Säkerställd intern styrning och kontroll

1. Säkerställd intern styrning och kontroll Patrick FreedmanTomas Kjerf

2. Förändringar i regelverket inför 2013 • En redovisad brist innebär inte längre att den interna styrningen och kontrollen inte är betryggande • Myndigheten bör lämna en sammanfattande redovisning av de omständigheter som har legat till grund för ledningens bedömning • Myndigheten kan lämna en redovisning av myndighetens väsentliga risker och hur dessa ska hanteras samt hur eventuella brister ska åtgärdas OBS! FÅB 2:8 4 st. …”förhållanden av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten”.

3. Anger en betryggande ISK

4. Fördelat på myndighetstyp

5. Myndigheter som har lämnat en sammanfattande redovisning

6. Kort om den sammanfattande redovisningen • Flertalet av myndighetsledningarna har lämnat en sammanfattande redovisning av de omständigheter som legat till grund för ledningens bedömning • Omfattningen av beskrivningen varierar • När en sammanfattande redovisning saknas, saknas också en förklaring till varför de inte följer det allmänna rådet

7. Sammanfattande redovisningar • CSN • FMV • Försäkringskassan • Göteborgs universitet • Kronofogden • Länsstyrelsen i Västra Götalands län • Stockholms universitet • Uppsala universitet

8. Redovisning av brist och risk • Nio myndigheter har vid underskriftsmeningen angivit brister i punktform • Drygt hälften av myndigheterna redovisar risker och hur de ska hanteras samt hur eventuella brister ska åtgärdas

9. Risk enligt förordningen En risk är en omständighet som utgör ett hot mot att fullgöra ansvaret för verksamheten, d.v.s. när en omständighet medför att myndigheten inte fullgör sina uppgifter, når sina mål eller utför sina uppdrag på avsett vis Risker kan innefatta både nu uppkomna som framtida omständigheter.

10. Vår syn på brist En brist är när den interna styrningen och kontrollen inte är genomförd på avsett vis • när riskanalys inte har genomförts för hela verksamheten • när beslutade åtgärder inte vidtas (som planerat) • när vidtagna åtgärder inte följs upp eller bedöms • när riskanalysen, åtgärderna samt uppföljningen och bedömningen inte har dokumenterats

11. Några korta punkter • Alla 67 myndigheter har bedömt sin interna styrning och kontroll • En myndighet har angivit att bedömningen inte omfattar hela verksamheten • Två myndigheter har kommenterat resultatet med anledning av risker som har fallit ut

12. … kort punkter • Två myndigheter har lämnat tilläggsupplysningar med anledning av risker • En myndighet har lämnat intygande i ett missiv till ÅR • Ordet vidare har tagits bort från underskriftsmeningen, ett mindre antal myndigheter har inte observerat ändringen

13. Gör det skillnad? Alla myndigheter ska säkerställa intern styrning och kontroll enligt myndighetsförordningen och ha riskhantering enligt förordningen om statliga myndigeters riskhantering Färre myndigheter ska ha riskhantering enligt förordningen om intern styrning och kontroll, inrätta internrevision enligt internrevisionsförordningen och bedöma intern styrning och kontroll enligt förordningen om årsredovisning och budgetunderlag

14. Bra på ansvar! Tillfredsställande fullgjort de uppgifter som följer av ansvaret för verksamheten • Alla myndigheter 99 % • Myndigheter som följer FISK 100 % 4, 13, 24, 28 § § myndighetsförordning 2 kap 8 § förordning om årsredovisning och budgetunderlag EA-värdering 2013

15. Dålig på lokalförsörjning! Tillfredsställande hantering i sin lokalförsörjning • Alla myndigheter 58 % • Myndigheter som följer FISK 52 % 7, 9 § § Förordning om statliga myndigheters lokalförsörjning EA-värdering 2013

16. Bra på riskhantering! Process som med rimlig säkerhet hanterar risker i verksamheten Myndigheter som följer FISK 98 % 3-6 §§ förordning om intern styrning och kontroll EA-värdering 2013

17. Men inte alltid så bra! Upprättar riskanalys och vidtar skadeförebyggande åtgärder Alla myndigheter 82 % Myndigheter som följer FISK 81 % 3 § förordning om statliga myndigheters riskhantering

18. Bättre med riskhantering? EA-värdering koncern-/myndighetsfrågor • Alla myndigheter 97 % / 97 % • Myndigheter som följer FISK 96 % / 97 % EA-värdering 2013

19. Vad är aktuellt från vår rådgivning? Frågor och svar publiceras på vår hemsida under ämnesområdet styrning Få frågor! Kanske ger handledningarna svar! • Ansvaret för intern styrning och kontroll • Risker i verksamheten • Samarbete om risker i verksamheten

20. Vad är ”rätt sätt” att följa upp intern styrning och kontroll? Följ upp • att riskanalysen är genomförd och uppdaterad vid behov • att åtgärder är genomförda eller planerade för risker som inte är accepterade • att åtgärder inte genomförs där kostnaden överstiger nyttan Följ upp tillsammans med verksamheten 5 § förordning om intern styrning och kontroll

21. När ska en riskanalys vara genomförd? Riskanalysen ska vara genomförd när verksamheten börjar! Inte efter den börjat, då uppdateras istället riskanalysen vid behov 3 § förordning om intern styrning och kontroll

22. Vad ska riskanalysen omfatta? Riskanalysen omfattar ansvaret för verksamheten! 2 § förordning och internstyrning och kontroll 3 § myndighetsförordning

23. Vem ansvar för vad som utförs av annan? Myndighetsledningen är ansvarig för den verksamhet som myndigheten bedriver eller köper av annan! 3 § myndighetsförordning Undantag nämndmyndigheter där annan myndighet ska svara för kansligöromål eller administration 18 § myndighetsförordning

24. En åtgärd som inte är genomförd, är det en brist? Nej, en åtgärd vidtas från det att den planeras tills dess att den är genomförd som planerat 4 § förordning om intern styrning och kontroll 2 kap 8 § förordning om årsredovisning och budgetunderlag

25. patrick.freedman@esv.se tomas.kjerf@esv.se