Frågor och svar

Förordning (2007:603) om intern styrning och kontroll

3 §, Riskanalys

  • Tidpunkt för riskanalys

    När ska en riskanalys vara genomförd?

    När en verksamhet genomförs ska den omfattas av en aktuell riskanalys. Enligt 3 § förordningen om intern styrning och kontroll (2007:603) ska riskanalys göras för att identifiera omständigheter som utgör risk för de krav som framgår av 3 § myndighetsförordningen (2007:515) inte fullgörs.

    Det går att tänka sig ett antal olika situationer där det handlar om att bedöma om myndigheten har en riskanalys:

    1. Om riskanalys inte är genomförd för verksamheten har myndigheten inte fullgjort kravet på riskanalys.
    2. Om riskanalys är genomförd tidigare år och myndigheten under året bedömt att den inte behöver uppdateras uppfyller myndigheten kravet på riskanalys.
    3. Om riskanalys är genomförd tidigare år men myndigheten har under året bedömt att riskanalysen behöver uppdateras och denna uppdatering inte har genomförts uppfyller myndigheten inte kravet på riskanalys.
    4. Om riskanalys är genomförd tidigare år men myndigheten har under året bedömt att riskanalysen behöver uppdateras och denna uppdatering ...

    Läs hela

  • Otillbörlig påverkan

    Vad avser ESV med ”otillbörlig påverkan” som står i ESV:s allmänna råd för 3 § i Förordningen om intern styrning och kontroll?

    Otillbörlig är i allmänhet något som strider mot god sed, etik och moral eller lag och förordning. Påverkan är att utöva verkan eller inflytande över beslut eller handläggning.

    Det allmänna rådet talar om att verksamheten kan komma att utsättas för otillbörlig påverkan och brottslighet. Brottlighet utgörs av de handlingar som enligt lag har definierats som brottliga handlingar. Också otillbörlig påverkan kan vara en brottslig handling, vid mutbrott talas till exempel om tagande eller givande av en otillbörlig förmån.

    Otillbörlig påverkan kan även utgöras av handlingar som inte är brottsliga i sig men som ur ett förvaltningsperspektiv är olämpliga. Exempel på sådana olämpliga handlingar är att en tjänsteman deltar i handläggning eller beslut av ett ärende om jäv kan antas föreligga. Det kan också vara otillbörlig påverkan om en tjänsteman utan att delta i själva handläggningen påverkar eller försöker påverka den handläggande tjänstemannen till ett ställningstagande som är annat än...

    Läs hela

  • Riskanalys mot mål faställd av styrelse

    Följer myndighet bestämmelserna i 3 § förordningen (2007:603) om intern styrning och kontroll om den begränsar sin riskanalys till vissa mål fastställda av myndighetens styrelse?

    Nej, riskanalys ska omfatta verksamheten och inte begränsas till vissa delar av den. Av förordningen framgår att riskanalys ska göras för att identifiera omständigheter som utgör risk för att ansvaret för verksamheten enligt 3 § myndighetsförordningen (2007:515) inte fullgörs. Ansvaret omfattar den verksamhet som regeringen beslutat om med instruktion och regleringsbrev eller som framgår av annan författning.

    Det finns inget krav på att riskanalys ska följa ett visst tillvägagångssätt förutom att identifiera och värdera risker. Formen för riskanalys ska dock vara ändamålsenlig och anpassad efter myndighetens behov. Ett tillvägagångssätt är att riskanalys omfattar de uppgifter, uppdrag och mål som framgår av instruktion, regleringsbrev och andra författningar. Tillvägagångssättet kan också vara att följa den målhierarki som är utvecklad av myndigheten.

     

4 §, Kontrollåtgärder

  • Samarbete mellan Servicecenter och kundmyndighet

    Hur betraktas samarbetet Servicecenter och kundmyndighet, ska man se det strikt utifrån samarbete mellan myndigheter eller som ett kund - leverantör förhållande? Är det som sägs i ESV:s handledning Samarbete om risker i verksamheten tillämpligt?

    Båda myndigheterna är var för sig är ansvariga för verksamheten enligt 3 § myndighetsförordningen. Myndigheternas ledningar är då också ansvariga för att se till att det finns en betryggande intern styrning och kontroll för den egna myndighetens verksamhet enligt 4§ 4 p i samma förordning. Skulle någon myndighets ansvar begränsas ska det framgå genom beslut av regeringen.

    Myndigheter ska, enligt 6 § myndighetsförordningen, samarbeta för att ta tillvara de fördelar som kan vinnas för enskild eller staten som helhet. Myndigheterna ska utforma samverkan utifrån detta syfte. Se också bestämmelserna i avgiftsförordningen (3 och 4 §§) om rätten att ta ut avgifter.

    Handledningen för Samarbete om risker i verksamheten avser föreskriften till 4 § förordningen om intern styrning och kontroll där det framgår att berörda myndigheter ska samarbeta i de fall en åtgärd kan vidtas på annan myndigheten än den som löper risken. Handledningen är tillämplig när en risk uppkommer på en myndighet och...

    Läs hela

  • Redovisning till regeringen om åtgärd inte kommer till stånd

    Hur kan myndigheten redovisa till regeringen om en ändamålsenlig åtgärd inte kommer till stånd efter samarbete om risker i verksamheten?

    Frågan avser allmänna råd till 4 § förordningen om intern styrning och kontroll och berör även 4 § förordningen (2000:605) om årsredovisning och budgetunderlag.

    Myndigheten ska i årsredovisningen lämna information om förhållanden av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten. Om verksamheten bedrivs med en risk som enligt myndigheten är nödvändig att åtgärda kan det vara väsentlig information för regeringen. En tilläggsupplysning till exempel till myndighetens bedömning av den interna styrningen och kontrollen kan då ge en rättvisande bild.

    Läs mer

    Kapitel 3.2 i handledningen Samarbete om risker i verksamheten ESV 2012:17.

  • Samarbete vid behov av författningsändring

    Om en åtgärd innebär en författningsändring med vem ska då myndigheten samarbeta?

    Frågan avser föreskrifter till 4 § förordningen om intern styrning och kontroll.

    Om författningsändringen avser en annan myndighets verksamhet sker samarbetet med den myndighet inom vars verksamhet åtgärden behöver vidtas. Den myndigheten kan då lämna förslag om författningsändring till regeringen till exempel med budgetunderlaget.

    Läs mer

    Samarbete om risker i verksamheten, ESV 2012:17, kapitel 3.1.

  • Prioritering av åtgärder vid samverkan

    Hur kan den myndighet som kan vidta en åtgärd prioritera mellan den åtgärden och åtgärder som avser ansvaret för den egna verksamheten eller andra åtgärder som avser andra myndigheters ansvar för sin verksamhet?

    Frågan avser föreskrifter till 4 § förordningen om intern styrning och kontroll.

    Myndigheterna väljer själv den form för riskanalys som passar för myndighetens verksamhet och bestämmer själva när en riska är accepterad i verksamheten eller behöver hanteras. Det innebär att både genomförandet och resultatet av riskanalys kan skilja sig åt mellan myndigheterna. Det får den effekten att det är svårt att prioritera. Den myndighet som kan vidta åtgärden behöver därför göra riskerna jämförbara. Ett sätt är att göra hur risken är värderat jämförbar genom att se hur väsentlig risken är bedömningen av ansvaret för verksamheten. Även andra metoder för prioritering kan används som till exempel kostnad för eller lönsamheten av åtgärden.

    Läs mer

    Samarbete om risker i verksamheten, ESV 2012:17, kapitel 2.5.

  • Samarbete med flera myndigheter

    Om flera myndigheter har samma risk i verksamheten måste då den myndighet som kan vidta en nödvändig åtgärd samarbeta med alla berörda myndigheter?

    Frågan avser föreskrifter till 4 § förordningen om intern styrning och kontroll.

    Det är inte reglerat hur samarbetet ska organiseras för att samordna myndigheter som delar en risk i verksamheten. Kravet på god hushållning med statens medel dock motivera att myndigheterna samordnar sig. Den myndighet som fört inleder samarbetet kan välja att samordna övriga myndigheter av det skälet. Vem som leder en samordningen kan dock bestämmas av andra skäl. Till exempel kan samordningen ledas av den myndighet som bedömer att risken är så väsentlig att det är en fråga för regeringen om ingen åtgärd blir vidtagen.

    Läs mer

    Samarbete om risker i verksamheten, ESV 2012:17, kapitel 2.4.

  • Vilken myndighet ansvarar för samarbete

    Vilken myndighet ansvarar för att samarbetet om risker i verksamheten kommer till stånd?

    Frågan avser föreskrifter till 4 § förordningen (2007:603) om intern styrning och kontroll.

    Den myndighet som har risken i sin verksamhet inleder samarbetet genom att informera den myndighet som myndigheten bedömer kan vidta en nödvändig åtgärd. Den myndighet som kan vidta en nödvändig åtgärd informerar myndigheten som har risken i verksamheten att åtgärden är vidtagen eller om ingen åtgärd vidtas informerar om detta.

    Läs mer

    Samarbete om risker i verksamheten, ESV 2012:17, kapitel 2.3

  • När ska samarbete inledas

    När ska myndigheterna inleda sitt samarbete, samtidigt med riskanalysen eller i arbetet med att vidta åtgärder?

    Frågan avser föreskrifter till 4 § förordningen (2007:603) om intern styrning och kontroll.

    Myndigheterna inleder samarbetet för att hantera en risk i verksamheten. Om den myndighet som har en risk i sin verksamhet har identifierat risken är det information som lämnas till den myndighet som kan vidta en nödvändig åtgärd.


    Läs mer

    Samarbete om risker i verksamheten, ESV 2012:17, kapitel 2.2

  • Samarbete om åtgärd

    Vad räknas som samarbete när en åtgärd kan vidtas på annan myndighet än den som löper risken i sin verksamhet?

    Frågan avser föreskrifter till 4 § förordningen (2007:603) om intern styrning och kontroll. Samarbete berörs även av 6 § myndighetsförordningen (2007:515) samt av 6 § förvaltningslagen (1986:223).

    Myndigheterna beslutar själva de närmare föreskrifter som behövs om samarbete om risker i verksamheten. Samarbete har inte en viss bestämd form eller innebär en särskild handläggning. Det som är avgörande är att myndigheterna verkat för samarbete för att ta till vara de fördelar som kan vinnas och att myndigheterna lämnar varandra hjälp inom ramen för den egna verksamheten.

    Läs mer

    Samarbete om risker i verksamheten, ESV 2012:17, kapitel 2.1

5 §, Uppföljning

  • Uppföljning av intern styrning och kontroll

    Finns det något ”rätt sätt” att genomföra uppföljningen av den interna styrningen och kontrollen inom en myndighet?

    Det kan finnas flera ”rätt sätt”. Resultatet av uppföljningen syftar till att ge ledningen den information som den behöver för att kunna göra bedömningen av om den interna styrningen och kontrollen är betryggande. För att ge ledningen ett sådant underlag kan det dock vara bra att följa upp den interna styrningen och kontrollen ur olika perspektiv. 

    Något som bör följas upp är om det beslutade systemet för intern styrning och kontroll, så som framgår i 4 § Internrevisionsförordningen (2006:1228), är utformad så att myndigheten med rimlig säkerhet fullgör de krav som framgår i 3 § Myndighetsförordningen (2007:515). Den granskning internrevisionen har genomfört bör kunna vara ett underlag för ledningens bedömning. 

    En annan omständighet som bör följas upp är om verksamheten arbetar med den interna styrningen och kontrollen på det sätt ledningen har beslutat, är processen för intern styrning och kontroll införd i verksamheten? En sådan uppföljning bör kunna ske...

    Läs hela

Förordning (2000:605) om årsredovisning och budgetunderlag

2 kap 8 §, Årsredovisningens undertecknande

  • En redovisad brist om att bestämmelserna enligt förordningen ej är införda

    Om det finns brister i alla momenten enligt förordningen om intern styrning och kontroll, kan en myndighet då redovisa dessa som en enda brist i årsredovisningen genom att skriva att bestämmelserna enligt förordningen inte är införda i myndigheten?

    Om myndighetsledningen bedömer att det finns brister i den interna styrningen och kontrollen ska underskriftsmeningen kompletteras med de aktuella bristerna, vilket framgår av föreskriften till 2 kapitlet 8 § förordningen (2000:605) om årsredovisning och budetunderlag. Bristerna ska redovisas kortfattat och i punktform och ska i likhet med årsredovisningen i övrigt ge underlag för regeringens uppföljning, prövning och budgetering av verksamheten.

    Har inget alls blivit gjort med anledning av förordningen om intern styrning och kontroll, ska det framgå av redovisningen och kan då uttryckas med att förordningen inte tillämpas av myndigheten. Det gäller då hela verksamheten.

    När bristerna är begränsade i omfattning, till innehåll eller till verksamhet, ska begränsningarna framgå av redovisningen för att det ska framgå vad som faktiskt är de aktuella bristerna.

    Redovisningen av bristerna sker då enligt den indelning av verksamheten som används i resultatredovisningen när så är lämpligt...

    Läs hela

  • Kontrollåtgärd som inte begränsar en risk på avsett vis

    När en vidtagen kontrollåtgärd inte begränsar en identifierad risk på avsett vis utgör det då en brist i den interna styrningen och kontrollen?

    Nej, om myndigheten följer den process som förordningen föreskriver föreligger inte en brist i den interna styrningen och kontrollen, även om införda kontrollåtgärder inte uppnår avsedd effekt.

    En myndighet kan alltid efter att ha följt upp och bedömt en införd kontrollåtgärd komma fram till att ytterligare åtgärder behöver vidtas. En brist uppträder först när myndigheten låter bli att försöka begränsa risken samtidigt som den inte har ändrat sitt ställningstagande om att risken ska hanteras till att myndigheten accepterar risken.

  • Redovisad brist och betryggande intern styrning och kontroll

    Om ledningen har redovisat en brist i den interna styrningen och kontrollen kan den då lämna en bedömning om att den interna styrningen och kontrollen är betryggande?

    Nej, enligt ESV:s föreskrifter till 2 kap 8 förordningen om årsredovisning och budgetunderlag ska undertecknandet av årsredovisningen kompletteras med en av två meningar:

    • Jag/Vi bedömer att den interna styrningen och kontrollen vid myndigheten är betryggande.
    • Jag/Vi bedömer att brister avseende den interna styrningen och kontrollen vid myndigheten föreligger på följande punkter.

    De två meningarna går inte att kombinera.

    Om ledningen anger att det finns brister i den interna styrningen och kontrollen innebär det dock inte att de samtidigt har tagit ställning till att den inte är betryggande.

  • Ej införd eller genomförd kontrollåtgärd

    Om en kontrollåtgärd inte har införts eller genomförts enligt ett fattat beslut, innebär det då att detta ska redovisas som en brist i den interna styrningen och kontrollen i årsredovisningen?

    Ja, men de brister som redovisas ska bedömas vara av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten enligt 2 kap 4 § 4 stycket förordningen om årsredovisning och budgetunderlag.

  • Ej fungerande intern styr- och kontrollmiljö

    Ska en intern styr- och kontrollmiljö som inte fungerar redovisas som en brist när årsredovisningen undertecknas?

    Ja, om den interna styr- och kontrollmiljön inte har införts på det sätt som ledningen har beslutat. Myndighetens ledning utformar den interna styr- och kontrollmiljön på det sätt den finner lämpligt för att kunna ta ansvar för verksamheten. Det som ledningen bedömer vara lämpligt är dock inte en brist i den interna styrningen och kontrollen.

    Vid en riskanalys kan risker som berör en ej fungerande intern styr- och kontrollmiljö identifieras. Riskerna ska då behandlas i den ordning som gäller på myndigheten. Väljer myndigheten att acceptera riskerna utgör de inte brister i den interna styrningen och kontrollen. Väljer myndigheten att åtgärda riskerna och kontrollåtgärderna inte genomförs i enlighet med vad som har beslutats kan det vara en brist i den interna styrningen och kontrollen, på samma sätt som gäller för kontrollåtgärder i övrigt.

    I olika förordningar finns krav som berör vissa aspekter av den interna styr- och kontrollmiljön, exempelvis kraven på att ledningen ska besluta...

    Läs hela

  • Skillnad mellan risk och brist

    I 2 kap 8 § förordningen om årsredovisning och budgetunderlag används begreppet brist och i 3 § förordningen om intern styrning och kontroll används begreppet risk. Vad är det för skillnad mellan dessa begrepp?

    Begreppen brist och risk används för att beskriva olika företeelser inom intern styrning och kontroll. Brist används vid bedömningen av genomfört internt styr- och kontrollarbete. Risk används inom ramen för den interna styr- och kontrollprocessen.

    En brist är när den interna styrningen och kontrollen inte är genomförd på avsett vis. Exempel på brister är när riskanalys inte har genomförts för hela verksamheten, när beslutade åtgärder inte vidtas (som planerat), när vidtagna åtgärder inte följs upp eller bedöms eller när riskanalys, åtgärder samt uppföljningen och bedömningen inte har dokumenterats för att säkerställa spårbarhet och verifiering av genomfört arbete.

    En risk är en omständighet som utgör ett hot mot att fullgöra ansvaret för verksamheten. Omständigheter är både händelser och förhållanden. En omständighet utgör ett hot när den medför att myndigheten inte fullgör sina uppgifter, når sina mål eller utför sina uppdrag på avsett vis. Risker kan innefatta både nu uppkomna...

    Läs hela

  • Brist vid ej genomförd åtgärd

    Är en nödvändig åtgärd som myndigheten har beslutat om för att hantera en risk och som inte är genomförd när årsredovisningen upprättas, att betrakta som en brist i den interna styrningen och kontrollen enligt 2 kap 8 § FÅB?

    Nej, infaller tidpunkten för att lämna en årsredovisning under den period som en åtgärd vidtas är det inte en brist. Definitionsmässigt vidtas en åtgärd från det att den planeras till dess att den är genomförd som planerat.

    Däremot är det en brist om åtgärden inte genomförs alls eller inte genomförs som planerats. Här har dock myndigheten alltid möjlighet att revidera en upprättad tidplan om det finns skäl till det, har en sådan revidering skett innan åtgärden ska vara vidtagen är det inte en brist.

    En inte accepterad risk, enligt 3 § förordningen (2007:515) om intern styrning och kontroll, för vilken en nödvändig åtgärd vidtas är således inte detsamma som en brist i den interna styrningen och kontrollen. Den ska därför inte redovisas som en brist i samband med årsredovisningens underskrivande.

    Bedömer myndigheten att information om en risk är väsentlig för regeringens uppföljning och prövning av verksamheten, enligt 2 kap 4 § 4 st. förordningen om årsredovisning och...

    Läs hela

Senast uppdaterad: