt för den professionella integriteten. Professionell integritet handlar om att stå för sin åsikt men också om att kunna diskutera och omvärdera denna.13

Några av fallstudierna visar att samspelet mellan internrevisionen, uppdragsgivare och övrig verksamhet inte fungerade. Problem med samarbetet beskrevs även i några myndigheters externa kvalitetssäkring. Problemen såg dock olika ut. I vissa fall fanns det problem i relationen mellan internrevisionschef och myndighetsledning/övrig organisation. 14 I ett av fallen upplevdes att internrevisionschefen övervakade verksamheten, vilket försvårade relationerna.15

En konsekvens av problem i samspelet är att internrevisionschefer kan hamna utanför informationsflödet och därmed få svårare att få tag på relevant information.16 I en av de studerade myndigheterna beskrevs situationen i den externa kvalitetssäkringen som att internrevisionen hade svårt att få information, eftersom funktionen inte var en del av den verkställande ledningen.Enligt styrelseordföranden handlade det emellertid om ett enstaka tillfälle.17 Vid ett annat tillfälle hade generaldirektören enligt interrevisionschefen motsatt sig att internrevisionschefen anställde en vikarie för en tjänstledig medarbetare. Det resulterade i en konflikt mellan internrevisionschefen och generaldirektören, vilken sedermera löstes med fackligt stöd.18

Bland fallstudierna finns också exempel på en myndighet där brister i samspelet hade lett till ett dåligt arbetsklimat och en ökad sjukfrånvaro för internrevisionen. Detta påverkade i sin tur revisionsarbetet som inte bedrevs enligt god sed. Myndighetens styrelse var därtill missnöjd med internrevisionens granskningar,19 och både internrevision och ledning fick kritik i den externa kvalitetssäkringen. Situationen

11The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 19.

12Ekonomistyrningsverket, 2014. Handledning. Statlig internrevision för myndighetsledningar, s. 15 och 19.

13Artikel på Statens medicinsk etiska råds webbplats, hämtad 2017-01-03: Integritet.

14Intervju nummer 19, 30, 32, 38 och 39.

15Intervju nummer 38.

16Intervju nummer 19, 34 och 37.

17Intervju nummer 17.

18Intervju nummer 19.

19Intervju nummer 31, 33 och 34.

20 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

för internrevisionen har dock gradvis förbättrats sedan 2014. Myndigheten har anställt en ny internrevisionschef och vidtagit åtgärder för att höja revisionsarbetets status internt.20

2.3 Det finns brister i internrevisionens organisering

Fallstudierna visar att det fanns flera brister i hur internrevisionsfunktioner hade organiserats.

2.3.1 Internrevisionschefen saknar ofta åtkomst till uppdragsgivaren

I god sed framhålls vikten av att internrevisionschefen har åtkomst till sin uppdragsgivare. Detta är viktigt för internrevisorns objektivitet och för att arbetet ska kunna bedrivas effektivt.21

I fallstudierna var det enbart vid tre av åtta styrelsemyndigheterna som internrevisionschefen hade möjlighet att träffa sin styrelseordförande ensam.22 Vid fyra styrelsemyndigheter träffade däremot internrevisionschefen inte styrelseordförande ensam.23 I tre av dessa ansåg ordföranden att det inte var nödvändigt att ha någon kontakt med internrevisionschefen. Styrelseordförandens inställning bekräftades även av myndigheternas generaldirektörer samt av de externa kvalitetssäkringarna.24

Enligt internrevisionschefen i en av de tre styrelsemyndigheterna fanns inget större behov av kontakt med styrelseordföranden eftersom relationen med generaldirektören fungerade så väl.25 Denna uppfattning delades av styrelseordföranden som också uppgav att det aldrig skulle vara aktuellt för denna att kringgå generaldirektören i frågor som rör internrevisionen.26

Fallstudierna visar också att det i styrelsemyndigheterna uppfattas som naturligare för internrevisionschefen att diskutera problem med generaldirektören i stället för med styrelseordföranden. Generaldirektören var också den person som styrelseordföranden främst uppgav att denna skulle diskutera eventuella problem i internrevisionen med.

20Intervju nummer 34.

21The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 16.

22Intervju nummer 7, 17, 19, 22, 24 och 25.

23Intervju nummer 13, 16, 27 och 37.

24Intervju nummer 12, 13, 27, 28, 36 och 37.

25Intervju nummer 27.

26Intervju nummer 28.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

2.3.2 Revisionsutskottet fungerar inte enligt ESV:s riktlinjer

Syftet med ett revisionsutskott är bl.a. att stärka internrevisionschefens oberoende genom att lämna synpunkter och vara ett stöd för internrevisionschefen. Revisionsutskottet kan bestå av styrelseledamöter och internrevisionschefen. Enligt god sed kan även representanter från verksamheten bjudas in, men ett utskott ska också ha enskilda möten med internrevisionschefen. ESV anser att det kan det vara olämpligt att generaldirektören ingår i revisionsutskottet även om denna sitter i styrelsen.27

Två av de åtta styrelsemyndigheter som ingår i granskningen hade revisionsutskott. Ingen av de berörda internrevisionscheferna såg dock revisionsutskottet som en potentiell diskussionspart om det skulle uppstå svårigheter i arbetet.28

Ett av revisionsutskotten bestod av internrevisionschefen och två representanter från styrelsen samt biträdande generaldirektören som var adjungerad. Revisionsutskottets ordförande ansåg att det var en fördel att ha med den biträdande generaldirektören för att konstellationen skulle tas mer på allvar samt för att styrelsen då också fick verksamhetens bild.29

Den andra styrelsemyndigheten hade valt att organisera sitt revisionsutskott på ett liknande sätt.30 Revisionsutskottet bestod av två styrelserepresentanter, generaldirektören samt stabschefen som adjungerad.31 Enligt internrevisionschefen var det bra att stabschefen var med och gav sin bild av verksamheten.32

2.3.3 Internrevisorernas budget är tillräcklig men det finns avvikelser

Enligt god sed behöver internrevisorerna ha en tillräcklig budget för att kunna bedriva sitt arbete självständigt och få kontinuerlig kompetensutveckling. För att säkerställa det organisatoriska oberoendet ska uppdragsgivaren godkänna internrevisionschefens budget.33

I de flesta fall fanns inga indikationer på att internrevisionens budget skulle vara otillräcklig eller ha minskat på ett sådant sätt att det hade påverkat internrevisionens arbete negativt. Tre av internrevisionscheferna hade dock ingen egen budget utan resurserna låg direkt under generaldirektören. Ingen av dessa internrevisionschefer uppfattade detta som problematiskt.34

27Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen, s. 12.

28Intervju nummer 34 och 37.

29Intervju nummer 31.

30Intervju nummer 37.

31Intervju nummer 35.

32Intervju nummer 37.

33The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 17.

34Intervju nummer 13, 27 och 44.

22 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Det finns två myndigheter som delar internrevisionschef där budgeten hade skurits ned till mindre än hälften av den tidigare nivån. I en av dessa myndigheter minskade internrevisionens budget för 2015 med närmare 80 procent. Detta berodde i hög utsträckning på att det inte fanns någon internrevisionschef under större delen av året och att ledningen inte anställde någon vikarie. Däremot fick konsulter i uppdrag att granska delar av verksamheten. I den andra av de två myndigheterna minskade internrevisionens budget för 2016 med ungefär 70 procent, vilket har medfört neddragningar vad gäller kompetensutveckling och konsultstöd. Detta sammanföll med att myndigheten beslutade att samordna sin internrevisionschef med en annan myndighet och dra ner tjänsten till en halvtid (se avsnitt 2.3.7).

I ett annat fall där två myndigheter delar internrevisionschef har budgeten däremot växt den senaste femårsperioden.

2.3.4 Lönesamtal hålls inte alltid med uppdragsgivaren

För att säkerställa det organisatoriska oberoendet ska, enligt god sed, uppdragsgivaren godkänna interrevisionschefens lön.35 Av praktiska skäl kan det dock ändå vara rimligt för styrelsemyndigheter att generaldirektören är involverad i lönesättningen, under förutsättning att internrevisionschefen har åtkomst till sin uppdragsgivare.

Fallstudierna visar att formen för internrevisionschefens lönesamtal varierade mellan myndigheterna. I de fall där generaldirektören var uppdragsgivare var den också lönesättande i samtliga fall utom ett. I detta fall var det i stället stabschefen som satte lönen.36

I styrelsemyndigheterna genomfördes lönesamtalen sällan med uppdragsgivaren utom i tre fall där styrelseordföranden var inblandad i lönesättningen.37 Det vanliga för styrelsemyndigheter var i stället att generaldirektören hade lönesamtal med internrevisionschefen.

I två av styrelsemyndigheterna hanterade generaldirektören ensam lönesättningen.38 I det ena fallet hade dessutom styrelseordförande inte kännedom om vem som satte lönen eller vem som förväntades göra det.39

I en tredje styrelsemyndighet behövde internrevisionschefen förhandla sin lön med tre personer samtidigt – styrelseordförande, generaldirektör och revisionsutskottets

35The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 17.

36Intervju nummer 20, 21 och 22.

37Intervju nummer 17, 24 och 37.

38Intervju nummer 12 och 16.

39Intervju nummer 14.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

ordförande. Det var för övrigt den enda gången under året styrelseordförande var i kontakt med internrevisionschefen.40

Det fanns också exempel på styrelsemyndigheter där lönesättningen var delegerad till förvaltningschefsnivå. Här avser dock styrelsen och internrevisionschefen att förtydliga hur lönesättningen ska ske framöver.41

2.3.5 Internrevisionen har i vissa fall bemannats via internrekrytering

God sed påtalar att internrevisionens objektivitet bör värnas om internrevisionen ska fungera som en självständig granskare.42 Därför ska internrevisionen inte enbart bemannas med internt rekryterade personer. 43 Internrevisorer ska inte heller granska verksamhet som de har ansvarat för den närmast föregående tolvmånadersperioden. Skälet till detta är att internrevisionens objektivitet då kan vara begränsad.44

I två fall består internrevisionsfunktionen av en blandning av internt rekryterade personer och externt rekryterade personer med revisionserfarenhet.45 Men i tre andra fallstudier fanns exempel på funktioner där samtliga internrevisorer rekryterats internt från verksamheten – både fall med enmansrevisorer och fall där samtliga internrevisorer i en större internrevisionsgrupp var internrekryterade.46

I ett fall beslutade den dåvarande generaldirektören att anställa den internt tillförordnade internrevisionschefen. Internrevisionschefen fortsatte sedan att rekrytera personal från verksamheten, trots att både internrevisionschefen och medarbetarna har begränsad erfarenhet av revisionsarbete.47 Denna internrevisionschef anser att internrevisionen är ett alternativ för medarbetare som riskerar att bli av med sina arbetsuppgifter.48

Det finns även ett exempel där man hade haft en externt rekryterad enmansrevisor som internrevisionschef 2014–2015 men därefter valde att tillsätta den dåvarande ekonomichefen som tillförordnad internrevisionschef. Förordnandet blev sedan förlängt till ett chefsförordnande som löper fram till slutet av 2017.49

I ett annat exempel från en styrelsemyndighet rekryterades en person från verksamheten som internrevisionschef på deltid. Internrevisionschefen upphandlade sedan

40Intervju nummer 37.

41Intervju nummer 7 och 10.

42The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 9.

43Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen, s. 31.

44Ekonomistyrningsverket, Myndighetsledningens och internrevisionens ansvar.

45Intervju nummer 3 och 34.

46Intervju nummer 6, 9, och 40.

47Intervju nummer 5.

48Intervju nummer 6.

49E-post 2016-11-17.

24 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

konsulter för att göra själva granskningsarbetet. När interrevisionschefen gick i pension 2015 påbörjades dock ett förändringsarbete med en nyrekryterad internrevisionschef på heltidstjänst.50

2.3.6 Vissa enmansrevisorer samverkar inte

ESV anser att det är särskilt angeläget att ha en samverkanspartner när internrevisionsfunktionen består av en enmansrevisor. Enligt ESV:s riktlinjer kan en internrevisor samverka med andra myndigheters internrevisorer. Sådan samverkan bör omfatta att internrevisionen gör granskningar på varandras myndigheter. Enligt ESV anses det kompetensutvecklande och ger en enmansrevisor tillfälle att kvalitetssäkra sina granskningar samt diskutera frågor närmare med en kollega.51

Under granskningsprocessen saknar många enmansrevisorer möjlighet till professionell diskussion utöver de nätverk som internrevisorerna är aktiva i (se bilaga 1). Det innebär bl.a. att internrevisorn inte har någon oberoende intern part som kan kvalitetssäkra granskningarna. En del har löst detta genom att ingå samverkansavtal med andra internrevisorer vilket framgår av riktlinjerna för internrevisionen. Det anses som värdefullt för arbetet och gör funktionen mindre sårbar för personalförändringar.52

Tre enmansrevisorer har inte ingått i något samverkansavtal med andra internrevisorer. Två av dessa uppgav att de utöver kontakt med nätverk främst vände sig till linjechefer för att diskutera granskningsrelaterade frågor.53

2.3.7 Delad internrevision kan urholka förutsättningar

En myndighet får samordna (dela) sin internrevision med annan myndighet enligt 8 § internrevisionsförordningen. Med sådan samordning av internrevisionsfunktioner menas att internrevisionschefen är anställd på deltid vid två internrevisionsmyndigheter.

Samordning bör inte leda till resursbrist och omställningstid för internrevisionschefen.54

Bland fallstudierna finns det två exempel på en internrevisionschef som delar på sin heltidstjänst mellan två myndigheter. I dessa fall har en heltidstjänst omvandlats till en deltidsanställning. Internrevisionschefen är anställd till 50 procent vid den ena myndigheten för att sedan vara partiellt tjänstledig för en visstidsanställning vid den andra myndigheten. I det ena fallet ville båda myndigheterna ha mer internrevision än den överenskomna organisatoriska lösningen tillät. Den ena av dessa

50Intervju nummer 7.

51Ekonomistyrningsverket, 2014. Handledning Statlig internrevision för myndighetsledningar, s. 26.

52Intervju nummer 16, 23 och 27.

53Intervju nummer 13 och 22.

54Ekonomistyrningsverket, 2014. Handledning Statlig internrevision för myndighetsledningar, s. 26.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

myndigheter hade fått nöja sig med 30 procent under året eftersom den andra myndigheten tillfälligt ville ha tillgång till mer än en halvtid.55

Internrevisionschefen anser inte att det är några problem med att dela sin tjänst men påtalar samtidigt att det försvinner operativ tid när man är anställd vid två myndigheter på grund av närvaro vid myndighetsdagar och liknande; sådan närvaro är nödvändig för arbetet och informationsflödet men den tar tid i anspråk. Internrevisionschefen har även använt konsulter, bl.a. för att tiden inte alltid räckt till.56

I det andra fallet omvandlades internrevisionstjänsten på stabschefens initiativ till en halvtid på den enrådighetsmyndighet som internrevisionschefen administrativt tillhörde. Den ekonomiska kostnaden för internrevisionen har inte ansetts vara ett skäl för att dela internrevisor.57 Den tidigare internrevisionschefen hade tidigare rekryterats till staben. Den nyrekryterade internrevisionschefen var ny i sin roll och saknade tidigare erfarenhet av statlig verksamhet.58 Styrelseordförande i den andra myndigheten har inget emot en internrevisionschef på halvtid, men både styrelseordförande och generaldirektör anser att det är svårt för internrevisionschefen att arbeta på två myndigheter med så olika verksamhet.59 Myndigheten har i stället en konsultbudget för att täcka upp behovet av internrevisionsinsatser.60

Enligt företrädare för Finansdepartementet finns det risker med att myndigheter delar på internrevisionsfunktionen, särskilt om funktionen består av en ensam internrevisionschef. Ett personalbyte drabbar då två myndigheter. Vidare framhölls att det är önskvärt att kunskapen om den verksamhet som revideras stannar i myndigheten och därför bör inte konsulter prioriteras framför egen internrevision.61

2.4 Det finns brister i granskningsprocessen

I de flesta fall svarade granskningsprocessen mot internrevisionsförordningen och god sed men i fyra av fallen saknades internrevisionens självständiga riskanalys. Om riskanalysen saknas eller är bristfällig påverkar det i stor utsträckning övriga delar av revisionsprocessen.

55Intervju nummer 26.

56Intervju nummer 27.

57Intervju nummer 21.

58Intervju nummer 21 och 23.

59Intervju nummer 24 och 25.

60Intervju nummer 25.

61Intervju vid Finansdepartementet, 2016-09-13.

26 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

2.4.1 Vissa internrevisionschefer har inte gjort riskanalys

Enligt 4 § internrevisionsförordningen ska internrevisionen självständigt granska intern styrning och kontroll samt utgå från en riskanalys som är väsentlig för myndighetens specifika verksamhet. Enligt ESV ska riskanalysen vara internrevisionens egen bedömning av risker och risknivåer men den ska, så långt möjligt, utgå från myndighetens riskanalys där myndighetens identifiering, värdering och hantering av risk framgår.62

På fyra myndigheter har inte internrevisionen gjort en dokumenterad riskanalys i form av en självständig bedömning av myndighetens riskanalys. Internrevisionen på en av styrelsemyndigheterna kunde inte presentera någon riskanalys för vare sig 2014 eller 2015. Det fanns inte heller någon synbar koppling mellan myndighetens riskanalys för 2014–2015 och internrevisionens granskningsplaner för motsvarande år. Myndigheten presenterade också resultatet av en genomförd granskning av regelverket i en kort promemoria i stället för i granskningsplanen, och enligt internrevisionen var granskningen ett pågående bevakningsuppdrag sedan 2015 – inte ett traditionellt revisionsuppdrag. Denna information framgick dock inte av revisionsplanen, där granskningen presenteras som ett vanligt granskningsområde för internrevisionen.

Vid den andra styrelsemyndigheten kunde inte internrevisionen presentera någon riskanalys för 2014. Av revisionsplanen framgick dock hur internrevisionen hade kommit fram till granskningsområdena, och internrevisionens prioriteringar sammanföll huvudsakligen med myndighetsledningens riskprioritering. Hösten 2015 togs en riskanalys fram av den nytillträdda internrevisionschefen. Där framgick internrevisionens riskbedömning av området men inte hur riskvärderingen skulle tolkas eller vad den innebar. Styrelseordföranden vid myndigheten har uttryckt att styrelsen inte är fokuserad på risker utan att den fokuserar på frågor som rör myndighetens kärnverksamhet, och fram till 2016 har inte internrevisionen presenterat någon tydlig riskanalys för styrelsen. Styrelsen har i stället haft en pågående diskussion om risker i verksamheten.63

I en tredje styrelsemyndigheten uppger generaldirektören att internrevisionen inte gör en självständig dokumenterad riskanalys.64 Men internrevisionschefen framhåller att riskanalysen dokumenteras underhand, och i detta arbete är generaldirektörens uppfattning den viktigaste källan för internrevisorn.65

Det fanns också riskanalyser i andra myndigheter som var bristfälliga. I en enrådighetsmyndighet har internrevisionen dokumenterat självständiga riskanalyser för de undersökta åren men de omnämnda riskerna var identiska med riskanalysen från

62Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen.

63Intervju nummer 7.

64Intervju nummer 29.

65Intervju nummer 27.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

2014–2015 vilket inte hade motiverats. I en annan enrådighetsmyndighet saknade internrevisionen en självständig riskanalys för 2015. I stället fanns endast ett sporadiskt underlag i form av handskrivna dokument, intervjuanteckningar och liknande, vilket gjorde det svårt att se någon röd tråd i arbetet med riskanalysen.

Av dokumentanalysen framgår att enbart två myndigheter hade en bruttolista över identifierade risker. I dessa fall hade de identifierade riskerna värderats och prioriterats, vilket utmynnade i en nettorisklista. När en bruttolista saknas är det svårt att bedöma om riskerna är relevanta, eftersom det inte går att följa det urval av risker som mynnar ut i revisionsplanen. Det är även svårt att bedöma om riskanalysen har ett riskbaserat angreppssätt och om myndighetens internrevision har fångat samtliga risker. Detta kan försvåra dialogen med uppdragsgivaren om värderingen och prioriteringen av riskerna.

I de myndigheter som hade en riskanalys var denna ofta tydligt kopplad till granskningsplanen. Planerna är oftast detaljerade med angivelse av granskningsområde, tidsåtgång, ansvarig person och när i tiden granskningen ska genomföras.

2.4.2 Rekommendationer och åtgärder fungerar överlag

Av 3 § och 9 § internrevisionsförordningen framgår att internrevisionen ska lämna iakttagelser och rekommendationer till uppdragsgivaren för att stärka myndighetens process för intern styrning och kontroll. Internrevisionen ska enligt god sed regelbundet avrapportera genomförda granskningar med rekommendationer till styrelsen eller generaldirektören. Det ska finnas en tydlig åtgärdsplan från ledningen och ledningen ska i sin tur säkerställa att beslutade åtgärder blir genomförda.66 Enligt god sed ska internrevisionschefen antingen upprätta en uppföljningsprocess för att övervaka att ledningen implementerar åtgärder på ett effektivt sätt, eller dokumentera att ledningen accepterat risken för att åtgärden inte vidtas.67

Av dokumentanalysen och fallstudierna framgår att samtliga myndigheter hade en process för att ta hand om internrevisionens rekommendationer. Dokumentanalysen visar också att det fanns ett uttalat ansvar för att följa upp att rekommendationerna implementeras.

Av dokumentanalysen framgår att internrevisionens rekommendationer utgick från granskningens iakttagelser men de var inte alltid graderade eller värderade. I dessa fall var det svårt att bedöma hur väsentlig iakttagelsen var, och i förlängningen hur väsentlig rekommendationen var för verksamheten. I en myndighet framgick att internrevisionen bedömde vilka av rekommendationerna som var av särskild vikt att hantera.

66The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 31.

67Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen, s. 44.

28 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

I samtliga fall utom två fanns en beslutad åtgärdsplan. Noterbart är dock att dessa många gånger var relativt övergripande och kopplade direkt till syftet med granskningen. Åtgärderna var således inte alltid nedbrutna till respektive rekommendation. En enrådighetsmyndighet hade dock en uppföljningsplan som även visade hur åtgärden vidtagits.

I en styrelsemyndighet saknades tydlighet i vad myndigheten tänkte vidta för åtgärder utifrån de granskningar som ingått i underlaget. Tidshorisonten för när åtgärden skulle vara vidtagen var många gånger inte tydligt definierad och det pekades sällan ut någon ansvarig person eller funktion för åtgärden.

2.4.3 Råd och stöd ges ibland enbart till myndighetsledningen

Enligt 5 § internrevisionsförordningen ska internrevisionen ge råd och stöd till styrelsen och chefen för myndigheten. Internrevisionen stärker även intern styrning och kontroll genom att överföra kunskap till verksamheten. Enligt IIA:s definition av rådgivningstjänster utförs dessa efter godkännande av uppdragsgivaren.68

De flesta internrevisionschefer gav råd och stöd men på olika sätt. Bland de internrevisionschefer som kontinuerligt gav råd och stöd uttrycktes en medvetenhet om att uppdraget inte får tangera operativt arbete. Det ansågs viktigt att skilja på dessa uppgifter, eftersom det förekom förfrågningar från verksamheten om operativ hjälp.69

I en myndighet menade internrevisionschefen att denna alltid försökte att styra förfrågningar genom ledningen och att förfrågningarna öronmärktes i revisionsplanen för att undvika otydligheter. Sammantaget betonades vikten av att kunna sätta gränser mot övrig organisation. 70

I andra myndigheter har råd och stöd enbart getts till myndighetsledningen. Råd och stöd till övrig verksamhet har inte fungerat bra.71 I en myndighet har man historiskt sett haft problem i samspelet mellan internrevision och myndighetsledning. Därför har internrevisionen inte gett råd och stöd, och ledningen har inte heller velat ha det.72 I de andra två myndigheterna har det handlat om en osäkerhet hos internrevisorn gällande hur råd och stöd ska ges till verksamheten när området

68Ekonomistyrningsverket, 2015. En introduktion till den statliga internrevisionen, s. 21.

69Intervju nummer 3, 16, och 27.

70Intervju nummer 16.

71Intervju nummer 6, 19, 34 och 38.

72Intervju nummer 32 och 34.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

sedan ska granskas.73 I det ena fallet anser internrevisionschefen att råd och stöd inte har prioriterats eftersom resurserna inte har räckt till.74

2.4.4 Extern kvalitetssäkring sker oregelbundet

Enligt god sed ska den externa kvalitetssäkringen säkerställa att ett kontinuerligt förbättringsarbete finns etablerat. En extern kvalitetssäkring bör genomföras minst vart femte år.75 För att regeringen och myndighetsledningen ska få insyn i hur internrevisionen fungerar behöver internrevisionen värderas av en extern kvalificerad oberoende aktör.76

Av fallstudierna framgår att en av myndigheterna aldrig hade genomfört någon extern kvalitetssäkring av sin interrevision, samt att tre myndigheter gjorde det mer sällan än vart femte år.

I fyra av de undersökta fallen användes peer review vid den externa kvalitetssäkringen. I tre av dessa fall utfördes peer review av en och samma person. I det fjärde fallet genomförde myndighetens före detta internrevisionschef kvalitetssäkringen.

Av fallstudierna framgår att den externa kvalitetssäkringen i flera fall var avgörande för att stärka det organisatoriska oberoendet och genomföra förändringar i granskningsprocessen.77 Exempelvis kunde det handla om att internrevisorn skulle få genomföra egna granskningar, ha en egen budget samt löneförhandla med generaldirektör eller styrelseordförande i stället för med stabschef. Det var dock inte alltid som påtalade brister togs om hand av uppdragsgivaren, bl.a. när det gäller relationsproblem, granskningskvalitet och oberoendeproblematik.

2.5Alla internrevisorer lämnar inte en bedömning om intern styrning och kontroll

Enligt 4 § internrevisionsförordningen ska internrevisionen utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen (2007:515). Myndighetsförordningen gäller samtliga myndigheter under regeringen och påtalar ledningens skyldighet att säkerställa intern styrning och kontroll. Betydelsen av att internrevisionen uttalar sig om myndighetens interna styrning och kontroll förstärks av IIA. Enligt god sed tillför internrevisionen ett värde till organisationen när den ger en objektiv och relevant försäkran till intern styrning och kontroll.78

73Intervju nummer 6.

74Intervju nummer 19.

75The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 24–25.

76Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen, s. 31.

77Intervju nummer 6, 7, 10, 16, 19, 37 och 44.

78The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), s. 28.

30 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Av fallstudierna framgår att internrevisionscheferna såg olika på om deras uppdrag handlade om att lämna en bedömning om myndighetens interna styrning och kontroll till uppdragsgivaren eller inte. En del såg det som en del av uppdraget medan andra menade att de inte kunde lämna en bedömning om huruvida processen är betryggande, eftersom de saknade en beställning på detta från uppdragsgivaren. Vissa menade att de också skulle behöva mer resurser för att de skulle kunna lämna en bedömning om huruvida den interna styrningen och kontrollen fungerade vid myndigheten.79

2.5.1 Myndighetsledningar ser olika på internrevisionens uppdrag

Majoriteten av myndighetsledningarna ansåg att internrevisionen bidrar till att stärka intern styrning och kontroll. Två myndighetsledare ansåg dock inte att internrevisionen var ett användbart redskap för att stärka intern styrning och kontroll.80

Både ledning och internrevisionschefer menade att funktionen bidrar till att stärka intern styrning och kontroll genom sitt uppdrag att framföra konstruktiv kritik utan att vara en del av verksamheten; på så sätt undvek man att dras in i den årliga verksamhetsplaneringen.81

I majoriteten av fallstudierna uttryckte ledningen att en nytta med internrevisionen var att granskningarna kan användas för att underlätta internt utvecklingsarbete och att man kan förstärka beslut med underbyggd granskning. Det ansågs även ligga i funktionens nytta att en generaldirektör eller en styrelseordförande kan tillsätta en granskning av något som denna behöver veta mer om.

2.6 Sammanfattande iakttagelser

Samspelet fungerar inte alltid

En del internrevisorer har hamnat i situationer som resulterat i försämrade relationer med myndighetsledningen och uppdragsgivare. Det finns också exempel på att internrevisorer som har hamnat utanför informationsflödet.

Det finns brister i organiseringen av internrevisionen

I styrelsemyndigheterna är det få internrevisionschefer som har åtkomst till sin uppdragsgivare. I många fall har internrevisionschefen i stället kontakt med generaldirektören. Detta har inskränkt på internrevisionens oberoende.

79Intervju nummer 19; E-post 2016-11-18.

80Intervju nummer 1 och 32.

81Detta framkommer i majoriteten av intervjuerna.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

Revisionsutskotten har inte fungerat som oberoende kontaktkanal mellan internrevisionschefen och styrelsen, eftersom personer från myndighetsledningen finns med som adjungerande.

I de flesta fall har internrevisionen en tillräcklig budget. I styrelsemyndigheter har internrevisionschefen oftast lönesamtal med generaldirektören. I några fall har lönesamtal delegerats ytterligare till stabschef eller förvaltningschef.

Internrevisorer rekryteras från verksamheten trots att det finns risk för att oberoendet kan ifrågasättas. I vissa fall har en hel funktion internrekryterats.

Att två myndigheter delar på en heltidstjänst för internrevision innebär risker, bl.a. hinner internrevisionschefen inte upprätthålla granskningsarbete enligt god sed.

Det finns brister i granskningsprocessen

Det förekommer flera internrevisionsfunktioner som inte gör någon självständig riskanalys. Majoriteten är enmansfunktioner.

Inom ramen för råd och stöd får internrevisionschefer förfrågningar från verksamheten som tangerar operativt arbete och de behöver därför hitta sätt att förhålla sig till detta. Att alla förfrågningar går via ledningen är ett sätt.

Det finns exempel på att externa kvalitetssäkringar av internrevisionen uteblir helt eller görs mer sällan än vart femte år. Det finns även exempel på att de har utförts av en person som inte är oberoende.

Alla internrevisorer lämnar inte en bedömning om intern styrning och kontroll

Internrevisionscheferna ser olika på om deras uppdrag innebär att de ska lämna en bedömning om myndighetens interna styrning och kontroll till uppdragsgivaren. En del internrevisorer lämnar inte någon bedömning, eftersom de anser att resurserna inte räcker till detta. Andra menar att de inte lämnar någon bedömning eftersom uppdragsgivaren inte efterfrågar detta.

32 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

3Den statliga förvaltningen av internrevisionen

I detta kapitel behandlas hur Ekonomistyrningsverkets (ESV) utför sitt uppdrag att samordna, förvalta och utveckla internrevisionen samt Regeringskansliets interna samordning. Kapitlet bygger på intervjuer med berörda tjänstemän vid ESV och Regeringskansliet samt på fallstudierna vid 14 myndigheter.

Sammantaget är ESV:s samordning bra men flera internrevisorer anser att de inte får tillräckligt stöd att tolka gällande regelverk. Det finns också utrymme för ESV att förbättra den årliga rapporteringen till regeringen. Regeringens interna samordning för internrevisionen fungerar men myndighetshandläggare får inte tydlig information om eventuella brister inom internrevisionen.

3.1 ESV ska samordna, förvalta och utveckla

Enligt ESV:s instruktion ska myndigheten samordna, förvalta och utveckla internrevisionen samt årligen lämna en redovisning över den statliga internrevisionen till regeringen. Myndigheten har däremot ingen tillsynsroll eller några sanktionsmöjligheter.82

Regeringens uppdrag till ESV är brett formulerat och myndigheten har därför ett stort utrymme att själv bestämma hur arbetet ska bedrivas.83 I ESV:s programförklaring för internrevisionen påtalas bl.a. att de ska främja utvecklingen av ledningars och internrevisionsfunktioners kunskap och kompetens inom internrevisionsområdet, verka för en internrevision som arbetar enligt god sed, meddela föreskrifter till internrevisionsförordningen samt ge stöd till myndigheternas ledningar och internrevisionsfunktioner gällande föreskrifterna.84

3.1.1 Internrevisorerna har praktisk nytta av samordningen

ESV samordnar internrevisionen huvudsakligen genom att organisera nätverksträffar och seminarier, svara på frågor om regelverket, tillhandahålla föreskrifter och handledningar om internrevisionen samt ge råd och stöd till de internrevisorer som efterfrågar det.85

Riksrevisionens fallstudier visar att många internrevisionschefer är positiva till ESV:s samordning och att de har praktisk nytta av den i sitt revisionsarbete. Drygt

823 § och 7 § förordningen(2016:1023) med instruktion för Ekonomistyrningsverket.

83Intervju vid Finansdepartementet, 2016-09-13; intervju vid ESV, 2016-04-28.

84Artikel på Ekonomistyrningsverkets webbplats, hämtad 2016-12-13: ESV:s programförklaring för internrevisionen.

85Intervju vid ESV, 2016-09-02.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

hälften av de intervjuade internrevisionscheferna anser att nätverksträffar och seminarier är bra och användbara.86 Samtidigt påtalar de att det även finns andra nätverk för internrevisionschefer i staten, vilka inte drivs av ESV. Ett exempel är enmansrevisorernas nätverk, där man har täta kontakter och kan vända sig till varandra för att få hjälp i olika frågor.

ESV arbetar även med att främja utvecklingen av myndighetsledningarnas kunskap om internrevision, men en återkommande uppfattning som framförs i intervjuerna är att få myndighetsledare har kontakt med ESV i frågor som rör internrevision. Däremot har några myndighetsledare fått konkret hjälp vid uppstarten av internrevision och med att tolka internrevisionsförordningen.87

Företrädare för ESV menar att de har svårt att komma i kontakt med myndighetsledningar om internrevisionsfrågor. ESV har därför tagit fram en handledning om internrevision för myndighetsledningar.88 Av fallstudierna framgår dock att majoriteten av myndighetsledningarna inte tagit del av denna handledning.

3.1.2 Internrevisorer behöver tydligare råd och stöd av ESV

ESV är normerande för hur internrevisionsförordningen ska tolkas. Vissa internrevisionschefer är dock kritiska till ESV:s stöd i detta. Ett exempel handlar om hur samverkan mellan internrevisorer på olika myndighet ska gå till. Flera internrevisionschefer som har vänt sig till ESV med frågor om samverkan betonar att ESV inte är konsekvent eller klargörande i sina svar.89 Det finns också en efterfrågan om stöd vid tolkning av internationella standarder samt vid utformning av revisionsutskott.90

Det finns även andra exempel på missnöje, där ett antal seniora internrevisorer är missnöjda med ESV:s förmåga att ge råd och stöd. De anser att ESV bör ge mer stöd i revisionsnära arbete, t.ex. om hur man gör en riskanalys.91

3.2 ESV samlar information genom enkäter och besök

ESV förvaltar och utvecklar internrevisionen genom att erbjuda utbildningar, besöka myndigheter och sammanställa en årlig rapport till regeringen. Den årliga rapporten speglar främst internrevisionens regelefterlevnad; internrevisorerna får ingen återkoppling från ESV om hur den insamlade informationen används för att utveckla och förvalta verksamheten.

86Intervju nummer 10, 13, 16, 19, 22, 40 och 44.

87Intervju nummer 25 och 36.

88Intervju vid ESV, 2016-09-02.

89Intervju nummer 3, 34 och 37.

90Intervju nummer 3, 10, 21 och 37.

91Intervju nummer 3, 19 och 37.

34 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

3.2.1 Utbildningsbehovet varierar mellan internrevisorerna

ESV erbjuder två kurser för interrevisorer om statliga särdrag, men man har ingen central roll som utbildare. I stället är det ofta privata aktörer som tillhandahåller olika utbildningar inom området. ESV anser att man varken kan eller bör konkurrera med dessa aktörer.92

Enligt ESV uttrycker många internrevisorer att det behövs mer utbildning men trots detta får myndigheten ställa in planerade utbildningar på grund av att för få har anmält sig.93 Fallstudierna visar dessutom att utbildningsbehovet varierar mellan internrevisorerna. Vissa internrevisorer anser att de behöver utbildning för att upprätthålla sin CIA-certifiering94 medan andra behöver den mer grundläggande utbildning som ESV erbjuder.95

3.2.2 ESV:s årliga rapportering ger begränsad information

Inom ramen för sitt utvecklings- och förvaltningsarbete samlar ESV in information om hur internrevisionen fungerar och vilka förbättringsmöjligheter som finns. Detta sker främst genom en årlig enkät men också genom att ESV besöker internrevisionen vid olika myndigheter. Det finns dock inga tydliga mål för ESV:s utvecklingsarbete eller hur ESV i praktiken ska använda insamlad information för att förbättra internrevisionens förutsättningar att granska intern styrning och kontroll.

ESV framhåller att redovisningen av den statliga internrevisionen är ett underlag för regeringen när den prövar om den interna styrningen och kontrollen är betryggande samt om den statliga internrevisionen bedrivs enligt kraven i internrevisionsförordningen och enligt god sed.96 Enligt företrädare för Finansdepartementet är det en fördel att ESV:s årliga rapport fokuserar på regelefterlevnad för internrevisionen, men departementet anser att det är bra om ESV därutöver ställer konkreta frågor till myndigheterna för att få en samlad bild av internrevisionen i staten.97 Regeringen har inte gett någon instruktion eller något uppdrag till ESV för att förtydliga vad myndigheten ska redovisa i rapporten.98

Enligt ESV ger den årliga rapporten endast begränsad information om internrevisionens nytta och effekter.99 Denna bild bekräftas av fallstudierna.100 I fallstudierna framgår det också att många internrevisionschefer anser att ESV bör göra en mer

92Intervju vid ESV, 2016-04-28.

93Intervju vid ESV, 2016-04-28.

94Intervju nummer 3.

95Intervju nummer 22.

96Ekonomistyrningsverket, 2016. Redovisning över den statliga internrevisionen 2016, s. 6.

97Intervju vid Finansdepartementet, 2016-09-13.

98Intervju vid ESV, 2016-04-28.

99Ekonomistyrningsverket, 2012. Om internrevision, s. 45; intervju vid ESV, 2016-04-28.

100Intervju nummer 10, 37 och 40.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

kvalitativ bedömning för att på så sätt få ökad kunskap om hur revisionsarbetet bedrivs i praktiken samt på vilket sätt den främjar myndighetens interna styrning och kontroll.101 I den årliga rapporten bifogas information om och förbättringsförslag från de genomförda externa kvalitetssäkringarna men myndigheter namnges inte. ESV följer upp att internrevisionen genomför en extern kvalitetssäkring vart femte år och i de fall detta inte görs namnges myndigheten i redovisningen.

ESV besöker ett antal myndigheter varje år för att samla in information om internrevisionen. Men det är oklart för internrevisionen på vilket sätt ESV använder den insamlade informationen för att förbättra och utveckla sitt stöd till internrevisionen. En internrevisionschef påtalade att denna har uppmanats att skicka in revisionsplaner och riskanalys till ESV utan att få någon återkoppling på arbetet.102 Företrädare för ESV framhåller att man inte är någon tillsynsmyndighet och därför inte ger några synpunkter till vare sig internrevisor eller myndighetsledning om hur internrevisionen fungerar.103

3.3 Regeringskansliets interna samordning

Finansdepartementet har en samordnande funktion för internrevisionen inom Regeringskansliet. Departementet ansvarar också för internrevisionsförordningen. Finansdepartementet utarbetar även kriterierna för när en myndighet bör ha internrevision; dessa kriterier uppdaterades senast 2013.104

Berörda tjänstemän kontrollerar årligen om det finns myndigheter som uppfyller kriterierna men saknar internrevision. Om så är fallet kontaktas myndighetens myndighetshandläggare. Respektive ansvarigt departement beslutar sedan om myndigheten ska ha internrevision.105

3.3.1Myndighetshandläggare behöver tydligare information om internrevisionen

Enligt företrädare för Finansdepartementet vidarebefordrar man relevant information om eventuella brister i internrevisionen till berörd kontaktperson på departementets budgetavdelning. Denna ska i sin tur förmedla informationen till myndighetshandläggare på aktuellt departement. Företrädare för Finansdepartementet har framhållit att de sällan haft behov av att förmedla information om brister i internrevisionen

101Intervju nummer 10, 16, 37 och 40.

102Intervju nummer 37.

103Intervju vid ESV, 2016-09-02.

104E-post 2016-10-27.

105Intervju vid Finansdepartementet, 2016-09-13.

36 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

till myndighetshandläggare.106 Bilden bekräftas av de intervjuade myndighetshandläggarna som uppgav att de aldrig fått någon information från Finansdepartementet om brister i internrevisionen.

Enligt Finansdepartementet har även respektive departement ansvar gentemot berörd myndighet när en internrevision väl är inrättad. I det ingår att hålla sig löpande informerad. Departementen har således ett eget ansvar att söka upp relevant information, bl.a. den som ESV lämnar i den årliga rapporten.107 Ungefär hälften av de intervjuade myndighetshandläggarna uppger att de tar del av ESV:s årliga rapport över den statliga internrevisionen.108 Men ESV:s sammanställning i rapporten över de externa kvalitetssäkringarna innehåller inte specifik information om vilken myndighet som eventuella brister avser. Därför är det svårt för enskilda myndighetshandläggare att veta om det är just deras myndighet som inte uppfyller kraven eller har påvisat brister. Avsikten är att myndighetshandläggarna i sin tur ska ta upp dessa frågor i sin dialog med respektive myndighetsledning. Ingen av de myndighetshandläggare som intervjuades i granskningen anser att de bör följa upp hur internrevisionen fungerar eftersom internrevisionen är till för myndighetsledningen.109

3.3.2 I många fall saknas kännedom om kriterierna för internrevision

Endast en tredjedel av de intervjuade myndighetshandläggarna anser sig känna till de väsentlighetskriterier (se bilaga 1) som ligger till grund för att deras myndighet ska ha internrevision.110 Företrädare för ESV bekräftar bilden och framhåller att departementens myndighetshandläggare generellt sett inte har tillräckliga kunskaper om kriterierna.111

Nya myndighetsledare får en utbildning som bl.a. omfattar internrevisionens uppdrag.112 Av Riksrevisionens intervjuer med generaldirektörer och styrelseordförande framgår dock att få av dessa har kunskap om skälen till varför deras respektive myndigheter har internrevision och att få har diskuterat frågor om internrevision med företrädare för Regeringskansliet.

106Intervju vid Finansdepartementet, 2016-09-13.

107E-post Finansdepartementet, 2017-02-07.

108Intervjuer vid Utbildningsdepartementet, 2016-08-17; intervju vid Utbildningsdepartementet, 2016-08- 31, e-post Finansdepartementet 2016-06-17; e-post 2016-09-16; e-post Socialdepartementet 2016-09- 16; e-post Utbildningsdepartementet 2016-09-16; e-post Utbildningsdepartementet 2016-09-16; e-post Finansdepartementet 2016-09-16.

109Intervju vid Utbildningsdepartementet, 2016-08-17; intervju vid Näringsdepartementet, 2016-08-26.

110Intervjuer vid Utbildningsdepartementet, 2016-08-31 och 2016-09-16; e-post 2016-09-16.

111Intervju vid ESV, 2016-04-28.

112Intervju vid Finansdepartementet, 2016-09-13.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

3.4 Sammanfattande iakttagelser

ESV:s uppdrag är att samordna förvalta och utveckla internrevisionen

Många internrevisorer framhåller att de har användning och praktisk nytta av den samordning som ESV erbjuder. Men flera internrevisorer påtalar också att de har problem att tolka regelverk och internationella standarder och då inte får tillräcklig vägledning av ESV.

ESV samlar in information om internrevisionen vid myndigheter men ger inte en tydlig återkoppling till målgruppen. ESV är inte någon central funktion för kompetensutveckling av internrevisorer utan även andra aktörer tillhandahåller utbildningar.

Det är få myndighetsledningar som tar del av ESV:s handledningsmaterial eller har kontakt med ESV i frågor om internrevision.

Regeringskansliets interna samordning

Finansdepartementet och myndighetshandläggare på departementen har sällan kontakt med varandra om internrevisionen trots att det har funnits brister i vissa myndigheters internrevision.

Myndighetshandläggare diskuterar inte med myndighetsledningen om hur internrevisionen fungerar. Många myndighetsledare och myndighetshandläggare saknar också kunskap om vilka kriterier som finns för att deras myndighet ska ha internrevision.

38 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Referenslista

Litteratur

Miller P och Rittenberg L (2015). The politics of internal auditing, Research report. IIARF: Florida.

Artiklar

The Institute of Internal Audit (2013). International Professional Practice Framework (IPPF), svensk översättning 2013, Internrevisorernas förening Sverige.

Utredningar

Ekonomistyrningsverket, 2008. PM. Ensamrevisorer i statliga myndigheter 2007. ESV. Dnr 49-241/2008.

Ekonomistyrningsverket, 2012. Regeringsuppdrag. Om internrevisionen (ESV 2012:48). Dnr: 52-850/2012.

Ekonomistyrningsverket, 2014. Handledning. Statlig internrevision för myndighetsledningar (ESV 2014:1). Dnr: 3.2-804/2013.

Ekonomistyrningsverket, 2015. Handledning. En introduktion till den statliga internrevisionen (ESV 2015:30). Dnr: 3.8-479/2014.

Ekonomistyrningsverket, 2015. Regeringsuppdrag. Redovisning över den statliga internrevisionen 2015 (ESV 2015:23). Dnr: 3.2-1034/2014.

Ekonomistyrningsverket, 2016. Regeringsuppdrag. Redovisning över den statliga internrevisionen 2016 (ESV 2016:14). Dnr: 3.2-412/2015.

Ekonomistyrningsverket. Myndighetsledningens och internrevisionens ansvar. Statskontoret, 2015. Myndighetsanalys av Ekonomistyrningsverket (2015:15).

Riksdagstryck

Förordningen (1995:686) om intern revision vid statliga myndigheter m.fl. Upphävd 2007. Förordning (2000:605) om årsredovisning och budgetunderlag.

Förordning (2007:603) om intern styrning och kontroll. Internrevisionsförordning (2006:1228). Myndighetsförordning (2007:515).

Proposition (2006/07:1). Budgetproposition för 2007 Förslag till statsbudget för 2007, finansplan, skattefrågor och tilläggsbudget m.m.

Proposition (2015/16:1). Budgetproposition för 2016.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

Bilaga 1. Kriterier för internrevisionen och nätverk för internrevisorer

Regeringens kriterier för att en myndighet ska omfattas av internrevisionsförordningen utarbetas av budgetavdelningen på Finansdepartementet och är uppdelade i väsentlighetskriterier och riskkriterier. Kriterierna uppdaterades senast 2013.113

De riskkriterier som regeringen utgår ifrån är följande:

Myndigheten har en decentraliserad organisation och det finns en långtgående delegering i beslutsfattandet till enskilda handläggare.

Myndigheten förvaltar medel från EU.

En stor del av verksamheten innefattar manuell hantering.

Det förekommer bedömningar som utgår från handläggarens eget omdöme i samband med myndighetsbeslut.

Verksamheten har omfattande och komplexa it-system.

Myndigheten verkar under ett komplicerat regelverk.

Personalen är utsatt för en förhöjd risk för mutor, korruption och annan otillbörlig påverkan.

Väsentlighetskriterierna är följande:

De totala kostnaderna (verksamhetskostnader och transfereringar) överstiger 1 miljard kronor.

Myndigheter har minst 1000 anställda.

Balansomslutning överstiger 5 miljarder kronor.

Den utomstatliga utlåningen överstiger 1 miljard kronor.

Utställda garantier överstiger 1 miljard kronor.

Nätverk för internrevisorer

Det finns flera aktörer som erbjuder nätverk och som bedriver utbildningar för internrevisionen. Den största aktören är IIA som har funnits sedan 1941 och som representeras av Internrevisorernas förening (IRF) i Sverige. Ett annat nätverk för internrevisorer är det offentliga nätverket inom Internrevisorernas förening (IIA Sweden) som vänder sig till offentliganställda medlemmar. Inom nätverket finns också en samordningsgrupp som har utbyte med offentliga nätverk inom IIA i Finland, Danmark och Norge.

113 E-post 2016-10-27.

40 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Det finns också nätverk för enmansrevisorer som fungerar som ett forum där man kan utbyta erfarenheter med varandra. Nätverket Internrevisorerna i Västra Sverige finns för internrevisorer i västra Sverige, och Nätverk Syd finns för internrevisorer i södra Sverige. Det finns även nätverk för universiteten och högskolornas internrevisorer och länsstyrelsernas internrevisorer.

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

Bilaga 2. Intervjuöversikt – fallstudier

Tabell B2:1 Förteckning över intervjuer som gjorts i granskningen

42 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

Bilaga 3. Checklista för dokumentanalysen

Uppdraget till Öhrlings Pricewaterhousecoopers (PwC) inriktades på att de skulle bedöma om internrevisionens arbete (i form av dokumenten nedan) för 2014 och 2015 var effektiva och relevanta för den specifika verksamheten i enlighet med god sed. I uppdraget ingick att bedöma relationen mellan utfört arbete och internrevisionens förutsättningar och resurser för arbetet samt att gå igenom ett antal dokument (se nedan) i ett antal myndigheter. Det ingick även i uppdraget att vid behov intervjua eller samtala med internrevisionschefen vid myndigheten.

Genomgången av dokumentation avseende 2014 och 2015

Arbetet bestod av att för varje utvald myndighet gå igenom följande dokument:

riskanalys som internrevisionschef ska ha gjort, målen ska vara kopplade till olika nivåer i organisationen

internrevisionens granskningsplaner som ska ha genomförts självständigt och utgå ifrån en riskanalys som ska vara väsentlig utifrån myndighetens specifika verksamhet

internrevisionens rekommendationer till myndighetsledningen, vilket ska vara relaterade till riskanalysen

myndighetsledningens åtgärdsplan och uppföljning av vidtagna åtgärder i relation till rekommendationerna.

Det förekom även att det fanns en sammanställd rapport över internrevisionsarbetet respektive år. På de myndigheter en sådan fanns ingick den i undersökningen.

Uppdraget avsåg generell kvalitet på dokumenten utifrån relevans, tydlighet och klarhet.

Internrevisionens riskanalys för 2014–2015

PwC bedömer riskanalysen, dvs. om den är gjord på ett bra sätt och med relevans till verksamheten.

Risker i relation till verksamheten, och en värdering av relevansen.

Antalet risker i relation till verksamheten, vad ligger fokus på?

Hur ser underlagen ut? Är de fullständiga? Bristfälliga? Finns en tydlig granskningstråd?

Internrevisionens granskningsplan för 2014–2015

PwC gör ett stickprov, dvs. väljer ut ett par granskningar för närmare undersökning:

Hur väl överensstämmer planerade granskningar med riskanalysen?

Finns det riskområden som inte tas vidare i granskningsplanen?

Vilka granskningsområden har internrevisionen prioriterat? Varför har just vissa områden valts ut för granskning? Är de relevanta?

44 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Internrevisionens rekommendationer för 2014–2015

Hur väl överensstämmer rekommendationerna med iakttagelser gjorda i granskningarna?

Finns det iakttagelser som inte tas vidare i form av en rekommendation?

Är rekommendationerna relevanta för ledningen och går de att omhänderta?

Myndighetsledningens åtgärdsplan och uppföljning av vidtagna åtgärder i relation till rekommendationerna för 2014–2015

PwC undersöker om det framgår av dokumentation om myndighetsledningen har en fungerande process för att åtgärda och följa upp åtgärder med anledning av internrevisionens rekommendationer.

Generell kvalitet på dokumenten för 2014–2015

Hur välskrivna är dokumenten utifrån läsförståelse?

Finns en tydligt formulerad koppling mellan syfte, analys och rekommendationer?

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

Bilaga 4. Operationaliserade kvalitetskriterier

Tabell B4:1 De kvalitetskriterier som legat till grund för den bedömning som presenteras i tabell 3

46 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

I N T E R N R E V I S I O N E N V I D M Y N D I G H E T E R – E N F U N K T I O N S O M B E H Ö V E R S T Ä R K A S

48 R I K S R E V I S I O N E N