Riksrevisionen har granskat hur myndigheterna klarar de nya kraven
Mycket arbete kvarstår innan Sveriges statliga myndigheter lever upp till alla krav i den nya förordningen om intern styrning och kontroll, FISK, som trädde i kraft i början av 2008. Det kan konstateras sedan Riksrevisionen granskat hur myndigheterna under det första året klarade av att införa de nya kraven på dokumentation och bedömning av den interna styrningen och kontrollen. I den här artikeln redogör Karin Holmerin för de vanligaste typerna av brister: ofullständiga riskanalyser, svag koppling mellan analys och åtgärder, bristande dokumentation samt otillräckliga förutsättningar för arbetet.
Medan styrningen och kontrollen ofta har väsentliga svagheter, kan man däremot konstatera att myndigheternas ledningar har haft tillräckliga underlag för det uttalande som de enligt förordningen ska göra i årsredovisningen om huruvida den interna styrningen och kontrollen är betryggande eller har brister.
Förordningen om intern styrning och kontroll gäller de statliga myndigheter som omfattas av krav på internrevision, förra året 56 stycken varav många hör till statens största myndigheter. De allra flesta av dem som omfattades gjorde bedömningen att den interna styrningen och kontrollen var betryggande, 44 stycken av 56. Till de resterande 12, som alltså såg brister hos sig själva, hörde exempelvis Försvarsmakten, Försäkringskassan, Skatteverket och Sida.
Regeringens beslut om att myndighetens ledning ska avge ett intygande om den interna styrningen och kontrollen kom snabbt och förberedelsetiden för myndigheterna blev kort. Variationerna mellan myndigheterna är stora och en hel del arbete med att följa förordningens krav återstår i många fall. Vid en majoritet av myndigheterna har det funnits olika brister, men ansvarig revisor har bedömt att vissa av dessa kunnat åtgärdas efter en muntlig rapportering till myndigheten. För relativt många myndigheter, 25 av de 56 som ska följa förordningen, har vi dock i revisionsrapporter avrapporterat olika typer av brister i tillämpningen av förordningen, till exempel ofullständiga riskanalyser och bristande engagemang från myndighetsledningarna. Årsredovisningen har dock i dessa fall bedömts i allt väsentligt rättvisande, vilket innebär att vi anser att ledningens redovisade bedömning av den interna styrningen och kontrollen ger en rättvisande bild. I ett fall (Sida) blev bedömningen att så inte var fallet, och en invändning lämnades i revisionsberättelsen.
Riskanalyserna är ofullständiga
För drygt två tredjedelar av de myndigheter som fått revisionsrapport finns brister i riskanalysen. Ett vanligt problem är att den utförda riskanalysen inte är fullständig. I vissa fall saknas delar av myndighetens verksamhet i analysen, till exempel riskanalys för administrativa stödprocesser. I andra fall har inte alla organisatoriska delar av myndigheten kommit med. Vid flera myndigheter har riskanalysen enbart genomförts på en övergripande nivå. Att vissa delar av myndigheten inte tas med i riskanalysen eller att analysen bara sker på ett övergripande plan är allvarligt eftersom det kan innebära att alla väsentliga risker inte har identifierats. Ett vanligt problem är bristande koppling mellan myndighetens mål och den utförda riskanalysen, vilket kan innebära att man inte identifierar och tar hand om samtliga risker för att verksamhetsmålen inte ska nås. Ytterligare ett problem som gör att riskbilden kan bli ofullständig är att många myndigheter i sin riskanalys endast tagit med risker där kontrollåtgärder saknas, det vill säga risker som inte hanteras av den befintliga styrningen och kontrollen. Detta synsätt förutsätter att de befintliga kontrollåtgärderna fungerar och att riskerna därför redan är omhändertagna. Men flera av myndigheterna har inte aktivt prövat om de beslutade kontrollerna fungerar som avsett. På så sätt kan riskbilden bli för snäv om det visar sig att beslutade kontroller inte fungerar. Myndigheterna bör analysera samtliga risker och koppla denna analys till beslutade kontroller för att få en helhetsuppfattning av riskerna.
Uppföljningen är otillräcklig
Tanken med processen för riskhantering är att riskanalysen ska identifiera de risker myndigheten är utsatt för. Analysen ska leda till beslut om lämpliga kontrollåtgärder, detta för att motverka riskerna i de fall ledningen bedömt att risken behöver hanteras. I flera myndigheter är kopplingen mellan identifierade risker och beslutade kontrollåtgärder svag, vilket kan leda till att viktiga risker inte hanteras på rätt sätt. Myndighetens ledning bör tydligt ta ställning till hur identifierade risker ska hanteras, om de ska accepteras, begränsas eller undvikas. Denna typ av tydliga ställningstaganden saknas hos vissa av de granskade myndigheterna. Knappt hälften av de myndigheter som fått revisionsrapport följer inte upp att beslutade kontrollåtgärder fungerar, vilket kan leda till dels en felaktig riskuppfattning, dels att redan beslutade kontrollåtgärder inte kommer till stånd. Det är även otydligt hur uppföljningen ska göras och vem som har det operativa ansvaret att utföra den.
Brister i dokumentation
Över hälften av de myndigheter som fått revisionsrapport följer inte de krav på dokumentation som förordningen ställer. Dokumentationen är här inte tillräckligt tydlig för att man ska kunna följa hela processen, det vill säga från riskanalys via kontrollåtgärder och uppföljning till underlag för ledningens bedömning av intern styrning och kontroll. Det framgår inte heller av dokumentationen i vilken omfattning uppföljning och utvärdering av kontrollåtgärder faktiskt har utförts.
Det är också viktigt att dokumentationen sker så att ledningen får bättre möjlighet till överblick än vad den har i dag. För flera myndigheter är inte myndighetens struktur för intern styrning och kontroll beskriven på ett tydligt sätt, vilket gör det svårt för ledningen att få överblick över den befintliga kontrollstrukturen. Det är av stor vikt att dokumentation om riskhanteringen ingår i myndighetens helhetsbild av den interna styrningen och kontrollen. En sådan komplett bild gör att ledningen på ett enklare sätt kan förhålla sig till informationen som då blir det levande och relevanta stöd till ledningen som det är tänkt.
Otillräckliga förutsättningar för arbetet
För en majoritet av de myndigheter som fått revisionsrapport finns brister i förutsättningarna för arbetet med förordningen om intern styrning och kontroll. Vid flera myndigheter är det inte tydligt reglerat hur det operativa arbetet med förordningen ska bedrivas eller av vem, och tilldelade resurser för arbetet är ibland otillräckliga. Styrande dokument för arbetet saknas ofta eller är otydliga. Hos vissa myndigheter är kunskapen om processen samlad hos alltför få personer. En annan viktig förutsättning för arbetet är att myndigheternas ledningar är engagerade i frågan. Engagemanget har i flera fall varit för litet, för otydligt eller kommit för sent. Ledningen bör, för att säkerställa att underlaget är tillräckligt, vara tydligare i sin beställning av underlag från verksamheten. Ledningen bör också i ett tidigare skede ta ställning till vilket underlag den behöver.
Inneboende utmaningar i förordningen
Det är för tidigt att dra mer långtgående slutsatser om huruvida den nya förordningen kommer att leda till förbättrad intern styrning och kontroll. Vi kan dock konstatera att de brister som vi så här långt har kunnat konstatera överensstämmer med inneboende svagheter i förordningen.
Vi anser att en försäkran från ledningen om den interna styrningen och kontrollen kräver att ledningens ansvar i en statlig myndighet är tydligt reglerat. Även om den nya myndighetsförordningen har tydliggjort ledningsansvaret finns det fortfarande oklarheter. Bland annat menar vi att det saknas en etablerad norm att värdera den interna styrningen och kontrollen mot. Förordningen om intern styrning och kontroll utgår från COSO (Committee of Sponsering Organizations of the Treadway Cornmission), ett internationellt ramverk för att utvärdera organisationers interna styrning och kontroll, men alla delar av detta ramverk ingår inte, utan endast de som kan dokumenteras. Avsaknaden av normer och ett etablerat ramverk som täcker samtliga delar i den interna styrningen och kontrollen innebär risk för subjektiva bedömningar och en olikartad tillämpning av förordningen.
Det har varit svårt att dra gränsen för vilken nivå den interna styrningen och kontrollen ska ha för att anses betryggande. Vi har endast i ett fall kunnat visa på att bedömningen inte varit rättvisande, övriga revisionsberättelser har varit standardutformade i detta avseende.
Inför resultaten av 2009 års revision räknar vi med att myndigheterna generellt sett ska ha kommit mycket längre. Vi ser dock en viss risk för att frågan inte längre bedöms akut och att fokus i stället läggs på andra frågor.
Karin Holmerin är metodansvarig för årlig revision vid Riksrevisionen.
Myndigheternas effektivitet mäts inte främst i pengar
FISK ställer nya krav på systematisk dokumentation av den interna styrningen och kontrollen utifrån en riskanalys, och på att ledningen ska uttala sig ifall den är betryggande. Att myndigheter ska ha god intern styrning och kontroll är dock inte nytt. De kraven står i Myndighetsförordning (2007:515) och i tidigare verksförordning, och gäller samtliga myndigheter, inte bara dem med krav på internrevision.
FISK definierar intern styrning och kontroll som den process som myndigheten infört för att säkerställa att den lever upp till kraven i 3 § myndighetsförordningen. Där talas bland annat om att verksamheten ska bedrivas ”effektivt och enligt gällande rätt” och att den ska ”redovisas på ett tillförlitligt och rättvisande sätt”.
Det handlar alltså om mycket mer än de finansiella delarna av verksamheten. ”Resultatet” i en myndighet syftar inte heller på det finansiella resultatet utan på resultatet av den verksamhet som myndigheten bedrivit med de anslagna medlen. Myndigheternas årsredovisningar fokuserar på verksamhetens måluppfyllelse.
FISK baseras på den ram som den amerikanska organisationen COSO har ställt upp för hur den interna styrningen och kontrollen ska bedrivas utifrån en riskanalys.