Frågor och svar

Förordning (2007:603) om intern styrning och kontroll

3 §, Riskanalys

  • Följer myndighet bestämmelserna i förordningen om intern styrning och kontroll om den begränsar sin riskanalys till vissa mål fastställda av myndighetens ledning?

    Nej, riskanalys ska omfatta all verksamhet som myndigheten bedriver och inte begränsas till vissa delar av den. Av förordningen framgår att riskanalys ska göras för att identifiera omständigheter som utgör risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen (2007:515). Ansvaret omfattar den verksamhet som regeringen beslutat om med instruktion och regleringsbrev eller som framgår av annan författning.

    Det finns inget krav på att riskanalys ska följa ett visst tillvägagångssätt förutom att identifiera och värdera risker. Lämpligen bör formen för riskanalysen också vara ändamålsenlig och anpassad efter myndighetens behov. Detta kan härledas ur kraven i 3 § myndighetsförordningen. Riskanalysen ska omfatta de uppgifter, uppdrag och mål om framgår av instruktion, regleringsbrev och andra författningar.

  • När ska en riskanalys vara genomförd?

    Det ska finnas en aktuell riskanalys som omfattar den verksamhet som myndigheten bedriver. Myndigheten ska ha kunskap om de risker som föreligger för verksamheten. En riskanalys ska således vara genomförd innan verksamheten påbörjas.

    En myndighet har en aktuell riskanalys när

    • den har genomfört en riskanalys och det inte finns anledning för myndigheten att uppdatera den.

    • den har genomfört en riskanalys och den har bedömt att riskanalysen behöver uppdateras och uppdateringen är genomförd.

    En myndighet har inte en aktuell riskanalys om

    • den inte har genomfört en riskanalys för verksamheten

    • den har genomfört en riskanalys tidigare och den har bedömt att riskanalysen behöver uppdateras och uppdateringen är inte genomförd.

    Enligt 3 § förordningen om intern styrning och kontroll (2007:603) ska riskanalys göras för att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 §...

    Läs hela

4 §, Kontrollåtgärder

  • Vad räknas som samarbete när en åtgärd kan vidtas på annan myndighet än den som löper risken i sin verksamhet?

    Myndigheterna beslutar själva hur de ska utforma samarbetet om risker i verksamheten. Samarbete har inte en viss bestämd form eller innebär en särskild handläggning. Det som är avgörande är att myndigheterna verkat för samarbete för att ta till vara de fördelar som kan vinnas och att myndigheterna lämnar varandra hjälp inom ramen för den egna verksamheten.

    Frågan avser föreskrifter till 4 § förordningen (2007:603) om intern styrning och kontroll. Samarbete berörs även av 6 § myndighetsförordningen (2007:515) samt av 6 § förvaltningslagen (1986:223).

  • När ska myndigheterna inleda sitt samarbete, samtidigt med riskanalysen eller i arbetet med att vidta åtgärder?

    Myndigheterna inleder samarbetet för att hantera en risk i verksamheten. Om den myndighet som har en risk i sin verksamhet har identifierat risken är det information som lämnas till den myndighet som kan vidta en nödvändig åtgärd.

    Frågan avser föreskrifter till 4 § förordningen (2007:603) om intern styrning och kontroll.

  • Vilken myndighet ansvarar för att samarbetet om risker i verksamheten kommer till stånd?

    Den myndighet som har risken i sin verksamhet inleder samarbetet genom att informera den myndighet som myndigheten bedömer kan vidta en nödvändig åtgärd. Den myndighet som kan vidta en nödvändig åtgärd informerar myndigheten som har risken i verksamheten att åtgärden är vidtagen eller om ingen åtgärd vidtas informerar om detta.

    Frågan avser föreskrifter till 4 § förordningen (2007:603) om intern styrning och kontroll.

  • Om flera myndigheter har samma risk i verksamheten måste då den myndighet som kan vidta en nödvändig åtgärd samarbeta med alla berörda myndigheter?

    Det är inte reglerat hur samarbetet ska organiseras för att samordna myndigheter som delar en risk i verksamheten. Kravet på god hushållning med statens medel dock motivera att myndigheterna samordnar sig. Den myndighet som fört inleder samarbetet kan välja att samordna övriga myndigheter av det skälet. Vem som leder en samordning kan dock styras av andra skäl. Till exempel kan samordningen ledas av den myndighet som bedömer att risken är så väsentlig att det är en fråga för regeringen om ingen åtgärd blir vidtagen.

    Frågan avser föreskrifter till 4 § förordningen om intern styrning och kontroll.

  • Hur kan den myndighet som kan vidta en åtgärd prioritera mellan den åtgärden och åtgärder som avser ansvaret för den egna verksamheten eller andra åtgärder som avser andra myndigheters ansvar för sin verksamhet?

    Myndigheterna väljer själv den form för riskanalys som passar för myndighetens verksamhet och bestämmer själva när en risk är accepterad i verksamheten eller behöver hanteras. Det innebär att både genomförandet och resultatet av riskanalys kan skilja sig åt mellan myndigheterna. Det får den effekten att det är svårt att prioritera. Den myndighet som kan vidta åtgärden behöver därför göra riskerna jämförbara. Ett sätt är att göra hur risken är värderat jämförbar genom att se hur väsentlig risken är bedömningen av ansvaret för verksamheten. Även andra metoder för prioritering kan används som till exempel kostnad för eller lönsamheten av åtgärden.

    Frågan avser föreskrifter till 4 § förordningen om intern styrning och kontroll.

  • Om en åtgärd innebär en författningsändring med vem ska då myndigheten samarbeta?

    Om författningsändringen avser en annan myndighets verksamhet ska myndigheten samarbeta med den myndighet inom vars verksamhet åtgärden behöver vidtas. Den myndigheten kan då lämna förslag om författningsändring till regeringen till exempel med budgetunderlaget eller på annat lämpligt sätt.

    Frågan avser föreskrifter till 4 § förordningen om intern styrning och kontroll.

  • Hur betraktas samarbetet Servicecenter och kundmyndighet, ska man se det strikt utifrån samarbete mellan myndigheter eller som ett kund – leverantör förhållande? Är det som sägs i ESV:s handledning Samarbete om risker i verksamheten tillämpligt?

    Båda myndigheterna är var för sig är ansvariga för verksamheten enligt 3 § myndighetsförordningen. Myndigheternas ledningar är då också ansvariga för att se till att det finns en betryggande intern styrning och kontroll för den egna myndighetens verksamhet enligt 4 § 4 p i samma förordning. Skulle någon myndighets ansvar begränsas ska det framgå genom beslut av regeringen.

    Myndigheter ska, enligt 6 § myndighetsförordningen, samarbeta för att ta tillvara de fördelar som kan vinnas för enskild eller staten som helhet. Myndigheterna ska utforma samverkan utifrån detta syfte. Se också bestämmelserna i avgiftsförordningen (3 och 4 §§) om rätten att ta ut avgifter.

    Handledningen för Samarbete om risker i verksamheten avser föreskriften till 4 § förordningen om intern styrning och kontroll där det framgår att berörda myndigheter ska samarbeta i de fall en åtgärd kan vidtas på annan myndigheten än den som löper risken. Handledningen är tillämplig när en risk uppkommer på en myndighet och...

    Läs hela

5 §, Uppföljning

  • Finns det något ”rätt sätt” att genomföra uppföljningen av den interna styrningen och kontrollen inom en myndighet?

    Det kan finnas flera ”rätt sätt”. Resultatet av uppföljningen syftar till att ge ledningen den information som den behöver för att kunna ta ställning till om den interna styrningen och kontrollen är betryggande. För att ge ledningen ett sådant underlag kan det dock vara bra att följa upp den interna styrningen och kontrollen ur olika perspektiv.

    Något som bör följas upp är om det beslutade systemet för intern styrning och kontroll, så som framgår i 4 § Internrevisionsförordningen (2006:1228), är utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen (2007:515). Den granskning internrevisionen har genomfört bör kunna vara ett underlag för ledningens bedömning.

    En annan omständighet som bör följas upp är om verksamheten arbetar med den interna styrningen och kontrollen på det sätt ledningen har beslutat, är processen för intern styrning och kontroll införd i verksamheten? En sådan uppföljning bör ...

    Läs hela

Förordning (2000:605) om årsredovisning och budgetunderlag

2 kap 8 §, Årsredovisningens undertecknande

  • Är en nödvändig åtgärd som myndigheten har beslutat om för att hantera en risk och som inte är genomförd när årsredovisningen upprättas, att betrakta som en brist i den interna styrningen och kontrollen?

    Nej, infaller tidpunkten för att lämna en årsredovisning under den period som en åtgärd vidtas är det inte en brist. Definitionsmässigt vidtas en åtgärd från det att den planeras till dess att den är genomförd som planerat.

    Däremot är det en brist om åtgärden inte genomförs alls eller inte genomförs som planerat. Här har dock myndigheten alltid möjlighet att revidera en upprättad tidplan om det finns skäl till det, har en sådan revidering skett innan åtgärden ska vara vidtagen är det inte en brist.

    En inte accepterad risk, enligt 3 § förordningen (2007:515) om intern styrning och kontroll, för vilken en nödvändig åtgärd vidtas är således inte detsamma som en brist i den interna styrningen och kontrollen. Den ska därför inte redovisas som en brist i samband med årsredovisningens underskrivande.

    Bedömer myndigheten att information om en risk är väsentlig för regeringens uppföljning och prövning av verksamheten, enligt 2 kap 4 § 4 st. förordningen om årsredovisning och budgetunderlag,...

    Läs hela

  • Ska en intern miljö som inte fungerar redovisas som en brist när årsredovisningen undertecknas?

    Ja, om den interna miljön inte har införts på det sätt som ledningen har beslutat. Myndighetens ledning utformar den interna miljön på det sätt den finner lämpligt för att kunna ta ansvar för verksamheten. Det som ledningen bedömer vara lämpligt är dock inte en brist i den interna styrningen och kontrollen.

    Vid en riskanalys kan risker som berör en ej fungerande intern miljö identifieras. Riskerna ska då behandlas i den ordning som gäller på myndigheten. Väljer myndigheten att acceptera riskerna utgör de inte brister i den interna styrningen och kontrollen. Väljer myndigheten att åtgärda riskerna och åtgärderna inte genomförs i enlighet med vad som har beslutats kan det vara en brist i den interna styrningen och kontrollen, på samma sätt som gäller för åtgärder i övrigt.

    I olika förordningar finns krav som berör vissa aspekter av den interna miljön, exempelvis kraven på att ledningen ska besluta om arbetsordning och verksamhetsplan. Väljer myndigheten att inte följa regelverken kan...

    Läs hela

  • Om en åtgärd inte har införts eller genomförts enligt ett fattat beslut, innebär det då att detta ska redovisas som en brist i den interna styrningen och kontrollen i årsredovisningen?

    Ja, men de brister som redovisas ska bedömas vara av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten enligt 2 kap 4 § 4 stycket förordningen om årsredovisning och budgetunderlag.

  • Om ledningen har redovisat en brist i den interna styrningen och kontrollen kan den då lämna en bedömning om att den interna styrningen och kontrollen är betryggande?

    Nej, enligt ESV:s föreskrifter till 2 kap 8 förordningen om årsredovisning och budgetunderlag ska undertecknandet av årsredovisningen kompletteras med en av två meningar:

    ”Jag/vi bedömer att den interna styrningen och kontrollen vid myndigheten har varit betryggande under den period som årsredovisningen avser”

    ”Jag/Vi bedömer att det har funnits brister i den interna styrningen och kontrollen under den period som årsredovisningen avser enligt följande”.

    De två meningarna går inte att kombinera.

    Om ledningen anger att det finns brister i den interna styrningen och kontrollen innebär det dock inte att de samtidigt har tagit ställning till att den inte är betryggande.

  • Om det finns brister i alla momenten enligt förordningen om intern styrning och kontroll, kan en myndighet då redovisa dessa som en enda brist i årsredovisningen genom att skriva att bestämmelserna enligt förordningen inte är införda i myndigheten?

    Om myndighetsledningen bedömer att det finns brister i den interna styrningen och kontrollen ska underskriftsmeningen kompletteras med de aktuella bristerna, vilket framgår av 2 kapitlet 8 § förordningen (2000:605) om årsredovisning och budgetunderlag. I föreskrifter till den aktuella paragrafen ska eventuella brister redovisas kortfattat och i punktform. Information ska också lämnas om när de har förelegat. Liksom övrig information som lämnas i årsredovisningen ska uppgifterna om brister ge underlag för regeringens uppföljning, prövning och budgetering av verksamheten.

    Har inget alls blivit gjort med anledning av förordningen om intern styrning och kontroll, ska det framgå av redovisningen och kan då uttryckas med att förordningen inte tillämpas av myndigheten. Det gäller då hela verksamheten.

    När bristerna är begränsade i omfattning, till innehåll eller till verksamhet, ska begränsningarna framgå av redovisningen för att det ska framgå vad som faktiskt är de aktuella bristerna.

    ...

    Läs hela

Senast uppdaterad: