Revisionsplan 2024 Internrevisionen

Riskanalys inför 2024

Internrevisionen ska utvärdera och bidra till förbättringar av ledningsprocesser, riskhanterings- samt styr- och kontrollprocesser genom att använda ett systematiskt och strukturerat tillvägagångssätt.1 Internrevisionen granskar självständigt, i enlighet med internrevisionsförordningen (2006:1228), om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter och uppnår verksamhetens mål. I riskanalysen tas även hänsyn till myndighetsförordningens krav på att universitetets verksamhet bedrivs effektivt, enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU, att verksamheten redovisas på ett tillförlitligt sätt samt att universitetet hushållar väl med statens medel (§3). I analysen bedöms även risken för otillbörlig påverkan, bedrägeri eller annan oegentlighet.

Analysen omfattar den verksamhet som Uppsala universitet bedriver eller ansvarar för. Internrevisionen strävar i sin riskanalys efter att identifiera händelser, företeelser och processer som hotar eller hindrar universitetet att huvuduppgifterna (forskning, utbildning eller samverkan) och övriga uppdrag enligt regleringsbrev nås.

Därvidlag är universitetets mål och strategier (UFV 2018/641) av väsentlig betydelse och en viktig utgångspunkt för analysen. Från mål och strategier framgår att universitetet definierat sex utvecklingsmål: Expandera utbildningen och stärk sambandet mellan utbildning och forskning; utveckla forskningsexcellens; stärk gränsöverskridande och utmaningsdriven forskning; samordna och kraftsamla resurser; utnyttja potentialen vid Campus Gotland samt utveckla samverkan. I korthet innebär målen att Uppsala universitet strävar efter att med utbildning och forskning av högsta kvalitet och relevans bidra till en bättre värld och att genom utbildning, forskning och samverkan spela en ledande roll på väg mot ett hållbart samhälle.

De hot eller risker som identifieras prioriteras utifrån sannolikhet och konsekvens, vilka vägs samman och klassificeras i kategorierna, hög, måttlig eller lägre risk.

Tillvägagångssätt

Internrevisionens omvärldsbevakning sker kontinuerligt. Särskilt fokus riktas därvidlag på sektorsspecifika risker, men även allmänna, såväl nationella som internationella händelser och utvecklingstendenser som kan tänkas spela roll för Uppsala universitets måluppfyllelse beaktas. En del av informationsinhämtningen görs genom intervjuer med ett urval av personer inom universitetet som utifrån position eller erfarenhet kan tänkas bidra till ökad insikt om verksamhetsrelaterade risker.

Internrevisionens självständiga riskanalys grundar sig även på universitetets olika riskanalyser och inför årets riskanalys har internrevisionen tagit del av:

  • riskanalys - Medicinska och farmaceutiska vetenskapsområdet 2022,
  • riskanalys - Teknisk-naturvetenskapliga vetenskapsområdet 2023,
  • riskanalys - Humanistiskt-samhällsvetenskapliga vetenskapsområdet 2021,
  • riskanalys – Uppsala universitetsbibliotek 2021–2023,
  • risk och sårbarhetsanalys 2021
  • riskanalys – Universitetsförvaltningen 2023
  • riskanalys – Ledningsrådet 2023

Bedömning av identifierade risker relaterade till forskning, utbildning och samverkan görs utifrån resultat av tidigare granskningar, intervjuer med ledning och diskussioner i revisionsutskottet. I riskanalysen har sannolikheter för att riskerna ska inträffa bedömts samt vilka konsekvenser de kan tänkas leda till. Mer precist ställs två frågor: Hur stor är sannolikheten för att ”hotet” kan inträffa? och vilka konsekvenser kan en realiserad risk tänkas leda till, dvs hur ”väsentlig” kan hotet tänkas bli för UU:s förmåga att nå verksamhetsmålen eller möta myndighetsförordningens (2007:515) §3? Svaren på frågorna har vägts samman till något av alternativen hög, måttlig eller lägre risk.

Granskningsförslag

Efter diskussion i revisionsutskottet föreslår internrevisionen att nedanstående granskningar och aktiviteter genomförs verksamhetsåret 2024.

Granskningar av institutioner och enheter

Universitetet är av hävd en starkt decentraliserad organisation och enligt universitetets delegations- och arbetsordningar har en långtgående delegering av beslutsbefogenheter och arbetsuppgifter tilldelats prefekterna. Samtidigt kräver en hög grad av decentralisering och långtgående befogenheter en god intern styrning och kontroll. Då en betydande andel av universitetets totala verksamhet genomförs på institutionsnivå har internrevisionen sedan 2019 granskat kärnverksamhetens institutioner och organisationsenheter.2 Granskningarna har föranlett rekommendationer såväl på verksamhets- som övergripande nivå. För 2024 föreslår internrevisionen:

Granskning av institutioner

Institutionsgranskningar genomförs i enlighet med tidigare framtaget granskningsprogram, vilket utvecklats med hänsyn till erfarenheter vunna genom tidigare granskningar. Granskningspopulation bestäms genom stratifierat obundet urval.

Granskning av övriga organisationsenheter

Granskningsprogrammet anpassas till avdelningar och organisationsenheter som inte bedriver utbildning och eller forskning. Granskningspopulation bestäms genom stratifierat obundet urval.

Förmåner

Enligt Skatteverket är förmåner som en arbetsgivare ger sina anställda i princip skattepliktiga. Internrevisionen har också i tidigare riskanalyser identifierat risker som sammanhänger med förmåner. Detta har resulterat i bl.a. en förstudie som rapporterats till universitetsdirektören samt att de årliga institutions- och avdelningsgranskningarna numer även inkluderar hantering av skattepliktiga förmåner på institutions- och avdelningsnivå. En påtaglig risk när förmåner ges eller mottas är, förutom regelöverträdelser, de renomméskador en felaktig hantering kan leda till. Regler och deras tillämpning gällande representation och förmåner kan förmodas kunna påverka förtroendet både internt och externt. Man kan här inte nog betona risken för negativa interna spridningseffekter eller negativ massmedial uppmärksamhet. Mot bakgrund av detta föreslår internrevisionen en granskning av processer för identifiering och hantering av förmåner.

Tillträde till datorer och system

Internrevisionen har i tidigare granskningar (t.ex. om IT-säkerhet och Informationsskerhet) uppmärksammat säkerhetsrisker beträffande informationshantering och IT-system. Hackerattacken som drabbade universitetet sommaren 2023 understryker tidigare identifierade risker. I efterdyningarna av attacken har åtgärder vidtagits för att förbättra IT-säkerheten däribland information till anställda för att motverka framtida hot. En viktig aspekt som hittills inte granskats av internrevisionen är hur universitetet säkerställer att endast anställda eller behöriga personer har tillgång till system och särskilt skyddsvärda lokaler. Internrevisionen föreslår därför en granskning av rutiner, regelverk och dess tillämpning.

Processer för att motverka oegentligheter

Oegentligheter är ett samlingsbegrepp för olika oönskade beteenden. Hit räknas både handlingar som är straffrättsligt reglerade, som att muta någon eller att ta emot en muta, samt olika former av ekonomisk brottslighet. Även handlingar som är reglerade på annat sätt ingår, som jäv och förtroendeskadliga bisysslor. Statskontoret har lyft fram en väl fungerande förvaltningskultur som en förutsättning för arbetet med att motverka oegentligheter.

Sedan 2019 ska svenska myndigheters interna styrning och kontroll också förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter (SFS 2007:603, 2§). Inför tillägget i förordningen om intern styrning och kontroll genomförde internrevisionen en granskning (UFV 2018/863). Internrevisionens sammanfattande bedömning var då att arbetet med oegentligheter inom universitetet bör förbättras och att den interna styrningen och kontrollen avseende oegentligheter stärkas.

Bland rekommendationerna märktes behov av samlad information inom området, regelmässig analys och bedömning av risker samt rutiner som tydliggör hur chefer och medarbetare ska agera vid ett misstänkt oegentlighetsärende. Universitetsdirektören uppdrogs att tydliggöra hur arbetet med intern styrning och kontroll ska hanteras samt tydliggöra rutinerna om hur misstänkta oegentligheter hanteras.

I en decentraliserad organisation som Uppsala universitet är ett medvetet och strukturerat arbete mot oegentligheter nödvändigt. Internrevisionen föreslår mot bakgrund av att fem år förflutit sedan granskning genomförts och en förnyad och fördjupad granskning av universitetets arbete för att motverka oegentligheter. Fokus i granskningen är tänkta att ligga på utformning av styrning och intern kontroll när det gäller det förebyggande arbetet mot oegentligheter.

Hantering av stöldbegärliga tillgångar

I den dagliga verksamheten behövs ett stort antal hjälpmedel som kan definieras som stöldbegärliga tillgångar. Till de stöldbegärliga tillgångarna räknas även sådana som kostnadsförs direkt vid anskaffande som till exempel mobiltelefoner, surf- och skrivplattor, bärbara datorer, digitalkameror etc. Flera av dessa är att betraktas som nödvändig personlig utrustning och det förstås därför lätt att dessa uppgår till ett mycket stort antal och med ett sammanlagt betydande värde. Myndigheter behöver därför också ha väl fungerande rutiner för att inventera och hantera dessa. Vikten av fungerande rutiner för såväl inköp, försäljning och utrangering av stöldbegärliga tillgångar har också betonats av Riksrevisionen (Skr. 2021/22:82).

Bristfälliga rutiner beträffande inventering och hantering av stöldbegärliga tillgångar kan medföra flera negativa konsekvenser. Det ökar risken för förluster och stölder, vilket kan leda till såväl ekonomiska konsekvenser som förluster av värdefull forskningsinformation. Förutom dessa kan brister leda till såväl förtroendeskada som risk för regelöverträdelser.3 Internrevisionen föreslår mot bakgrund av ovanstående och gjorda iakttagelser därför en granskning av intern styrning och kontroll avseende hantering av stöldbegärliga tillgångar.

Reserv i mån av tid: Upphandling - fördjupad uppföljning

Upphandling vid Uppsala universitet har granskats fem gånger sedan 2000 ur olika aspekter av såväl dåvarande Riksrevisionsverket, Riksrevisionen och internrevisionen. Senast 2018 genomförde internrevisionen en granskning som i huvudsak behandlade direktupphandling. Som rapporterats i internrevisionens årsrapporter har konsistoriets beslut ännu inte genomförts fullt ut. Bland annat märks att gällande riktlinjer fortsatt är inaktuella. Mot bakgrund från detta föreslår internrevisionen, i det fall resursläget tillåter, att en fördjupad uppföljning genomförs.

Oplanerade uppdrag

I internrevisionens uppdrag ingår att tillhandahålla råd och rekommendationer angående intern styrning och kontroll till universitetets ledning och konsistorium. Under ett verksamhetsår tillhandahåller internrevisionen även normalt sett rådgivning till olika delar av universitetet, vilket vanligtvis inte kräver särskild rapportering. För att möjliggöra kortare, oplanerade förstudier, granskningar och rådgivning föreslår internrevisionen därför att det avsätts tid även för dessa ändamål under 2024

Bevakning av övriga identifierade risker – under fortsatt utredning/bevakning

I riskanalysen har ett antal riskområden identifierats vilka under kommande revisionsår kommer att bevakas och eller utredas vidare. Ett sådant område som lyfts fram är artificiell intelligens (AI). Användning av AI är under snabb utveckling och ökar i samhället och inom organisationer. AI öppnar stora möjligheter för rationalisering/effektivisering av organisationers verksamheter, men den snabba utvecklingen av avancerad AI innebär även en ökad exponering av AI-relaterade risker. Riskbilden är komplex och inrymmer bland annat risker som sammanhänger med desinformation och ett okritiskt användande men även risker som exempelvis kan hota användarnas säkerhet och skydd av grundläggande rättigheter, såsom integritet och icke-diskriminering. AI har redan och kommer sannolikt i högre utsträckning påverka universitetets verksamhet både på gott och ont. Uppsala universitet har som flera andra universitet börjat utreda användningen av AI. Internrevisionen kommer inför riskanalysen 2024 att ytterligare analysera och värdera risker som relaterar till AI.

Det fokus som samhället i stort riktar gällande en hållbar utveckling har förutom den allmänna debatten kommit till uttryck i såväl lagar som förordningar. Och i riskanalysen har hållbarhet och miljöarbete i vid bemärkelse identifierats som ett väsentligt riskområde. Enligt mål och strategier strävar Uppsala universitet efter att bidra ”till utvecklings- och innovationskraft såväl lokalt som nationellt och är en aktiv part i arbetet med hållbar samhällsutveckling”. Det framgår vidare att Uppsala univer sitet vill ta en ledande roll på vägen mot ett mer hållbart samhälle genom att utbildning och forskning omsätts i nya kunskaper, bättre teknik, utvecklad samhällsorganisation och förändrade beteendemönster. Målsättningen är att universitetet ska bidra till en hållbar utveckling och vara ett föredöme avseende hanteringen av ändliga resurser och aktivt arbeta med sin eget klimatpåverkande verksamhet. För detta har ett antal kvantifierbara mål satts upp (UFV 2020/937). För att universitetet ska lyckas med de ambitiösa mål som satts krävs en god intern styrning och kontroll. Då rektor i december 2023 har beslutat anslå medel för att anställa en miljösamordnare som under två år ska arbeta med implementering av universitetets miljöplan föreslås ingen granskning utan området kommer att fortsatt följas.

Ett ytterligare område som framkommit i riskanalysen och som kräver informationsinhämtning, analys och värdering under 2024 är risken för att hot och våld mot anställda kan hota myndighetsutövning (t.ex. antagning, examination och betygsättning, tillgodoräknanden, disciplinära påföljder). Även den akademiska friheten hotas om forskare och lärare skräms till tystnad och avstår från debatt eller vissa forskningsfrågor/områden. Risker finns förstås för såväl fysisk skada som negativa psykologiska effekter, vilka inte bara riskerar de anställdas arbetsmiljö utan även deras prestationer.

Extern kvalitetsutvärdering

Internrevisionen ska vart femte år, i enlighet med internationella standards och riktlinjer för internrevisionen genomgå en extern kvalitetsutvärdering genomförd av en oberoende och kvalificerad part (UFV 2023/5). Det finns därvidlag två olika tillvägagångssätt. Den senast genomförda utvärderingen 2019 var en s.k. fullständig extern granskning där den externa granskaren granskar verksamheten självständigt. Vid den andra typen genomför internrevisionen en självvärdering utifrån internationella kvalitetsstandards och en extern part validerar självvärderingen. Revisionsutskottet beslöt att mot bakgrund av att senast genomförda granskning var en fullständig granskning att en självvärdering genomförs 2024.

Resurser

Resursläget inför verksamhetsåret 2024 bedöms som gott. Alla tjänster är tillsatta och med hänsyn till planerade ledigheter beräknas på helårsbasis att personalstyrkan kommer att motsvara ca 4 heltidsekvivalenter. Då det vid verksamhetsårets ingång råder viss osäkerhet rörande rekrytering av ny internrevisionschef har planeringen utgått från en kapacitet motsvarande ca knappt 7000 timmar (6.400 timmar 2023) varav drygt knappt 80 % avsätts för granskningar, uppföljning, bevakningar och stöd. Byte av internrevisionschef och uttag av inarbetad semester beräknas belasta verksamhetsåret med drygt 300 timmar.


Granskningar, uppföljning och stöd

2024

Granskningar

4350

Förstudier/instudering

250

Uppföljning tidigare granskningar

200

Bevakning/utredningar

200

Rådgivning

150

Oplanerade uppdrag

100

Extern kvalitetsutvärdering

250

Summa

5500

Riskanalys

Riskanalys 2023

 

250

Summa

250

Kvalitetsarbete

Intern kvalitetsförbättring

 

100

Riskdatabas

50

Kompetensutveckling

160

Harmonisering internat. Standards

150

Introduktion/överlämning

120

Summa

580

Administration och reserv

Administration och ledning

 

500

Planering 2025

100

Reserv

55

Summa

655

Summa planerade timmar

6985

Estimerat tillgängliga resurser

6985

________________________________________

1 I enlighet med standard 2100 i International Professional Practices Framwork (IPPF).

2 Mer precist har internrevisionen följer upp och granskat den interna styrningen och kontrollen på institutions-/enhetsnivå för följande områden: Verksamhet (diarieföring och delegationer), Personal (bisysslor och systematiskt arbetsmiljöarbete) och Ekonomi (inköp och upphandling, resor, representation, företagskort, förmånsbeskattning och uppdragsutbildning).

3 Till exempel ESV:s föreskrifter och allmänna råd om myndigheters bokföring (ESVFA 2022:3)

 

FÖLJ UPPSALA UNIVERSITET PÅ

facebook
instagram
twitter
youtube
linkedin