Revisionsplan 2025 Internrevisionen
Riskanalys inför 2025
IInternrevisionen ska utvärdera och bidra till förbättringar av ledningsprocesser, riskhanteringsprocesser samt styr- och kontrollprocesser genom att använda ett systematiskt och strukturerat tillvägagångssätt.1 Internrevisionen granskar självständigt, i enlighet med internrevisionsförordningen (2006:1228), om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter och uppnår verksamhetens mål. I riskanalysen tas även hänsyn till myndighetsförordningens krav på att universitetets verksamhet bedrivs effektivt, enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU, att verksamheten redovisas på ett tillförlitligt sätt samt att universitetet hushållar väl med statens medel (§3). I analysen bedöms även risken för otillbörlig påverkan, bedrägeri eller annan oegentlighet.
Analysen omfattar den verksamhet som Uppsala universitet bedriver eller ansvarar för. Internrevisionen strävar i sin riskanalys efter att identifiera händelser, företeelser och processer som hotar eller hindrar universitetet att huvuduppgifterna (forskning, utbildning eller samverkan) och övriga uppdrag enligt regleringsbrev nås.
I detta arbete är universitetets mål och strategier (UFV 2018/641) av väsentlig betydelse och en viktig utgångspunkt för analysen. I korthet innebär målen att Uppsala universitet strävar efter att med utbildning och forskning av högsta kvalitet och relevans bidra till en bättre värld och att genom utbildning, forskning och samverkan spela en ledande roll på väg mot ett hållbart samhälle. Från mål och strategier framgår att universitetet definierat sex utvecklingsmål: Expandera utbildningen och stärk sambandet mellan utbildning och forskning; utveckla forskningsexcellens; stärk gränsöverskridande och utmaningsdriven forskning; samordna och kraftsamla resurser; utnyttja potentialen vid Campus Gotland samt utveckla samverkan.
Tillvägagångssätt
Internrevisionens omvärldsbevakning sker kontinuerligt. Särskilt fokus riktas på sektorsspecifika risker, men även allmänna, såväl nationella som internationella händelser och utvecklingstendenser som kan tänkas spela roll för Uppsala universitets måluppfyllelse beaktas. En del av informationsinhämtningen görs genom intervjuer med ett urval av personer inom universitetet som utifrån position eller erfarenhet kan tänkas bidra till ökad insikt om verksamhetsrelaterade risker.
Internrevisionens självständiga riskanalys grundar sig även på universitetets olika riskanalyser och inför årets riskanalys har internrevisionen tagit del av:
• riskanalys - Medicinska och farmaceutiska vetenskapsområdet 2022,
• riskanalys - Teknisk-naturvetenskapliga vetenskapsområdet 2023,
• riskanalys - Humanistiskt-samhällsvetenskapliga vetenskapsområdet 2024,
• riskanalys – Uppsala universitetsbibliotek 2024,
• risk och sårbarhetsanalys 2021
• riskanalys – Universitetsförvaltningen 2024
• riskanalys – Ledningsrådet 2024
Bedömning av identifierade risker relaterade till forskning, utbildning och samverkan görs även utifrån resultat av tidigare granskningar, intervjuer med ledning och diskussioner i revisionsutskottet. I riskanalysen har sannolikheter för att riskerna ska inträffa bedömts samt vilka konsekvenser de kan tänkas leda till. Mer precist ställs två frågor: Hur stor är sannolikheten för att ”hotet” kan inträffa? och vilka konsekvenser kan en realiserad risk tänkas leda till, dvs hur ”väsentlig” kan hotet tänkas bli för UU:s förmåga att nå verksamhetsmålen eller möta myndighetsförordningens (2007:515) §3?
Svaren på frågorna har vägts samman till något av alternativen hög, måttlig eller lägre risk.
Granskningsförslag
Efter diskussion i revisionsutskottet föreslår internrevisionen att nedanstående granskningar och aktiviteter genomförs verksamhetsåret 2025.
Tillträde till system
Internrevisionen har i tidigare granskningar (t.ex. om IT-säkerhet och Informationssäkerhet) uppmärksammat säkerhetsrisker beträffande informationshantering och IT-system. En aspekt som hittills inte granskats djupare är hur universitetet säkerställer att endast behöriga personer har tillgång till system och lokaler. Internrevisionen föreslog 2024 en granskning av rutiner, regelverk och dess tillämpning. Planerad granskning har av bemanningsskäl blivit framflyttad och beräknas genomföras under revisionsåret 2025.
Upphandling - fördjupad uppföljning
Upphandling vid Uppsala universitet har granskats flera gånger sedan 2000 ur olika aspekter av såväl Riksrevisionen och internrevisionen. 2018 genomförde internrevisionen en granskning som i huvudsak behandlade direktupphandling. Med utgångspunkt i internrevisionens uppdrag att följa upp tidigare granskningar och med hänsyn till iakttagelser gjorda vid internrevisionens granskningar av institutioner föreslås en fördjupad uppföljning.
Granskningar av institutioner och enheter
Universitetet är av hävd en starkt decentraliserad organisation och enligt universitetets delegations- och arbetsordningar har en långtgående delegering av beslutsbefogenheter och arbetsuppgifter tilldelats prefekterna. Samtidigt kräver en hög grad av decentralisering och långtgående befogenheter en god intern styrning och kontroll. Då en betydande andel av universitetets totala verksamhet genomförs på institutionsnivå har internrevisionen sedan 2017 granskat kärnverksamhetens institutioner och organisationsenheter. Granskningarna har föranlett rekommendationer såväl på verksamhets- som övergripande nivå. För 2025 föreslår internrevisionen:
Granskning av institutioner
Institutionsgranskningar genomförs i enlighet med tidigare framtaget granskningsprogram, vilket utvecklats med hänsyn till erfarenheter vunna genom tidigare granskningar samt övergripande riskanalys. Granskningspopulation omfattar de återstående institutioner som ännu inte har granskats.
Granskning av övriga organisationsenheter- Reserv i mån av tid
Granskningsprogrammet anpassas till avdelningar och organisationsenheter som inte bedriver utbildning och eller forskning. Granskningspopulation bestäms genom stratifierat obundet urval.
Oplanerade uppdrag
I internrevisionens uppdrag ingår att tillhandahålla råd och rekommendationer angående intern styrning och kontroll till universitetets ledning och konsistorium. Under ett verksamhetsår tillhandahåller internrevisionen även normalt sett rådgivning till olika delar av universitetet. För att möjliggöra kortare, oplanerade förstudier, granskningar och rådgivning föreslår internrevisionen därför att det avsätts tid även för dessa ändamål under 2025.
Bevakning av övriga identifierade risker – under fortsatt bevakning
I riskanalysen har ett antal riskområden identifierats som kommer att bevakas vidare under kommande år.
Ett sådant område är artificiell intelligens (AI) som erbjuder stora möjligheter för effektivisering av verksamheter, men den snabba utvecklingen innebär också ökade AI-relaterade risker. AI påverkar redan universitetets verksamhet och kommer sannolikt att göra det i ännu högre grad framöver. Internrevisionen kommer under 2025 fortsätta bevaka AI-relaterade risker samt universitetets arbete och framtagna riktlinjer inom området.
I riskanalysen har även hållbarhet och miljöarbete identifierats som ett riskområde. Uppsala universitet strävar efter att bidra till hållbar samhällsutveckling genom utbildning och forskning. Universitetet vill ta en ledande roll i att skapa ett mer hållbart samhälle och har satt upp kvantifierbara mål för att hantera ändliga resurser och minska sin klimatpåverkan. Området kommer att fortsatt bevakas.
Kvalitetsarbete
Internrevisionen arbetar kontinuerligt med att utveckla och förbättra sin kvalitet och effektivitet. Arbetet omfattar såväl interna och externa kvalitetsutvärderingar, vilka omhändertas i internrevisionens utvecklingsarbete.
Under 2024 har internrevisionen genomgått en extern kvalitetsutvärdering av Ernst & Young AB. Granskningen har utgått från internrevisionens självvärdering, intressentintervjuer och ett urval av intern dokumentation. Det konstaterades att internrevisionen vid Uppsala universitet uppfyller kraven på god internrevisionssed. Två möjliga utvecklingsförslag lämnades dock som planeras bli föremål för insatser under året.2
Från 9 januari 2025 har internrevisionen att förhålla sig till nya internationella standards för internrevision. Internrevisionen planerar att genomföra en GAP-analys och projektet förväntas leda fram till förslag för att anpassa internrevisionens verksamhet till nya standards.
Resurser
Resursläget för 2025 är relativt ansträngt till följd av förändringar i personalstyrkan. Ny chef för internrevisionen tillträdde i januari 2025, och en internrevisor rekryterades som ersättare för en medarbetare som slutade sommaren 2024. Ytterligare rekrytering planeras under året för att nå en fulltalig personalstyrka om fyra personer. Med hänsyn till planerade ledigheter och osäkerhet kring rekrytering har kapaciteten för 2025 beräknats till cirka 4000 timmar, varav ungefär 70 % är avsatta för granskningar.
Granskningar, uppföljning och stöd | 2025 |
Granskningar | 2150 |
Förstudier/instudering | 100 |
Uppföljning tidigare granskningar | 150 |
Bevakning/utredningar | 100 |
Rådgivning | 100 |
Oplanerade uppdrag | 50 |
Summa | 2650 |
Riskanalys Riskanalys 2025 |
250 |
Summa | 250 |
Kvalitetsarbete Intern kvalitetsförbättring |
200 |
Kompetensutveckling | 150 |
Introduktion nyanställda | 100 |
Summa | 450 |
Administration och reserv Administration och ledning |
500 |
Planering 2026 | 100 |
Reserv | 50 |
Summa | 650 |
Summa planerade timmar | 4000 |
Estimerat tillgängliga resurser | 4000 |
________________________________________
1 I enlighet med Globala standarder för internrevision.
2 Det första utvecklingsförslaget avser att internrevisionens riktlinjer behöver harmoniseras med internrevisionens uttalande avseende universitetets interna styrning och kontroll i internrevisionens årsrapport. Det andra avser tydliggörande av den interna dokumentationen gällande kopplingen mellan riskbedömning och valet av granskningsuppdrag.