Utvecklad intern styrning och kontroll · Ett tillägg görs i 2 § om att myndighetsledningen ska...

2018:20

Regeringsuppdrag

Rapport

Utvecklad intern styrning och kontroll

Förslag till förordningsändringar

om intern styrning och kontroll.

2

Publikationen kan laddas ner

från ESV:s webbplats esv.se.

Datum: 2018-02-14

Dnr: 2017-01025

ESV-nr: 2018:20

Copyright: ESV

Rapportansvarig: Karolina Larfors

FÖRORD

3

Förord

Ekonomistyrningsverket (ESV) har haft i uppdrag att lämna förslag till förordnings-

ändringar utifrån de bedömningar som ESV redovisat i rapporten Tillämpningen av

förordningen om intern styrning och kontroll (ESV 2017:65).

Annika Alexandersson, Patrick Freedman, Tomas Kjerf och Karolina Larfors har

tagit fram denna rapport.

Ekonomistyrningsverket överlämnar härmed rapporten Utvecklad intern styrning och

kontroll och uppdraget är därmed avslutat.

Stockholm

2018-02-14

Clas Olsson

Generaldirektör

Karolina Larfors

Utredare

INNEHÅLL

4

Innehåll

Förord .......................................................................................................................... 3

1 Sammanfattning .................................................................................................... 6

1.1 ESV:s förslag .............................................................................................................. 6

1.2 Förslagen underlättar myndigheternas tillämpning ..................................................... 7

1.3 Nyttan av förslagen överstiger kostnaderna ............................................................... 7

2 Inledning ................................................................................................................ 9

2.1 Vårt uppdrag ............................................................................................................... 9

2.2 Vår tolkning av uppdraget ........................................................................................... 9

2.3 Uppdragets genomförande ....................................................................................... 10

2.4 Avgränsningar .......................................................................................................... 11

3 Tidigare kartläggning visar på önskemål om förordningsändringar ............ 13

3.1 Behov av förordningsändringar för att effektivisera arbetet med intern styrning och

kontroll ...................................................................................................................... 13

3.2 Fortsatt utredning utifrån följande utgångspunkter.................................................... 13

4 Regleringen av intern styrning och kontroll .................................................... 17

4.1 Varför intern styrning och kontroll? ........................................................................... 17

4.2 Regleringen bygger på internationella ramverk ........................................................ 19

4.3 Intern styrning och kontroll är mer än riskhantering .................................................. 24

4.4 Regelverket i några andra länder.............................................................................. 26

4.5 Intern styrning och kontroll i andra organisationer .................................................... 31

5 ESV:s överväganden och förslag ...................................................................... 34

5.1 Myndighetsledningens ansvar .................................................................................. 34

5.2 En tydlig koppling till myndighetens uppgifter och verksamhetens mål .................... 35

5.3 Reglering av intern miljö ........................................................................................... 37

5.4 Arbetet mot oegentligheter och förordningen om intern styrning och kontroll ........... 40

5.5 Bredare fokus för riskanalysen ................................................................................. 42

5.6 Ändring av begreppet kontrollåtgärder...................................................................... 45

5.7 Kravet på dokumentation får ett syfte ....................................................................... 46

5.8 Samma period för bedömningen som för årsredovisningen i övrigt .......................... 47

5.9 Följdändringar i andra förordningar........................................................................... 49

6 Konsekvenser för myndigheter, Regeringskansliet och Riksrevisionen ..... 50

6.1 Konsekvenser för myndigheternas arbete med intern styrning och kontroll .............. 50

6.2 Konsekvenser för regeringens uppföljning och prövning .......................................... 53

6.3 Konsekvenser för Riksrevisionens årliga revision ..................................................... 55

6.4 Konsekvenserna av oförändrade förordningar .......................................................... 56

7 Författningsförslag ............................................................................................. 58

7.1 Förordningen om intern styrning och kontroll ............................................................ 58

7.2 Förordningen om årsredovisning och budgetunderlag .............................................. 59

7.3 Internrevisionsförordningen ...................................................................................... 59

INNEHÅLL

5

Referenser ................................................................................................................ 60

Ordlista ...................................................................................................................... 63

SAMMANFATTNING

6

1 Sammanfattning

Ekonomistyrningsverket (ESV) har haft i uppdrag att lämna förslag till ändringar i

förordningen (2007:603) om intern styrning och kontroll samt förordningen

(2000:605) om årsredovisning och budgetunderlag utifrån de bedömningar som ESV

tidigare har redovisat i rapporten Tillämpningen av förordningen om intern styrning

och kontroll (ESV 2017:65). Uppdraget har även omfattat att lämna förslag på följd-

ändringar i andra förordningar samt att utreda vilka konsekvenser förslagen får för

myndigheterna.1 ESV har genomfört uppdraget som en utredning med många externa

kontakter. Här sammanfattar ESV sina slutsatser och förslag.

1.1 ESV:s förslag

ESV föreslår att regeringen gör följande ändringar i förordningen om intern styrning

och kontroll:

En bestämmelse införs i 2 § om att intern styrning och kontroll är myndighets-

ledningens process.

En ändring införs i 2 § om att den interna styrningen och kontrollen syftar till att

myndigheten med rimlig säkerhet fullgör sina uppgifter och når verksamhetens

mål.

Ett tillägg görs i 2 § om att myndighetsledningen ska upprätthålla en god intern

miljö som en del av processen för den interna styrningen och kontrollen.

Ett tillägg görs i 2 § om att processen för intern styrning och kontroll ska bedri-

vas så att verksamheten skyddas mot korruption, otillbörlig påverkan, bedrägeri

eller annan oegentlighet.

En ändring görs i 3 § om att riskanalysen ska göras i syfte att identifiera omstän-

digheter som utgör väsentlig risk för att myndigheten inte fullgör sina uppgifter

eller når verksamhetens mål. Riskanalysen får även beakta omständigheter som

ger ökad möjlighet att fullgöra myndighetens uppgifter och nå verksamhetens

mål.

Begreppet kontrollåtgärder ändras till åtgärder i rubriken i 4 §.

Kravet på dokumentation i 6 § ändras så att riskanalys och åtgärder ska doku-

menteras i den utsträckning som myndigheten behöver för uppföljning och

bedömning av om det finns en betryggande intern styrning och kontroll.

ESV föreslår även att regeringen ändrar:

2 kap. 8 § förordningen om årsredovisning och budgetunderlag så att ledningens

bedömning omfattar samma period som årsredovisningen avser.

1 Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta fram förordningsförslag för en utvecklad

intern styrning och kontroll, Finansdepartementet, 2017-10-19.

SAMMANFATTNING

7

4 § internrevisionsförordningen (2006:1228) till att internrevisionen ska granska

om ledningens interna styrning och kontroll är utformad så att myndigheten med

rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål.

ESV:s förslag till ändringar i berörda förordningar framgår av kapitel 7 i denna

rapport. ESV föreslår att bestämmelserna börjar gälla från och med den 1 januari

2019.

1.2 Förslagen underlättar myndigheternas tillämpning

I ESV:s tidigare rapport framkom bland annat att de myndigheter som ska tillämpa

förordningen om intern styrning och kontroll (de så kallade internrevisions-

myndigheterna2) gör det med viss variation. Analysen visade att det är svårt för

myndigheterna att uppskatta kostnaderna för riskhanteringen men att nyttan

motsvarar eller överstiger kostnaderna för drygt hälften av myndigheterna. Samtidigt

önskar en stor andel av myndigheterna förändringar i förordningen om intern

styrning och kontroll. Utifrån den analysen drog ESV slutsatsen att myndigheternas

önskemål snarare pekade på att myndigheterna ville ha förändringar i regleringen än

att regleringen ska upphävas.

De förslag till förordningsändringar som ESV lämnar i denna rapport syftar till att

underlätta myndigheternas tillämpning av berörda förordningar och effektivisera

deras arbete med intern styrning och kontroll. ESV bedömer att förslagen bland annat

ökar förutsättningarna för att den interna styrningen och kontrollen integreras som en

del av ledningen av verksamheten. Förslagen medför också att myndigheterna i större

utsträckning internt kan bestämma vad processen för den interna styrningen och kon-

trollen ska generera och hur den ska dokumenteras. Det betyder att det även fortsatt

finns utrymme för verksamhetsanpassning på den enskilda myndigheten. Förslagen

syftar även till att minska den administrativa belastningen som många myndigheter

upplever vid tillämpningen av förordningen om intern styrning och kontroll. ESV:s

förslag innebär vidare en skärpning av myndigheternas interna styrning och kontroll,

på så vis att den också ska omfatta arbetet mot olika typer av oegentligheter.

1.3 Nyttan av förslagen överstiger kostnaderna

ESV bedömer att förslagen underlättar myndigheternas tillämpning av regelverket.

Vidare ger förslagen ökad möjlighet till verksamhetsanpassning och integrering av

den interna styrningen och kontrollen med övrig ledning av verksamheten. ESV be-

dömer även att nyttan med de samlade förslagen är större än de kostnader och den

administration som de kan medföra. ESV:s arbete med regeringsuppdraget har inne-

fattat många externa kontakter, där utkast till förslag och deras konsekvenser har

2 Med internrevisionsmyndighet menas de myndigheter som regeringen har beslutat ska tillämpa intern-

revisionsförordningen. Dessa myndigheter ska också tillämpa förordningen om intern styrning och kontroll enligt 1 §

förordningen om intern styrning och kontroll.

SAMMANFATTNING

8

diskuterats med företrädare för internrevisionsmyndigheterna, Regeringskansliet och

Riksrevisionen. Det har lett till att ESV har justerat förslagen för att minska de nega-

tiva konsekvenserna för olika parter. Av kontakterna har det också framgått att några

av förslagen innebär en kodifiering av det arbetssätt som vissa av de berörda myndig-

heterna redan använder. I andra fall har arbetet med förslagen visat att det kan finnas

en konflikt mellan olika intressen, till exempel om hur den interna styrningen och

kontrollen ska dokumenteras. I dessa fall har ESV utformat förslagen i syfte att såväl

underlätta för myndigheterna, som att möjliggöra granskning av den interna styr-

ningen och kontrollen.

INLEDNING

9

2 Inledning

I detta kapitel redogör vi för ESV:s regeringsuppdrag och hur vi har tolkat det. Vi

redogör vidare för hur uppdraget har genomförts och de avgränsningar som ESV har

gjort.

2.1 Vårt uppdrag

Regeringen har den 19 oktober 2017 beslutat att ge ESV i uppdrag att ta fram för-

ordningsförslag för en utvecklad intern styrning och kontroll. Av beslutet framgår att

ESV ska lämna förslag till ändringar i förordningen om intern styrning och kontroll

samt förordningen om årsredovisning och budgetunderlag utifrån de bedömningar

som myndigheten redovisat i rapporten Tillämpningen av förordningen om intern

styrning och kontroll (ESV 2017:65). ESV ska vid behov även lämna förslag på

följdändringar i andra författningar.

I uppdraget ingår också att utreda vilka konsekvenser förslagen får för myndig-

heterna. Det är centralt att reglerna utformas så att nyttan av dessa överstiger de

kostnader och den administration som de innebär. Under arbetets gång ska avstäm-

ningar ske med Regeringskansliet (Finansdepartementet). ESV ska redovisa

uppdraget till regeringen senast den 15 februari 2018.3

2.2 Vår tolkning av uppdraget

Vi har tolkat uppdraget som att ESV ska utreda och lämna förslag till förändringar i

förordningen om intern styrning och kontroll och förordningen om årsredovisning

och budgetunderlag. Förslagen ska utgå från ESV:s bedömningar i rapporten

Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65).

ESV ska också, om så behövs, lämna förslag till följdändringar i andra författningar.

Det har vi tolkat som ett uppdrag att lämna förslag till följdändringar i andra förord-

ningar som direkt berörs av de ändringar vi föreslår i förordningen om intern styrning

och kontroll och förordningen om årsredovisning och budgetunderlag. ESV har iden-

tifierat att det finns behov av följdändringar i internrevisionsförordningen.

Uppdraget innebär också en utredning av vilka konsekvenser som ESV:s förslag till

förordningsändringar kan få för myndigheter. Till myndigheter räknar vi de myndig-

heter som ska tillämpa förordningen om intern styrning och kontroll (de så kallade

internrevisionsmyndigheterna)4, men också Regeringskansliet och Riksrevisionen.

3 Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta fram förordningsförslag för en utvecklad

intern styrning och kontroll, Finansdepartementet, 2017-10-19. 4 Förordningen om intern styrning och kontroll ska tillämpas av de myndigheter som har en skyldighet att följa

internrevisionsförordningen. Under 2017 fanns det 69 internrevisionsmyndigheter. Internrevisionsmyndigheterna finns

INLEDNING

10

Av uppdraget framgår vidare att nyttan av förslagen till förordningsändringar ska

överstiga de kostnader och den administration som reglerna innebär. Vi har i vår

konsekvensanalys haft ett särskilt fokus på om de föreslagna förordningsändringarna

kan komma att påverka myndigheternas arbete på ett negativt sätt, med ökat arbete

och ökade kostnader som följd.

2.3 Uppdragets genomförande

Vi har genomfört uppdraget som en utredning med många externa kontakter. Det

interna arbetet har inneburit att utkast till förslag till ändringar i de berörda för-

ordningarna har arbetats fram och stämts av inom ESV. Utredningen har också

översiktligt omfattat en genomgång av vilka delar det kan bli aktuellt med ändringar i

ESV:s föreskrifter och allmänna råd. Arbetet med att se över dessa sker dock i ett

senare skede, om regeringen beslutar att ändra i förordningarna. I övrigt har material-

insamlingen i utredningen innefattat en avgränsad omvärldsanalys av hur intern styr-

ning och kontroll regleras internationellt samt i några andra sektorer. Analysen åter-

finns i kapitel 4 och syftar till att sätta ESV:s förslag i ett bredare sammanhang.

ESV:s utredning har genomförts i dialog med företrädare för internrevisions-

myndigheterna, Regeringskansliet och Riksrevisionen. Vi har diskuterat utkast till

förslag till förordningsändringar med intressenter i olika konstellationer, något som

vi utvecklar nedan. Diskussionerna har handlat om utformningen av möjliga förord-

ningsändringar och vilka konsekvenser ändringarna skulle få för myndigheterna. I

underlaget till diskussionerna har även ett tidigt utkast till ändrade föreskrifter och

allmänna råd funnits med. Det material som vi har samlat in har främst varit av

kvalitativ art. Materialet har sedan legat till grund för vår fortsatta beredning av

ESV:s förslag till förordningsändringar.

ESV har bjudit in företrädare för internrevisionsmyndigheterna till tre tillfällen för att

diskutera regeländringar. Vid en av träffarna har vi också erbjudit deltagande via

webbsändning, i syfte att möjliggöra för fler myndigheter att kunna bidra med syn-

punkter. Målgruppen för dessa möten har varit personer som arbetar med frågor om

intern styrning och kontroll eller internrevision på en internrevisionsmyndighet. Vid

dessa möten har sammanlagt företrädare för 39 internrevisionsmyndigheter deltagit.

Därutöver har vi vid två tillfällen bjudit in de myndigheter som utgjorde ESV:s

urval5 i rapporten Tillämpningen av förordningen om intern styrning och kontroll

(ESV 2017:65). Vid en inledande workshop diskuterade företrädare för åtta myndig-

heter hur berörda förordningar skulle kunna ändras utifrån de bedömningar som ESV

uppräknade på ESV:s webbplats, se http://www.esv.se/effektiv-

statsforvaltning/styrning/internrevision/internrevisionsmyndigheter/. 5 I urvalet i ESV 2017:65 ingick Arbetsförmedlingen, Försvarets materielverk, Försäkringskassan, Migrationsverket,

Skatteverket, Statens fastighetsverk, Statens jordbruksverk, Statens skolverk, Trafikverket och Uppsala universitet. Vi har

dessutom i denna utredning kompletterat urvalet med Kungliga tekniska högskolan och Stockholms universitet.

INLEDNING

11

gjorde i den tidigare rapporten. Sex myndigheter har också deltagit i en fördjupad

diskussion om konsekvenserna av föreslagna förordningsändringar.

ESV har träffat företrädare för de departement dit myndigheterna i vårt urval hör för

att diskutera utkast till förslag till förordningsändringar och konsekvenserna av dessa

för Regeringskansliet. Vid mötet deltog företrädare för sex departement. Berörda de-

partement har också inbjudits att lämna synpunkter skriftligen, något som fyra depar-

tement har gjort.

ESV har träffat företrädare för Riksrevisionen vid ett möte, där ansvariga revisorer

för några av myndigheterna i ESV:s urval fått möjlighet att lämna synpunkter på

utkast till förslag till förordningsändringar. Vid mötet har vi också diskuterat vilka

konsekvenser föreslagna ändringar kan få för Riksrevisionens granskning av myndig-

heternas interna styrning och kontroll.

Statskontoret har bland annat i uppgift att stärka en god förvaltningskultur i staten

och motverka korruption. Vi har därför diskuterat de förslag till förordningsändringar

som rör den interna miljön och arbetet mot oegentligheter med företrädare för Stats-

kontoret. Utkast till förslag till förordningsändringar har också diskuterats med

ESV:s insynsråd och ESV:s internrevisionsråd.

Företrädare för Finansdepartementet och Riksrevisionen har fått möjlighet att lämna

synpunkter på utkast till förslag till förordningsändringar samt på utkast till rapport.

2.4 Avgränsningar

ESV:s utredning omfattar förslag till ändringar i förordningen om intern styrning och

kontroll, förordningen om årsredovisning och budgetunderlag samt internrevisions-

förordningen. Uppdraget har inte omfattat en komplett översyn av förordningarna

utan de förslag ESV lämnar har utgått från de bedömningar som ESV gjorde i

rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV

2017:65).

ESV:s konsekvensanalys utgår från det material som vi har samlat in vid våra möten

med internrevisionsmyndigheterna, Regeringskansliet och Riksrevisionen. I ESV:s

tidigare rapport framgår att få internrevisionsmyndigheter kan kvantifiera kostna-

derna för det arbete som hör samman med tillämpningen av förordningen om intern

styrning och kontroll.6 Mot den bakgrunden har vi i denna utredning bedömt att det

inte har varit möjligt att samla in kvantitativa uppgifter från alla internrevisions-

myndigheter om hur omfattningen av myndigheternas arbete skulle påverkas av

ESV:s förordningsändringar. Däremot har vi vid våra träffar med myndigheterna bett

6 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm, kapitel 5.

INLEDNING

12

närvarande företrädare att uppskatta om ESV:s förslag till ändringar kommer att

innebära att myndigheternas arbete kommer att öka, minska eller vara oförändrat,

liksom vilka övriga konsekvenser som förslagen kan medföra.

TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR

13

3 Tidigare kartläggning visar på önskemål

om förordningsändringar

ESV:s uppdrag utgår från de bedömningar som ESV redovisat i rapporten Tillämp-

ningen av förordningen om intern styrning och kontroll (ESV 2017:65). I detta

kapitel redogör vi för slutsatserna och förslagen i den tidigare rapporten, då dessa

utgör en utgångspunkt för vårt arbete med regeringsuppdraget. För en mer om-

fattande beskrivning av hur myndigheterna tillämpar förordningen om intern styrning

och kontroll hänvisar vi till rapporten i sin helhet.

3.1 Behov av förordningsändringar för att effektivisera

arbetet med intern styrning och kontroll

I den tidigare rapporten redovisade ESV hur förordningen om intern styrning och

kontroll tillämpas av myndigheterna. ESV drog bland annat slutsatsen att myndig-

heterna tillämpar förordningen med viss variation. Analysen visade att kostnaderna

för riskhanteringen är svåra för myndigheterna att uppskatta men att nyttan motsvarar

eller överstiger kostnaderna för drygt hälften av myndigheterna. Förordningen fyller

också ett syfte för regeringen, bland annat i relation till riksdagen och EU.

Av ESV:s tidigare rapport framgår också att en stor andel av internrevisions-

myndigheterna (knappt hälften) önskade förändringar i förordningen. Av dessa var

det sex stycken myndigheter som ville att förordningen skulle tas bort. ESV:s

samlade slutsats var dock att myndigheternas önskemål snarare pekade på att

myndigheterna ville ha förändringar i regleringen av intern styrning och kontroll, än

att förordningsregleringen ska upphävas. ESV kunde konstatera att det fanns önske-

mål om förändringar som handlar om begrepp som ses som begränsande eller svåra

att förstå, som till exempel riskanalys och kontrollåtgärder. Mot den bakgrunden

föreslog ESV att ett antal förändringar i regleringen skulle utredas vidare i syfte att

möta de önskemål som myndigheterna framfört om en anpassad reglering som kan

effektivisera arbetet med intern styrning och kontroll.7

3.2 Fortsatt utredning utifrån följande utgångspunkter

Här redogör vi för de förslag till fortsatt utredning som ESV identifierat i sin tidigare

rapport samt för de huvudsakliga argumenten för dessa.8

7 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm, kapitel 8. 8 Hela avsnittet baseras på ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, avsnitt 8.5.


14

3.2.1 Lyft fram myndighetsledningens ansvar för intern styrning och

kontroll

ESV konstaterade att det saknas ett utpekat ansvar i förordningen om intern styrning

och kontroll och att det är en svaghet i förordningen. Genom att lyfta fram att det är

myndighetsledningens interna styrning och kontroll förtydligas ledningens ansvar.

Ledningen behöver ta ställning till vilken information arbetet ska generera. Detta för

att ledningen ska kunna ta ansvar för att verksamheten bedrivs på ett sätt som gör att

myndigheten med rimlig säkerhet fullgör sina uppgifter och når sina mål.

När ledningen har tagit ställning till vad den förväntar sig att intern styrning och

kontroll ska ge får verksamheten förutsättningar att svara mot dessa förväntningar.

Därmed minskar risken för att processen levererar fel information till ledningen,

något som skapar en onödig administrativ belastning på myndigheten. ESV bedömde

vidare att en process som utgår från ledningens behov kan medföra att fler myndig-

heter upplever att nyttan av den interna styrningen och kontrollen överstiger den

bedömda kostnaden av arbetet.

Ett förtydligande av ansvaret för den interna styrningen och kontrollen i förordningen

bör enligt ESV:s rapport formuleras utifrån utgångspunkten att myndighetsled-

ningens ansvar även fortsättningsvis regleras i myndighetsförordningen.

3.2.2 Lyft in den interna miljön i förordningen om intern styrning och

kontroll

I den tidigare rapporten föreslog ESV också att förordningen om intern styrning och

kontroll bör breddas till att också omfatta de internationella ramverkens moment om

intern miljö. Det skulle enligt rapporten bidra till att skapa en större tydlighet vad

gäller syftet med arbetet med intern styrning och kontroll, och därigenom öka möjlig-

heten till att effektivisera arbetet med den interna styrningen och kontrollen. ESV

bedömde att förslaget också skulle understödja arbetet och förtydliga myndighetsled-

ningens ansvar för en god förvaltningskultur i staten. Ytterligare ett skäl att reglera

den interna miljön i förordningen om intern styrning och kontroll är att den utgör en

viktig grund för arbetet mot oegentligheter i förvaltningen.

3.2.3 Förtydliga kopplingen mellan intern styrning och kontroll och

arbetet mot oegentligheter

I förordningen om intern styrning och kontroll finns i dag inte någon skrivning om att

arbetet ska bidra till att motverka oegentligheter i verksamheten. Det framgår i stället

av ESV:s allmänna råd. Av ESV:s tidigare kartläggning framgår att arbetet mot

oegentligheter får ett begränsat stöd genom myndigheternas arbete med riskanalyser.

ESV gjorde därför bedömningen att arbetet mot oegentligheter skulle vinna på att det

tydligare framgår att ett av syftena med den interna styrningen och kontrollen är att


15

motverka otillbörlig påverkan, bedrägeri eller andra oegentligheter. En sådan kopp-

ling bör kunna göras direkt i förordningstexten. En reglering i förordningen ger också

ESV större möjlighet att i föreskrifter och stöd arbeta vidare med frågor som rör

oegentligheter.

3.2.4 Förtydliga förordningens koppling mot myndighetens uppgift och

mål

I 2 § förordningen om intern styrning och kontroll framgår att intern styrning och

kontroll avser ”den process som syftar till att myndigheten med rimlig säkerhet

fullgör de krav som framgår av 3 § myndighetsförordningen (2007:515)”. En av

slutsatserna i ESV:s tidigare rapport är att denna hänvisning är vag och oprecis. ESV

gjorde bedömningen att genomförandet av arbetet med intern styrning och kontroll

skulle vinna på om förordningen förtydligades och att det direkt i förordningen fram-

går att fokus för den interna styrningen och kontrollen är vad som ska uppnås, det vill

säga myndighetens uppgift och mål.

Samtidigt påpekade ESV att det vid en sådan förändring är väsentligt att inte glömma

de fyra så kallade verksamhetskraven som framgår av 3 § myndighetsförordningen.

Även om verksamhetskraven redan tydligt regleras i myndighetsförordningen kan det

finnas anledning att inom den interna styrningen och kontrollen lyfta fram dem

genom tillhörande föreskrifter, allmänna råd eller på annat sätt i ESV:s stöd.

3.2.5 Möjliggör ett bredare fokus för riskanalysen

ESV har konstaterat att förordningen om intern styrning och kontroll begränsar risk-

analysen till att endast gälla risker med en oönskad konsekvens för vad som följer av

verksamheten. I ESV:s kartläggning har flera myndigheter pekat på att en sådan be-

gränsning kan skapa en ineffektivitet när arbetet med intern styrning och kontroll

integreras med andra verksamhetsstyrningsprocesser. Myndigheterna framför att den

interna styrningen och kontrollen också bör ge möjlighet att hantera önskade effekter

av ett agerande.

ESV delade denna uppfattning och har föreslagit att förordningen förändras så att

analysen av verksamheten ska kunna innefatta både oönskade och önskade effekter

av ett agerande. Samtidigt är det viktigt att myndigheternas analyser även fortsätt-

ningsvis omfattar risker. Det kan därför finnas anledning att kombinera en mer

neutral skrivning i förordningen med att ESV:s föreskrifter eller allmänna råd också

betonar att myndigheten identifierar risker för verksamheten.

3.2.6 Knyt dokumentationskravet till bedömningen av den interna

styrningen och kontrollen

ESV har konstaterat att syftet med dokumentationen av den interna styrningen och

kontrollen i den nuvarande regleringen är oklart. Dokumentationskravet har av


16

många myndigheter i ESV:s kartläggning lyfts fram som en administrativ belastning

för verksamheten. Andra myndigheter har inte samma uppfattning.

ESV gör i rapporten bedömningen att ett uttalat syfte med dokumentationskravet kan

hjälpa myndigheterna att hitta en nivå för sitt arbete med dokumentationen av arbetet

med intern styrning och kontroll. ESV har därför föreslagit att förordningen ändras så

att dokumentationen ska utgöra ett underlag för bedömningen av om det på myndig-

heten finns en betryggande intern styrning och kontroll.

3.2.7 Använd samma period för bedömningen som för årsredovisningen

ESV anser i sin tidigare rapport att myndighetsledningens bedömning av intern styr-

ning och kontroll bör avse samma period som årsredovisningen i övrigt. Det kan

uppnås genom att ändra förordningen om årsredovisning och budgetunderlag. Med

en sådan ändring får regeringen ett bättre underlag i årsredovisningen för att följa

upp om myndighetens process för intern styrning och kontroll har fungerat betryg-

gande för den period som årsredovisningen avser.

REGLERINGEN AV INTERN STYRNING OCH KONTROLL

17

4 Regleringen av intern styrning och kontroll

I detta kapitel redogör vi för förordningen om intern styrning och kontroll och sätter

den i ett sammanhang med övriga förordningar som utgör det samlade regelverket för

intern styrning och kontroll inom statlig förvaltning. Vi redovisar också olika inter-

nationella ramverk för intern styrning och kontroll och hur de relaterar till svensk

reglering. I kapitlet finns också en kortfattad beskrivning av hur intern styrning och

kontroll är reglerat i några andra länder och på några andra områden än i svensk

statsförvaltning.

4.1 Varför intern styrning och kontroll?

Av regeringsformen framgår att den offentliga makten utövas under lagarna.9

Regeringsformen anger även grundläggande mål för hur den offentliga verksamheten

ska bedrivas.10

Det är upp till regeringen att försäkra sig om att förvaltningen fullgör sitt förvalt-

ningsansvar, det vill säga bedriver en effektiv verksamhet, följer lagar, förordningar

och andra regler samt lämnar en tillförlitlig redovisning och rättvisande rapporte-

ring.11 Det är därför av betydelse för regeringen att myndigheterna fungerar väl. En

fungerande förvaltning gör det också möjligt för Sverige att uppfylla de krav som

Europeiska kommissionen ställer på medlemsstaterna.12

För varje myndighet utser regeringen en myndighetsledning13 som leder verksam-

heten och är ansvarig för den inför regeringen. För att myndighetsledningen ska

kunna ta sitt ansvar för verksamheten och säkerställa att den bedrivs i enlighet med

myndighetsledningens instruktioner och riktlinjer, behöver myndighetsledningen

upprätta en ordning för hur detta ska genomföras, det vill säga ett system för intern

styrning och kontroll.

4.1.1 Det statliga ramverket

Regeringen har valt att reglera aspekter av den interna styrningen och kontrollen med

flera förordningar. De förordningar som tillsammans och i huvudsak innehåller det

samlade ramverket för statlig intern styrning och kontroll är

myndighetsförordningen14, som reglerar myndighetsledningens ansvar

förordningen om intern styrning och kontroll, som definierar intern styrning och

kontroll och lyfter fram kravet på riskhantering

9 1 kap. 1 § 3 stycket, Regeringsformen. 10 1 kap. 2 §, Regeringsformen. 11 3 §, Myndighetsförordning (2007:515). 12 Ds 2006:15, Intern styrning och kontroll i staten, Stockholm, Finansdepartementet, s. 9. 13 Enligt 2 § myndighetsförordningen leds en myndighet av en myndighetschef, en styrelse eller en nämnd. 14 För universitet och högskolor finns också bestämmelser som berör intern styrning och kontroll i högskoleförordningen

(1993:100).


18

internrevisionsförordningen, som reglerar internrevisionens roll att granska och

lämna förslag till förbättringar av myndighetens process för intern styrning och

kontroll

förordningen om årsredovisning och budgetunderlag, som reglerar myndighetsled-

ningens försäkran till regeringen.

I myndighetsförordningen framgår vad som kan utgöra en myndighets ledning och

att ledningen är ansvarig för verksamheten inför regeringen. Här framgår också att en

myndighetsledning ska säkerställa att det finns en intern styrning och kontroll som

fungerar på ett betryggande sätt. Det kravet gäller för alla myndigheter under rege-

ringen. Därutöver har de myndigheter som omfattas av internrevisionsförordningen

också en uttalad uppgift att

tillämpa en process för intern styrning och kontroll bestående av att analysera

risker, vidta åtgärder, följa upp och bedöma identifierade risker och vidtagna

åtgärder samt dokumentera detta

inrätta internrevision för att granska och lämna förslag till förbättringar av

myndighetens process för intern styrning och kontroll

bedöma om den interna styrningen och kontrollen är betryggande.

Det finns fler bestämmelser om riskhantering som gäller för alla myndigheter under

regeringen än de som framgår av ramverket som har beskrivits ovan, till exempel:

3 § förordningen (1995:1300) om statliga myndigheters riskhantering. Enligt

denna förordning ska myndigheten identifiera risker för skador eller förluster i

verksamheten och vidta lämpliga åtgärder för att begränsa och förbygga dessa

risker.

9 § förordningen (2015:1052) om krisberedskap och höjd beredskap. Bestäm-

melsen innebär att myndigheten ska analysera sårbarhet eller sådana hot och

risker som synnerligen allvarligt kan försämra förmågan till verksamhet samt

planera och bedöma behovet av åtgärder.

6 § förordningen (2006:1097) om statliga myndigheters betalningar och medels-

förvaltning. Den anger att myndigheten ska analysera risker med betalningar.

När en myndighet hanterar risker enligt andra bestämmelser är det också en del av

riskhanteringen enligt förordningen om intern styrning och kontroll.

Intern styrning och kontroll är som mest ändamålsenlig när den är en del av styr-

ningen i myndigheten. På samma sätt som verksamhetsplanering och uppföljning inte

kan skiljas från styrning av verksamheten bör inte heller riskhanteringen och andra

aspekter av intern styrning och kontroll ses som något avskilt, utan vara en integrerad

del av styrningen.


19

4.2 Regleringen bygger på internationella ramverk

Intern styrning och kontroll är inte något som i grunden är unikt framtaget för den

svenska förvaltningen. Den svenska regleringen bygger på internationella ramverk.

Det finns flera olika ramverk som beskriver arbetet med intern styrning och kontroll.

De olika ramverken för intern styrning och kontroll har stora likheter med varandra

och bygger på liknande huvudprinciper. ISO15 har bland annat tagit fram en standard

för riskhantering som knyter an till ISO:s övriga standarder inom styrning och led-

ning, ISO 31000. INTOSAI16 ger vägledning om standard för intern styrning och

kontroll i Guidelines for Internal Control Standards for the Public Sector. IIA17 ger

vägledning om internrevision av styrning och kontroll i International Professional

Practice Framework.

Förordningen om intern styrning och kontroll bygger på COSO:s18 ramverk Internal

Control från 1992 och som reviderades 2013. COSO har även tagit fram ett närlig-

gande ramverk, Enterprise Risk Management (ERM-ramverket)19. COSO:s två

ramverk har till viss del olika syften men de bygger i huvudsak på samma grund-

komponenter. Enligt COSO-modellerna är basen för arbetet med intern styrning och

kontroll den interna miljön (engelska: Internal Environment20 eller Control Environ-

ment21) som finns i varje organisation samt att det finns en fungerande process för

information och kommunikation i organisationen. Båda ramverken lyfter utöver detta

fram att det behövs en process för riskhantering, från riskidentifiering till att risker

åtgärdas och följs upp. Ramverken pekar på att det finns ett behov av att övervaka

arbetet med intern styrning och kontroll.

15 Internationella standardiseringsorganisationen, International Organization for Standardization (ISO), utvecklar och

förvaltar standarder för verksamheter. 16 INTOSAI, International Organization of Supreme Audit Institutions, är en mellanstatlig organisation för nationell

revision. 17 IIA, The Institute of Internal Auditors, är en intresseorganisation för internrevisorer. 18 COSO, The Committee of Sponsoring Organizations of the Treadway Commission, är en amerikansk organisation som

bildades 1985 på initiativ av American Accounting Association, American Institute of Certified Public Accountants,

Financial Executives International, The Association of Accountants and Financial Professionals in Business samt The

Institute of Internal Auditors. 19 När vi hänvisar till COSO Enterprise Risk Management tar vi framförallt ledning i ramverket från 2004, bland annat vad

gäller nomenklatur. COSO har under 2017 publicerat ett uppdaterat ramverk för Enterprise Risk Management som har en

något annan struktur och nomenklatur men som i de väsentliga delarna speglar syftet med ramverket från 2004. 20 COSO (2004), Enterprise Risk Management – Integrated Framework. Även ISO använder begreppet intern miljö i sin

standard ISO 31000. 21 COSO (1992, 2013), Internal Control - Integrated Framework.


20

Figur 1. Modell för intern styrning och kontroll

Källa: ESV 2012:46, Handledning. Ansvaret för intern styrning och kontroll.

I ERM-ramverket ingår därutöver att ta ställning till vad organisationen ska åstad-

komma genom att sätta strategiska mål för verksamheten. I ERM-ramverket lyfts

också fram att organisationen ska identifiera händelser som påverkar förmågan att

fullgöra det som ska åstadkommas. Händelser med negativ påverkan är risker och

händelser med positiv påverkan är möjligheter. Båda dessa ska tas omhand av orga-

nisationen. ERM har således en lite vidare syn på risker än Internal Control-ramver-

ket.

Förordningen om intern styrning och kontroll har kopplingar till riskhanterings-

komponenterna (riskanalys och kontrollåtgärder) i ramverket för Internal Control.

Det finns också aspekter av övervakningskomponenten (uppföljning och bedömning)

i förordningen. Det som saknas i förordningen är komponenter om intern miljö och

om information och kommunikation. Förordningen saknar också de specifika kom-

ponenter – händelser och strategiska mål – som särskilt lyfts fram i ERM-ramverket.

4.2.1 Jämförelse med olika ramverk och riktlinjer för intern styrning och

kontroll

Som framgår i avsnitt 4.2 har flera organisationer gett ut allmänna riktlinjer för

arbetet med intern styrning och kontroll. De kan skilja sig åt i omfattning men ger

ändå en tämligen enhetlig bild av intern styrning och kontroll. I tabell 1 har vi valt att

jämföra några av dessa ramverk och lyfta fram likheter och skillnader mellan dem

och det svenska regelverket för intern styrning och kontroll.


21

Tabell 1. Jämförelse med internationellt förekommande definitioner

Control, IIA Internal Control, COSO Svensk reglering av intern

styrning och kontroll

Control is any action taken by

management, the board, and

other parties to manage risk and

increase the likelihood that

established objectives and goals

will be achieved. Management

plans, organizes, and directs the

performance of sufficient actions

to provide reasonable assurance

that objectives and goals will be

achieved.

Internal control is as a process,

effected by an entity's board of

directors, management, and

other personnel, designed to

provide reasonable assurance

regarding the achievement of

objectives relating to

Med intern styrning och kontroll

avses den process som syftar

till att myndigheten med rimlig

säkerhet fullgör följande krav

– effectiveness and efficiency

of the entity´s operations

– att verksamheten bedrivs

effektivt

– including operational and

financial performance goals

and

– att myndigheten hushållar väl

med statens medel

– safeguarding assets against

loss

– att förvaltade tillgångar

skyddas

– adherence to laws and

regulations

– att verksamheten bedrivs

enligt gällande rätt och de

förpliktelser som följer av

Sveriges medlemskap i

Europeiska unionen

– internal and external financial

and non-financial reporting

and may encompass

reliability, timeliness,

transparency or other terms.

– att verksamheten redovisas

på ett tillförlitligt och

rättvisande sätt/en tillförlitlig

redovisning främjas.

Källa: IIA, International Professional Practice Framework, IPPF 2030 Control, COSO (2013), Internal

Control – Integrated Framework, förordningen om intern styrning och kontroll, myndighetsförordningen och

förordningen om myndigheters bokföring.

Den svenska statliga definitionen av intern styrning och kontroll har likheter med vad

som framgår av de två internationella ramverken (se tabell 1). Det finns dock skillna-

der som enligt ESV:s bedömning innebär att den svenska tillämpningen i vissa fall

blir mer begränsad än vad de internationella ramverken syftar till.

En skillnad är att när de internationella ramverken talar om achievement of

objectives22 och liknande talar förordningen om intern styrning och kontroll om att

myndigheten fullgör kraven. Kraven handlar om hur verksamheten ska bedrivas och

inte vad den ska uppnå. I och med att dagens förordning inte använder ”mål” förlorar

den svenska regleringen syftet med verksamheten, nämligen vad myndigheten ska

åstadkomma.

22 COSO (1992, 2013), Internal Control – Integrated Framework.


22

Den svenska förordningen får en större likhet med formuleringen relating to i det

internationella ramverket, om det framgår att intern styrning och kontroll syftar till

att verksamheten ska nå sina mål (generella och specifika). Att nå sina mål kan även

innefatta målkonflikter. Dessa målkonflikter är också riskhanteringens dilemma, att

acceptera eller inte acceptera en risk (för att inte nå ett visst mål) för att kunna nå ett

annat mål.

Mål i dagligt tal betyder ”vad vi ska åstadkomma”. Det kan då avse mål både för

förvaltningen (inom förvaltningspolitiken till exempel legalitet, objektivitet och

proportionalitet) och för verksamheten (inom resultatstyrningen till exempel påver-

kan på ett förhållande).23

Hänvisningen till myndighetsförordningen i förordningen om intern styrning och

kontroll innebär en koppling till många av de krav som framgår av de internationella

ramverken, men inte till alla. Ett av kraven, skydd av tillgångar, finns i stället i

förordningen (2000:606) om myndigheters bokföring.

4.2.2 Riktlinjer för intern kontroll i offentlig sektor

I EU-skriften Welcome to the world of PIFC24 finns en hänvisning till INTOSAI:s

Guidelines for Internal Control in the Public Sector. Där lyfts dessa riktlinjer fram

som den mest framträdande internationella standarden för intern styrning och kon-

troll, samtidigt som de är föremål för en diskussion inom INTOSAI. I tabell 2 gör vi

en jämförelse mellan dessa riktlinjer och den svenska regleringen av intern styrning

och kontroll. Sveriges reglering av intern styrning och kontroll framgår av flera

förordningar (se avsnitt 4.1.1). När vi jämför med allmänna riktlinjer för standardise-

ring av intern kontroll tar vi hänsyn till detta för att jämförelsen ska bli relevant.

23 Mål förekommer i regeringsformen, grundläggande mål för offentlig förvaltning. Dessa mål är att trygga, främja och

verka för mänskliga, sociala och kulturella värden. Även vad förvaltningslagen (2017:900) definierar som en av grunderna

för god förvaltning kan sägas vara generella mål (krav) för förvaltningen. Mål förekommer även i myndighetsförordningen,

göra målen för verksamheten kända. Det kan då syfta på målen för utgiftsområdet samt mål och återrapporteringskrav för

verksamheten men även generella krav för förvaltning och krav på handläggning (”general objectives”). 24 European Commission (2006), Welcome to the word of PIFC. Public Internal Financial Control, s. 6.


23

Tabell 2. Jämförelse mellan internationella riktlinjer och svensk reglering

Riktlinjer för standardisering Svensk definition

Internal control is an Med intern styrning och kontroll avses den

– integral – [motsvarighet saknas]

– process – process som

that is effected by an entity’s myndighetens

– management – ledning ska säkerställa och

– and personnel – se till att de anställda är väl förtrogna med målen

för verksamheten som processen skyddar

and is designed som syftar till att

– to address risks and – identifiera omständigheter som utgör risk

– to provide reasonable assurance that – med rimlig säkerhet

– in pursuit of the entity’s mission – [motsvarighet saknas]

the following general objectives are being

achieved

fullgör de krav som framgår av

executing (verksamheten) bedrivs så att

– orderly, ethical, – [motsvarighet saknas]

– economical, efficient, effective – myndigheten hushållar väl/effektivt

operations verksamheten

– fulfilling accountability obligations – redovisas på ett tillförlitligt och rättvisande sätt /

en tillförlitlig redovisning främjas

– complying with applicable laws and regulations – enligt gällande rätt

– [motsvarighet saknas] – och de förpliktelser som följer av Sveriges

medlemskap i Europeiska unionen

– safeguarding resources against loss, misuse

and damage

– förvaltade tillgångar skyddas

Källa: Guidelines for Intern Control Standards for the Public Sector, myndighetsförordningen, förordningen

om intern styrning och kontroll samt förordningen om myndigheters bokföring.

Den svenska regleringen är inte, och behöver inte vara, en fullständig spegling av

allmänt förekommande internationella riktlinjer (se tabell 2). I den svenska regle-

ringen är det inte direkt uttalat att processen är väsentlig (engelska: integral), men det

faktum att det finns en reglering innebär indirekt att så är fallet. Det framgår inte

heller explicit att den interna styrningen och kontrollen genomförs i syfte att fullgöra

myndighetens uppgift (engelska: in pursuit of the entity’s mission). I det svenska

ramverket för intern styrning och kontroll saknas också en reglering av grund-

läggande etiska riktlinjer (engelska: ethical) även om det i de generella riktlinjerna

för svensk förvaltning finns grundläggande principer för hur förvaltningen ska

bedrivas. ESV bedömer mot den bakgrunden att det finns ett behov av att reglera

förhållandet mellan intern styrning och kontroll och myndighetens uppgift. Det kan

också finnas anledning att förtydliga att etiska värden är en del av intern styrning och

kontroll.


24

4.3 Intern styrning och kontroll är mer än riskhantering

Processen för intern styrning och kontroll utgörs av momenten analys, åtgärd, upp-

följning och dokumentation av risker, enligt förordningen om intern styrning och

kontroll. I mer allmänt förekommande beskrivningar av intern styrning och kontroll

ingår även den interna miljön som en beståndsdel i systemet för intern styrning och

kontroll (se avsnitt 4.2). Hur myndigheten informerar och kommunicerar om

verksamhetens mål, risker och åtgärder är också en beståndsdel i systemet.

Den interna miljön – begrepp och innehåll

Olika ramverk för intern styrning och kontroll använder olika begrepp för den interna

miljön men de förklarar vad den omfattar på ett likartat sätt. I de internationella ram-

verken ISO 31 000 och COSO ERM används begreppet intern miljö (engelska:

Internal Environment) medan begreppet styr- och kontrollmiljö (engelska: Control

Environment) används i COSO:s ramverk Internal Control. Internrevisorernas före-

ning använder också begreppet styr- och kontrollmiljö (engelska: Control Environ-

ment) i sina riktlinjer för yrkesmässig internrevision25.

ESV har i sina nuvarande och tidigare publikationer om intern styrning och kontroll

samt i ESV:s ordbok om ekonomisk styrning i staten använt begreppet intern miljö. I

ordboken beskrivs intern miljö som ”de interna förutsättningar som påverkar en verk-

samhets förmåga att fullgöra sina uppgifter och nå sina mål”. Exempel på sådana för-

utsättningar kan enligt ordboken vara de anställdas kunskaper om målen för verk-

samheten, de anställdas kompetens och erfarenhet, utformning av delegering av

beslutanderätt, utformning av direktiv och riktlinjer från ledningen, ledningsfilosofi

och ledningsstil.26

Den interna miljön utgör grunden för alla andra delar som formar intern styrning och

kontroll. Faktorer inom den interna miljön innefattar bland annat integritet, etik,

kompetens, ledarstil, på vilket sätt ansvar och befogenheter fördelas samt hur

myndigheten i övrigt organiseras.

Flera aspekter av den interna miljön finns redan reglerade i de förordningar som

anger hur myndigheter ska fungera, bland annat i myndighetsförordningen. Där

framgår till exempel att myndighetsledningen ska besluta om en arbetsordning som

innehåller

de närmare föreskrifter som behövs för myndighetens organisation

arbetsfördelning mellan styrelse och myndighetschef

delegering av beslutanderätt inom myndigheten

25 Internrevisorerna är en del av den internationella branschorganisationen The Institute of Internal Auditors (IIA) och har

översatt det internationella ramverket för utövande av internrevisionsyrket (IPPF) till svenska. 26 ESV 2011:9, ESV:s ordbok om ekonomisk styrning i staten, Stockholm, s.17.


25

handläggning av ärenden

formerna i övrigt för verksamheten.27

I myndighetsförordningen regleras också andra aspekter som påverkar den interna

miljön. Där framgår bland annat att myndigheten ska se till att de anställda är väl

förtrogna med målen för verksamheten. Myndigheten ska även skapa goda arbets-

förhållanden och ta tillvara på och utveckla de anställdas kompetens och erfarenhet. I

myndighetsförordningen framgår också att myndigheten fortlöpande ska utveckla

verksamheten och att den genom samarbete med myndigheter och andra ska ta till-

vara på de fördelar som kan vinnas för enskilda samt för staten som helhet.28

Myndighetsledningen ansvarar för verksamheten och ansvarar då även för systemet

eller processen för intern styrning och kontroll. I praktiken är det normalt myndig-

hetens chef29 som sätter sin prägel på eller anger tonen i myndigheten (engelska: tone

at the top), vilket påverkar integritet, etik och andra faktorer i den interna miljön. I

förvaltningen bör myndighetens chef fullfölja ansvaret genom att visa ledarskap och

ange inriktning för myndigheten och genom att följa upp hur verksamhet har genom-

förts.

Att det ska finnas en god intern miljö i förvaltningen är dock inte uteslutande ett

ansvar för myndighetsledningen, utan är i viss utsträckning också ett ansvar för var

och en i statsförvaltningen. I viss mån regleras detta genom de grundläggande princi-

perna30 som styr förvaltningen och statstjänstemännarollen. Detta är dock på en mer

övergripande nivå. Direkt reglering av medarbetarnas ansvar hanteras normalt inom

ramen för myndigheternas interna reglering av ansvar och befogenheter, till exempel

i arbetsordningen.

Den interna miljön och risken för oegentligheter

Den interna miljön speglar värderingarna i en organisation och kan påverka risken

för oegentligheter. Brottsförebyggande rådet (Brå) ger i sin handbok Att förebygga

och hantera påverkansförsök exempel på fyra organisationskulturer som ökar risken

för korruption och oegentligheter:

Blinda kulturer som styrs av vanor, tumregler och önsketänkande i stället för

rationella kalkyler.

Tysta kulturer där kritik tystas ner av kollegor och chefer.

27 4 § p. 4, Myndighetsförordning (2007:515), 2 kap. 2 § p. 8, Högskoleförordning (1993:100). 28 6 och 8 §§, Myndighetsförordning (2007:515). 29 13 §, Myndighetsförordning (2007:515), 2 kap. 3 §, Högskoleförordning (1993:100). 30 Demokrati, Legalitet, Objektivitet, Fri åsiktsbildning, Respekt samt Effektivitet och Service. Principerna redovisas i

Värdegrundsdelegationen (2013), Den gemensamma värdegrunden för de statsanställda, och i Statskontoret (2017), Den

statliga värdegrunden – professionella värderingar för en god förvaltningskultur. Principerna har sin utgångspunkt i

regeringsformen och budgetlagen.


26

Effektivitetskulturer där det finns en överdriven strävan efter att nå resultat på

bekostnad av kvalitet i beslutsfattande och arbetsmiljö.

Informella regelkulturer där tjänstemännen upplever att reglerna inte är anpas-

sade efter arbetssituationen.31

4.4 Regelverket i några andra länder

I detta avsnitt redogör vi översiktligt för hur intern styrning och kontroll är reglerat i

några andra länder i syfte att ge perspektiv till de förslag till förordningsändringar

som vi beskriver i kapitel 5. Vi redovisar några länder som ESV bedömer är mer lika

och därmed relevanta att jämföra med svensk förvaltning.

4.4.1 Intern styrning och kontroll i Norge

I Norge använder man begreppet internkontroll. Myndigheternas generella ansvar för

internkontroll regleras främst i det så kallade Regelverket for økonomistyring i

staten, närmare bestämt i 4 och 14 §§ i Reglementet och i punkt 2.4 i Bestemmel-

sene.32 Där framgår att alla verksamheter ska etablera system och rutiner som har en

inbyggd internkontroll. Myndigheten Direktoratet for økonomistyring (DFØ), som

har i uppgift att förvalta regelverket, har meddelat tolkningar till vissa av bestämmel-

serna om internkontroll.33 DFØ erbjuder också på sin webbplats vägledningsmaterial

och verktyg med mera för myndigheter som vill utveckla internkontrollen.

Ledningens ansvar för internkontroll

Det norska regelverket lyfter fram ledningens ansvar för internkontroll. Verksam-

hetsledningen har enligt Bestemmelsene ansvaret för att internkontrollen utgår från

risk och väsentlighet, att den fungerar tillfredsställande och att den dokumenteras.

Det framgår också att internkontrollen bör vara inbyggd i verksamhetens interna

styrning.

Det stödjande material som DFØ tagit fram om internkontroll betonar ledningens roll

i internkontrollen. Bland annat framgår det av DFØ:s vägledning till myndighetsled-

ningar att ledningen har ett ansvar för internkontroll och hur en effektiv internkon-

troll kan etableras. Styrning och internkontroll beskrivs som två sidor av samma

mynt – den interna styrningen syftar till att myndigheten ”gör rätt saker” och intern-

kontrollen till att ”sakerna görs rätt”. Genom att fastställa en ambitionsnivå och

ramar för myndighetens internkontroll, kan ledningen lägga grunden för en balans

mellan resurser för kontroll och för annan verksamhet. Internkontrollen ska vidare

31 Brottsförebyggande rådet (2017), Att förebygga och hantera påverkansförsök. En handbok, Stockholm. 32 Det Kongelige Finansdepartement, Reglement for økonomistyring i staten, fastställt 12 december 2003 och senast

ändrat 18 september 2013, samt Bestemmelser om økonomistyring i staten, fastställt 12 december 2003 och senast

ändrat 5 november 2015. 33 Information från https://dfo.no/fagomrader/okonomiregelverket/tolkningsuttalelser/internkontroll/, hämtad 2017-10-31.

https://dfo.no/fagomrader/okonomiregelverket/tolkningsuttalelser/internkontroll/


27

anpassas till risk, väsentlighet och myndighetens egenart. Den ska också integreras

och byggas in i myndighetens styr- och uppföljningssystem.34

Den interna miljöns roll i internkontrollen

En viktig del i internkontrollen är den interna miljön (norska: intern styr- och

kontrollmiljö). Det finns inga explicita krav i det norska regelverket på hur den

interna miljön ska utformas, men DFØ lyfter i sin vägledning fram att den interna

miljön omfattar såväl det formella som det informella i verksamheten. Bland det

formella återfinns till exempel organisation, ansvarsfördelning, processer och kompe-

tenskrav som hela verksamheten ska förhålla sig till. Det informella omfattar i stället

sådant som integritet och de etiska värden och normer som präglar verksamheten,

något som DFØ sammanfattar som verksamhetens kultur (norska: virksomhets-

kulturen).35

De beståndsdelar som ingår i en effektiv internkontroll lyfts också fram i DFØ:s

vägledningar. Bland annat ska ledningen etablera en intern miljö som reflekterar de

värderingar och den kultur som man önskar (till exempel såväl formella som

informella värden som präglar verksamheten). Ledningens efterlevnad av detta

betonas också. Vidare lyfts internkontrollen fram som en del i chefsansvaret på alla

nivåer. Dokumentationen av internkontrollen ska till omfattning och utformning

anpassas till risk, väsentlighet och egenart för myndigheten.36

Internkontroll mot oegentligheter

Av det norska Regelverket for økonomistyring i staten framgår också att verk-

samheternas internkontroll syftar till att förebygga och upptäcka avsiktliga hand-

lingar som utförs i strid med gällande regelverk. Av Bestemmelsene framgår att det

handlar om sådant som manipulation eller ändringar av information men också stöld

eller bedrägerier37, det vill säga sådant som hör till det som i Sverige fångas av

begreppet oegentligheter.

4.4.2 Intern styrning och kontroll i Finland

Intern styrning och kontroll (intern kontroll38) i Finland regleras i 4 kapitlet i lagen

om statsbudget (423/1988) samt i förordning om statsbudgeten (1243/1992). Intern

34 DFØ 04/2013, Veileder Kort om internkontroll – för deg som er leder. 35 DFØ 04/2013, Veileder i internkontroll. 36 DFØ 04/2013, Veileder Kort om internkontroll – för deg som er leder. 37 Det Kongelige Finansdepartement, Bestemmelser om økonomistyring i staten, fastställt 12 december 2003 och senast

ändrat 5 november 2015, punkt 2.4. 38 I Finland används begreppet intern kontroll och inte intern styrning och kontroll. Begreppen har dock samma innebörd.


28

kontroll behandlas där speciellt i förordningens nionde kapitel, men också i 39 § och

55 §.39

I lagen om statsbudget framgår att ämbetsverk och inrättningar (myndigheter) ska se

till att den interna kontrollen är ordnad på ett ändamålsenligt sätt i sin verksamhet

samt i annan verksamhet för vilken de ansvarar. Lagen anger vidare att närmare be-

stämmelser om den interna kontrollen ska ges genom en förordning, förordningen om

statsbudgeten.

Förordningen anger även att det i anslutning till finansministeriet ska finnas en

delegation för intern kontroll och riskhantering som har ett antal utpekade uppgifter

som syftar till uppföljning, utveckling och stöd kring den interna kontrollen i den

finska statsförvaltningen. Delegationen för intern kontroll och riskhantering gav 2005

en rekommendation till statliga ämbetsverk och inrättningar om tillvägagångssätt vid

intern kontroll och riskhantering samt utvärdering. Rekommendationen baserar sig på

ett av de allmänt accepterade ramverken för god intern kontroll och riskhantering,

COSO ERM-ramverket. Detaljerna har dock anpassats till statsförvaltningens verk-

samhet.

Delegationens sektion för intern granskning har 2009 utarbetat en kortfattad modell

som kallas utvärderingsramen. Den kan till exempel små ämbetsverk och myndig-

heter använda när de vill påbörja den interna kontrollen med att uppfylla

minimikraven.

Myndighetsledningen ansvarar för den interna kontrollen

I förordningen om statsbudget framgår att ledningen på varje myndighet är ansvarig

för den interna kontrollen och ska se till att det vid myndigheten vidtas ändamåls-

enliga förfaranden (intern kontroll), med tanke på omfattningen av dess ekonomi och

verksamhet. En myndighets riskhantering ska identifiera, värdera och hantera

faktorer som kan vara ett hinder för att fullgöra verksamhetens målsättningar inom

ramen för de fyra punkterna: lagenlighet, god hushållning, effektiv verksamhet samt

rättvisande finansiell redovisning och resultatredovisning. Riskhanteringen har

samma mål som den interna kontrollen. Helst ska den interna kontrollen och risk-

hanteringen vara integrerad i myndighetens ordinarie verksamhetsplanering, styrning

och verksamhetsprocesser.

Det framgår vidare att förfarandet också ska omfatta förvaltningen av de medel som

myndigheteten ska ansvara för eller förmedla. Också uppgifter som ankommer på

39 Uppgifterna i avsnittet bygger på material från finska Statskontoret (Valtiokonttori), information om intern kontroll och

riskhantering på finansministeriets webbsidor samt berörda lagar och förordningar. Uppgifterna har också jämförts med

informationen om Finland i Europeiska kommissionens rapport, PIC Compendium, second edition, 2014.


29

myndigheten men som har givits i uppdrag åt annan myndighet ska omfattas av

förfarandet.

Komponenter i den interna kontrollen

I förordningen framgår också att myndigheternas ledning ska ordna en intern gransk-

ning av den interna kontrollen om det finns behov av det. Den interna granskningen

har till syfte att utreda om den interna kontrollen är ändamålsenlig och tillräcklig,

vilket i stort motsvarar regleringen av uppgifter för den statliga internrevisionen i

Sverige. Delegationen för intern kontroll och riskhantering har i sin rekommendation

från 2005 angivit att vid uppföljningen av ramverken ska den interna kontrollen och

riskhanteringen följas upp ur följande perspektiv:

Myndighetens verksamhetsomgivning med hjälp av frågor gällande verksam-

hetskultur, organisationsstruktur och resurser.

Myndighetens målsättningar med hjälp av frågor gällande syftet med ämbets-

verkets/myndighetens verksamhet och planeringen av denna verksamhet.

Riskhanteringsförfaranden, identifiering av risker, bedömning/utvärdering av

risker samt reagerande på riskerna.

Kontroller/övervakningsåtgärder med hjälp av frågor gällande planeringen av

verksamhets- och stödprocessernas kontroller, koordineringen av kontroller,

försäkringen av kontrollernas genomförbarhet och uppföljning av kontroller.

Informationsflödet och informationens användbarhet: internredovisning samt

intern och extern information.

Uppföljning av intern kontroll och riskhantering: dess kontinuitet och dess ut-

förande både internt och externt.40

Vår uppfattning är att dessa perspektiv kan ses som komponenter i det finska ramver-

ket för intern styrning och kontroll.

4.4.3 Intern styrning och kontroll i några andra EU-länder

I arbetet med ESV:s regeringsuppdrag om en utvecklad intern styrning och kontroll

har vi gått igenom EU:s så kallade PIC Compendium, second edition, 2014. Detta för

att få en ökad förståelse för hur arbetet med intern styrning och kontroll beskrivs i

olika länder. PIC står för Public Internal Control och kompendiet ger en översikt över

de olika system för intern styrning och kontroll som tillämpas i den offentliga verk-

samheten i EU:s medlemsländer. Vi redovisar här en kortare sammanfattning för de

40 Punktlistan är hämtad från en rekommendation till statliga ämbetsverk och inrättningar om tillvägagångssätt vid intern

kontroll och riskhantering samt utvärdering som togs fram av Delegationen för intern kontroll och riskhantering 2005.

Rekommendationen finns endast på finska och översättningen har gjorts av tjänstemän på finska Statskontoret.


30

länder som ESV bedömer är mest relevanta för svensk förvaltning. Informationen

baseras på EU:s kompendium.41

Förenade konungariket Storbritannien och Nordirland (Storbritannien)

Den offentliga förvaltningen i Storbritannien måste lämna intyganden om att den på

ett tillförlitligt sätt hanterar de resurser som den är satt att förvalta. Intygandet är ett

viktigt dokument för ansvarsutkrävande i relation till parlamentet och allmänheten. I

intygandet ingår att ansvarig ledning informerar om hur de möter kraven på risk-

hantering, intern kontroll och verksamhetsstyrning. Det är också ett verktyg för att

kommunicera de svagheter som finns i systemet för intern kontroll inom organi-

sationerna. Intygandet utgör en del av årsredovisningen.

I det brittiska systemet är ledningen ansvarig för att sätta upp ett lämpligt och

fungerande system för intern kontroll, inklusive ett tillförlitligt ramverk för risk-

hantering. Varje organisation ska ha rutiner och policyer på plats för att ha kontroll

över sin verksamhet. Dessa ska bland annat inbegripa beslutsfattande, uppföljning av

verksamhet, hantering av oegentligheter, finansiell styrning och riskhantering.

Det ska därutöver finnas en självständig internrevision som har en central funktion

för att utvärdera och bedöma effektiviteten i organisationernas ramverk för styrning,

riskhantering och kontroll.

Offentligt anställda är bundna av de etiska riktlinjer och regler för uppträdande som

finns i koden för den offentliga förvaltningen (engelska: Civil Service Code). Det

finns också en kod för hur den offentliga förvaltningen ska ledas (engelska: Civil

Service Management Code).

Danmark

Det danska interna kontrollsystemet fokuserar på åtgärder för att säkra ansvarstagan-

det. Ansvaret för bland annat riskhanteringen är kopplat till en organisations kärn-

uppgifter och är därmed ett ansvar för respektive organisations ledning. Det mot-

svarar de krav som även den svenska regleringen ställer på respektive myndighets-

ledning eller de förslag som ESV ska överväga i och med detta uppdrag.

Irland

Under de senaste decennierna har man i Irland genomfört ett program för att

modernisera den offentliga sektorn. Programmet har påverkat den interna styrningen

och kontrollen. Reformerna har lett till ett fokus på befogenheter, ansvar och ansvars-

utkrävande för högre befattningshavare i den statliga förvaltningen. Som ett resultat

41 European Commission (2014) Compendium on the public internal control systems in the EU Member States, second

edition, 2014.


31

av reformerna ska ledningen lämna en redogörelse av den interna kontrollen tillsam-

mans med den finansiella redovisningen.

Myndigheter och andra statliga organisationer ska ha ett system för riskhantering. En

utomstående prövning av ramverken för riskhanteringen ska regelbundet genom-

föras. Riskhanteringen ska vara en integrerad del av verksamheten. Systemet ska

göra det möjligt att följa upp och rapportera riskhanteringen på flera olika lednings-

nivåer i verksamheten.

4.5 Intern styrning och kontroll i andra organisationer

Intern styrning och kontroll är ett viktigt område även utanför statlig verksamhet. Vi

har därför studerat hur intern styrning och kontroll är reglerat för andra sektorer och

redovisar översiktligt regleringen för börsnoterade aktiebolag och för kommuner och

landsting.

4.5.1 Den svenska koden för bolagsstyrning

Enligt den svenska koden för bolagsstyrning ansvarar styrelsen för att bolaget har en

god intern kontroll. Målgruppen för koden är börsnoterade aktiebolag. Bolagskoden

är en självreglering och inte en lag. Normen är inte tvingande utan kan frångås på

enskilda punkter under förutsättning att bolaget för varje avvikelse redovisar hur man

gjort i stället och motiverar varför. Kollegiet för svensk bolagsstyrning är norm-

givande för god bolagsstyrning men har ingen övervakande eller dömande roll.

Av koden framgår bland annat följande:

Styrelsen ska se till att bolaget har formaliserade rutiner som säkerställer att

fastlagda principer för finansiell rapportering och intern kontroll efterlevs

samt att bolagets finansiella rapportering är upprättad i överensstämmelse

med lag, tillämpliga redovisningsstandarder och övriga krav på noterade

bolag. I bolag som inte har en särskild granskningsfunktion (internrevision)

ska styrelsen årligen utvärdera behovet av en sådan funktion och i beskriv-

ningen av den interna kontrollen i bolagsstyrningsrapporten motivera sitt

ställningstagande.42

Beskrivningen av den interna kontrollen i bolagsstyrningsrapporten ska

även omfatta styrelsens åtgärder för att följa upp att den interna kontrollen i

samband med den finansiella rapporteringen och att rapporteringen till

styrelsen fungerar.43

42 Kollegiet för Svensk bolagsstyrning (2016), Svensk kod för bolagsstyrning. 43 Kollegiet för Svensk bolagsstyrning (2016), Svensk kod för bolagsstyrning.


32

Det finns likheter mellan bolagskoden och den statliga regleringen av intern styrning

och kontroll. Båda bygger på COSO:s modeller och båda betonar styrelsens

(ledningens) ansvar. En skillnad är att bolagskoden ställer krav på att redovisa vilka

rutiner bolaget har för att säkerställa en god intern kontroll och att beskriva hur

arbetet kring detta bedrivs i styrelsen. Beskrivningen ska också omfatta styrelsens

åtgärder för att följa upp den interna kontrollen. Däremot saknas redogörelse för

brister i den interna styrningen och kontrollen på det sätt som myndigheterna ska

göra enligt förordningen om årsredovisning och budgetunderlag.

4.5.2 Kommunallagen reglerar intern kontroll i kommuner och landsting

I kommuner och landsting används begreppet intern kontroll. För kommuner och

landsting är intern kontroll sedan 2000 reglerat i kommunallagen. Där framgår bland

annat att mål och riktlinjer är en grund för intern kontroll i kommuner och landsting:

Nämnderna ska var och en inom sitt område se till att verksamheten bedrivs

i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de

bestämmelser i lag eller annan författning som gäller för verksamheten.

De ska också se till att den interna kontrollen är tillräcklig och att

verksamheten bedrivs på ett i övrigt tillfredsställande sätt.

Detsamma gäller när skötseln av en kommunal angelägenhet med stöd av

10 kap. 1 § har lämnats över till någon annan.44

I den proposition som föregick den nya kommunallagen definieras intern kontroll på

följande sätt:

Med intern kontroll avses exempelvis nämndens bestämmelser om bl.a.

fördelning av ansvar och befogenheter, systematiskt ordnade interna

kontroller av organisation, redovisningssystem och administrativa rutiner.

Syftet med den interna kontrollen är att säkra en effektiv förvaltning och att

undvika att det begås allvarliga fel. En god intern kontroll ska således bidra

till att ändamålsenligheten i verksamheten stärks och att den bedrivs effek-

tivt och säkert.45

Regleringen i kommunallagen är mer kortfattad än den statliga regleringen i

förordningen om intern styrning och kontroll och de andra berörda förordningarna.

Samtidigt innefattar kommunallagen både områden som återfinns i den statliga

kontexten och sådana som ESV i och med detta uppdrag ska överväga. Till exempel

44 6 kap. 6 §, Kommunallag (2017:725). Den nya kommunallagen gäller från 1 januari 2018. Motsvarande bestämmelse

fanns även tidigare i 6 kap. 7 §, kommunallag (1991:900). 45 Proposition 2016/17:171, En ny kommunallag, s. 362.


33

ska den interna kontrollen i kommuner och landsting utgå från de mål som fullmäk-

tige fastställt och de bestämmelser som gäller för verksamheten.

Ansvaret för intern kontroll

Sveriges kommuner och landsting (SKL) har tagit fram en skrift i ämnet som vänder

sig till förtroendevalda i kommuner och landsting - På den säkra sidan. Om intern

kontroll för förtroendevalda i kommuner och landsting. Det är de förtroendevalda

som har det yttersta ansvaret för att det finns en fungerande intern kontroll i kommu-

ner och landsting. Därmed kan de på sätt och vis anses motsvara myndighetsled-

ningen i en statlig myndighet. Enligt SKL handlar en fungerande intern kontroll om

att som förtroendevald ställa krav på att det fungerar och att man får rapporter om

hur det fungerar. Det handlar också om det som skriften beskriver som tonen på

toppen, nämligen att som förtroendevald själv signalera, efterleva och uppmuntra en

god intern kontroll.46 Det är delar som hör till det som brukar benämnas den interna

miljön i en verksamhet (se avsnitt 4.3).

SKL:s skrift beskriver intern kontroll som att det handlar om ”tydlighet, ordning och

reda, att veta hur det går i verksamhet och ekonomi”. Intern kontroll handlar om att

på en rimlig nivå säkerställa att

verksamheten lever upp till målen och är kostnadseffektiv, det vill säga god

ekonomisk hushållning.

informationen om verksamheten och om den finansiella rapporteringen är

ändamålsenlig, tillförlitlig och tillräcklig.

de regler och riktlinjer som finns följs.

möjliga risker inringas, bedöms och förebyggs.47

Av skriften framgår också att den interna kontrollen behöver vara en integrerad del

av det vardagliga arbetet. Den berör många delar och processer i verksamheten:

organisationen med tydliga och dokumenterade åtaganden, ansvar och

befogenheter

personalens förutsättningar, kunskaper och attityder

verksamhetens styr- och rapporteringssystem.48

46 SKL (2008-03-11), På den säkra sidan. Om intern kontroll för förtroendevalda i kommuner och landsting, s. 4. 47 SKL (2008-03-11), På den säkra sidan, s. 22. 48 SKL (2008-03-11), På den säkra sidan, s. 22.

ESV:S ÖVERVÄGANDEN OCH FÖRSLAG

34

5 ESV:s överväganden och förslag

I detta kapitel redogör vi för de förslag till förordningsändringar som ESV har över-

vägt. Förslagen utgår från vår utredning i detta uppdrag och de bedömningar och

förslag som ESV redovisade i den tidigare rapporten Tillämpningen av förordningen

om intern styrning och kontroll (ESV 2017:65). Vi redogör också översiktligt för hur

ESV:s föreskrifter och stöd som rör intern styrning och kontroll bör utformas vid

förordningsändringarna.

De föreslagna förordningsändringarna gäller förordningen om intern styrning och

kontroll om inte annat anges. ESV:s författningsförslag redovisas i kapitel 7.

5.1 Myndighetsledningens ansvar

Förslag: I 2 § införs en bestämmelse om att intern styrning och kontroll är myndig-

hetsledningens process.

5.1.1 Bakgrund

ESV konstaterade i den tidigare rapporten att det saknas ett utpekat ansvar i förord-

ningen om intern styrning och kontroll och att det är en svaghet i förordningen.

Genom att lyfta fram myndighetsledningen förtydligas att intern styrning och

kontroll handlar om att ledningen ska kunna ta ansvar för att verksamheten bedrivs

på ett sätt som gör att myndigheten med rimlig säkerhet fullgör sina uppgifter och når

sina mål. Därmed minskas risken för att processen levererar fel (det vill säga för

mycket eller ovidkommande) information till ledningen, något som skapar en onödig

administrativ belastning på myndigheten.

ESV bedömde vidare att en process som utgår från ledningens behov kan medföra att

fler myndigheter upplever att nyttan av den interna styrningen och kontrollen över-

stiger den bedömda kostnaden av arbetet. Ett förtydligande av ansvaret för den

interna styrningen och kontrollen i förordningen bör formuleras utifrån utgångs-

punkten att myndighetsledningens ansvar även fortsättningsvis regleras i myndig-

hetsförordningen. ESV bedömde dock att det fanns ett behov av att reglera vad

processen ska generera och för vem i förordningen om intern styrning och kontroll.

5.1.2 Våra överväganden

En reglering av myndighetsledningens ansvar för processen bör placeras i anslutning

till definitionen av processen, det vill säga i andra paragrafen. Övriga paragrafer i

förordningen har inte samma helhetsperspektiv. Myndighetsledningen kan lyftas

fram genom att förtydliga att intern styrning och kontroll är myndighetsledningens

process. Det överensstämmer då med myndighetsförordningens bestämmelse att


35

myndighetsledningen ska säkerställa en betryggande intern styrning och kontroll.49

Ansvaret för den interna styrningen och kontrollen kommer således även fortsätt-

ningsvis att regleras i myndighetsförordningen. ESV:s förslag innebär att det i för-

ordningen om intern styrning och kontroll blir tydligare vem som äger processen för

intern styrning och kontroll och som därigenom har intresse för vilken information

processen ska ge.

ESV gör bedömningen att ett sådant förtydligande innebär att fler myndighetsled-

ningar än i dag tar ställning till och ger uttryck för vilken information de behöver för

att kunna ta ansvar för verksamheten inför regeringen. Därmed kan de funktioner

som stödjer ledningen, genom att säkerställa att ledningen får den information den

efterfrågar och behöver, fullgöra sina åligganden. ESV bedömer också att förslaget

kan bidra till att den interna styrningen och kontrollen än mer kan komma att integre-

ras och ingå i ledningen av verksamheten.

Vidare bedömer ESV att en process som utgår från ledningens behov kan medföra att

fler myndigheter upplever att nyttan av den interna styrningen och kontrollen mot-

svarar eller överstiger den bedömda kostnaden av arbetet. Om utgångspunkten är

myndighetsledningens ansvar för verksamheten inför regeringen kan mängden

information som hanteras inom processen begränsas.

5.2 En tydlig koppling till myndighetens uppgifter och

verksamhetens mål

Förslag: 2 § ändras till att intern styrning och kontroll syftar till att myndigheten med

rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål.

5.2.1 Bakgrund

I 2 § förordningen om intern styrning och kontroll framgår att intern styrning och

kontroll avser ”den process som syftar till att myndigheten med rimlig säkerhet

fullgör de krav som framgår av 3 § myndighetsförordningen”. Där framgår de så

kallade verksamhetskraven.50 Enligt ESV:s tidigare rapport är denna hänvisning vag

och oprecis. ESV gjorde bedömningen att arbetet med intern styrning och kontroll

skulle vinna på om förordningen förtydligades och att det direkt i förordningen går

att utläsa att fokus för den interna styrningen och kontrollen är vad som ska uppnås,

det vill säga myndighetens uppgift och mål.

49 4 § p. 4, Myndighetsförordning (2007:515). 50 Verksamhetskraven formuleras i 3 § myndighetsförordningen på följande sätt: Myndighetens ledning ansvarar inför

regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer

av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att

myndigheten hushållar väl med statens medel.


36

Samtidigt påpekade ESV att det vid en sådan förändring är väsentligt att inte släppa

verksamhetskraven. Även om verksamhetskraven tydligt regleras i myndig-

hetsförordningen kan det finnas anledning att återkoppla till dem i ESV:s föreskrifter,

allmänna råd och stöd till förordningen om intern styrning och kontroll.


De internationella ramverken för intern styrning och kontroll pekar enhetligt på att

det är vad organisationen ska åstadkomma – det vill säga uppgifter och mål i vår

statliga kontext – som utgör grund för den interna styrningen och kontrollen (se

avsnitt 4.2). Vår jämförelse av hur intern styrning och kontroll tillämpas i andra

länder och andra sektorer ger också en likartad bild (se avsnitt 4.4 och 4.5).

Genom att i förordningen lyfta fram att syftet med den interna styrningen och kon-

trollen är att myndigheten med rimlig säkerhet fullgör sina uppgifter och når verk-

samhetens mål skapas en koppling till vad myndigheten ska åstadkomma. Det skiljer

sig från dagens reglering som fokuserar på hur myndigheten ska göra det.

Regleringen av detta berör syftet med intern styrning och kontroll och ESV bedömer

att den lämpligaste platsen att reglera denna fråga är tillsammans med definitionen av

intern styrning och kontroll, det vill säga i andra paragrafen i förordningen.

En sådan ändring medför följdändringar i 3-4 §§ förordningen om intern styrning och

kontroll samt i 4 § internrevisionsförordningen.

Det finns anledning att i ESV:s föreskrifter eller i stöd för tillämpningen av förord-

ningen definiera och förklara innebörden av uppgifter och mål.

En myndighets uppgifter och målen för verksamheten

Myndighetens uppgifter definierar vad myndigheten ska göra och vad myndigheten

får använda sina resurser till.51 Regeringen beslutar om förutsättningarna för varje

myndighets verksamhet genom myndighetens instruktion52, i årliga regleringsbrev

eller andra regeringsbeslut. Myndigheterna lyder också under generella regelverk om

ekonomisk styrning och myndigheters befogenheter. Utifrån dessa instruktioner och

begränsningar går det att utläsa myndigheters uppgift.

51 Anslagets ändamål anger vad dessa medel får användas till och anslagsvillkoren i regleringsbrevet anger de mer

detaljerade villkoren för hur myndigheten får använda anslagen. 52 För vissa myndigheter så som till exempel Diskrimineringsombudsmannen hänvisas i instruktionen till en lag där

myndighetens uppgift framgår. Myndighetens uppgift kan ändå i dessa fall härledas genom myndighetens instruktion. För

huvuddelen av universiteten och högskolorna fyller högskoleförordningen rollen som instruktion.


37

Med mål för verksamheten avser vi i första hand de mål som regeringen har angett i

en myndighets regleringsbrev eller i annat beslut. Målen kan avse både enskilda

myndigheter och verksamheter som flera myndigheter har i uppgift att bedriva.

Det kan också finnas mer generella krav på förvaltningen som myndigheter ska

uppfylla. Vad som menas med god förvaltning och vilka de allmänna kraven på

handläggning av ärenden är framgår av förvaltningslagen (2017:900).53 Vidare har

myndigheterna att beakta de generella krav på hur myndigheters verksamhet ska

bedrivas som anges i 3 § myndighetsförordningen.

Det finns också myndigheter som sätter egna mål för sin verksamhet. I den mån

dessa mål har en tydlig koppling till myndighetens uppgifter och regeringens mål för

verksamheten kan myndighetens mål användas i processen för intern styrning och

kontroll. I de fall regeringen inte har beslutat om mål för verksamheten finns det

inget som hindrar att en myndighet använder de mål som den har tagit fram.

5.3 Reglering av intern miljö

Förslag: I 2 § görs ett tillägg om att myndighetsledningen ska upprätthålla en god

intern miljö som en del av processen för intern styrning och kontroll.

Den uppräkning av moment som görs i 2 § är onödig och bör tas bort.

5.3.1 Bakgrund

I den tidigare rapporten föreslog ESV att förordningen om intern styrning och kon-

troll bör breddas till att också omfatta momentet intern miljö. Det skulle bidra till att

förtydliga syftet med arbetet med intern styrning och kontroll. ESV bedömde att

förslaget också skulle understödja arbetet och förtydliga myndighetsledningens

ansvar för en god förvaltningskultur i staten samt utgöra en grund för arbetet mot

oegentligheter.


Den interna miljön anger tonen i en organisation och påverkar kontrollmedveten-

heten hos medarbetarna. Den utgör grunden för alla andra moment i den interna

styrningen och kontrollen. Därför finns det skäl att betona att intern styrning och

kontroll är mer än riskhantering. Det kan göras genom att den interna miljön

omnämns i förordningen om intern styrning och kontroll. En sådan ändring är i

enlighet med såväl internationella ramverk för intern styrning och kontroll som synen

på intern styrning och kontroll i andra länder och sektorer (se kapitel 4).

53 5-18 §§ Förvaltningslag (2017:900).


38

Genom att lägga till att myndighetsledningen ska upprätthålla en god intern miljö i

regleringen förtydligas också att intern styrning och kontroll är en ledningsfråga. Den

interna miljön omfattar de interna förutsättningar som påverkar en verksamhets för-

måga att fullgöra sina uppgifter och nå sina mål. Faktorer inom den interna miljön är

till exempel organisering av verksamheten, fördelning av ansvar och befogenheter,

samt den uppmärksamhet och vägledning som myndighetens ledning ger. Den inne-

fattar också sådant som ledarstil, erfarenhet och kompetens hos medarbetarna,

integritet och etik samt annat som ger uttryck för en organisations värdegrund.

Det har i vår utredning framförts synpunkter på vilket mervärde en reglering av den

interna miljön i förordningen kan ge. Vår tidigare utredning indikerar att avsaknaden

av den interna miljön i regleringen om intern styrning och kontroll har påverkat

tillämpningen av förordningen och hur arbetet med intern styrning och kontroll har

utvecklats. ESV bedömer därför att en reglering av den interna miljön i förordningen

tydliggör syftet med den interna styrningen och kontrollen. Därmed får myndig-

heterna bättre förutsättningar att mer effektivt tillämpa förordningen om intern styr-

ning och kontroll. Ytterligare ett skäl att reglera den interna miljön i förordningen om

intern styrning och kontroll är att den utgör en viktig grund för arbetet mot oegentlig-

heter i förvaltningen.

Liksom för regleringen av myndighetsledningens ansvar bedömer ESV att den lämp-

ligaste platsen att reglera denna fråga är tillsammans med definitionen av intern

styrning och kontroll, det vill säga i andra paragrafen. Vad som ingår i den interna

miljön exemplifieras nedan.

ESV bedömer vidare att uppräkningen i andra paragrafen av de moment som ska

ingå i processen är en onödig uppräkning. Uppräkningen av moment bör därför tas

bort från förordningen om intern styrning och kontroll.

Val av begrepp

ESV föreslår att myndighetsledningen ska upprätthålla en god intern miljö som en

del av processen för intern styrning och kontroll. Det har under utredningen framförts

synpunkter på att begreppet intern miljö inte är tillräckligt tydligt och att det kan leda

till en extensiv tolkning. Olika begrepp används för intern miljö, till exempel intern

kontrollmiljö och styr- och kontrollmiljö (se kapitel 4). Oavsett vilket begrepp som

används i förordningen behöver det förklaras för att underlätta förståelsen. Redan i

dag finns en förklaring till vad begreppet intern miljö kan innefatta i ESV:s ordbok

om ekonomisk styrning i staten54 (se avsnitt 4.3). ESV utgår från att det kommer att

finnas ett behov av att ytterligare förklara begreppet eftersom det beskriver en central

54 ESV 2011:9, ESV:s ordbok om ekonomisk styrning i staten, Stockholm.


39

aspekt av och en förutsättning för en betryggande intern styrning och kontroll. Det

kan ESV göra där det är lämpligt i föreskrifter eller stöd.

ESV har i sitt tidigare stöd använt begreppet intern miljö. Begreppet intern miljö är i

linje med olika internationella ramverken för intern styrning och kontroll (se kapitel

4). Ett etablerat begrepp är också att föredra framför att införa ett helt nytt begrepp. I

de dialoger med myndigheter som ESV har haft vid genomförandet av detta uppdrag

har vi också uppfattat att medarbetare som arbetar med intern styrning och kontroll

på berörda myndigheter anser att begreppet intern miljö är att föredra framför andra

begrepp. Bland annat har företrädare för myndigheterna framfört att begreppet intern

miljö inte är lika värdeladdat, att det inte ger upphov till missuppfattningar i samma

utsträckning och att det är lättare att förklara än andra begrepp. En annan fördel med

att begreppet intern miljö kan ha en vid tolkning är att det möjliggör anpassning till

myndigheters behov. ESV föreslår därför att regeringen bör använda begreppet intern

miljö i förordningen om intern styrning och kontroll.

Den interna miljön omfattar både redan reglerade aspekter och aspekter som

inte är reglerade

Flera aspekter av den interna miljön finns redan reglerade i de förordningar som styr

hur myndigheter ska fungera, bland annat i myndighetsförordningen (se avsnitt 4.3).

Där framgår till exempel att myndighetsledningen ska besluta om en arbetsordning

som innehåller de närmare föreskrifter som behövs för myndighetens organisation,

arbetsfördelning mellan styrelse och myndighetschef, delegering av beslutanderätt

inom myndigheten, handläggning av ärenden och formerna i övrigt för verksam-

heten.55 I myndighetsförordningen regleras också andra aspekter som påverkar den

interna miljön. Där framgår bland annat att myndigheten ska se till att de anställda är

väl förtrogna med målen för verksamheten. Myndigheten ska även skapa goda

arbetsförhållanden och ta tillvara på och utveckla de anställdas kompetens och er-

farenhet. I myndighetsförordningen framgår också att myndigheten fortlöpande ska

utveckla verksamheten och att den genom samarbete med myndigheter och andra ska

ta tillvara på de fördelar som kan vinnas för enskilda samt för staten som helhet.56

Dessa aspekter i den interna miljön regleras inte på nytt i förordningen om intern

styrning och kontroll i och med ESV:s förslag.

Vissa aspekter av den interna miljön, som framför allt berör kulturen på myndig-

heten, finns däremot inte reglerade. Det finns därför anledning att lyfta fram dessa i

ESV:s föreskrifter och stöd. Det kan innebära ett större fokus på de aspekter av den

55 4 § p. 4 Myndighetsförordning (2007:515), 2 kap. 2 § p. 8 Högskoleförordning (1993:100). 56 6 och 8 §§, Myndighetsförordning (2007:515).


40

interna miljön som inte finns reglerade än på de som redan finns reglerade på annat

håll.

Myndighetsledningens roll för den interna miljön

En myndighets ledning har ansvaret för processen för intern styrning och kontroll,

och därmed också för den interna miljön. Myndighetens chef är dock normalt den

person som anger tonen inom myndigheten, och påverkar därmed integritet, etik och

andra faktorer i den interna miljön. I förvaltningen fullföljer myndighetens chef detta

ansvar genom sitt ledarskap. På styrelsemyndigheter har styrelsen rollen att följa upp

att myndighetschefen utövar sitt ledarskap utifrån styrelsens direktiv och riktlinjer.

Ledningsansvaret lyfts fram genom den förändring som ESV föreslår i avsnitt 5.1.

Ledningsansvaret betonas också med förslaget att myndighetsledningen ska upprätt-

hålla en god intern miljö.

Ett alternativ är en mer precis reglering av de delar av den interna miljön som i dag

inte är reglerade i någon annan förordning, det vill säga etiska värden. Vi har därför i

utredningen övervägt en formulering om att myndighetsledningen ska ge uttryck för

de etiska värden som myndigheten och dess medarbetare förväntas upprätthålla. ESV

har efter överväganden valt det mer övergripande begreppet intern miljö. Det begrep-

pet ger myndighetsledningen större möjlighet att välja vad och hur den interna

miljöns roll ska betonas i myndighetens interna styrning och kontroll.

5.4 Arbetet mot oegentligheter och förordningen om intern


Förslag: I 2 § görs ett tillägg om att processen för intern styrning och kontroll ska

bedrivas så att verksamheten skyddas mot korruption, otillbörlig påverkan, bedrägeri

eller annan oegentlighet.

5.4.1 Bakgrund

I förordningen om intern styrning och kontroll finns inte någon skrivning om att

arbetet ska bidra till att motverka oegentligheter i verksamheten. Oegentligheter

nämns däremot i ett allmänt råd till förordningen.

Av ESV:s tidigare rapport framgår att arbetet mot oegentligheter endast får ett be-

gränsat stöd genom arbetet med riskanalyser. I rapporten gjorde ESV därför bedöm-

ningen att arbetet mot oegentligheter skulle vinna på att det tydligare framgår att ett

av syftena med den interna styrningen och kontrollen är att motverka otillbörlig på-

verkan, bedrägeri eller annan oegentlighet. En sådan koppling bör kunna göras direkt

i förordningstexten. En reglering i förordningen ger också ESV större möjlighet att i

föreskrifter och övrigt stöd arbeta vidare med frågor som rör oegentligheter.


41

ESV har också under arbetet med den tidigare rapporten noterat att inte alla myndig-

heter har integrerat arbetet med oegentlighetsrisker med det förordningsreglerade

riskarbetet. Det indikerar att det behövs ett ökat yttre tryck i frågan och då kan en

förordningsreglering styra myndigheterna i önskad riktning.


Vår utredning visar att det finns skäl att reglera arbetet mot oegentligheter i förord-

ningen om intern styrning och kontroll. Att området i dag enbart regleras som ett

allmänt råd innebär en svagare styrning av myndigheterna. Vi uppfattar också att det

har skett en förskjutning i synen på risken för oegentligheter i förvaltningen, där det i

dag bedöms mer sannolikt att myndigheter kan utsättas för olika typer av oegentlig-

heter. Med anledning av den skada som oegentligheter kan få bland annat på allmän-

hetens förtroende för förvaltningen finns det skäl till en tvingande reglering i förord-

ningen om intern styrning och kontroll. En sådan reglering skulle tydliggöra kopp-

lingen mellan den interna styrningen och kontrollen och arbetet mot oegentligheter.

Det kan också medföra att arbetet med oegentligheter kommer att bedrivas mer

systematiskt.

Som framgår av avsnitt 5.3 finns det kopplingar mellan den interna miljön i en

organisation och arbetet mot oegentligheter. Den interna miljön påverkar till exempel

möjligheterna i en organisation att motverka oegentligheter (se avsnitt 4.3). Det kan

därför finnas anledning för ESV att i vårt stöd till myndigheterna ta upp samspelet

mellan den interna miljön och arbetet mot olika typer av oegentligheter.

Val av begrepp

Regeringen har definierat korruption som att utnyttja en offentlig ställning för att

uppnå en otillbörlig vinning för sig själv eller andra.57 Det är också vanligt att be-

greppet korruption används som ett samlingsbegrepp för olika oegentligheter. I

Sverige har vi författningsreglerat företeelser som räknas till korruption, som till

exempel tagande och givande av muta i brottsbalken, bisysslor och disciplinansvar i

lagen (1994:260) om offentlig anställning och jäv i förvaltningslagen.

ESV har i föreskrifter och stöd till myndigheter använt begreppen otillbörlig påver-

kan, bedrägeri eller annan oegentlighet, med oegentligheter som samlande begrepp.

ESV använder begreppet oegentligheter som ett generellt begrepp för en vid grupp

oönskade beteenden som även inbegriper korruption och förtroendeskadliga

ageranden som exempelvis avsiktliga eller oavsiktliga fel i beslutsfattande eller

57 Skrivelse 2012/13:167, Riksrevisionens rapport om statliga myndigheters skydd mot korruption, Stockholm:

Socialdepartementet.


42

myndighetsutövning.58 I ESV:s vägledning Oegentligheter och intern styrning och

kontroll (ESV 2016:24) finns exempel på sådana oönskade beteenden.

Statskontoret har bland annat i uppgift att främja arbetet för en god förvaltningskultur

i staten. Inom ramen för detta har Statskontoret under 2017 fått i uppdrag att utveckla

och intensifiera arbetet med att upptäcka och förebygga korruption och andra

oegentligheter.59 Statskontoret använder i sitt arbete flera begrepp som är nära

besläktade: korruption, oegentlighet och allvarliga missförhållanden.60

Vi har övervägt att begränsa uppräkningen i förordningen om intern styrning och

kontroll till ”korruption eller annan oegentlighet”. En sådan skrivning är kortare och

har större likheter med Statskontorets användning av begreppen. Samtidigt kan det

tolkas snävare jämfört med en uppräkning av alla fyra begrepp. För att säkerställa att

myndigheterna beaktar alla dessa i den interna styrningen och kontrollen är det

viktigt att en förordningsreglering omfattar flera begrepp då dessa är närliggande

men inte synonyma. Därför föreslår ESV att lydelsen i förordningen om intern styr-

ning och kontroll omfattar korruption, otillbörlig påverkan, bedrägeri eller annan

oegentlighet.

5.5 Bredare fokus för riskanalysen

Förslag: 3 § ändras så att en riskanalys ska göras i syfte att identifiera omständigheter

som utgör väsentlig risk för att myndigheten inte fullgör sina uppgifter eller når verk-

samhetens mål. Riskanalysen får även beakta omständigheter som ger ökad möjlig-

het att fullgöra myndighetens uppgifter och nå verksamhetens mål.

5.5.1 Bakgrund

ESV har i sin tidigare rapport konstaterat att nuvarande förordning begränsar risk-

analysen till risker med negativ konsekvens för verksamheten. Av kartläggningen

framkommer att flera myndigheter har pekat på att begränsningen kan skapa en

ineffektivitet i arbetet när arbetet med intern styrning och kontroll integreras med

andra verksamhetsstyrningsprocesser. Från myndigheterna finns en önskan att arbetet

med intern styrning och kontroll också bör ge möjlighet att hantera positiva effekter

av ett agerande.


Vår utredning visar att det finns skäl att i förordningen om intern styrning och kon-

troll möjliggöra ett bredare fokus för myndigheternas riskanalyser. Det kan man göra

58 ESV 2016:24, Vägledning. Oegentligheter och intern styrning och kontroll, Stockholm, s. 10. 59 Regeringsbeslut, Fi2017/01595/SFÖ, Uppdrag till Statskontoret att stärka arbetet mot korruption och andra

oegentligheter i statsförvaltningen. 60 Statskontoret (2017), Ett stärkt arbete mot korruption och andra oegentligheter i statsförvaltningen (dnr 2017/130-5),

Stockholm.


43

genom att ändra 3 § förordningen om intern styrning och kontroll. För att möjliggöra

ett bredare fokus i myndigheternas riskanalys har vi övervägt förändringar av såväl

begreppet riskanalys som riskanalysens inriktning.

Riskanalys som begrepp

Begreppet risk är centralt för riskanalysen och begreppet har olika betydelser i olika

internationella standarder (se kapitel 4). I COSO:s ramverk Internal Control definie-

ras risk som ”the possibility that an event will occur and adversely affect the achieve-

ment of objectives”61, där den negativa innebörden av risk framgår av att det som

inträffar hindrar (engelska: adversely affect) en organisation från att nå sina mål.

I COSO:s ERM-ramverk utgår man i stället från att alla organisationer möter osäker-

het, där osäkerhet kan ses som antingen risker (engelska: risks) eller möjligheter

(engelska: opportunities), eller som både och.62 Dubbelheten i risk-begreppet åter-

finns också inom ISO, där begreppet risk ses som något som kan vara positivt eller

negativt. ISO definierar begreppet risk som ”osäkerhetens effekt på mål” där en

effekt är en avvikelse, positiv eller negativ, från det förväntade.63

Även om det internationellt finns exempel på ramverk som fyller begreppet risk med

både en positiv och en negativ betydelse har ordet i en svensk kontext avsett risk i

negativ mening, som något oönskat. Det märks till exempel i följande definition av

risk, där risk beskrivs som ”den samlade bedömningen av sannolikheten för en

oönskad händelse och konsekvensen om händelsen skulle inträffa”.64

Mot den bakgrunden har vi i vår utredning övervägt såväl att behålla begreppet risk-

analys som att ändra det till det mer neutrala analys. Analys skulle tydliggöra att

myndigheterna kan beakta såväl positiva som negativa omständigheter. Av vår

tidigare kartläggning framgår också att begreppet risk kan vara svårt att förstå utanför

den ofta mindre krets på en myndighet som arbetar med intern styrning och kontroll.

Riskanalys är emellertid ett etablerat begrepp och det har under vår utredning fram-

förts flera önskemål om att begreppet ska användas även framöver. I de fall man i

våra externa kontakter har framfört kritik mot en breddning av riskanalysen har kriti-

ken ofta förklarats av en ovilja att byta ut begreppet riskanalys. Att behålla begreppet

är en signal om att risker i negativ mening även fortsättningsvis måste ingå i myndig-

heternas riskanalys. Sammantaget gör ESV därför bedömningen att begreppet

riskanalys även fortsatt bör användas.

61 COSO (2013), Internal Control – Integrated Framework, kapitel 6. 62 COSO (2004), Enterprise Risk Management – Integrated Framework, Executive Summery, s. 4. 63 ISO (2009), Riskhantering – Principer och riktlinjer, 31000:2009, avsnitt 2.1. 64 Wikland, T (2011), Intern styrning och kontroll – både lönsamt och säkert, FAR akademi AB, Stockholm, s. 19.


44

Riskanalysens omfattning

Enligt nuvarande lydelse i förordningen om intern styrning och kontroll ska myndig-

heter göra en riskanalys för att identifiera omständigheter som utgör risk för att

kraven inte fullgörs, det vill säga en avgränsning till de negativa riskerna. En bredare

ansats i myndigheternas riskanalyser kan möjliggöras genom en skrivning som om-

fattar vad som ska respektive får beaktas i myndighetens riskanalys. I stället för att

identifiera omständigheter som utgör risk för att verksamhetskraven i myndighets-

förordningen inte fullgörs, ska riskanalysen framöver göras i syfte att identifiera

omständigheter som utgör risk för att myndigheten inte fullgör sina uppgifter och når

verksamhetens mål.

Samtidigt får myndigheterna även beakta omständigheter som ger myndigheten ökad

möjlighet att fullgöra uppgifterna och nå målen. En sådan mer öppen skrivning för-

tydligar för myndigheterna att riskanalysen kan omfatta omständigheter som kan vara

negativa, positiva eller både och. Det kan i sin tur underlätta integreringen av

riskanalysen i myndighetens övriga arbete med planering och uppföljning.

Den föreslagna skrivningen innebär inte att alla myndigheter ska identifiera både

negativa och positiva omständigheter. Det skulle vara att öka kraven på myndig-

heterna. I stället syftar formuleringen till att ge myndigheterna utrymme att verksam-

hetsanpassa riskanalysen utifrån de egna önskemålen och behoven. Det kan också

underlätta för myndigheten att integrera den interna styrningen och kontrollen i övrig

ledning av verksamheten, eftersom analysen inte endast begränsas till negativa

omständigheter. En negativ följd av en bredare omfattning på riskanalysen skulle

kunna bli att riskerna reduceras i betydelse om riskanalysen också omfattar möjlig-

heter. Av den anledningen är det viktigt att myndigheterna inte bortser från de

negativa omständigheterna i sina framtida riskanalyser. Därför ser vi behov av att i

vår översyn av ESV:s föreskrifter och stöd till denna paragraf betona att omständig-

heter som negativt kan påverka myndighetens förmåga ska finnas med i riskanalysen.

De myndigheter som så önskar får kombinera analysen med positiva omständigheter.

I avsnitt 5.2 föreslår ESV en ändring i 2 § förordningen om intern styrning och kon-

troll så att den interna styrningen och kontrollen syftar till att myndigheten med

rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål. Även det förslaget

bidrar till ett bredare innehåll i myndigheternas riskanalys.

Samtidigt är det viktigt att riskanalysen avser det som är väsentliga risker på respek-

tive myndighet. Det är något som kan förtydligas genom att lägga till begreppet

väsentlig i förordningstexten. Med väsentliga risker65 menar ESV risker som

65 Väsentlig är ett begrepp som också förekommer i 2 kap. 4 § 4 stycket förordningen om årsredovisning och

budgetunderlag. Där framkommer att myndigheten i årsredovisningen ska lämna information om andra förhållanden av

väsentlig betydelse för regeringens uppföljning och prövning av verksamheten.


45

påverkar myndighetsledningens ansvar för verksamheten inför regeringen. Det vill

säga framför allt de risker som är relevanta för regeringens uppföljning och prövning

av verksamheten. Till väsentliga risker hör också sådana andra risker som myndig-

hetsledningen är intresserad av att följa upp utifrån sitt ansvar för verksamheten inför

regeringen.

5.6 Ändring av begreppet kontrollåtgärder

Förslag: Begreppet kontrollåtgärder ändras till åtgärder i rubriken till 4 §.

5.6.1 Bakgrund

I ESV:s tidigare kartläggning framkommer att myndigheterna har önskemål om

förändringar av vissa begrepp i förordningen om intern styrning och kontroll. Det

handlar bland annat om begreppet kontrollåtgärder, som myndigheterna uppfattar

som begränsande och svårt att förstå.


Kontrollåtgärder regleras i 4 § förordningen om intern styrning och kontroll. Där

framgår följande under rubriken Kontrollåtgärder: ”Med ledning av riskanalysen

skall åtgärder vidtas som är nödvändiga för att de krav som framgår av 3 § myndig-

hetsförordningen (2007:515) skall fullgöras med rimlig säkerhet.”

I den nuvarande lydelsen används begreppet kontrollåtgärder i paragrafens rubrik

medan begreppet åtgärder används i författningstexten. Ett sätt att öka tydligheten är

att använda samma begrepp i såväl rubrik som författningstext. Eftersom begreppet

kontrollåtgärder enligt ESV:s tidigare kartläggning kan vara svårt att förstå för de

myndigheter som ska tillämpa förordningen finns det skäl att ändra rubriken och

genomgående använda begreppet åtgärder.

Den föreslagna ändringen av begreppet innebär en anpassning till praktiken och kan

bidra till en samordning mellan verksamhetsplanering och arbetet med intern styr-

ning och kontroll.

I avsnitt 5.2 har ESV föreslagit en ändring av syftet med processen för intern styr-

ning och kontroll. ESV ser därför skäl till en följdändring i fjärde paragrafen. De

åtgärder som myndigheterna ska vidta med anledning av genomförd riskanalys bör

alla syfta till att bidra till att myndigheten med rimlig säkerhet fullgör sina uppgifter

och når verksamhetens mål.


46

5.7 Kravet på dokumentation får ett syfte

Förslag: Kravet på dokumentation i 6 § ändras så att riskanalys och åtgärder ska

dokumenteras i den utsträckning som myndigheten behöver för uppföljning och

bedömning av om det finns en betryggande intern styrning och kontroll.

5.7.1 Bakgrund

ESV har i sin tidigare rapport konstaterat att syftet med dokumentationen av den

interna styrningen och kontrollen i den nuvarande regleringen är oklar. Doku-

mentationskravet har av många myndigheter i ESV:s kartläggning lyfts fram som en

belastning för verksamheten. Andra myndigheter delar inte denna uppfattning. ESV

gjorde bedömningen att ett angivet syfte med dokumentationskravet kan hjälpa

myndigheterna att bättre hitta en nivå för sin dokumentation av arbetet med intern

styrning och kontroll. ESV föreslog därför att förordningen ändras så att doku-

mentationen ska utgöra ett underlag för bedömningen av om det på myndigheten

finns en betryggande intern styrning och kontroll.


Det finns anledning att ändra förordningens krav på dokumentation för att ge förut-

sättningar för en mer ändamålsenlig dokumentation. Den föreslagna ändringen består

av två delar. För det första handlar det om att tydliggöra vad som måste finnas

dokumenterat, enligt vår mening riskanalys och åtgärder. För det andra handlar det

om att det är myndigheten som ska avgöra i vilken omfattning riskanalysen och

åtgärderna behöver dokumenteras för att myndigheten ska kunna följa upp och

bedöma den interna styrningen och kontrollen.

Avsikten med ESV:s förslag är inte att ta bort kravet på dokumentation utan att tyd-

liggöra syftet med dokumentationen. Det kan innebära att omfattningen av doku-

mentationen begränsas vilket i sin tur kan minska den belastning som många myn-

digheter upplever. En minskad omfattning har också av berörda myndigheter upp-

fattats som positivt i de kontakter vi har haft under utredningens gång. Bland annat

har man framfört att det kommer att minska arbetsbördan och leda till en förenklad

process för myndigheterna. Vårt förslag påverkar inte andra bestämmelser som

reglerar dokumentation på myndigheterna.

Samtidigt har några myndigheter pekat på risker med detta förslag, om det skulle

medföra att myndigheterna inte dokumenterar de olika momenten i förordningen i

tillräcklig utsträckning. I det fallet skulle en ändring av förordningens doku-

mentationskrav kunna innebära att myndighetens interna styrning och kontroll tappar

i transparens och spårbarhet. Det har också framförts att möjligheten för revision och

annan granskning kan påverkas i den mån som den sträcker sig utanför vad som

framgår av myndighetsledningens behov av dokumentation. Även Riksrevisionen har


47

framfört att ett ändrat dokumentationskrav kommer att leda till bristande kontinuitet

samt varierande kvalitet och omfattning i myndigheternas interna styrning och kon-

troll. Enligt Riksrevisionen ska det framgå av förordningen att dokumentationskravet

omfattar risker, åtgärder, uppföljning och bedömning, det vill säga en reglering lik-

nande dagens förordning.

Mot bakgrund av de synpunkter som framkommit under utredningen har ESV valt att

inte föreslå en formulering som innebär att det är helt upp till myndigheten att avgöra

dokumentationens omfattning. ESV:s förslag till förordningsändring syftar till en av-

vägning mellan myndigheternas önskemål om att minska kraven på dokumentation

och revisionens önskemål om vad som ska dokumenteras. Därför innebär ESV:s

förslag att det tydligt framgår att kravet på dokumentation i förordningen omfattar

riskanalys och åtgärder. Förordningsändringen kan också vid behov kombineras med

föreskrifter från ESV om dokumentationskraven av den interna styrningen och kon-

trollen.

5.8 Samma period för bedömningen som för

årsredovisningen i övrigt

Förslag: 2 kap. 8 § förordningen om årsredovisning och budgetunderlag ändras så att

myndighetsledningens bedömning av den interna styrningen och kontrollen avser

samma period som årsredovisningen avser.

5.8.1 Bakgrund

ESV har i den tidigare rapporten föreslagit att myndighetsledningens bedömning av

intern styrning och kontroll bör avse samma period som årsredovisningen i övrigt.

Det kan uppnås genom att ändra förordningen om årsredovisning och budget-

underlag. Med en sådan ändring får regeringen ett bättre underlag för att följa upp

om myndighetens process för intern styrning och kontroll har fungerat betryggande

för den period som årsredovisningen avser.


Enligt den nuvarande lydelsen i förordningen om årsredovisning och budgetunderlag

ska myndighetens ledning i anslutning till underskriften av årsredovisningen lämna

en bedömning av huruvida den interna styrningen och kontrollen är betryggande. Det

innebär att utlåtandet är en nulägesbedömning vid tillfället då den lämnas. Det är

något som skiljer detta utlåtande från övrig information som lämnas i årsredovis-

ningen som gäller den period som årsredovisningen avser, ofta det föregående

verksamhetsåret.

I ESV:s utredning har vi erfarit att Regeringskansliets myndighetshandläggare

uppfattar Riksrevisionens granskning av årsredovisningen som en kvalitetssäkring av


48

myndigheternas arbete med intern styrning och kontroll. Riksrevisionen har dock

svårt att genomföra en sådan granskning av den interna styrningen och kontrollen

och hur den har påverkat den verksamhet som myndigheten har redovisat i årsredo-

visningen, eftersom dagens bedömning avser en annan tidpunkt än den tidsperiod

som årsredovisningen avser.

Myndigheternas utlåtande om den interna styrningen och kontrollen utgör ett under-

lag till regeringens uttalande till EU. Regeringens uttalande baseras på myndigheter-

nas räkenskaper, förvaltningsförklaring om EU-medel och myndigheternas bedöm-

ning av den interna styrningen och kontrollen i årsredovisningen.66 Även i det per-

spektivet kan det vara problematiskt att tidpunkten för myndigheternas bedömning av

intern styrning och kontroll skiljer sig från den tidsperiod som årsredovisningen

avser.

Enligt ESV:s uppfattning kan de problem som den nuvarande formuleringen i förord-

ningen skapar lösas dels genom att förändra tempus i förordningen från är till har

varit, dels genom att ange att myndighetens utlåtande om den interna styrningen och

kontrollen omfattar hela den period som årsredovisningen avser.

Med en sådan ändring får regeringen underlag för att följa upp om myndighetens

process för intern styrning och kontroll har fungerat betryggande för den period som

årsredovisningen avser. Förändringen ger också Riksrevisionen en möjlighet att

granska den interna styrningen och kontrollen i relation till vad som i övrigt har

redovisats i årsredovisningen.

ESV lämnar årligen en redovisning av den statliga internrevisionen och myndigheter-

nas interna styrning och kontroll till regeringen. Av de uppföljningar som ESV har

gjort sedan 2009 av myndigheters bedömningar av den interna styrningen och kon-

trollen och den utredning som ligger till grund för denna rapport framgår att flera

myndigheter redan i dag lämnar en redovisning av hur den interna styrningen och

kontrollen har varit. Den föreslagna regleringen är alltså en kodifiering av detta.

Förslaget kommer därför att påverka myndigheter olika mycket. För vissa myndig-

heter innebär den endast att regleringen stämmer överens med hur de redan redovisar

medan andra myndigheter kommer att behöva redovisa brister som åtgärdats under

året för att säkerställa en betryggande intern styrning och kontroll.

Den föreslagna förordningsändringen medför att ESV behöver se över föreskrifter,

allmänna råd och det stöd som myndigheterna erbjuds. I våra kontakter med myndig-

heter inom ramen för detta regeringsuppdrag har vi därför även översiktligt

diskuterat en förändring av utformningen av föreskrifterna till denna paragraf. Av

66 Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 av den 25 oktober 2012 om finansiella regler för

unionens allmänna budget och om upphävande av rådets förordning (EG, Euratom) nr 1605/2002, artikel 59.


49

dagens föreskrifter framgår att myndigheter som inte bedömer att den interna

styrningen och kontrollen är betryggande ska redovisa de brister som finns i den

interna styrningen och kontrollen. En sådan information kan fortsatt vara intressant

för till exempel regeringen som mottagare av årsredovisningen. Vid en förordnings-

ändring, där myndigheten bedömer hur den interna styrningen och kontrollen har

varit under den period som årsredovisningen avser, finns det dock anledning för ESV

att överväga föreskrifternas innehåll. I detta arbete ingår att överväga om information

om brister är fortsatt intressant, alternativt om den bör ersättas eller kombineras med

information om de åtgärder som myndigheten har vidtagit utifrån de brister som

funnits i den interna styrningen och kontrollen.

5.9 Följdändringar i andra förordningar

Förslag: I 4 § internrevisionsförordningen görs en ändring så att internrevisionen ska

granska om ledningens interna styrning och kontroll är utformad så att myndigheten

med en rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål.


ESV:s uppdrag omfattar att vid behov lämna förslag till följdändringar i andra för-

fattningar. Vi har i vår utredning sett behov av en följdändring i internrevisions-

förordningen.

Den föreslagna ändringen i 2 § förordningen om intern styrning och kontroll medför

en följdändring i 4 § internrevisionsförordningen. Ändringen består i att syftet med

processen för intern styrning och kontroll ändras från att hänvisa till 3 § myndighets-

förordningen till att referera till verksamhetens mål och uppgifter.

KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN

50

6 Konsekvenser för myndigheter,

Regeringskansliet och Riksrevisionen

I vårt uppdrag ingår att utreda vilka konsekvenser ESV:s förslag till förordningsänd-

ringar får för myndigheterna. Vi har valt en bred tolkning av begreppet myndigheter

och redovisar i detta kapitel de konsekvenser för internrevisionsmyndigheterna,

Regeringskansliet och Riksrevisionen som framförts under vårt arbete med uppdra-

get.

6.1 Konsekvenser för myndigheternas arbete med intern


Få myndigheter kan kvantifiera kostnaderna för tillämpningen av förordningen om

intern styrning och kontroll.67 Mot den bakgrunden har ESV bedömt att det inte har

varit möjligt att samla in kvantitativa uppgifter från alla internrevisionsmyndigheter

om vilka kostnadsförändringar ESV:s förslag till förordningsändringar kan innebära.

Däremot har förslagens kostnadsmässiga och andra konsekvenser diskuterats i våra

olika kontakter med internrevisionsmyndigheterna. I detta avsnitt sammanfattar vi

vår analys av vilka konsekvenser som ESV:s förslag bedöms medföra.

6.1.1 Konsekvenserna av förordningsändringarna som helhet

Myndigheterna bedömer att förslagens samlade påverkan blir relativt liten och att de

ändringar som förslagen medför ryms inom myndigheternas nuvarande arbetssätt och

processer. Därmed bedöms inte heller förslagen medföra någon större kostnads-

mässig påverkan som till exempel påverkar myndigheternas anslag.

Enligt myndigheterna innebär de föreslagna förändringarna att vissa skrivningar i

förordningen om intern styrning och kontroll blir öppnare, något som i sin tur ger

myndigheterna ett tolkningsutrymme. Initialt kan därför myndigheterna behöva

avsätta tid för att diskutera och tolka förändringarna utifrån den egna verksamhetens

förutsättningar. En möjlig konsekvens av att tolkningsutrymmet ökar är att myndig-

hetsledningar önskar höja ambitionen i arbetet med den interna styrningen och kon-

trollen. Ambitionshöjningen kan i sin tur påverka myndighetens kostnader, dock inte

i en sådan omfattning att det bedöms påverka myndigheternas anslagsram.

6.1.2 De enskilda förslagens konsekvenser

I detta avsnitt redogör vi för de konsekvenser som respektive förslag bedöms få för

internrevisionsmyndigheterna.

67 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm.


51

Myndighetsledningens process

Förslaget innebär inte någon ändring i sak och bedöms därmed inte innebära några

större konsekvenser för myndigheterna. En majoritet av de myndigheter vi har träffat

bedömer att ändringen inte kommer att påverka omfattningen av arbetet med intern

styrning och kontroll.

Uppgifter och mål som utgångspunkt för den interna styrningen och

kontrollen

I våra myndighetskontakter har den föreslagna ändringen genomgående bedömts få

positiva konsekvenser. Till exempel har det framförts att förslaget gör det lättare att

integrera den interna styrningen och kontrollen med planering och uppföljning av

verksamheten, något som ses som positivt. I relation till medarbetare i verksamheten

bedöms denna ändring medföra ett förtydligande av vad den interna styrningen och

kontrollen syftar till. Vissa myndigheter har framfört att förslaget kan kräva att myn-

digheten behöver göra en ny tolkning av regleringen för att anpassa tillämpningen till

den enskilda myndigheten. I detta sammanhang kan förklaringar av nyckelbegrepp

som uppgifter och mål i ESV:s föreskrifter, allmänna råd och rådgivning vara ett

stöd. Myndigheterna bedömer dock att behovet av tolkning inte medför någon

kostnadsmässig påverkan.

Förordningen kompletteras med en reglering av den interna miljön

Den interna miljön ingår redan i flera myndigheters arbete med förordningen om

intern styrning och kontroll, exempelvis i de fall myndigheten arbetar utifrån

COSO:s modeller. För dessa myndigheter innebär inte förslaget någon ändring.

Flera myndigheter har framfört att begreppet intern miljö medför ett tolknings-

utrymme som ESV behöver hantera i föreskrifter och stöd. I sammanhanget har

några myndigheter framfört att det blir viktigt hur Riksrevisionen kommer att tolka

begreppet, samt att man ser en risk i att myndigheten och Riksrevisionen kan komma

att göra olika tolkningar. ESV:s föreskrifter, allmänna råd och rådgivning får även

här en roll.

Sammantaget bedöms förslaget inte få några större kostnadsmässiga konsekvenser

för myndigheterna.

Arbetet mot oegentligheter regleras i förordningen

I dagens reglering finns ett allmänt råd till bestämmelsen om riskanalys i 3 § förord-

ningen om intern styrning och kontroll. Av det allmänna rådet framgår att en

myndighet som bedömer att verksamheten kan komma att utsättas för otillbörlig

påverkan, bedrägeri eller annan oegentlighet ska vidta åtgärder. I många myndig-

heters arbete med intern styrning och kontroll ingår redan risken för oegentligheter.


52

Trots det bedömer myndigheterna att en reglering i förordningen om intern styrning

och kontroll kan få en positiv effekt, då den kan fungera som en ”hävstång” i

myndigheternas fortsatta arbete. Arbetet mot olika typer av oegentligheter kan också

komma att bedrivas mer systematiskt med en reglering i förordningen. Myndig-

heterna bedömer vidare att det tillägg som detta förslag innebär inte medför några

ökade kostnader för myndigheterna, eller möjligtvis får en begränsad kostnadsmässig

påverkan.

För den myndighet som i den interna styrningen och kontrollen inte alls har hanterat

risker för oegentligheter är det rimligt att anta att kostnaderna kan påverkas i något

större omfattning. Det kan till exempel handla om att ta fram nya policydokument

eller att hantera nya aspekter i riskanalysen. Samtidigt har våra myndighetskontakter

visat att myndigheterna samlat ser positivt på denna förändring, något som indikerar

att nyttan av förändringen torde vara större än kostnadsökningen.

Breddad riskanalys

Många myndigheter arbetar redan med en bredare ansats i riskanalysen, och för dessa

kommer denna ändring inte att innebära någon skillnad. Den föreslagna skrivningen

innebär inte heller något utökat krav, eftersom förslaget innebär en valmöjlighet. Det

är något som myndigheterna har uppskattat i de diskussioner vi har haft inom ramen

för detta regeringsuppdrag.

Vi har under uppdraget prövat alternativa skrivningar för regleringen av riskanalysen

i förordningen. I det sammanhanget har flera myndigheter framfört att en ändring

som innebär att riskanalysen omfattar omständigheter som både positivt och negativt

påverkar myndighetens förmåga skulle medföra ett mer omfattande arbete med risk-

analysen. Samtidigt syftar inte förslaget till att tvinga myndigheterna att inkludera

positiva aspekter, utan riskanalysens utformning ska kunna anpassas till verksam-

hetens önskemål och behov och därmed bidra till att den interna styrningen och

kontrollen kan integreras i ledningen av verksamheten.

Det har också framförts att en breddad riskanalys som även fångar möjligheter kan

medföra att de negativa riskerna inte står i fokus på samma sätt. Därmed skulle

myndighetsledningen kunna få ett sämre underlag för sin bedömning. Samtidigt

föreslår ESV ett förtydligande om att det är myndighetsledningens process för intern

styrning och kontroll. Riskanalysens inriktning blir därmed också något som ska

svara mot myndighetsledningens behov.

Kontrollåtgärder föreslås bli åtgärder

Myndigheterna ser positivt på en förändring av begreppet kontrollåtgärder till åtgär-

der. De bedömer att förändringen kommer att förenkla och underlätta arbetet, bland

annat då det är ett begrepp som är lättare att kommunicera inom myndigheten.


53

Förändrade krav på dokumentationen

De flesta myndigheter ser positivt på den föreslagna förändringen av kraven på

dokumentation, då det ger myndigheterna utrymme att själva bedöma omfattningen

av dokumentationen. I det sammanhanget har det också förts fram en oro för att

myndigheterna och Riksrevisionen kan komma att göra olika bedömningar av vilken

dokumentation som krävs. Det är myndigheten som avgör dokumentationens omfatt-

ning. Riksrevisionen kan dock bedöma att dokumentationen är otillräcklig.

Bedömningens period

Myndigheterna ska enligt förordningen om intern styrning och kontroll systematiskt

och regelbundet följa upp och bedöma den interna styrningen och kontrollen. Intern-

revisionen ska vidare lämna förslag till förbättringar i myndigheternas interna styr-

ning och kontroll. Samlat utgör detta underlag till myndigheternas bedömning av den

interna styrningen och kontrollen. Detta underlag möjliggör också för myndigheten

att göra en bedömning om den interna styrningen och kontrollen har varit betryg-

gande under året, likväl som att den är betryggande vid årsredovisningens

undertecknande. ESV:s förslag kan med andra ord börja tillämpas i den årsredovis-

ning som lämnas direkt efter att förordningsändringarna har trätt i kraft.

Våra kontakter med myndigheterna visar också att förslaget innebär en kodifiering av

praxis för många myndigheter. För dessa bedöms förslaget inte medföra några större

skillnader i arbetssätt. Den samlade uppfattningen från de myndigheter som ESV har

träffat är att förslaget innebär en mer enhetlig årsredovisning, vilket är positivt.

Arbetssättet hos de myndigheter som tidigare har följt upp den interna styrningen och

kontrollen vid enbart ett tillfälle per år bedöms däremot påverkas i större omfattning.

Flertalet myndigheter bedömer dock att omfattningen av deras arbete inte kommer att

påverkas av förändringen.

Inför ESV:s fortsatta arbete med föreskrifter och allmänna råd har vissa myndigheter

framfört att en eventuell ändring från redovisning av brister till åtgärder kan vara

kostnadsdrivande.

Följdändring i internrevisionsförordningen

Det har framförts att följdändringen i internrevisionsförordningen, där hänvisningen

till 3 § myndighetsförordningen tas bort, kan påverka internrevisionens arbete. ESV:s

förslag innebär emellertid inte ett ändrat uppdrag för internrevisionen, som även fort-

satt ska granska och föreslå förbättringar av ledningens interna styrning och kontroll.

6.2 Konsekvenser för regeringens uppföljning och prövning

I detta avsnitt redogör vi för de konsekvenser som ESV:s förslag kan få för

regeringen och Regeringskansliet.


54

6.2.1 Konsekvenser av förordningsändringarna som helhet

En konsekvens av de samlade föreslagna förändringarna är att regeringen kommer att

få ett delvis annat underlag från myndigheterna. Informationen till Regeringskansliet

från myndigheterna bedöms både kunna bli något mer omfattande och mer använd-

bar med de förändringar som vi föreslår. Ett mer omfattande underlag kan komma att

kräva mer tid för Regeringskansliet att analysera.

En följd av de föreslagna förordningsändringarna kan bli att både myndigheterna och

Regeringskansliet kortsiktigt behöver lägga extra resurser på att implementera det

nya arbetssättet. Bedömningen är dock att det på sikt kommer att få positiva konse-

kvenser.


I vår dialog med Regeringskansliet har företrädare särskilt lyft fram konsekvenser

med anledning av de föreslagna förändringarna i 2 och 6 §§ förordningen om intern

styrning och kontroll och i 2 kap. 8 § förordningen om årsredovisning och budget-

underlag.

Myndighetsledningen, uppgifter och mål

Företrädare för Regeringskansliet ser positivt på att förtydliga myndighetsledningens

roll för den interna styrningen och kontrollen. Man ser dock att det finns en risk att

kopplingen till kraven i myndighetsförordningen inte blir lika tydlig i och med den

föreslagna ändringen till uppgifter och mål.

Breddad riskanalys

Ur regeringens perspektiv är det viktigt att de negativa riskerna finns med i myndig-

heternas riskanalyser. Enligt företrädare för departementen innebär den föreslagna

förändringen inte någon skillnad i det avseendet. I de fall en myndighet väljer att

bredda sin riskanalys till att även omfatta positiva omständigheter kan det innebära

att departementen får ett större material att hantera.

Förändrade krav på dokumentation

Företrädare för Regeringskansliet har framfört några tänkbara konsekvenser av ett

förändrat dokumentationskrav. För berörda myndigheter skulle det kunna förenkla

och innebära minskad administration, samtidigt som man förlorar i transparens och

spårbarhet om det skulle vara helt upp till myndigheten att avgöra dokumentationens

omfattning. Myndigheternas dokumentation, till exempel riskanalysen, utgör ett

viktigt underlag för den analyspromemoria som departementet tar fram för varje

myndighet inför den årliga myndighetsdialogen. Det är också en nackdel för Rege-

ringskansliet om förändringar i kravet på dokumentation försvårar revision.


55


Förändringen får positiva konsekvenser för regeringen eftersom det ger ett mer

användbart underlag för uppföljning och prövning av myndigheterna än i dag.

Särskilt tydligt blir det om förändringen medför att Riksrevisionen efter sin årliga

granskning kan uttala sig om den interna styrningen och kontrollen på myndig-

heterna.

6.3 Konsekvenser för Riksrevisionens årliga revision

Nedan redovisar vi förslagens konsekvenser för Riksrevisionens granskning.

6.3.1 Konsekvenser av förordningsändringarna som helhet

Samlat bedömer ESV att de föreslagna förändringarna kan påverka Riksrevisionens

granskning av huruvida myndigheterna i bedömningen av den interna styrningen och

kontrollen har följt förordningen om intern styrning och kontroll. Påverkan består

främst i att ett minskat dokumentationskrav kan medföra att Riksrevisionen kan

komma att ompröva möjligheten till uttalande. Riksrevisionen har också framfört att

begrepp och krav i den föreslagna regleringen som kan ses som generella eller otyd-

liga kan leda till bristande kontinuitet och att Riksrevisionen kanske behöver om-

pröva sitt uttalande. Exempel på begrepp som Riksrevisionen ser som generella eller

otydliga är intern miljö och väsentliga risker.


Det är främst de föreslagna ändringarna i 2, 3 och 6 §§ förordningen om intern

styrning och kontroll samt i 2 kap. 8 § förordningen om årsredovisning och budget-

underlag som påverkar Riksrevisionen.

Uppgifter och mål samt oegentligheter

Att ändra till uppgifter och mål, i stället för att hänvisa till kraven i myndighets-

förordningen, bedöms inte få någon direkt påverkan på Riksrevisionens granskning.

Den föreslagna ändringen att lyfta in olika typer av oegentligheter i förordningen

innebär ett tydligare krav på myndigheterna. Om en myndighet i dag inte diskuterar

risker för oegentligheter i sin riskanalys kan Riksrevisionen inte uppmärksamma det

på samma sätt som om ändringen genomförs. En annan konsekvens är att kravet kan

medföra en ökad kunskap om hur myndigheterna arbetar med risken för oegentlig-

heter. Företrädare för Riksrevisionen bedömer inte att den föreslagna ändringen

kommer att påverka själva granskningen, eftersom man redan beaktar skyddet mot

oegentligheter. Däremot skulle förändringen ge ytterligare en anledning att diskutera

arbetet mot oegentligheter med myndighetsledningen.


56

Breddad riskanalys

För Riksrevisionen är det viktigt att riskanalysen omfattar enbart risker. Begreppet

möjligheter tenderar enligt företrädare för Riksrevisionen vara mer framåtsyftande än

risker. Därmed är det något som är svårare för Riksrevisionen att förhålla sig till. Om

myndigheternas riskanalyser inkluderar möjligheter, blir det svårare för Riksrevi-

sionen att förhålla sig till dessa när man ska bedöma myndighetsledningens uttalande

i årsredovisningen om hur myndigheten har följt förordningen.

Förändrade krav på dokumentationen

En förändring av dokumentationskravet som syftar till en minskad dokumentation av

myndigheternas arbete med intern styrning och kontroll kommer enligt Riksrevi-

sionen att vara negativt för Riksrevisionens granskning. En ökad frihet för myndig-

heterna att välja hur den interna styrningen och kontrollen ska dokumenteras påver-

kar Riksrevisionen på det sätt att dokumentationen som man får blir olika omfat-

tande. Ett ändrat dokumentationskrav kan också leda till ofullständig dokumentation

och bristande konsistens något som, enligt Riksrevisionen, i sin tur kan leda till att

det blir omöjligt för den årliga revisionen att avgöra om myndigheten har följt för-

ordningen om intern styrning och kontroll. Det kan också påverka revisionen om

revisorerna har en annan uppfattning än myndighetsledningarna om vad som är

tillräcklig dokumentation. I extrema fall kan förändringen påverka Riksrevisionens

uttalande i revisionsberättelsen, om Riksrevisionen bedömer att myndighetsledningen

saknar underlag för att bedöma den interna styrningen och kontrollen. En sådan ut-

veckling skulle kunna medföra att Riksrevisionens uttalande i denna del kan behöva

omprövas.

Enligt Riksrevisionen är det viktigt att det finns förordningskrav på vilka delar i den

interna styrningen och kontrollen som måste vara dokumenterade. Det kravet till-

godoses till viss del av ESV:s förslag till ändrat dokumentationskrav.


För Riksrevisionen får ändringen positiva konsekvenser eftersom den tydliggör för

en läsare av årsredovisningen vad myndighetsledningens bedömning omfattar. Det

blir även tydligare att ledningens uttalande handlar om samma period som Riks-

revisionens uttalande avser.

6.4 Konsekvenserna av oförändrade förordningar

Enligt förordningen (2007:1244) om konsekvensanalys vid regelgivning ska en

konsekvensanalys bland annat innehålla en beskrivning av vilka alternativa lösningar

som finns för det man vill uppnå och vilka effekterna blir om någon reglering inte


57

kommer till stånd.68 I kapitel 5 har vi redovisat de alternativa förslag till

förordningsändringar som vi har övervägt.

Under vår utredning har vi som alternativ också övervägt om de förändringar

förslagen syftar till kan uppnås genom att göra förändringar i ESV:s föreskrifter,

allmänna råd och rådgivning och inte själva förordningarna. Det är ESV:s samlade

bedömning att dagens förordningar inte möjliggör för oss att, utifrån de behov till

förändringar som har vi har identifierat, påverka myndigheternas tillämpning av för-

ordningen om intern styrning och kontroll. En följd av oförändrade förordningar

skulle därmed bli att en ökad verksamhetsanpassning i myndigheternas tillämpning

av förordningen, liksom en ökad integration mellan intern styrning och kontroll och

andra ledningsfrågor, uteblir.

68 6 §, Förordning (2007:1244) om konsekvensanalys vid regelgivning.

FÖRFATTNINGSFÖRSLAG

58

7 Författningsförslag

I detta kapitel presenterar vi ESV:s förslag till ändringar i förordningen (2007:603)

om intern styrning och kontroll, förordningen (2000:605) om årsredovisning och

budgetunderlag och internrevisionsförordningen (2006:1228). Föreslagna bestäm-

melser presenteras tillsammans med nuvarande bestämmelser.

Bestämmelserna föreslås gälla från och med den 1 januari 2019.

7.1 Förordningen om intern styrning och kontroll

Nuvarande lydelse Föreslagen lydelse

Intern styrning och kontroll Intern styrning och kontroll

2 § Med intern styrning och kontroll avses den

process som syftar till att myndigheten med

rimlig säkerhet fullgör de krav som framgår av 3

§ myndighetsförordningen (2007:515).

2 § Med intern styrning och kontroll avses

myndighetsledningens process som syftar till att

myndigheten med rimlig säkerhet fullgör sina

uppgifter och når verksamhetens mål.

I processen ingår att myndighetsledningen ska

upprätthålla en god intern miljö.

Processen ska bedrivas så att verksamheten

skyddas mot korruption, otillbörlig påverkan,

bedrägeri eller annan oegentlighet.

3–6 §§ anges de moment som skall ingå i denna

process.

Riskanalys Riskanalys

3 § En riskanalys skall göras i syfte att identifiera

omständigheter som utgör risk för att de krav

som framgår av 3 § myndighetsförordningen

(2007:515) inte fullgörs.

3 § En riskanalys ska göras i syfte att identifiera

omständigheter som utgör väsentlig risk för att

myndigheten inte fullgör sina uppgifter och når

verksamhetens mål. Riskanalysen får även

beakta omständigheter som ger ökad möjlighet

att fullgöra myndighetens uppgifter och nå

verksamhetens mål.

Kontrollåtgärder Åtgärder

4 § Med ledning av riskanalysen skall åtgärder

vidtas som är nödvändiga för att de krav som

framgår av 3 § myndighetsförordningen

(2007:515) skall fullgöras med rimlig säkerhet.

4 § Med ledning av riskanalysen ska åtgärder

vidtas som är nödvändiga för att myndigheten

med rimlig säkerhet fullgör sina uppgifter och når

verksamhetens mål.

FÖRFATTNINGSFÖRSLAG

59

Dokumentation Dokumentation

6 § Riskanalysen enligt 3 §, kontrollåtgärderna

enligt 4 § samt uppföljningen och bedömningen

enligt 5 § skall dokumenteras.

6 § Riskanalys och åtgärder ska dokumenteras i

den utsträckning som myndigheten behöver för

uppföljning och bedömning av om det finns en

betryggande intern styrning och kontroll.

7.2 Förordningen om årsredovisning och budgetunderlag

2 kap.


8 § … 8 § …

Underskriften innebär att ledningen intygar att

årsredovisningen ger en rättvisande bild av

verksamhetens resultat och av kostnader,

intäkter och myndighetens ekonomiska ställning.

Underskriften innebär att ledningen intygar att

årsredovisningen ger en rättvisande bild av

verksamhetens resultat och av kostnader,

intäkter och myndighetens ekonomiska ställning.

Ledningen vid de förvaltningsmyndigheter under

regeringen som omfattas av förordningen

(2007:603) om intern styrning och kontroll skall i

anslutning till underskriften i årsredovisningen

lämna en bedömning av huruvida den interna

styrningen och kontrollen är betryggande.

Ledningen vid de förvaltningsmyndigheter under

regeringen som omfattas av förordningen

(2007:603) om intern styrning och kontroll ska i

anslutning till underskriften i årsredovisningen

lämna en bedömning av om den interna

styrningen och kontrollen har varit betryggande

under den period som årsredovisningen avser.

7.3 Internrevisionsförordningen


4 § Internrevisionen ska utifrån en analys av

verksamhetens risker självständigt granska om

ledningens interna styrning och kontroll är

utformad så att myndigheten med en rimlig

säkerhet fullgör de krav som framgår av 3 §

myndighetsförordningen (2007:515).

4 § Internrevisionen ska utifrån en analys av

verksamhetens risker självständigt granska om

ledningens interna styrning och kontroll är

utformad så att myndigheten med en rimlig

säkerhet fullgör sina uppgifter och når

verksamhetens mål.

ERROR! USE THE HOME TAB TO APPLY RUBRIK 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE.

60

Referenser

Brottsförebyggande rådet (2017), Att förebygga och hantera påverkansförsök. En

handbok, Stockholm.

COSO (1992, 2013), Internal Control - Integrated Framework.

COSO (2004), Enterprise Risk Management – Integrated Framework.

Det Kongelige Finansdepartement, Bestemmelser om økonomistyring i staten,

fastställt 12 december 2003 och senast ändrat 5 november 2015.

Det Kongelige Finansdepartement, Reglement for økonomistyring i staten, fastställt

12 december 2003 och senast ändrat 18 september 2013.

Ds 2006:15, Intern styrning och kontroll i staten, Stockholm, Finansdepartementet.

DFØ 04/2013, Veileder i internkontroll.

DFØ 04/2013, Veileder Kort om internkontroll – för deg som er leder.

ESV 2011:9, ESV:s ordbok om ekonomisk styrning i staten, Stockholm.

ESV 2012:46, Handledning. Ansvaret för intern styrning och kontroll.

ESV 2016:24, Vägledning. Oegentligheter och intern styrning och kontroll,

Stockholm.

ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll,

Stockholm.

Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 av den 25

oktober 2012 om finansiella regler för unionens allmänna budget och om

upphävande av rådets förordning (EG, Euratom) nr 1605/2002.

European Commission (2006), Welcome to the word of PIFC. Public Internal

Financial Control.

European Commission (2014), Compendium on the public internal control systems in

the EU Member States, second edition, 2014.

Förordning (2000:606) om myndigheters bokföring.


61

Förordning (2007:603) om intern styrning och kontroll.

Förordning (2007:1244) om konsekvensanalys vid regelgivning.

Förvaltningslag (2017:900).

Högskoleförordning (1993:100).

IIA (2013), International Professional Practice Framework, IPPF 2030 Control.

INTOSAI, GOV 9100 Guidelines for Internal Control Standards for the Public

Sector.

ISO (2009), Riskhantering – Principer och riktlinjer, 31000:2009.

Kollegiet för Svensk bolagsstyrning (2016), Svensk kod för bolagsstyrning.

Kommunallag (2017:725).

Myndighetsförordning (2007:515).

Proposition 2016/17:171, En ny kommunallag.

Regeringsbeslut, Fi2017/01595/SFÖ, Uppdrag till Statskontoret att stärka arbetet

mot korruption och andra oegentligheter i statsförvaltningen.

Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta

fram förordningsförslag för en utvecklad intern styrning och kontroll,

Finansdepartementet, 2017-10-19.

Regeringsformen.

SKL (2008-03-11), På den säkra sidan. Om intern kontroll för förtroendevalda i

kommuner och landsting.

Skrivelse 2012/13:167, Riksrevisionens rapport om statliga myndigheters skydd mot

korruption, Stockholm: Socialdepartementet.

Statskontoret (2017), Den statliga värdegrunden – professionella värderingar för en

god förvaltningskultur, Stockholm.

Statskontoret (2017), Ett stärkt arbete mot korruption och andra oegentligheter i

statsförvaltningen (dnr 2017/130-5), Stockholm.


62

Värdegrundsdelegationen (2013), Den gemensamma värdegrunden för de

statsanställda, Stockholm.

Wikland, T (2011), Intern styrning och kontroll – både lönsamt och säkert, FAR

akademi AB, Stockholm.


63

Ordlista

intern miljö

(inom statlig intern styrning och kontroll) de interna förutsättningar (ledning, organisation,

kultur med mera) som påverkar en verksamhets förmåga att fullgöra sina uppgifter och nå

verksamhetens mål

intern styrning och kontroll

(inom statlig förvaltning) den process som med rimlig säkerhet säkerställer att en myndighet

fullgör sina uppgifter och når verksamhetens mål

korruption, otillbörlig påverkan, bedrägeri eller annan oegentlighet

(inom statlig intern styrning och kontroll) oönskade beteenden eller handlingssätt med

konsekvenser för myndighetens anseende eller verksamhet

myndighetens uppgifter och verksamhetens mål

(inom statlig förvaltning) de uppgifter som framgår av myndighetens instruktion och de mål

som regeringen har angett i regleringsbrev eller i något annat beslut

riskanalys

(inom statlig intern styrning och kontroll) samordnade aktiviteter för att identifiera händelser

som utgör ett hot, värdera dessa och välja om och hur dessa ska hanteras. Riskanalysen får,

om myndigheten vill, också beakta händelser som utgör möjlighet

risk i verksamheten

(inom statlig intern styrning och kontroll) en omständighet (förhållande eller händelse) som

innebär att en myndighet (med rimlig säkerhet) inte fullgör sina uppgifter eller når verksam-

hetens mål

åtgärder

(inom statlig intern styrning och kontroll) de nödvändiga aktiviteter som en myndighet vidtar för

att hantera risker i verksamheten eller för att ta tillvara möjligheter

Ekonomistyrningsverket Drottninggatan 89 Tfn 08-690 43 00

Box 45316 Fax 08-690 43 50

104 30 Stockholm www.esv.se

ESV gör Sverige rikare

Vi har kontroll på statens finanser, utvecklar ekonomistyrningen och granskar

Sveriges EU-medel.

Vi arbetar i nära samverkan med Regeringskansliet och myndigheterna.

Utvecklad intern styrning och kontroll · Ett tillägg görs i 2 § om att myndighetsledningen ska...

Documents

Transcript of Utvecklad intern styrning och kontroll · Ett tillägg görs i 2 § om att myndighetsledningen ska...