Riktlinjer för tillämpning av förordningen (2007:603) om intern styrning och kontroll

Diarienummer:
UFV 2022/20
Beslutsfattare:
Rektor
Handläggande organisation:
Planeringsavdelningen
Kontaktperson:
Hanna Jäder, hanna.jader@uu.se
Dokumenttyp:
Riktlinjer
Kategori:
Organisation och ansvar, Verksamhetsplanering och uppföljning
Beslutsdatum:
8 mars 2022
Granskat:
29 november 2024
Originaldokument och bilagor

Observera: Dokumentet är under revision – ny version publiceras under 2025.

1 Inledning

De statliga myndigheter som omfattas av förordning om intern styrning och kontroll (2007:603) ska bedriva sin verksamhet enligt verksamhetskraven i myndighetsförordningen (2007:515):

  • effektivt,
  • enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen,
  • så att den redovisas på ett tillförlitligt och rättvisande sätt, samt
  • så att myndigheten hushållar väl med statens medel.

Myndighetens ledning, vid Uppsala universitet konsistoriet, ska i samband med fastställandet av årsredovisningen göra en bedömning av huruvida den interna styrningen och kontrollen har varit betryggande eller uppvisar brister.

Följande förordningar utgör det huvudsakliga regelverket för intern styrning och kontroll för universitet och högskolor:

  • myndighetsförordningen (2007:515)
  • högskoleförordningen (1993:100)
  • förordningen (2007:603) om intern styrning och kontroll
  • internrevisionsförordningen (2006:1228)
  • förordningen (2000:605) om årsredovisning och budgetunderlag.

I förordning (2007:603) om intern styrning och kontroll anges en obligatorisk process för att uppnå de ställda kraven. Momenten i denna process är riskanalys, vidta åtgärder, uppföljning och dokumentation. Dessa fyra moment ska ingå i de metoder för planering och uppföljning som tillämpas.

2 Tillämpning av förordningen (2007:603) om intern styrning och kontroll

2.1 Intern styrning och kontroll

2 § Myndighetsledningen ansvarar för att det finns en process för intern styrning och kontroll vid myndigheten som fungerar på ett betryggande sätt. Denna process ska säkerställa att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen (2007:515).

Processen för intern styrning och kontroll ska även förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter.

Myndighetsledningen ska säkerställa att det inom myndigheten finns en god intern miljö som skapar förutsättningar för en väl fungerande process för intern styrning och kontroll. Förordning (2018:1343).

Processen för intern styrning och kontroll ska vara integrerad i ordinarie verksamhetsplanering och uppföljning för att på ett effektivt sätt bidra till utveckling och förnyelse samt förstärka kvalitets- arbetet vid universitetet. Riskanalyserna ska ge konsistoriet, universitetsledningen, prefekter och övriga verksamhetsföreträdare en samlad och strukturerad bild av de viktigaste riskområdena vid universitetet och en möjlighet att påverka hanteringen av dem.

2.2 Riskanalys

3 § En riskanalys ska göras i syfte att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3§ myndighetsförordningen (2007:515).

Grundtanken i regelverket för intern styrning och kontroll är att riskanalyser utgör en viktig komponent när verksamheten ska planeras och genomföras. Inom universitetet ses risktagande som en förutsättning för att nå framgång i olika sammanhang, inte minst när det gäller strategiska satsningar inom utbildning och forskning. Riskanalyser är en möjlighet att göra strukturerade och medvetna val när det gäller de risker som behöver hanteras.

Som utgångpunkt för riskanalyser används de mål som är framtagna för verksamheten.

Riskanalyser genomförs av rektors ledningsråd, prefekter/motsvarande vid vetenskapsområdena, universitetsförvaltningens chefsgrupp samt universitetsbiblioteket. Studentinflytande säkerställs genom deltagande i olika organ i enlighet med Studentkårsförordningen (2009:769). Se vidare avsnitt 2.6.

2.3 Åtgärder

4 § Med ledning av riskanalysen ska de åtgärder vidtas som är nödvändiga för att myndigheten med rimlig säkerhet ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3§ myndighetsförordningen (2007:515).

I riskanalysarbetet föreslås åtgärder som syftar till att hantera risker på en acceptabel nivå. Beslutade åtgärder ska i möjligaste mån integreras i den ordinarie verksamhetsplaneringen.

2.4 Uppföljning

5 § Den interna styrningen och kontrollen skall systematiskt och regelbundet följas upp och bedömas.

Vid bedömningen skall iakttagelser som lämnas vid extern revision och internrevision beaktas.

Inför en riskanalys görs uppföljning av tidigare föreslagna och genomförda åtgärder. Detta utgör en utgångspunkt för en förnyad riskvärdering.

2.5 Dokumentation

6 § Riskanalysen och de åtgärder som vidtas med anledning av analysen ska dokumenteras i den utsträckning som är nödvändig för myndighetens uppföljning och bedömning av om den interna styrningen och kontrollen är betryggande. Förordning (2018:1343).

Dokumentation av en riskanalys ska innehålla identifierade risker, värdering och prioritering, samt förslag på eventuella åtgärder.

I en slutrapport ges en samlad dokumentation med en övergripande beskrivning av arbetet med intern styrning och kontroll samt aktuella riskanalyser vilken fastställs av rektor. Slutrapporten utgör ett underlag för konsistoriets bedömning av den interna styrningen och kontrollen i samband med fastställandet av årsredovisningen.

2.6 Ansvar

Viktiga förutsättningar för intern styrning och kontroll är att verksamhetsansvaret är tydligt formulerat och väl känt inom universitetet och att det finns verktyg och metoder för att utöva detta ansvar. Konsistoriets och rektors uppgift är att se till att en verksamhetsanpassad och ändamålsenlig riskhantering integreras i universitetets verksamhetsplanering och uppföljning.

Ansvaret att verka för intern styrning och kontroll och för att följa lagar och förordningar är tydligt angivet på samtliga organisatoriska nivåer och för samtliga ansvariga. Beslut om och genomförande av åtgärder följer universitetets delegationsordning.

Konsistoriet

Konsistoriet är ytterst ansvarigt för att utforma och upprätthålla den interna styrningen och kontrollen.

I anslutning till underskriften i årsredovisningen ska konsistoriet redovisa en bedömning av om den interna styrningen och kontrollen har varit betryggande under den period som årsredovisningen avser. Om rektor bedömer att det har funnits brister inom den interna styrningen och kontrollen ska en kortfattad redovisning av bristerna och när de har förelegat lämnas i anslutning till bedömningen.

Rektor

Rektor har ett övergripande ansvar för att processen i enlighet med förordningen (2007:603) om intern styrning och kontroll tillämpas i hela verksamheten. Ansvaret förs vidare i organisationen genom delegationsordningen. Rektor fastställer riskanalyser på övergripande nivå och ansvarar för att en samlad dokumentation för hela verksamheten årligen upprättas och presenteras för konsistoriet.

Vicerektorer, dekan som är ordförande i fakultetsnämnd, universitetsdirektören, överbibliotekarien samt prefekter och övriga chefer som inte är prefekter

I rektors delegation till vicerektorer, dekan som är ordförande i fakultetsnämnd, överbibliotekarien samt prefekter och övriga chefer som inte är prefekter, anges att dessa ansvarar för god intern styrning och kontroll av verksamheten samt för att följa övrig lagstiftning inom området. Det innebär även ett ansvar för att processen för intern styrning och kontroll tillämpas inom respektive verksamhetsområde.

Universitetsdirektören har ett särskilt ansvar för metodstöd och kvalitetssäkring av den förordningsstyrda processen för intern styrning och kontroll inom hela universitetet.

Samtliga medarbetare

Alla anställda har en viktig del i att den interna styrningen och kontrollen är betryggande. Arbetet med intern styrning och kontroll ses vid universitetet som en del av kvalitetsarbetet, vilket inbegriper att aktivt delta i granskning och utveckling av kvaliteten i den verksamhet som de är involverade i.

Internrevisionen

Internrevisionen ska granska den interna styrningen och kontrollen i enlighet med internrevisions- förordningen. Konsistoriet kan dessutom besluta att internrevisionen ska utföra särskilda gransknings- och rådgivningsinsatser som underlag för konsistoriets bedömning.

3 Process för intern styrning och kontroll

Riskanalyser görs löpande enligt en fastställd plan. Med riskanalyser avses riskidentifiering, värdering och prioritering. Befintliga risker kan tas bort eller omvärderas och nya risker kan tillkomma. I samband med riskanalyserna diskuteras även behov av eventuella åtgärder och huvudansvariga för åtgärderna.

I en årlig cykel påbörjas riskanalyser vid rektors ledningsråd i samband med uppstarten av verksamhetsplaneringsprocessen. Därefter följer vetenskapsområdena, stödverksamheten vid universitetsförvaltningen samt universitetsbiblioteket.

Rektors ledningsråd

Riskanalys görs årligen i rektors ledningsråd. Andra deltagare kan adjungeras att delta vid det tillfället. Förutom identifierade universitetsövergripande risker hanteras eventuella risker från vetenskapsområden och stödverksamheten.

Identifierade risker hanteras inom ramen för universitetets verksamhetsplanering.

Vetenskapsområden

Riskarbetet periodiseras så att varje vetenskapsområde gör en riskanalys vart tredje år. De följande två åren genomförs åtgärder och slutligen görs uppföljning inför kommande riskanalys.

Riskanalysen genomförs med prefekter och andra akademiska ledare som representerar området. Identifierade risker hanteras antingen på områdesnivån för åtgärd och uppföljning, eller förs vidare till universitetsledning eller universitetsdirektör i kommande riskanalys.

Universitetsförvaltningen

Riskanalys genomförs årligen med universitetsförvaltningens chefsgrupp. UU Innovation och UU Samverkan representeras genom sin adjungering till verksamhetsområdet Kommunikation och externa relationer. Förutom universitetsförvaltningens egna risker hanteras eventuella risker från ledningsrådets riskanalys. Identifierade risker hanteras inom ramen för förvaltningens verksamhetsplanering, eller förs vidare till universitetsledningen i kommande riskanalys.

Universitetsbiblioteket

För universitetsbiblioteket är riskarbetet periodiserat så att en riskanalys genomförs vart tredje år. De följande två åren genomförs åtgärder och slutligen görs uppföljning inför kommande riskanalys.

Riskanalysen genomförs med ledningsgrupp eller motsvarande. Identifierade risker hanteras antingen inom universitetsbibliotekets verksamhetsplanering för åtgärd och uppföljning eller förs vidare till universitetsledningen eller universitetsdirektör i kommande riskanalys.

FÖLJ UPPSALA UNIVERSITET PÅ

Uppsala universitet på facebook
Uppsala universitet på Instagram
Uppsala universitet på Youtube
Uppsala universitet på Linkedin