Riktlinjer för tillämpning av förordningen (2007:603) om intern styrning och kontroll

Diarienummer:
UFV 2025/2019
Beslutsfattare:
Rektor
Handläggande organisation:
Planeringsavdelningen
Kontaktperson:
Sandra Wilander, sandra.wilander@uu.se
Dokumenttyp:
Riktlinjer
Kategori:
Organisation och ansvar, Verksamhetsplanering och uppföljning
Beslutsdatum:
16 december 2025
Granskat:
22 december 2025
Originaldokument och bilagor

1 Inledning

Förordningen om intern styrning och kontroll (2007:603) gäller förvaltningsmyndigheter under regeringen som har skyldighet att följa internrevisionsförordningen (2006:1228). Enligt 3 § myndighetsförordningen (2007:515) ansvarar Uppsala universitets konsistorium för universitetets verksamhet och att den bedrivs effektivt, enligt gällande rätt och enligt vad som följer av medlemskapet i EU, att verksamheten redovisas tillförlitligt och rättvisande och att universitetet hushållar väl med statens medel.

Ledningens ansvar för verksamheten definieras av mål och uppdrag i till exempel regleringsbrev eller andra regeringsbeslut. Med mål och uppdrag för Uppsala universitet avses följande:

  • De krav som ställs av regering och riksdag, framför allt genom Myndighetsförordningen (2007:515), Högskolelagen (1992:1434), Högskoleförordningen (1993:100), förordningen (2007:603) om intern styrning och kontroll, internrevisionsförordningen (2006:1228), förordningen (2000:605) om årsredovisning och budgetunderlag samt regleringsbrev.
  • Mål och strategier för Uppsala universitet och andra av konsistoriet fastställda mål.

För att med rimlig säkerhet tillse att myndigheten fullgör sina mål och uppdrag ska det finnas en process för intern styrning och kontroll. Uppsala universitets process för intern styrning och kontroll utgör underlag för konsistoriets bedömning i årsredovisningen av om den interna styrningen och kontrollen under det gångna året har varit betryggande.

2 Tillämpning av förordningen om intern styrning och kontroll

2.1 Intern styrning och kontroll

2 § Myndighetsledningen ansvarar för att det finns en process för intern styrning och kontroll vid myndigheten som fungerar på ett betryggande sätt. Denna process ska säkerställa att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen (2007:515).

Processen för intern styrning och kontroll ska även förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter.

Myndighetsledningen ska säkerställa att det inom myndigheten finns en god intern miljö som skapar förutsättningar för en väl fungerande process för intern styrning och kontroll. (F. 2018:1343)

Processen för intern styrning och kontroll ska vara integrerad i övrig styrning av verksamheten, som till exempel verksamhetsplanering och uppföljning, för att på ett effektivt sätt bidra till utveckling och förnyelse samt stärka kvalitetsarbetet vid universitetet.

Universitetet är reglerat som en statlig myndighet och med det följer lagstiftning om bland annat hur universitetet styrs och krav på en rättssäker handläggning av ärenden. Ansvar och befogenheter är tydligt definierade och beslutas av konsistoriet i delegationsordning och arbetsordning.

Konsistoriet får löpande information relaterad till intern styrning och kontroll. Inför årsredovisningen presenteras även en kapiteltext om intern styrning och kontroll som tillsammans med dokumenterade riskanalyser och övriga uppföljningar av universitetets verksamhet utgör grund för konsistoriets bedömning av huruvida den interna styrningen och kontrollen har varit betryggande eller uppvisar brister. Konsistoriets bedömning återförs till rektor som tillser att det finns en kontinuerlig utveckling av processen för intern styrning och kontroll.

2.2 Riskanalys

3 § En riskanalys ska göras i syfte att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen (2007:515). (F. 2018:1343)

Riskanalyserna utgör en viktig komponent när verksamheten ska planeras och genomföras. Riskanalyserna ger konsistoriet, universitetsledningen, prefekter och övriga verksamhetsföreträdare en samlad och strukturerad bild av de viktigaste riskområdena vid universitetet och en möjlighet att påverka hanteringen av dem. Inom universitetet ses risktagande som en förutsättning för att nå framgång i olika sammanhang, inte minst när det gäller strategiska satsningar inom utbildning och forskning.

I riskanalysen identifieras och värderas omständigheter som utgör en väsentlig risk, vilket innebär omständigheter som påverkar myndighetsledningens möjligheter att fullgöra ansvaret för verksamheten.

En riskanalys genomförd enligt en bestämmelse i någon annan författning bör också ses som riskanalys enligt förordningen (2007:603) om intern styrning och kontroll. I riskanalysen ska därmed även väsentliga risker som identifierats i samband med riskanalyser genomförda enligt annan författning beaktas.

Myndigheten ska vid behov uppdatera genomförd riskanalys för att säkerställa att den omfattar aktuella omständigheter som utgör en väsentlig risk.

2.3 Åtgärder

4 § Med ledning av riskanalysen ska de åtgärder vidtas som är nödvändiga för att myndigheten med rimlig säkerhet ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3§ myndighetsförordningen (2007:515).

I riskanalysarbetet föreslås åtgärder som syftar till att hantera risker på en acceptabel nivå. En avvägning bör göras mellan den kostnad en viss åtgärd för med sig och den förväntade nyttan av åtgärden. Beslutade åtgärder ska i möjligaste mån integreras i den ordinarie verksamhetsplaneringen.

2.4 Uppföljning

5 § Den interna styrningen och kontrollen skall systematiskt och regelbundet följas upp och bedömas.

Vid bedömningen skall iakttagelser som lämnas vid extern revision och internrevision beaktas.

I uppföljningen ingår att analysera om vidtagna åtgärder fungerar på avsett sätt.

Inför en riskanalys görs uppföljning av tidigare beslutade och genomförda åtgärder. Detta utgör en utgångspunkt för en förnyad riskvärdering och bedömning om åtgärderna är ändamålsenliga.

Rekommendationer från extern revision och internrevisionens granskningar omsätts i åtgärder och i möjligaste mån som uppdrag i verksamhetsplaneringen. Rektor rapporterar till konsistoriet om de åtgärder som vidtagits med anledning av olika granskningar.

2.5 Dokumentation

6 § Riskanalysen och de åtgärder som vidtas med anledning av analysen ska dokumenteras i den utsträckning som är nödvändig för myndighetens uppföljning och bedömning av om den interna styrningen och kontrollen är betryggande. (F. 2018:1343).

Dokumentation av en riskanalys ska innehålla identifierade risker, värdering och prioritering, samt förslag på eventuella åtgärder.

Den dokumenterade riskanalysen ska innehålla en sammanställning av de risker som har bedömts vara väsentliga, inklusive riskvärdering, vidtagna eller planerade åtgärder. Organisatoriskt fördelat ansvar för att genomföra åtgärderna bör också inkluderas.

2.6 Ansvar

Viktiga förutsättningar för intern styrning och kontroll är att verksamhetsansvaret är tydligt formulerat och väl känt inom universitetet och att det finns verktyg och metoder för att utöva detta ansvar.

Ansvaret att verka för intern styrning och kontroll och för att följa lagar och förordningar är tydligt angivet på samtliga organisatoriska nivåer och för samtliga ansvariga. Beslut om och genomförande av åtgärder följer universitetets delegationsordning.

Eventuella oegentligheter samt överträdelser av lagar, förordningar, föreskrifter eller andra regelverk ska rapporteras till överordnad nivå eller till visselblåsarfunktionen.

Konsistoriet

Konsistoriet är ytterst ansvarigt för att utforma och upprätthålla den interna styrningen och kontrollen.

I anslutning till underskriften i årsredovisningen ska konsistoriet redovisa en bedömning av om den interna styrningen och kontrollen har varit betryggande under den period som årsredovisningen avser. Om rektor bedömer att det har funnits brister inom den interna styrningen och kontrollen ska en kortfattad redovisning av bristerna och när de har förelegat lämnas i anslutning till bedömningen.

Riskutskottet

Riskutskottet är konsistoriets beredningsorgan inför ställningstagande om universitetets övergripande riskhantering inom ramen för den interna styrningen och kontrollen. Riskutskottet är inte ett beslutande organ. Frågor som bereds i riskutskottet föredras i konsistoriet av riskutskottets ordförande.

Riskutskottet ska tillse att processen för intern styrning och kontroll ger konsistoriet goda förutsättningar att bedöma universitetets riskhantering.

Rektor

Rektor har ett övergripande ansvar för att processen i enlighet med förordningen (2007:603) om intern styrning och kontroll tillämpas i hela verksamheten. Ansvaret förs vidare i organisationen genom delegationsordningen. Rektor fastställer riskanalyser på övergripande nivå och ansvarar för att en samlad dokumentation för hela verksamheten årligen upprättas och presenteras för konsistoriet.

Vicerektorer, dekan som är ordförande i fakultetsnämnd, universitetsdirektören, överbibliotekarien samt prefekter och övriga chefer som inte är prefekter

I rektors delegation till vicerektorer, dekan som är ordförande i fakultetsnämnd, överbibliotekarien samt prefekter och övriga chefer som inte är prefekter, anges att dessa ansvarar för god intern styrning och kontroll av verksamheten samt för att följa övrig lagstiftning inom området. Det innebär även ett ansvar för att processen för intern styrning och kontroll tillämpas inom respektive verksamhetsområde.

Universitetsdirektören har ett särskilt ansvar för metodstöd och kvalitetssäkring av den förordningsstyrda processen för intern styrning och kontroll inom hela universitetet.

Samtliga medarbetare

Alla anställda har en viktig del i att den interna styrningen och kontrollen är betryggande. Arbetet med intern styrning och kontroll ses vid universitetet som en del av kvalitetsarbetet, vilket inbegriper att aktivt delta i granskning och utveckling av kvaliteten i den verksamhet som de är involverade i.

Internrevisionen

Internrevisionen ska granska den interna styrningen och kontrollen i enlighet med internrevisionsförordningen. Konsistoriet kan dessutom besluta att internrevisionen ska utföra särskilda gransknings- och rådgivningsinsatser som underlag för konsistoriets bedömning.

3 Process för intern styrning och kontroll

Riskanalyser enligt förordningen om intern styrning och kontroll (2007:603) 3 § genomförs löpande i en årlig cykel.

I samband med uppstarten av verksamhetsplaneringsprocessen genomförs en riskanalys vid rektors ledningsråd. Därefter genomförs riskanalyser av förvaltningsledningen, prefekter och motsvarande vid vetenskapsområdena, samt universitetsbibliotekets ledningsgrupp. Studentinflytande säkerställs genom deltagande i olika organ i enlighet med Studentkårsförordningen (2009:769).

Vid rektors ledningsråd och förvaltningsledningen uppdateras riskanalyserna årligen, medan prefekter och motsvarande vid vetenskapsområdena följer en treårscykel med ett vetenskapsområde per år, och universitetsbibliotekets ledning uppdaterar riskanalysen vart tredje år.

Riskanalyser genomförda enligt andra förordningar ingår som underlag till riskanalysen för intern styrning och kontroll. En risk som bedöms vara väsentlig för universitetets möjligheter att fullgöra ansvaret för verksamheten inkorporeras i riskanalysen och hanteras på erforderligt sätt.

FÖLJ UPPSALA UNIVERSITET PÅ

Uppsala universitet på facebook
Uppsala universitet på Instagram
Uppsala universitet på Youtube
Uppsala universitet på Linkedin