Förordning
(2007:603) om intern styrning och
kontroll
Ekonomistyrningsverkets föreskrifter och
allmänna råd
Tillämpningsområde
1 § Denna förordning gäller för förvaltningsmyndigheter under regeringen som har skyldighet
att följa internrevisionsförordningen (2006:1228).
Intern styrning och kontroll
2 § Med intern styrning och kontroll avses den process som syftar till att myndigheten med
rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen (2007:515).
I 3–6 §§ anges de moment som skall ingå i denna process.
ESV:s allmänna råd till 2 §
Processen för intern styrning och kontroll syftar till att myndighetsledningen fullgör
ansvaret för verksamheten. Verksamheten definieras av uppgifter, mål och uppdrag i
instruktion, regleringsbrev eller beslut givna i annan ordning från regeringen.
Rimlig säkerhet innebär att en ändamålsenligt utformad och väl införd process för
intern styrning och kontroll inte kan garantera fullständig säkerhet.
Riskanalys
3 § En riskanalys skall göras i syfte att identifiera omständigheter som utgör risk för att
de krav som framgår av 3 § myndighetsförordningen (2007:515) inte fullgörs.
ESV:s föreskrifter till 3 §
Myndigheten ska vid behov uppdatera genomförd riskanalys för att säkerställa att den
omfattar aktuella risker.
ESV:s allmänna råd till 3 §
Riskanalys innebär att identifiera och värdera risker för att därefter ta ställning
till om riskerna ska accepteras eller hanteras.
Omständigheter utgör en risk när de påverkar myndighetens möjlighet att fullgöra
uppgifterna, nå målen eller genomföra uppdragen för verksamheten.
Om myndigheten bedömer att verksamheten kan komma att utsättas för otillbörlig
påverkan, bedrägeri eller annan oegentlighet bör myndigheten vidta åtgärder för att
hantera sådana omständigheter.
Kontrollåtgärder
4 § Med ledning av riskanalysen skall åtgärder vidtas som är nödvändiga för att de krav som
framgår av 3 § myndighetsförordningen (2007:515) skall fullgöras med rimlig säkerhet.
ESV:s föreskrifter till 4 §
Myndigheten ska vidta åtgärder för identifierade risker som inte kan
accepteras.
Berörda myndigheter ska samarbeta i de fall en åtgärd kan vidtas på annan myndighet än
den som löper risken.
ESV:s allmänna råd till 4 §
Myndigheten bör göra en avvägning mellan den kostnad en viss åtgärd för med sig och
den förväntade nyttan av åtgärden.
Risker som endast kan åtgärdas av annan myndighet bör redovisas till regeringen om
risken efter samarbete mellan myndigheter inte kan accepteras och en ändamålsenlig åtgärd
inte kommer att vidtas.
Uppföljning
5 § Den interna styrningen och kontrollen skall systematiskt och regelbundet följas upp och
bedömas.
Vid bedömningen skall iakttagelser som lämnas vid extern revision och internrevision
beaktas.
ESV:s föreskrifter till 5 §
Uppföljningen ska omfatta myndighetens process för intern styrning och kontroll för
att bedöma om den fungerar på ett betryggande sätt.
Dokumentation
6 § Riskanalysen enligt 3 §, kontrollåtgärderna enligt 4 § samt uppföljningen och
bedömningen enligt 5 § skall dokumenteras.
ESV:s föreskrifter till 6 §
Dokumentationen ska upprättas så att det är möjligt att följa myndighetens process för intern styrning och kontroll från riskanalys till beslut om kontrollåtgärder och till uppföljning och bedömning.
Om det finns brister i den interna styrningen och kontrollen, ska dessa brister beskrivas i dokumentationen.
ESV:s allmänna råd till 6 §
En redovisning av de risker som har bedömts vara väsentliga för myndighetens förmåga
att fullgöra sina uppgifter och nå sina mål bör finnas sammanställd för hela myndigheten. I
denna redovisning bör också framgå vidtagna eller planerade åtgärder och hur de ska eller har
följts upp och bedömts. Även ansvar för genomförande och tidsramar bör redovisas
här.
Verkställighetsföreskrifter
7 § Ekonomistyrningsverket får meddela de föreskrifter som behövs för verkställigheten av
denna förordning.
ESV:s föreskrifter till 7 §
Ekonomistyrningsverket kan i enskilda fall pröva och meddela undantag från
föreskrifter i denna förordning.