utvecklad intern styrning och kontroll · ett tillägg görs i 2 § om att myndighetsledningen ska...
TRANSCRIPT
2018:20
Regeringsuppdrag
Rapport
Utvecklad intern styrning och kontroll
Förslag till förordningsändringar
om intern styrning och kontroll.
2
Publikationen kan laddas ner
från ESV:s webbplats esv.se.
Datum: 2018-02-14
Dnr: 2017-01025
ESV-nr: 2018:20
Copyright: ESV
Rapportansvarig: Karolina Larfors
FÖRORD
3
Förord
Ekonomistyrningsverket (ESV) har haft i uppdrag att lämna förslag till förordnings-
ändringar utifrån de bedömningar som ESV redovisat i rapporten Tillämpningen av
förordningen om intern styrning och kontroll (ESV 2017:65).
Annika Alexandersson, Patrick Freedman, Tomas Kjerf och Karolina Larfors har
tagit fram denna rapport.
Ekonomistyrningsverket överlämnar härmed rapporten Utvecklad intern styrning och
kontroll och uppdraget är därmed avslutat.
Stockholm
2018-02-14
Clas Olsson
Generaldirektör
Karolina Larfors
Utredare
INNEHÅLL
4
Innehåll
Förord .......................................................................................................................... 3
1 Sammanfattning .................................................................................................... 6
1.1 ESV:s förslag .............................................................................................................. 6
1.2 Förslagen underlättar myndigheternas tillämpning ..................................................... 7
1.3 Nyttan av förslagen överstiger kostnaderna ............................................................... 7
2 Inledning ................................................................................................................ 9
2.1 Vårt uppdrag ............................................................................................................... 9
2.2 Vår tolkning av uppdraget ........................................................................................... 9
2.3 Uppdragets genomförande ....................................................................................... 10
2.4 Avgränsningar .......................................................................................................... 11
3 Tidigare kartläggning visar på önskemål om förordningsändringar ............ 13
3.1 Behov av förordningsändringar för att effektivisera arbetet med intern styrning och
kontroll ...................................................................................................................... 13
3.2 Fortsatt utredning utifrån följande utgångspunkter.................................................... 13
4 Regleringen av intern styrning och kontroll .................................................... 17
4.1 Varför intern styrning och kontroll? ........................................................................... 17
4.2 Regleringen bygger på internationella ramverk ........................................................ 19
4.3 Intern styrning och kontroll är mer än riskhantering .................................................. 24
4.4 Regelverket i några andra länder.............................................................................. 26
4.5 Intern styrning och kontroll i andra organisationer .................................................... 31
5 ESV:s överväganden och förslag ...................................................................... 34
5.1 Myndighetsledningens ansvar .................................................................................. 34
5.2 En tydlig koppling till myndighetens uppgifter och verksamhetens mål .................... 35
5.3 Reglering av intern miljö ........................................................................................... 37
5.4 Arbetet mot oegentligheter och förordningen om intern styrning och kontroll ........... 40
5.5 Bredare fokus för riskanalysen ................................................................................. 42
5.6 Ändring av begreppet kontrollåtgärder...................................................................... 45
5.7 Kravet på dokumentation får ett syfte ....................................................................... 46
5.8 Samma period för bedömningen som för årsredovisningen i övrigt .......................... 47
5.9 Följdändringar i andra förordningar........................................................................... 49
6 Konsekvenser för myndigheter, Regeringskansliet och Riksrevisionen ..... 50
6.1 Konsekvenser för myndigheternas arbete med intern styrning och kontroll .............. 50
6.2 Konsekvenser för regeringens uppföljning och prövning .......................................... 53
6.3 Konsekvenser för Riksrevisionens årliga revision ..................................................... 55
6.4 Konsekvenserna av oförändrade förordningar .......................................................... 56
7 Författningsförslag ............................................................................................. 58
7.1 Förordningen om intern styrning och kontroll ............................................................ 58
7.2 Förordningen om årsredovisning och budgetunderlag .............................................. 59
7.3 Internrevisionsförordningen ...................................................................................... 59
INNEHÅLL
5
Referenser ................................................................................................................ 60
Ordlista ...................................................................................................................... 63
SAMMANFATTNING
6
1 Sammanfattning
Ekonomistyrningsverket (ESV) har haft i uppdrag att lämna förslag till ändringar i
förordningen (2007:603) om intern styrning och kontroll samt förordningen
(2000:605) om årsredovisning och budgetunderlag utifrån de bedömningar som ESV
tidigare har redovisat i rapporten Tillämpningen av förordningen om intern styrning
och kontroll (ESV 2017:65). Uppdraget har även omfattat att lämna förslag på följd-
ändringar i andra förordningar samt att utreda vilka konsekvenser förslagen får för
myndigheterna.1 ESV har genomfört uppdraget som en utredning med många externa
kontakter. Här sammanfattar ESV sina slutsatser och förslag.
1.1 ESV:s förslag
ESV föreslår att regeringen gör följande ändringar i förordningen om intern styrning
och kontroll:
En bestämmelse införs i 2 § om att intern styrning och kontroll är myndighets-
ledningens process.
En ändring införs i 2 § om att den interna styrningen och kontrollen syftar till att
myndigheten med rimlig säkerhet fullgör sina uppgifter och når verksamhetens
mål.
Ett tillägg görs i 2 § om att myndighetsledningen ska upprätthålla en god intern
miljö som en del av processen för den interna styrningen och kontrollen.
Ett tillägg görs i 2 § om att processen för intern styrning och kontroll ska bedri-
vas så att verksamheten skyddas mot korruption, otillbörlig påverkan, bedrägeri
eller annan oegentlighet.
En ändring görs i 3 § om att riskanalysen ska göras i syfte att identifiera omstän-
digheter som utgör väsentlig risk för att myndigheten inte fullgör sina uppgifter
eller når verksamhetens mål. Riskanalysen får även beakta omständigheter som
ger ökad möjlighet att fullgöra myndighetens uppgifter och nå verksamhetens
mål.
Begreppet kontrollåtgärder ändras till åtgärder i rubriken i 4 §.
Kravet på dokumentation i 6 § ändras så att riskanalys och åtgärder ska doku-
menteras i den utsträckning som myndigheten behöver för uppföljning och
bedömning av om det finns en betryggande intern styrning och kontroll.
ESV föreslår även att regeringen ändrar:
2 kap. 8 § förordningen om årsredovisning och budgetunderlag så att ledningens
bedömning omfattar samma period som årsredovisningen avser.
1 Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta fram förordningsförslag för en utvecklad
intern styrning och kontroll, Finansdepartementet, 2017-10-19.
SAMMANFATTNING
7
4 § internrevisionsförordningen (2006:1228) till att internrevisionen ska granska
om ledningens interna styrning och kontroll är utformad så att myndigheten med
rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål.
ESV:s förslag till ändringar i berörda förordningar framgår av kapitel 7 i denna
rapport. ESV föreslår att bestämmelserna börjar gälla från och med den 1 januari
2019.
1.2 Förslagen underlättar myndigheternas tillämpning
I ESV:s tidigare rapport framkom bland annat att de myndigheter som ska tillämpa
förordningen om intern styrning och kontroll (de så kallade internrevisions-
myndigheterna2) gör det med viss variation. Analysen visade att det är svårt för
myndigheterna att uppskatta kostnaderna för riskhanteringen men att nyttan
motsvarar eller överstiger kostnaderna för drygt hälften av myndigheterna. Samtidigt
önskar en stor andel av myndigheterna förändringar i förordningen om intern
styrning och kontroll. Utifrån den analysen drog ESV slutsatsen att myndigheternas
önskemål snarare pekade på att myndigheterna ville ha förändringar i regleringen än
att regleringen ska upphävas.
De förslag till förordningsändringar som ESV lämnar i denna rapport syftar till att
underlätta myndigheternas tillämpning av berörda förordningar och effektivisera
deras arbete med intern styrning och kontroll. ESV bedömer att förslagen bland annat
ökar förutsättningarna för att den interna styrningen och kontrollen integreras som en
del av ledningen av verksamheten. Förslagen medför också att myndigheterna i större
utsträckning internt kan bestämma vad processen för den interna styrningen och kon-
trollen ska generera och hur den ska dokumenteras. Det betyder att det även fortsatt
finns utrymme för verksamhetsanpassning på den enskilda myndigheten. Förslagen
syftar även till att minska den administrativa belastningen som många myndigheter
upplever vid tillämpningen av förordningen om intern styrning och kontroll. ESV:s
förslag innebär vidare en skärpning av myndigheternas interna styrning och kontroll,
på så vis att den också ska omfatta arbetet mot olika typer av oegentligheter.
1.3 Nyttan av förslagen överstiger kostnaderna
ESV bedömer att förslagen underlättar myndigheternas tillämpning av regelverket.
Vidare ger förslagen ökad möjlighet till verksamhetsanpassning och integrering av
den interna styrningen och kontrollen med övrig ledning av verksamheten. ESV be-
dömer även att nyttan med de samlade förslagen är större än de kostnader och den
administration som de kan medföra. ESV:s arbete med regeringsuppdraget har inne-
fattat många externa kontakter, där utkast till förslag och deras konsekvenser har
2 Med internrevisionsmyndighet menas de myndigheter som regeringen har beslutat ska tillämpa intern-
revisionsförordningen. Dessa myndigheter ska också tillämpa förordningen om intern styrning och kontroll enligt 1 §
förordningen om intern styrning och kontroll.
SAMMANFATTNING
8
diskuterats med företrädare för internrevisionsmyndigheterna, Regeringskansliet och
Riksrevisionen. Det har lett till att ESV har justerat förslagen för att minska de nega-
tiva konsekvenserna för olika parter. Av kontakterna har det också framgått att några
av förslagen innebär en kodifiering av det arbetssätt som vissa av de berörda myndig-
heterna redan använder. I andra fall har arbetet med förslagen visat att det kan finnas
en konflikt mellan olika intressen, till exempel om hur den interna styrningen och
kontrollen ska dokumenteras. I dessa fall har ESV utformat förslagen i syfte att såväl
underlätta för myndigheterna, som att möjliggöra granskning av den interna styr-
ningen och kontrollen.
INLEDNING
9
2 Inledning
I detta kapitel redogör vi för ESV:s regeringsuppdrag och hur vi har tolkat det. Vi
redogör vidare för hur uppdraget har genomförts och de avgränsningar som ESV har
gjort.
2.1 Vårt uppdrag
Regeringen har den 19 oktober 2017 beslutat att ge ESV i uppdrag att ta fram för-
ordningsförslag för en utvecklad intern styrning och kontroll. Av beslutet framgår att
ESV ska lämna förslag till ändringar i förordningen om intern styrning och kontroll
samt förordningen om årsredovisning och budgetunderlag utifrån de bedömningar
som myndigheten redovisat i rapporten Tillämpningen av förordningen om intern
styrning och kontroll (ESV 2017:65). ESV ska vid behov även lämna förslag på
följdändringar i andra författningar.
I uppdraget ingår också att utreda vilka konsekvenser förslagen får för myndig-
heterna. Det är centralt att reglerna utformas så att nyttan av dessa överstiger de
kostnader och den administration som de innebär. Under arbetets gång ska avstäm-
ningar ske med Regeringskansliet (Finansdepartementet). ESV ska redovisa
uppdraget till regeringen senast den 15 februari 2018.3
2.2 Vår tolkning av uppdraget
Vi har tolkat uppdraget som att ESV ska utreda och lämna förslag till förändringar i
förordningen om intern styrning och kontroll och förordningen om årsredovisning
och budgetunderlag. Förslagen ska utgå från ESV:s bedömningar i rapporten
Tillämpningen av förordningen om intern styrning och kontroll (ESV 2017:65).
ESV ska också, om så behövs, lämna förslag till följdändringar i andra författningar.
Det har vi tolkat som ett uppdrag att lämna förslag till följdändringar i andra förord-
ningar som direkt berörs av de ändringar vi föreslår i förordningen om intern styrning
och kontroll och förordningen om årsredovisning och budgetunderlag. ESV har iden-
tifierat att det finns behov av följdändringar i internrevisionsförordningen.
Uppdraget innebär också en utredning av vilka konsekvenser som ESV:s förslag till
förordningsändringar kan få för myndigheter. Till myndigheter räknar vi de myndig-
heter som ska tillämpa förordningen om intern styrning och kontroll (de så kallade
internrevisionsmyndigheterna)4, men också Regeringskansliet och Riksrevisionen.
3 Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta fram förordningsförslag för en utvecklad
intern styrning och kontroll, Finansdepartementet, 2017-10-19. 4 Förordningen om intern styrning och kontroll ska tillämpas av de myndigheter som har en skyldighet att följa
internrevisionsförordningen. Under 2017 fanns det 69 internrevisionsmyndigheter. Internrevisionsmyndigheterna finns
INLEDNING
10
Av uppdraget framgår vidare att nyttan av förslagen till förordningsändringar ska
överstiga de kostnader och den administration som reglerna innebär. Vi har i vår
konsekvensanalys haft ett särskilt fokus på om de föreslagna förordningsändringarna
kan komma att påverka myndigheternas arbete på ett negativt sätt, med ökat arbete
och ökade kostnader som följd.
2.3 Uppdragets genomförande
Vi har genomfört uppdraget som en utredning med många externa kontakter. Det
interna arbetet har inneburit att utkast till förslag till ändringar i de berörda för-
ordningarna har arbetats fram och stämts av inom ESV. Utredningen har också
översiktligt omfattat en genomgång av vilka delar det kan bli aktuellt med ändringar i
ESV:s föreskrifter och allmänna råd. Arbetet med att se över dessa sker dock i ett
senare skede, om regeringen beslutar att ändra i förordningarna. I övrigt har material-
insamlingen i utredningen innefattat en avgränsad omvärldsanalys av hur intern styr-
ning och kontroll regleras internationellt samt i några andra sektorer. Analysen åter-
finns i kapitel 4 och syftar till att sätta ESV:s förslag i ett bredare sammanhang.
ESV:s utredning har genomförts i dialog med företrädare för internrevisions-
myndigheterna, Regeringskansliet och Riksrevisionen. Vi har diskuterat utkast till
förslag till förordningsändringar med intressenter i olika konstellationer, något som
vi utvecklar nedan. Diskussionerna har handlat om utformningen av möjliga förord-
ningsändringar och vilka konsekvenser ändringarna skulle få för myndigheterna. I
underlaget till diskussionerna har även ett tidigt utkast till ändrade föreskrifter och
allmänna råd funnits med. Det material som vi har samlat in har främst varit av
kvalitativ art. Materialet har sedan legat till grund för vår fortsatta beredning av
ESV:s förslag till förordningsändringar.
ESV har bjudit in företrädare för internrevisionsmyndigheterna till tre tillfällen för att
diskutera regeländringar. Vid en av träffarna har vi också erbjudit deltagande via
webbsändning, i syfte att möjliggöra för fler myndigheter att kunna bidra med syn-
punkter. Målgruppen för dessa möten har varit personer som arbetar med frågor om
intern styrning och kontroll eller internrevision på en internrevisionsmyndighet. Vid
dessa möten har sammanlagt företrädare för 39 internrevisionsmyndigheter deltagit.
Därutöver har vi vid två tillfällen bjudit in de myndigheter som utgjorde ESV:s
urval5 i rapporten Tillämpningen av förordningen om intern styrning och kontroll
(ESV 2017:65). Vid en inledande workshop diskuterade företrädare för åtta myndig-
heter hur berörda förordningar skulle kunna ändras utifrån de bedömningar som ESV
uppräknade på ESV:s webbplats, se http://www.esv.se/effektiv-
statsforvaltning/styrning/internrevision/internrevisionsmyndigheter/. 5 I urvalet i ESV 2017:65 ingick Arbetsförmedlingen, Försvarets materielverk, Försäkringskassan, Migrationsverket,
Skatteverket, Statens fastighetsverk, Statens jordbruksverk, Statens skolverk, Trafikverket och Uppsala universitet. Vi har
dessutom i denna utredning kompletterat urvalet med Kungliga tekniska högskolan och Stockholms universitet.
INLEDNING
11
gjorde i den tidigare rapporten. Sex myndigheter har också deltagit i en fördjupad
diskussion om konsekvenserna av föreslagna förordningsändringar.
ESV har träffat företrädare för de departement dit myndigheterna i vårt urval hör för
att diskutera utkast till förslag till förordningsändringar och konsekvenserna av dessa
för Regeringskansliet. Vid mötet deltog företrädare för sex departement. Berörda de-
partement har också inbjudits att lämna synpunkter skriftligen, något som fyra depar-
tement har gjort.
ESV har träffat företrädare för Riksrevisionen vid ett möte, där ansvariga revisorer
för några av myndigheterna i ESV:s urval fått möjlighet att lämna synpunkter på
utkast till förslag till förordningsändringar. Vid mötet har vi också diskuterat vilka
konsekvenser föreslagna ändringar kan få för Riksrevisionens granskning av myndig-
heternas interna styrning och kontroll.
Statskontoret har bland annat i uppgift att stärka en god förvaltningskultur i staten
och motverka korruption. Vi har därför diskuterat de förslag till förordningsändringar
som rör den interna miljön och arbetet mot oegentligheter med företrädare för Stats-
kontoret. Utkast till förslag till förordningsändringar har också diskuterats med
ESV:s insynsråd och ESV:s internrevisionsråd.
Företrädare för Finansdepartementet och Riksrevisionen har fått möjlighet att lämna
synpunkter på utkast till förslag till förordningsändringar samt på utkast till rapport.
2.4 Avgränsningar
ESV:s utredning omfattar förslag till ändringar i förordningen om intern styrning och
kontroll, förordningen om årsredovisning och budgetunderlag samt internrevisions-
förordningen. Uppdraget har inte omfattat en komplett översyn av förordningarna
utan de förslag ESV lämnar har utgått från de bedömningar som ESV gjorde i
rapporten Tillämpningen av förordningen om intern styrning och kontroll (ESV
2017:65).
ESV:s konsekvensanalys utgår från det material som vi har samlat in vid våra möten
med internrevisionsmyndigheterna, Regeringskansliet och Riksrevisionen. I ESV:s
tidigare rapport framgår att få internrevisionsmyndigheter kan kvantifiera kostna-
derna för det arbete som hör samman med tillämpningen av förordningen om intern
styrning och kontroll.6 Mot den bakgrunden har vi i denna utredning bedömt att det
inte har varit möjligt att samla in kvantitativa uppgifter från alla internrevisions-
myndigheter om hur omfattningen av myndigheternas arbete skulle påverkas av
ESV:s förordningsändringar. Däremot har vi vid våra träffar med myndigheterna bett
6 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm, kapitel 5.
INLEDNING
12
närvarande företrädare att uppskatta om ESV:s förslag till ändringar kommer att
innebära att myndigheternas arbete kommer att öka, minska eller vara oförändrat,
liksom vilka övriga konsekvenser som förslagen kan medföra.
TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR
13
3 Tidigare kartläggning visar på önskemål
om förordningsändringar
ESV:s uppdrag utgår från de bedömningar som ESV redovisat i rapporten Tillämp-
ningen av förordningen om intern styrning och kontroll (ESV 2017:65). I detta
kapitel redogör vi för slutsatserna och förslagen i den tidigare rapporten, då dessa
utgör en utgångspunkt för vårt arbete med regeringsuppdraget. För en mer om-
fattande beskrivning av hur myndigheterna tillämpar förordningen om intern styrning
och kontroll hänvisar vi till rapporten i sin helhet.
3.1 Behov av förordningsändringar för att effektivisera
arbetet med intern styrning och kontroll
I den tidigare rapporten redovisade ESV hur förordningen om intern styrning och
kontroll tillämpas av myndigheterna. ESV drog bland annat slutsatsen att myndig-
heterna tillämpar förordningen med viss variation. Analysen visade att kostnaderna
för riskhanteringen är svåra för myndigheterna att uppskatta men att nyttan motsvarar
eller överstiger kostnaderna för drygt hälften av myndigheterna. Förordningen fyller
också ett syfte för regeringen, bland annat i relation till riksdagen och EU.
Av ESV:s tidigare rapport framgår också att en stor andel av internrevisions-
myndigheterna (knappt hälften) önskade förändringar i förordningen. Av dessa var
det sex stycken myndigheter som ville att förordningen skulle tas bort. ESV:s
samlade slutsats var dock att myndigheternas önskemål snarare pekade på att
myndigheterna ville ha förändringar i regleringen av intern styrning och kontroll, än
att förordningsregleringen ska upphävas. ESV kunde konstatera att det fanns önske-
mål om förändringar som handlar om begrepp som ses som begränsande eller svåra
att förstå, som till exempel riskanalys och kontrollåtgärder. Mot den bakgrunden
föreslog ESV att ett antal förändringar i regleringen skulle utredas vidare i syfte att
möta de önskemål som myndigheterna framfört om en anpassad reglering som kan
effektivisera arbetet med intern styrning och kontroll.7
3.2 Fortsatt utredning utifrån följande utgångspunkter
Här redogör vi för de förslag till fortsatt utredning som ESV identifierat i sin tidigare
rapport samt för de huvudsakliga argumenten för dessa.8
7 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm, kapitel 8. 8 Hela avsnittet baseras på ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, avsnitt 8.5.
TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR
14
3.2.1 Lyft fram myndighetsledningens ansvar för intern styrning och
kontroll
ESV konstaterade att det saknas ett utpekat ansvar i förordningen om intern styrning
och kontroll och att det är en svaghet i förordningen. Genom att lyfta fram att det är
myndighetsledningens interna styrning och kontroll förtydligas ledningens ansvar.
Ledningen behöver ta ställning till vilken information arbetet ska generera. Detta för
att ledningen ska kunna ta ansvar för att verksamheten bedrivs på ett sätt som gör att
myndigheten med rimlig säkerhet fullgör sina uppgifter och når sina mål.
När ledningen har tagit ställning till vad den förväntar sig att intern styrning och
kontroll ska ge får verksamheten förutsättningar att svara mot dessa förväntningar.
Därmed minskar risken för att processen levererar fel information till ledningen,
något som skapar en onödig administrativ belastning på myndigheten. ESV bedömde
vidare att en process som utgår från ledningens behov kan medföra att fler myndig-
heter upplever att nyttan av den interna styrningen och kontrollen överstiger den
bedömda kostnaden av arbetet.
Ett förtydligande av ansvaret för den interna styrningen och kontrollen i förordningen
bör enligt ESV:s rapport formuleras utifrån utgångspunkten att myndighetsled-
ningens ansvar även fortsättningsvis regleras i myndighetsförordningen.
3.2.2 Lyft in den interna miljön i förordningen om intern styrning och
kontroll
I den tidigare rapporten föreslog ESV också att förordningen om intern styrning och
kontroll bör breddas till att också omfatta de internationella ramverkens moment om
intern miljö. Det skulle enligt rapporten bidra till att skapa en större tydlighet vad
gäller syftet med arbetet med intern styrning och kontroll, och därigenom öka möjlig-
heten till att effektivisera arbetet med den interna styrningen och kontrollen. ESV
bedömde att förslaget också skulle understödja arbetet och förtydliga myndighetsled-
ningens ansvar för en god förvaltningskultur i staten. Ytterligare ett skäl att reglera
den interna miljön i förordningen om intern styrning och kontroll är att den utgör en
viktig grund för arbetet mot oegentligheter i förvaltningen.
3.2.3 Förtydliga kopplingen mellan intern styrning och kontroll och
arbetet mot oegentligheter
I förordningen om intern styrning och kontroll finns i dag inte någon skrivning om att
arbetet ska bidra till att motverka oegentligheter i verksamheten. Det framgår i stället
av ESV:s allmänna råd. Av ESV:s tidigare kartläggning framgår att arbetet mot
oegentligheter får ett begränsat stöd genom myndigheternas arbete med riskanalyser.
ESV gjorde därför bedömningen att arbetet mot oegentligheter skulle vinna på att det
tydligare framgår att ett av syftena med den interna styrningen och kontrollen är att
TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR
15
motverka otillbörlig påverkan, bedrägeri eller andra oegentligheter. En sådan kopp-
ling bör kunna göras direkt i förordningstexten. En reglering i förordningen ger också
ESV större möjlighet att i föreskrifter och stöd arbeta vidare med frågor som rör
oegentligheter.
3.2.4 Förtydliga förordningens koppling mot myndighetens uppgift och
mål
I 2 § förordningen om intern styrning och kontroll framgår att intern styrning och
kontroll avser ”den process som syftar till att myndigheten med rimlig säkerhet
fullgör de krav som framgår av 3 § myndighetsförordningen (2007:515)”. En av
slutsatserna i ESV:s tidigare rapport är att denna hänvisning är vag och oprecis. ESV
gjorde bedömningen att genomförandet av arbetet med intern styrning och kontroll
skulle vinna på om förordningen förtydligades och att det direkt i förordningen fram-
går att fokus för den interna styrningen och kontrollen är vad som ska uppnås, det vill
säga myndighetens uppgift och mål.
Samtidigt påpekade ESV att det vid en sådan förändring är väsentligt att inte glömma
de fyra så kallade verksamhetskraven som framgår av 3 § myndighetsförordningen.
Även om verksamhetskraven redan tydligt regleras i myndighetsförordningen kan det
finnas anledning att inom den interna styrningen och kontrollen lyfta fram dem
genom tillhörande föreskrifter, allmänna råd eller på annat sätt i ESV:s stöd.
3.2.5 Möjliggör ett bredare fokus för riskanalysen
ESV har konstaterat att förordningen om intern styrning och kontroll begränsar risk-
analysen till att endast gälla risker med en oönskad konsekvens för vad som följer av
verksamheten. I ESV:s kartläggning har flera myndigheter pekat på att en sådan be-
gränsning kan skapa en ineffektivitet när arbetet med intern styrning och kontroll
integreras med andra verksamhetsstyrningsprocesser. Myndigheterna framför att den
interna styrningen och kontrollen också bör ge möjlighet att hantera önskade effekter
av ett agerande.
ESV delade denna uppfattning och har föreslagit att förordningen förändras så att
analysen av verksamheten ska kunna innefatta både oönskade och önskade effekter
av ett agerande. Samtidigt är det viktigt att myndigheternas analyser även fortsätt-
ningsvis omfattar risker. Det kan därför finnas anledning att kombinera en mer
neutral skrivning i förordningen med att ESV:s föreskrifter eller allmänna råd också
betonar att myndigheten identifierar risker för verksamheten.
3.2.6 Knyt dokumentationskravet till bedömningen av den interna
styrningen och kontrollen
ESV har konstaterat att syftet med dokumentationen av den interna styrningen och
kontrollen i den nuvarande regleringen är oklart. Dokumentationskravet har av
TIDIGARE KARTLÄGGNING VISAR PÅ ÖNSKEMÅL OM FÖRORDNINGSÄNDRINGAR
16
många myndigheter i ESV:s kartläggning lyfts fram som en administrativ belastning
för verksamheten. Andra myndigheter har inte samma uppfattning.
ESV gör i rapporten bedömningen att ett uttalat syfte med dokumentationskravet kan
hjälpa myndigheterna att hitta en nivå för sitt arbete med dokumentationen av arbetet
med intern styrning och kontroll. ESV har därför föreslagit att förordningen ändras så
att dokumentationen ska utgöra ett underlag för bedömningen av om det på myndig-
heten finns en betryggande intern styrning och kontroll.
3.2.7 Använd samma period för bedömningen som för årsredovisningen
ESV anser i sin tidigare rapport att myndighetsledningens bedömning av intern styr-
ning och kontroll bör avse samma period som årsredovisningen i övrigt. Det kan
uppnås genom att ändra förordningen om årsredovisning och budgetunderlag. Med
en sådan ändring får regeringen ett bättre underlag i årsredovisningen för att följa
upp om myndighetens process för intern styrning och kontroll har fungerat betryg-
gande för den period som årsredovisningen avser.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
17
4 Regleringen av intern styrning och kontroll
I detta kapitel redogör vi för förordningen om intern styrning och kontroll och sätter
den i ett sammanhang med övriga förordningar som utgör det samlade regelverket för
intern styrning och kontroll inom statlig förvaltning. Vi redovisar också olika inter-
nationella ramverk för intern styrning och kontroll och hur de relaterar till svensk
reglering. I kapitlet finns också en kortfattad beskrivning av hur intern styrning och
kontroll är reglerat i några andra länder och på några andra områden än i svensk
statsförvaltning.
4.1 Varför intern styrning och kontroll?
Av regeringsformen framgår att den offentliga makten utövas under lagarna.9
Regeringsformen anger även grundläggande mål för hur den offentliga verksamheten
ska bedrivas.10
Det är upp till regeringen att försäkra sig om att förvaltningen fullgör sitt förvalt-
ningsansvar, det vill säga bedriver en effektiv verksamhet, följer lagar, förordningar
och andra regler samt lämnar en tillförlitlig redovisning och rättvisande rapporte-
ring.11 Det är därför av betydelse för regeringen att myndigheterna fungerar väl. En
fungerande förvaltning gör det också möjligt för Sverige att uppfylla de krav som
Europeiska kommissionen ställer på medlemsstaterna.12
För varje myndighet utser regeringen en myndighetsledning13 som leder verksam-
heten och är ansvarig för den inför regeringen. För att myndighetsledningen ska
kunna ta sitt ansvar för verksamheten och säkerställa att den bedrivs i enlighet med
myndighetsledningens instruktioner och riktlinjer, behöver myndighetsledningen
upprätta en ordning för hur detta ska genomföras, det vill säga ett system för intern
styrning och kontroll.
4.1.1 Det statliga ramverket
Regeringen har valt att reglera aspekter av den interna styrningen och kontrollen med
flera förordningar. De förordningar som tillsammans och i huvudsak innehåller det
samlade ramverket för statlig intern styrning och kontroll är
myndighetsförordningen14, som reglerar myndighetsledningens ansvar
förordningen om intern styrning och kontroll, som definierar intern styrning och
kontroll och lyfter fram kravet på riskhantering
9 1 kap. 1 § 3 stycket, Regeringsformen. 10 1 kap. 2 §, Regeringsformen. 11 3 §, Myndighetsförordning (2007:515). 12 Ds 2006:15, Intern styrning och kontroll i staten, Stockholm, Finansdepartementet, s. 9. 13 Enligt 2 § myndighetsförordningen leds en myndighet av en myndighetschef, en styrelse eller en nämnd. 14 För universitet och högskolor finns också bestämmelser som berör intern styrning och kontroll i högskoleförordningen
(1993:100).
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
18
internrevisionsförordningen, som reglerar internrevisionens roll att granska och
lämna förslag till förbättringar av myndighetens process för intern styrning och
kontroll
förordningen om årsredovisning och budgetunderlag, som reglerar myndighetsled-
ningens försäkran till regeringen.
I myndighetsförordningen framgår vad som kan utgöra en myndighets ledning och
att ledningen är ansvarig för verksamheten inför regeringen. Här framgår också att en
myndighetsledning ska säkerställa att det finns en intern styrning och kontroll som
fungerar på ett betryggande sätt. Det kravet gäller för alla myndigheter under rege-
ringen. Därutöver har de myndigheter som omfattas av internrevisionsförordningen
också en uttalad uppgift att
tillämpa en process för intern styrning och kontroll bestående av att analysera
risker, vidta åtgärder, följa upp och bedöma identifierade risker och vidtagna
åtgärder samt dokumentera detta
inrätta internrevision för att granska och lämna förslag till förbättringar av
myndighetens process för intern styrning och kontroll
bedöma om den interna styrningen och kontrollen är betryggande.
Det finns fler bestämmelser om riskhantering som gäller för alla myndigheter under
regeringen än de som framgår av ramverket som har beskrivits ovan, till exempel:
3 § förordningen (1995:1300) om statliga myndigheters riskhantering. Enligt
denna förordning ska myndigheten identifiera risker för skador eller förluster i
verksamheten och vidta lämpliga åtgärder för att begränsa och förbygga dessa
risker.
9 § förordningen (2015:1052) om krisberedskap och höjd beredskap. Bestäm-
melsen innebär att myndigheten ska analysera sårbarhet eller sådana hot och
risker som synnerligen allvarligt kan försämra förmågan till verksamhet samt
planera och bedöma behovet av åtgärder.
6 § förordningen (2006:1097) om statliga myndigheters betalningar och medels-
förvaltning. Den anger att myndigheten ska analysera risker med betalningar.
När en myndighet hanterar risker enligt andra bestämmelser är det också en del av
riskhanteringen enligt förordningen om intern styrning och kontroll.
Intern styrning och kontroll är som mest ändamålsenlig när den är en del av styr-
ningen i myndigheten. På samma sätt som verksamhetsplanering och uppföljning inte
kan skiljas från styrning av verksamheten bör inte heller riskhanteringen och andra
aspekter av intern styrning och kontroll ses som något avskilt, utan vara en integrerad
del av styrningen.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
19
4.2 Regleringen bygger på internationella ramverk
Intern styrning och kontroll är inte något som i grunden är unikt framtaget för den
svenska förvaltningen. Den svenska regleringen bygger på internationella ramverk.
Det finns flera olika ramverk som beskriver arbetet med intern styrning och kontroll.
De olika ramverken för intern styrning och kontroll har stora likheter med varandra
och bygger på liknande huvudprinciper. ISO15 har bland annat tagit fram en standard
för riskhantering som knyter an till ISO:s övriga standarder inom styrning och led-
ning, ISO 31000. INTOSAI16 ger vägledning om standard för intern styrning och
kontroll i Guidelines for Internal Control Standards for the Public Sector. IIA17 ger
vägledning om internrevision av styrning och kontroll i International Professional
Practice Framework.
Förordningen om intern styrning och kontroll bygger på COSO:s18 ramverk Internal
Control från 1992 och som reviderades 2013. COSO har även tagit fram ett närlig-
gande ramverk, Enterprise Risk Management (ERM-ramverket)19. COSO:s två
ramverk har till viss del olika syften men de bygger i huvudsak på samma grund-
komponenter. Enligt COSO-modellerna är basen för arbetet med intern styrning och
kontroll den interna miljön (engelska: Internal Environment20 eller Control Environ-
ment21) som finns i varje organisation samt att det finns en fungerande process för
information och kommunikation i organisationen. Båda ramverken lyfter utöver detta
fram att det behövs en process för riskhantering, från riskidentifiering till att risker
åtgärdas och följs upp. Ramverken pekar på att det finns ett behov av att övervaka
arbetet med intern styrning och kontroll.
15 Internationella standardiseringsorganisationen, International Organization for Standardization (ISO), utvecklar och
förvaltar standarder för verksamheter. 16 INTOSAI, International Organization of Supreme Audit Institutions, är en mellanstatlig organisation för nationell
revision. 17 IIA, The Institute of Internal Auditors, är en intresseorganisation för internrevisorer. 18 COSO, The Committee of Sponsoring Organizations of the Treadway Commission, är en amerikansk organisation som
bildades 1985 på initiativ av American Accounting Association, American Institute of Certified Public Accountants,
Financial Executives International, The Association of Accountants and Financial Professionals in Business samt The
Institute of Internal Auditors. 19 När vi hänvisar till COSO Enterprise Risk Management tar vi framförallt ledning i ramverket från 2004, bland annat vad
gäller nomenklatur. COSO har under 2017 publicerat ett uppdaterat ramverk för Enterprise Risk Management som har en
något annan struktur och nomenklatur men som i de väsentliga delarna speglar syftet med ramverket från 2004. 20 COSO (2004), Enterprise Risk Management – Integrated Framework. Även ISO använder begreppet intern miljö i sin
standard ISO 31000. 21 COSO (1992, 2013), Internal Control - Integrated Framework.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
20
Figur 1. Modell för intern styrning och kontroll
Källa: ESV 2012:46, Handledning. Ansvaret för intern styrning och kontroll.
I ERM-ramverket ingår därutöver att ta ställning till vad organisationen ska åstad-
komma genom att sätta strategiska mål för verksamheten. I ERM-ramverket lyfts
också fram att organisationen ska identifiera händelser som påverkar förmågan att
fullgöra det som ska åstadkommas. Händelser med negativ påverkan är risker och
händelser med positiv påverkan är möjligheter. Båda dessa ska tas omhand av orga-
nisationen. ERM har således en lite vidare syn på risker än Internal Control-ramver-
ket.
Förordningen om intern styrning och kontroll har kopplingar till riskhanterings-
komponenterna (riskanalys och kontrollåtgärder) i ramverket för Internal Control.
Det finns också aspekter av övervakningskomponenten (uppföljning och bedömning)
i förordningen. Det som saknas i förordningen är komponenter om intern miljö och
om information och kommunikation. Förordningen saknar också de specifika kom-
ponenter – händelser och strategiska mål – som särskilt lyfts fram i ERM-ramverket.
4.2.1 Jämförelse med olika ramverk och riktlinjer för intern styrning och
kontroll
Som framgår i avsnitt 4.2 har flera organisationer gett ut allmänna riktlinjer för
arbetet med intern styrning och kontroll. De kan skilja sig åt i omfattning men ger
ändå en tämligen enhetlig bild av intern styrning och kontroll. I tabell 1 har vi valt att
jämföra några av dessa ramverk och lyfta fram likheter och skillnader mellan dem
och det svenska regelverket för intern styrning och kontroll.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
21
Tabell 1. Jämförelse med internationellt förekommande definitioner
Control, IIA Internal Control, COSO Svensk reglering av intern
styrning och kontroll
Control is any action taken by
management, the board, and
other parties to manage risk and
increase the likelihood that
established objectives and goals
will be achieved. Management
plans, organizes, and directs the
performance of sufficient actions
to provide reasonable assurance
that objectives and goals will be
achieved.
Internal control is as a process,
effected by an entity's board of
directors, management, and
other personnel, designed to
provide reasonable assurance
regarding the achievement of
objectives relating to
Med intern styrning och kontroll
avses den process som syftar
till att myndigheten med rimlig
säkerhet fullgör följande krav
– effectiveness and efficiency
of the entity´s operations
– att verksamheten bedrivs
effektivt
– including operational and
financial performance goals
and
– att myndigheten hushållar väl
med statens medel
– safeguarding assets against
loss
– att förvaltade tillgångar
skyddas
– adherence to laws and
regulations
– att verksamheten bedrivs
enligt gällande rätt och de
förpliktelser som följer av
Sveriges medlemskap i
Europeiska unionen
– internal and external financial
and non-financial reporting
and may encompass
reliability, timeliness,
transparency or other terms.
– att verksamheten redovisas
på ett tillförlitligt och
rättvisande sätt/en tillförlitlig
redovisning främjas.
Källa: IIA, International Professional Practice Framework, IPPF 2030 Control, COSO (2013), Internal
Control – Integrated Framework, förordningen om intern styrning och kontroll, myndighetsförordningen och
förordningen om myndigheters bokföring.
Den svenska statliga definitionen av intern styrning och kontroll har likheter med vad
som framgår av de två internationella ramverken (se tabell 1). Det finns dock skillna-
der som enligt ESV:s bedömning innebär att den svenska tillämpningen i vissa fall
blir mer begränsad än vad de internationella ramverken syftar till.
En skillnad är att när de internationella ramverken talar om achievement of
objectives22 och liknande talar förordningen om intern styrning och kontroll om att
myndigheten fullgör kraven. Kraven handlar om hur verksamheten ska bedrivas och
inte vad den ska uppnå. I och med att dagens förordning inte använder ”mål” förlorar
den svenska regleringen syftet med verksamheten, nämligen vad myndigheten ska
åstadkomma.
22 COSO (1992, 2013), Internal Control – Integrated Framework.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
22
Den svenska förordningen får en större likhet med formuleringen relating to i det
internationella ramverket, om det framgår att intern styrning och kontroll syftar till
att verksamheten ska nå sina mål (generella och specifika). Att nå sina mål kan även
innefatta målkonflikter. Dessa målkonflikter är också riskhanteringens dilemma, att
acceptera eller inte acceptera en risk (för att inte nå ett visst mål) för att kunna nå ett
annat mål.
Mål i dagligt tal betyder ”vad vi ska åstadkomma”. Det kan då avse mål både för
förvaltningen (inom förvaltningspolitiken till exempel legalitet, objektivitet och
proportionalitet) och för verksamheten (inom resultatstyrningen till exempel påver-
kan på ett förhållande).23
Hänvisningen till myndighetsförordningen i förordningen om intern styrning och
kontroll innebär en koppling till många av de krav som framgår av de internationella
ramverken, men inte till alla. Ett av kraven, skydd av tillgångar, finns i stället i
förordningen (2000:606) om myndigheters bokföring.
4.2.2 Riktlinjer för intern kontroll i offentlig sektor
I EU-skriften Welcome to the world of PIFC24 finns en hänvisning till INTOSAI:s
Guidelines for Internal Control in the Public Sector. Där lyfts dessa riktlinjer fram
som den mest framträdande internationella standarden för intern styrning och kon-
troll, samtidigt som de är föremål för en diskussion inom INTOSAI. I tabell 2 gör vi
en jämförelse mellan dessa riktlinjer och den svenska regleringen av intern styrning
och kontroll. Sveriges reglering av intern styrning och kontroll framgår av flera
förordningar (se avsnitt 4.1.1). När vi jämför med allmänna riktlinjer för standardise-
ring av intern kontroll tar vi hänsyn till detta för att jämförelsen ska bli relevant.
23 Mål förekommer i regeringsformen, grundläggande mål för offentlig förvaltning. Dessa mål är att trygga, främja och
verka för mänskliga, sociala och kulturella värden. Även vad förvaltningslagen (2017:900) definierar som en av grunderna
för god förvaltning kan sägas vara generella mål (krav) för förvaltningen. Mål förekommer även i myndighetsförordningen,
göra målen för verksamheten kända. Det kan då syfta på målen för utgiftsområdet samt mål och återrapporteringskrav för
verksamheten men även generella krav för förvaltning och krav på handläggning (”general objectives”). 24 European Commission (2006), Welcome to the word of PIFC. Public Internal Financial Control, s. 6.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
23
Tabell 2. Jämförelse mellan internationella riktlinjer och svensk reglering
Riktlinjer för standardisering Svensk definition
Internal control is an Med intern styrning och kontroll avses den
– integral – [motsvarighet saknas]
– process – process som
that is effected by an entity’s myndighetens
– management – ledning ska säkerställa och
– and personnel – se till att de anställda är väl förtrogna med målen
för verksamheten som processen skyddar
and is designed som syftar till att
– to address risks and – identifiera omständigheter som utgör risk
– to provide reasonable assurance that – med rimlig säkerhet
– in pursuit of the entity’s mission – [motsvarighet saknas]
the following general objectives are being
achieved
fullgör de krav som framgår av
executing (verksamheten) bedrivs så att
– orderly, ethical, – [motsvarighet saknas]
– economical, efficient, effective – myndigheten hushållar väl/effektivt
operations verksamheten
– fulfilling accountability obligations – redovisas på ett tillförlitligt och rättvisande sätt /
en tillförlitlig redovisning främjas
– complying with applicable laws and regulations – enligt gällande rätt
– [motsvarighet saknas] – och de förpliktelser som följer av Sveriges
medlemskap i Europeiska unionen
– safeguarding resources against loss, misuse
and damage
– förvaltade tillgångar skyddas
Källa: Guidelines for Intern Control Standards for the Public Sector, myndighetsförordningen, förordningen
om intern styrning och kontroll samt förordningen om myndigheters bokföring.
Den svenska regleringen är inte, och behöver inte vara, en fullständig spegling av
allmänt förekommande internationella riktlinjer (se tabell 2). I den svenska regle-
ringen är det inte direkt uttalat att processen är väsentlig (engelska: integral), men det
faktum att det finns en reglering innebär indirekt att så är fallet. Det framgår inte
heller explicit att den interna styrningen och kontrollen genomförs i syfte att fullgöra
myndighetens uppgift (engelska: in pursuit of the entity’s mission). I det svenska
ramverket för intern styrning och kontroll saknas också en reglering av grund-
läggande etiska riktlinjer (engelska: ethical) även om det i de generella riktlinjerna
för svensk förvaltning finns grundläggande principer för hur förvaltningen ska
bedrivas. ESV bedömer mot den bakgrunden att det finns ett behov av att reglera
förhållandet mellan intern styrning och kontroll och myndighetens uppgift. Det kan
också finnas anledning att förtydliga att etiska värden är en del av intern styrning och
kontroll.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
24
4.3 Intern styrning och kontroll är mer än riskhantering
Processen för intern styrning och kontroll utgörs av momenten analys, åtgärd, upp-
följning och dokumentation av risker, enligt förordningen om intern styrning och
kontroll. I mer allmänt förekommande beskrivningar av intern styrning och kontroll
ingår även den interna miljön som en beståndsdel i systemet för intern styrning och
kontroll (se avsnitt 4.2). Hur myndigheten informerar och kommunicerar om
verksamhetens mål, risker och åtgärder är också en beståndsdel i systemet.
Den interna miljön – begrepp och innehåll
Olika ramverk för intern styrning och kontroll använder olika begrepp för den interna
miljön men de förklarar vad den omfattar på ett likartat sätt. I de internationella ram-
verken ISO 31 000 och COSO ERM används begreppet intern miljö (engelska:
Internal Environment) medan begreppet styr- och kontrollmiljö (engelska: Control
Environment) används i COSO:s ramverk Internal Control. Internrevisorernas före-
ning använder också begreppet styr- och kontrollmiljö (engelska: Control Environ-
ment) i sina riktlinjer för yrkesmässig internrevision25.
ESV har i sina nuvarande och tidigare publikationer om intern styrning och kontroll
samt i ESV:s ordbok om ekonomisk styrning i staten använt begreppet intern miljö. I
ordboken beskrivs intern miljö som ”de interna förutsättningar som påverkar en verk-
samhets förmåga att fullgöra sina uppgifter och nå sina mål”. Exempel på sådana för-
utsättningar kan enligt ordboken vara de anställdas kunskaper om målen för verk-
samheten, de anställdas kompetens och erfarenhet, utformning av delegering av
beslutanderätt, utformning av direktiv och riktlinjer från ledningen, ledningsfilosofi
och ledningsstil.26
Den interna miljön utgör grunden för alla andra delar som formar intern styrning och
kontroll. Faktorer inom den interna miljön innefattar bland annat integritet, etik,
kompetens, ledarstil, på vilket sätt ansvar och befogenheter fördelas samt hur
myndigheten i övrigt organiseras.
Flera aspekter av den interna miljön finns redan reglerade i de förordningar som
anger hur myndigheter ska fungera, bland annat i myndighetsförordningen. Där
framgår till exempel att myndighetsledningen ska besluta om en arbetsordning som
innehåller
de närmare föreskrifter som behövs för myndighetens organisation
arbetsfördelning mellan styrelse och myndighetschef
delegering av beslutanderätt inom myndigheten
25 Internrevisorerna är en del av den internationella branschorganisationen The Institute of Internal Auditors (IIA) och har
översatt det internationella ramverket för utövande av internrevisionsyrket (IPPF) till svenska. 26 ESV 2011:9, ESV:s ordbok om ekonomisk styrning i staten, Stockholm, s.17.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
25
handläggning av ärenden
formerna i övrigt för verksamheten.27
I myndighetsförordningen regleras också andra aspekter som påverkar den interna
miljön. Där framgår bland annat att myndigheten ska se till att de anställda är väl
förtrogna med målen för verksamheten. Myndigheten ska även skapa goda arbets-
förhållanden och ta tillvara på och utveckla de anställdas kompetens och erfarenhet. I
myndighetsförordningen framgår också att myndigheten fortlöpande ska utveckla
verksamheten och att den genom samarbete med myndigheter och andra ska ta till-
vara på de fördelar som kan vinnas för enskilda samt för staten som helhet.28
Myndighetsledningen ansvarar för verksamheten och ansvarar då även för systemet
eller processen för intern styrning och kontroll. I praktiken är det normalt myndig-
hetens chef29 som sätter sin prägel på eller anger tonen i myndigheten (engelska: tone
at the top), vilket påverkar integritet, etik och andra faktorer i den interna miljön. I
förvaltningen bör myndighetens chef fullfölja ansvaret genom att visa ledarskap och
ange inriktning för myndigheten och genom att följa upp hur verksamhet har genom-
förts.
Att det ska finnas en god intern miljö i förvaltningen är dock inte uteslutande ett
ansvar för myndighetsledningen, utan är i viss utsträckning också ett ansvar för var
och en i statsförvaltningen. I viss mån regleras detta genom de grundläggande princi-
perna30 som styr förvaltningen och statstjänstemännarollen. Detta är dock på en mer
övergripande nivå. Direkt reglering av medarbetarnas ansvar hanteras normalt inom
ramen för myndigheternas interna reglering av ansvar och befogenheter, till exempel
i arbetsordningen.
Den interna miljön och risken för oegentligheter
Den interna miljön speglar värderingarna i en organisation och kan påverka risken
för oegentligheter. Brottsförebyggande rådet (Brå) ger i sin handbok Att förebygga
och hantera påverkansförsök exempel på fyra organisationskulturer som ökar risken
för korruption och oegentligheter:
Blinda kulturer som styrs av vanor, tumregler och önsketänkande i stället för
rationella kalkyler.
Tysta kulturer där kritik tystas ner av kollegor och chefer.
27 4 § p. 4, Myndighetsförordning (2007:515), 2 kap. 2 § p. 8, Högskoleförordning (1993:100). 28 6 och 8 §§, Myndighetsförordning (2007:515). 29 13 §, Myndighetsförordning (2007:515), 2 kap. 3 §, Högskoleförordning (1993:100). 30 Demokrati, Legalitet, Objektivitet, Fri åsiktsbildning, Respekt samt Effektivitet och Service. Principerna redovisas i
Värdegrundsdelegationen (2013), Den gemensamma värdegrunden för de statsanställda, och i Statskontoret (2017), Den
statliga värdegrunden – professionella värderingar för en god förvaltningskultur. Principerna har sin utgångspunkt i
regeringsformen och budgetlagen.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
26
Effektivitetskulturer där det finns en överdriven strävan efter att nå resultat på
bekostnad av kvalitet i beslutsfattande och arbetsmiljö.
Informella regelkulturer där tjänstemännen upplever att reglerna inte är anpas-
sade efter arbetssituationen.31
4.4 Regelverket i några andra länder
I detta avsnitt redogör vi översiktligt för hur intern styrning och kontroll är reglerat i
några andra länder i syfte att ge perspektiv till de förslag till förordningsändringar
som vi beskriver i kapitel 5. Vi redovisar några länder som ESV bedömer är mer lika
och därmed relevanta att jämföra med svensk förvaltning.
4.4.1 Intern styrning och kontroll i Norge
I Norge använder man begreppet internkontroll. Myndigheternas generella ansvar för
internkontroll regleras främst i det så kallade Regelverket for økonomistyring i
staten, närmare bestämt i 4 och 14 §§ i Reglementet och i punkt 2.4 i Bestemmel-
sene.32 Där framgår att alla verksamheter ska etablera system och rutiner som har en
inbyggd internkontroll. Myndigheten Direktoratet for økonomistyring (DFØ), som
har i uppgift att förvalta regelverket, har meddelat tolkningar till vissa av bestämmel-
serna om internkontroll.33 DFØ erbjuder också på sin webbplats vägledningsmaterial
och verktyg med mera för myndigheter som vill utveckla internkontrollen.
Ledningens ansvar för internkontroll
Det norska regelverket lyfter fram ledningens ansvar för internkontroll. Verksam-
hetsledningen har enligt Bestemmelsene ansvaret för att internkontrollen utgår från
risk och väsentlighet, att den fungerar tillfredsställande och att den dokumenteras.
Det framgår också att internkontrollen bör vara inbyggd i verksamhetens interna
styrning.
Det stödjande material som DFØ tagit fram om internkontroll betonar ledningens roll
i internkontrollen. Bland annat framgår det av DFØ:s vägledning till myndighetsled-
ningar att ledningen har ett ansvar för internkontroll och hur en effektiv internkon-
troll kan etableras. Styrning och internkontroll beskrivs som två sidor av samma
mynt – den interna styrningen syftar till att myndigheten ”gör rätt saker” och intern-
kontrollen till att ”sakerna görs rätt”. Genom att fastställa en ambitionsnivå och
ramar för myndighetens internkontroll, kan ledningen lägga grunden för en balans
mellan resurser för kontroll och för annan verksamhet. Internkontrollen ska vidare
31 Brottsförebyggande rådet (2017), Att förebygga och hantera påverkansförsök. En handbok, Stockholm. 32 Det Kongelige Finansdepartement, Reglement for økonomistyring i staten, fastställt 12 december 2003 och senast
ändrat 18 september 2013, samt Bestemmelser om økonomistyring i staten, fastställt 12 december 2003 och senast
ändrat 5 november 2015. 33 Information från https://dfo.no/fagomrader/okonomiregelverket/tolkningsuttalelser/internkontroll/, hämtad 2017-10-31.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
27
anpassas till risk, väsentlighet och myndighetens egenart. Den ska också integreras
och byggas in i myndighetens styr- och uppföljningssystem.34
Den interna miljöns roll i internkontrollen
En viktig del i internkontrollen är den interna miljön (norska: intern styr- och
kontrollmiljö). Det finns inga explicita krav i det norska regelverket på hur den
interna miljön ska utformas, men DFØ lyfter i sin vägledning fram att den interna
miljön omfattar såväl det formella som det informella i verksamheten. Bland det
formella återfinns till exempel organisation, ansvarsfördelning, processer och kompe-
tenskrav som hela verksamheten ska förhålla sig till. Det informella omfattar i stället
sådant som integritet och de etiska värden och normer som präglar verksamheten,
något som DFØ sammanfattar som verksamhetens kultur (norska: virksomhets-
kulturen).35
De beståndsdelar som ingår i en effektiv internkontroll lyfts också fram i DFØ:s
vägledningar. Bland annat ska ledningen etablera en intern miljö som reflekterar de
värderingar och den kultur som man önskar (till exempel såväl formella som
informella värden som präglar verksamheten). Ledningens efterlevnad av detta
betonas också. Vidare lyfts internkontrollen fram som en del i chefsansvaret på alla
nivåer. Dokumentationen av internkontrollen ska till omfattning och utformning
anpassas till risk, väsentlighet och egenart för myndigheten.36
Internkontroll mot oegentligheter
Av det norska Regelverket for økonomistyring i staten framgår också att verk-
samheternas internkontroll syftar till att förebygga och upptäcka avsiktliga hand-
lingar som utförs i strid med gällande regelverk. Av Bestemmelsene framgår att det
handlar om sådant som manipulation eller ändringar av information men också stöld
eller bedrägerier37, det vill säga sådant som hör till det som i Sverige fångas av
begreppet oegentligheter.
4.4.2 Intern styrning och kontroll i Finland
Intern styrning och kontroll (intern kontroll38) i Finland regleras i 4 kapitlet i lagen
om statsbudget (423/1988) samt i förordning om statsbudgeten (1243/1992). Intern
34 DFØ 04/2013, Veileder Kort om internkontroll – för deg som er leder. 35 DFØ 04/2013, Veileder i internkontroll. 36 DFØ 04/2013, Veileder Kort om internkontroll – för deg som er leder. 37 Det Kongelige Finansdepartement, Bestemmelser om økonomistyring i staten, fastställt 12 december 2003 och senast
ändrat 5 november 2015, punkt 2.4. 38 I Finland används begreppet intern kontroll och inte intern styrning och kontroll. Begreppen har dock samma innebörd.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
28
kontroll behandlas där speciellt i förordningens nionde kapitel, men också i 39 § och
55 §.39
I lagen om statsbudget framgår att ämbetsverk och inrättningar (myndigheter) ska se
till att den interna kontrollen är ordnad på ett ändamålsenligt sätt i sin verksamhet
samt i annan verksamhet för vilken de ansvarar. Lagen anger vidare att närmare be-
stämmelser om den interna kontrollen ska ges genom en förordning, förordningen om
statsbudgeten.
Förordningen anger även att det i anslutning till finansministeriet ska finnas en
delegation för intern kontroll och riskhantering som har ett antal utpekade uppgifter
som syftar till uppföljning, utveckling och stöd kring den interna kontrollen i den
finska statsförvaltningen. Delegationen för intern kontroll och riskhantering gav 2005
en rekommendation till statliga ämbetsverk och inrättningar om tillvägagångssätt vid
intern kontroll och riskhantering samt utvärdering. Rekommendationen baserar sig på
ett av de allmänt accepterade ramverken för god intern kontroll och riskhantering,
COSO ERM-ramverket. Detaljerna har dock anpassats till statsförvaltningens verk-
samhet.
Delegationens sektion för intern granskning har 2009 utarbetat en kortfattad modell
som kallas utvärderingsramen. Den kan till exempel små ämbetsverk och myndig-
heter använda när de vill påbörja den interna kontrollen med att uppfylla
minimikraven.
Myndighetsledningen ansvarar för den interna kontrollen
I förordningen om statsbudget framgår att ledningen på varje myndighet är ansvarig
för den interna kontrollen och ska se till att det vid myndigheten vidtas ändamåls-
enliga förfaranden (intern kontroll), med tanke på omfattningen av dess ekonomi och
verksamhet. En myndighets riskhantering ska identifiera, värdera och hantera
faktorer som kan vara ett hinder för att fullgöra verksamhetens målsättningar inom
ramen för de fyra punkterna: lagenlighet, god hushållning, effektiv verksamhet samt
rättvisande finansiell redovisning och resultatredovisning. Riskhanteringen har
samma mål som den interna kontrollen. Helst ska den interna kontrollen och risk-
hanteringen vara integrerad i myndighetens ordinarie verksamhetsplanering, styrning
och verksamhetsprocesser.
Det framgår vidare att förfarandet också ska omfatta förvaltningen av de medel som
myndigheteten ska ansvara för eller förmedla. Också uppgifter som ankommer på
39 Uppgifterna i avsnittet bygger på material från finska Statskontoret (Valtiokonttori), information om intern kontroll och
riskhantering på finansministeriets webbsidor samt berörda lagar och förordningar. Uppgifterna har också jämförts med
informationen om Finland i Europeiska kommissionens rapport, PIC Compendium, second edition, 2014.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
29
myndigheten men som har givits i uppdrag åt annan myndighet ska omfattas av
förfarandet.
Komponenter i den interna kontrollen
I förordningen framgår också att myndigheternas ledning ska ordna en intern gransk-
ning av den interna kontrollen om det finns behov av det. Den interna granskningen
har till syfte att utreda om den interna kontrollen är ändamålsenlig och tillräcklig,
vilket i stort motsvarar regleringen av uppgifter för den statliga internrevisionen i
Sverige. Delegationen för intern kontroll och riskhantering har i sin rekommendation
från 2005 angivit att vid uppföljningen av ramverken ska den interna kontrollen och
riskhanteringen följas upp ur följande perspektiv:
Myndighetens verksamhetsomgivning med hjälp av frågor gällande verksam-
hetskultur, organisationsstruktur och resurser.
Myndighetens målsättningar med hjälp av frågor gällande syftet med ämbets-
verkets/myndighetens verksamhet och planeringen av denna verksamhet.
Riskhanteringsförfaranden, identifiering av risker, bedömning/utvärdering av
risker samt reagerande på riskerna.
Kontroller/övervakningsåtgärder med hjälp av frågor gällande planeringen av
verksamhets- och stödprocessernas kontroller, koordineringen av kontroller,
försäkringen av kontrollernas genomförbarhet och uppföljning av kontroller.
Informationsflödet och informationens användbarhet: internredovisning samt
intern och extern information.
Uppföljning av intern kontroll och riskhantering: dess kontinuitet och dess ut-
förande både internt och externt.40
Vår uppfattning är att dessa perspektiv kan ses som komponenter i det finska ramver-
ket för intern styrning och kontroll.
4.4.3 Intern styrning och kontroll i några andra EU-länder
I arbetet med ESV:s regeringsuppdrag om en utvecklad intern styrning och kontroll
har vi gått igenom EU:s så kallade PIC Compendium, second edition, 2014. Detta för
att få en ökad förståelse för hur arbetet med intern styrning och kontroll beskrivs i
olika länder. PIC står för Public Internal Control och kompendiet ger en översikt över
de olika system för intern styrning och kontroll som tillämpas i den offentliga verk-
samheten i EU:s medlemsländer. Vi redovisar här en kortare sammanfattning för de
40 Punktlistan är hämtad från en rekommendation till statliga ämbetsverk och inrättningar om tillvägagångssätt vid intern
kontroll och riskhantering samt utvärdering som togs fram av Delegationen för intern kontroll och riskhantering 2005.
Rekommendationen finns endast på finska och översättningen har gjorts av tjänstemän på finska Statskontoret.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
30
länder som ESV bedömer är mest relevanta för svensk förvaltning. Informationen
baseras på EU:s kompendium.41
Förenade konungariket Storbritannien och Nordirland (Storbritannien)
Den offentliga förvaltningen i Storbritannien måste lämna intyganden om att den på
ett tillförlitligt sätt hanterar de resurser som den är satt att förvalta. Intygandet är ett
viktigt dokument för ansvarsutkrävande i relation till parlamentet och allmänheten. I
intygandet ingår att ansvarig ledning informerar om hur de möter kraven på risk-
hantering, intern kontroll och verksamhetsstyrning. Det är också ett verktyg för att
kommunicera de svagheter som finns i systemet för intern kontroll inom organi-
sationerna. Intygandet utgör en del av årsredovisningen.
I det brittiska systemet är ledningen ansvarig för att sätta upp ett lämpligt och
fungerande system för intern kontroll, inklusive ett tillförlitligt ramverk för risk-
hantering. Varje organisation ska ha rutiner och policyer på plats för att ha kontroll
över sin verksamhet. Dessa ska bland annat inbegripa beslutsfattande, uppföljning av
verksamhet, hantering av oegentligheter, finansiell styrning och riskhantering.
Det ska därutöver finnas en självständig internrevision som har en central funktion
för att utvärdera och bedöma effektiviteten i organisationernas ramverk för styrning,
riskhantering och kontroll.
Offentligt anställda är bundna av de etiska riktlinjer och regler för uppträdande som
finns i koden för den offentliga förvaltningen (engelska: Civil Service Code). Det
finns också en kod för hur den offentliga förvaltningen ska ledas (engelska: Civil
Service Management Code).
Danmark
Det danska interna kontrollsystemet fokuserar på åtgärder för att säkra ansvarstagan-
det. Ansvaret för bland annat riskhanteringen är kopplat till en organisations kärn-
uppgifter och är därmed ett ansvar för respektive organisations ledning. Det mot-
svarar de krav som även den svenska regleringen ställer på respektive myndighets-
ledning eller de förslag som ESV ska överväga i och med detta uppdrag.
Irland
Under de senaste decennierna har man i Irland genomfört ett program för att
modernisera den offentliga sektorn. Programmet har påverkat den interna styrningen
och kontrollen. Reformerna har lett till ett fokus på befogenheter, ansvar och ansvars-
utkrävande för högre befattningshavare i den statliga förvaltningen. Som ett resultat
41 European Commission (2014) Compendium on the public internal control systems in the EU Member States, second
edition, 2014.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
31
av reformerna ska ledningen lämna en redogörelse av den interna kontrollen tillsam-
mans med den finansiella redovisningen.
Myndigheter och andra statliga organisationer ska ha ett system för riskhantering. En
utomstående prövning av ramverken för riskhanteringen ska regelbundet genom-
föras. Riskhanteringen ska vara en integrerad del av verksamheten. Systemet ska
göra det möjligt att följa upp och rapportera riskhanteringen på flera olika lednings-
nivåer i verksamheten.
4.5 Intern styrning och kontroll i andra organisationer
Intern styrning och kontroll är ett viktigt område även utanför statlig verksamhet. Vi
har därför studerat hur intern styrning och kontroll är reglerat för andra sektorer och
redovisar översiktligt regleringen för börsnoterade aktiebolag och för kommuner och
landsting.
4.5.1 Den svenska koden för bolagsstyrning
Enligt den svenska koden för bolagsstyrning ansvarar styrelsen för att bolaget har en
god intern kontroll. Målgruppen för koden är börsnoterade aktiebolag. Bolagskoden
är en självreglering och inte en lag. Normen är inte tvingande utan kan frångås på
enskilda punkter under förutsättning att bolaget för varje avvikelse redovisar hur man
gjort i stället och motiverar varför. Kollegiet för svensk bolagsstyrning är norm-
givande för god bolagsstyrning men har ingen övervakande eller dömande roll.
Av koden framgår bland annat följande:
Styrelsen ska se till att bolaget har formaliserade rutiner som säkerställer att
fastlagda principer för finansiell rapportering och intern kontroll efterlevs
samt att bolagets finansiella rapportering är upprättad i överensstämmelse
med lag, tillämpliga redovisningsstandarder och övriga krav på noterade
bolag. I bolag som inte har en särskild granskningsfunktion (internrevision)
ska styrelsen årligen utvärdera behovet av en sådan funktion och i beskriv-
ningen av den interna kontrollen i bolagsstyrningsrapporten motivera sitt
ställningstagande.42
Beskrivningen av den interna kontrollen i bolagsstyrningsrapporten ska
även omfatta styrelsens åtgärder för att följa upp att den interna kontrollen i
samband med den finansiella rapporteringen och att rapporteringen till
styrelsen fungerar.43
42 Kollegiet för Svensk bolagsstyrning (2016), Svensk kod för bolagsstyrning. 43 Kollegiet för Svensk bolagsstyrning (2016), Svensk kod för bolagsstyrning.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
32
Det finns likheter mellan bolagskoden och den statliga regleringen av intern styrning
och kontroll. Båda bygger på COSO:s modeller och båda betonar styrelsens
(ledningens) ansvar. En skillnad är att bolagskoden ställer krav på att redovisa vilka
rutiner bolaget har för att säkerställa en god intern kontroll och att beskriva hur
arbetet kring detta bedrivs i styrelsen. Beskrivningen ska också omfatta styrelsens
åtgärder för att följa upp den interna kontrollen. Däremot saknas redogörelse för
brister i den interna styrningen och kontrollen på det sätt som myndigheterna ska
göra enligt förordningen om årsredovisning och budgetunderlag.
4.5.2 Kommunallagen reglerar intern kontroll i kommuner och landsting
I kommuner och landsting används begreppet intern kontroll. För kommuner och
landsting är intern kontroll sedan 2000 reglerat i kommunallagen. Där framgår bland
annat att mål och riktlinjer är en grund för intern kontroll i kommuner och landsting:
Nämnderna ska var och en inom sitt område se till att verksamheten bedrivs
i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de
bestämmelser i lag eller annan författning som gäller för verksamheten.
De ska också se till att den interna kontrollen är tillräcklig och att
verksamheten bedrivs på ett i övrigt tillfredsställande sätt.
Detsamma gäller när skötseln av en kommunal angelägenhet med stöd av
10 kap. 1 § har lämnats över till någon annan.44
I den proposition som föregick den nya kommunallagen definieras intern kontroll på
följande sätt:
Med intern kontroll avses exempelvis nämndens bestämmelser om bl.a.
fördelning av ansvar och befogenheter, systematiskt ordnade interna
kontroller av organisation, redovisningssystem och administrativa rutiner.
Syftet med den interna kontrollen är att säkra en effektiv förvaltning och att
undvika att det begås allvarliga fel. En god intern kontroll ska således bidra
till att ändamålsenligheten i verksamheten stärks och att den bedrivs effek-
tivt och säkert.45
Regleringen i kommunallagen är mer kortfattad än den statliga regleringen i
förordningen om intern styrning och kontroll och de andra berörda förordningarna.
Samtidigt innefattar kommunallagen både områden som återfinns i den statliga
kontexten och sådana som ESV i och med detta uppdrag ska överväga. Till exempel
44 6 kap. 6 §, Kommunallag (2017:725). Den nya kommunallagen gäller från 1 januari 2018. Motsvarande bestämmelse
fanns även tidigare i 6 kap. 7 §, kommunallag (1991:900). 45 Proposition 2016/17:171, En ny kommunallag, s. 362.
REGLERINGEN AV INTERN STYRNING OCH KONTROLL
33
ska den interna kontrollen i kommuner och landsting utgå från de mål som fullmäk-
tige fastställt och de bestämmelser som gäller för verksamheten.
Ansvaret för intern kontroll
Sveriges kommuner och landsting (SKL) har tagit fram en skrift i ämnet som vänder
sig till förtroendevalda i kommuner och landsting - På den säkra sidan. Om intern
kontroll för förtroendevalda i kommuner och landsting. Det är de förtroendevalda
som har det yttersta ansvaret för att det finns en fungerande intern kontroll i kommu-
ner och landsting. Därmed kan de på sätt och vis anses motsvara myndighetsled-
ningen i en statlig myndighet. Enligt SKL handlar en fungerande intern kontroll om
att som förtroendevald ställa krav på att det fungerar och att man får rapporter om
hur det fungerar. Det handlar också om det som skriften beskriver som tonen på
toppen, nämligen att som förtroendevald själv signalera, efterleva och uppmuntra en
god intern kontroll.46 Det är delar som hör till det som brukar benämnas den interna
miljön i en verksamhet (se avsnitt 4.3).
SKL:s skrift beskriver intern kontroll som att det handlar om ”tydlighet, ordning och
reda, att veta hur det går i verksamhet och ekonomi”. Intern kontroll handlar om att
på en rimlig nivå säkerställa att
verksamheten lever upp till målen och är kostnadseffektiv, det vill säga god
ekonomisk hushållning.
informationen om verksamheten och om den finansiella rapporteringen är
ändamålsenlig, tillförlitlig och tillräcklig.
de regler och riktlinjer som finns följs.
möjliga risker inringas, bedöms och förebyggs.47
Av skriften framgår också att den interna kontrollen behöver vara en integrerad del
av det vardagliga arbetet. Den berör många delar och processer i verksamheten:
organisationen med tydliga och dokumenterade åtaganden, ansvar och
befogenheter
personalens förutsättningar, kunskaper och attityder
verksamhetens styr- och rapporteringssystem.48
46 SKL (2008-03-11), På den säkra sidan. Om intern kontroll för förtroendevalda i kommuner och landsting, s. 4. 47 SKL (2008-03-11), På den säkra sidan, s. 22. 48 SKL (2008-03-11), På den säkra sidan, s. 22.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
34
5 ESV:s överväganden och förslag
I detta kapitel redogör vi för de förslag till förordningsändringar som ESV har över-
vägt. Förslagen utgår från vår utredning i detta uppdrag och de bedömningar och
förslag som ESV redovisade i den tidigare rapporten Tillämpningen av förordningen
om intern styrning och kontroll (ESV 2017:65). Vi redogör också översiktligt för hur
ESV:s föreskrifter och stöd som rör intern styrning och kontroll bör utformas vid
förordningsändringarna.
De föreslagna förordningsändringarna gäller förordningen om intern styrning och
kontroll om inte annat anges. ESV:s författningsförslag redovisas i kapitel 7.
5.1 Myndighetsledningens ansvar
Förslag: I 2 § införs en bestämmelse om att intern styrning och kontroll är myndig-
hetsledningens process.
5.1.1 Bakgrund
ESV konstaterade i den tidigare rapporten att det saknas ett utpekat ansvar i förord-
ningen om intern styrning och kontroll och att det är en svaghet i förordningen.
Genom att lyfta fram myndighetsledningen förtydligas att intern styrning och
kontroll handlar om att ledningen ska kunna ta ansvar för att verksamheten bedrivs
på ett sätt som gör att myndigheten med rimlig säkerhet fullgör sina uppgifter och når
sina mål. Därmed minskas risken för att processen levererar fel (det vill säga för
mycket eller ovidkommande) information till ledningen, något som skapar en onödig
administrativ belastning på myndigheten.
ESV bedömde vidare att en process som utgår från ledningens behov kan medföra att
fler myndigheter upplever att nyttan av den interna styrningen och kontrollen över-
stiger den bedömda kostnaden av arbetet. Ett förtydligande av ansvaret för den
interna styrningen och kontrollen i förordningen bör formuleras utifrån utgångs-
punkten att myndighetsledningens ansvar även fortsättningsvis regleras i myndig-
hetsförordningen. ESV bedömde dock att det fanns ett behov av att reglera vad
processen ska generera och för vem i förordningen om intern styrning och kontroll.
5.1.2 Våra överväganden
En reglering av myndighetsledningens ansvar för processen bör placeras i anslutning
till definitionen av processen, det vill säga i andra paragrafen. Övriga paragrafer i
förordningen har inte samma helhetsperspektiv. Myndighetsledningen kan lyftas
fram genom att förtydliga att intern styrning och kontroll är myndighetsledningens
process. Det överensstämmer då med myndighetsförordningens bestämmelse att
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
35
myndighetsledningen ska säkerställa en betryggande intern styrning och kontroll.49
Ansvaret för den interna styrningen och kontrollen kommer således även fortsätt-
ningsvis att regleras i myndighetsförordningen. ESV:s förslag innebär att det i för-
ordningen om intern styrning och kontroll blir tydligare vem som äger processen för
intern styrning och kontroll och som därigenom har intresse för vilken information
processen ska ge.
ESV gör bedömningen att ett sådant förtydligande innebär att fler myndighetsled-
ningar än i dag tar ställning till och ger uttryck för vilken information de behöver för
att kunna ta ansvar för verksamheten inför regeringen. Därmed kan de funktioner
som stödjer ledningen, genom att säkerställa att ledningen får den information den
efterfrågar och behöver, fullgöra sina åligganden. ESV bedömer också att förslaget
kan bidra till att den interna styrningen och kontrollen än mer kan komma att integre-
ras och ingå i ledningen av verksamheten.
Vidare bedömer ESV att en process som utgår från ledningens behov kan medföra att
fler myndigheter upplever att nyttan av den interna styrningen och kontrollen mot-
svarar eller överstiger den bedömda kostnaden av arbetet. Om utgångspunkten är
myndighetsledningens ansvar för verksamheten inför regeringen kan mängden
information som hanteras inom processen begränsas.
5.2 En tydlig koppling till myndighetens uppgifter och
verksamhetens mål
Förslag: 2 § ändras till att intern styrning och kontroll syftar till att myndigheten med
rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål.
5.2.1 Bakgrund
I 2 § förordningen om intern styrning och kontroll framgår att intern styrning och
kontroll avser ”den process som syftar till att myndigheten med rimlig säkerhet
fullgör de krav som framgår av 3 § myndighetsförordningen”. Där framgår de så
kallade verksamhetskraven.50 Enligt ESV:s tidigare rapport är denna hänvisning vag
och oprecis. ESV gjorde bedömningen att arbetet med intern styrning och kontroll
skulle vinna på om förordningen förtydligades och att det direkt i förordningen går
att utläsa att fokus för den interna styrningen och kontrollen är vad som ska uppnås,
det vill säga myndighetens uppgift och mål.
49 4 § p. 4, Myndighetsförordning (2007:515). 50 Verksamhetskraven formuleras i 3 § myndighetsförordningen på följande sätt: Myndighetens ledning ansvarar inför
regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer
av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att
myndigheten hushållar väl med statens medel.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
36
Samtidigt påpekade ESV att det vid en sådan förändring är väsentligt att inte släppa
verksamhetskraven. Även om verksamhetskraven tydligt regleras i myndig-
hetsförordningen kan det finnas anledning att återkoppla till dem i ESV:s föreskrifter,
allmänna råd och stöd till förordningen om intern styrning och kontroll.
5.2.2 Våra överväganden
De internationella ramverken för intern styrning och kontroll pekar enhetligt på att
det är vad organisationen ska åstadkomma – det vill säga uppgifter och mål i vår
statliga kontext – som utgör grund för den interna styrningen och kontrollen (se
avsnitt 4.2). Vår jämförelse av hur intern styrning och kontroll tillämpas i andra
länder och andra sektorer ger också en likartad bild (se avsnitt 4.4 och 4.5).
Genom att i förordningen lyfta fram att syftet med den interna styrningen och kon-
trollen är att myndigheten med rimlig säkerhet fullgör sina uppgifter och når verk-
samhetens mål skapas en koppling till vad myndigheten ska åstadkomma. Det skiljer
sig från dagens reglering som fokuserar på hur myndigheten ska göra det.
Regleringen av detta berör syftet med intern styrning och kontroll och ESV bedömer
att den lämpligaste platsen att reglera denna fråga är tillsammans med definitionen av
intern styrning och kontroll, det vill säga i andra paragrafen i förordningen.
En sådan ändring medför följdändringar i 3-4 §§ förordningen om intern styrning och
kontroll samt i 4 § internrevisionsförordningen.
Det finns anledning att i ESV:s föreskrifter eller i stöd för tillämpningen av förord-
ningen definiera och förklara innebörden av uppgifter och mål.
En myndighets uppgifter och målen för verksamheten
Myndighetens uppgifter definierar vad myndigheten ska göra och vad myndigheten
får använda sina resurser till.51 Regeringen beslutar om förutsättningarna för varje
myndighets verksamhet genom myndighetens instruktion52, i årliga regleringsbrev
eller andra regeringsbeslut. Myndigheterna lyder också under generella regelverk om
ekonomisk styrning och myndigheters befogenheter. Utifrån dessa instruktioner och
begränsningar går det att utläsa myndigheters uppgift.
51 Anslagets ändamål anger vad dessa medel får användas till och anslagsvillkoren i regleringsbrevet anger de mer
detaljerade villkoren för hur myndigheten får använda anslagen. 52 För vissa myndigheter så som till exempel Diskrimineringsombudsmannen hänvisas i instruktionen till en lag där
myndighetens uppgift framgår. Myndighetens uppgift kan ändå i dessa fall härledas genom myndighetens instruktion. För
huvuddelen av universiteten och högskolorna fyller högskoleförordningen rollen som instruktion.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
37
Med mål för verksamheten avser vi i första hand de mål som regeringen har angett i
en myndighets regleringsbrev eller i annat beslut. Målen kan avse både enskilda
myndigheter och verksamheter som flera myndigheter har i uppgift att bedriva.
Det kan också finnas mer generella krav på förvaltningen som myndigheter ska
uppfylla. Vad som menas med god förvaltning och vilka de allmänna kraven på
handläggning av ärenden är framgår av förvaltningslagen (2017:900).53 Vidare har
myndigheterna att beakta de generella krav på hur myndigheters verksamhet ska
bedrivas som anges i 3 § myndighetsförordningen.
Det finns också myndigheter som sätter egna mål för sin verksamhet. I den mån
dessa mål har en tydlig koppling till myndighetens uppgifter och regeringens mål för
verksamheten kan myndighetens mål användas i processen för intern styrning och
kontroll. I de fall regeringen inte har beslutat om mål för verksamheten finns det
inget som hindrar att en myndighet använder de mål som den har tagit fram.
5.3 Reglering av intern miljö
Förslag: I 2 § görs ett tillägg om att myndighetsledningen ska upprätthålla en god
intern miljö som en del av processen för intern styrning och kontroll.
Den uppräkning av moment som görs i 2 § är onödig och bör tas bort.
5.3.1 Bakgrund
I den tidigare rapporten föreslog ESV att förordningen om intern styrning och kon-
troll bör breddas till att också omfatta momentet intern miljö. Det skulle bidra till att
förtydliga syftet med arbetet med intern styrning och kontroll. ESV bedömde att
förslaget också skulle understödja arbetet och förtydliga myndighetsledningens
ansvar för en god förvaltningskultur i staten samt utgöra en grund för arbetet mot
oegentligheter.
5.3.2 Våra överväganden
Den interna miljön anger tonen i en organisation och påverkar kontrollmedveten-
heten hos medarbetarna. Den utgör grunden för alla andra moment i den interna
styrningen och kontrollen. Därför finns det skäl att betona att intern styrning och
kontroll är mer än riskhantering. Det kan göras genom att den interna miljön
omnämns i förordningen om intern styrning och kontroll. En sådan ändring är i
enlighet med såväl internationella ramverk för intern styrning och kontroll som synen
på intern styrning och kontroll i andra länder och sektorer (se kapitel 4).
53 5-18 §§ Förvaltningslag (2017:900).
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
38
Genom att lägga till att myndighetsledningen ska upprätthålla en god intern miljö i
regleringen förtydligas också att intern styrning och kontroll är en ledningsfråga. Den
interna miljön omfattar de interna förutsättningar som påverkar en verksamhets för-
måga att fullgöra sina uppgifter och nå sina mål. Faktorer inom den interna miljön är
till exempel organisering av verksamheten, fördelning av ansvar och befogenheter,
samt den uppmärksamhet och vägledning som myndighetens ledning ger. Den inne-
fattar också sådant som ledarstil, erfarenhet och kompetens hos medarbetarna,
integritet och etik samt annat som ger uttryck för en organisations värdegrund.
Det har i vår utredning framförts synpunkter på vilket mervärde en reglering av den
interna miljön i förordningen kan ge. Vår tidigare utredning indikerar att avsaknaden
av den interna miljön i regleringen om intern styrning och kontroll har påverkat
tillämpningen av förordningen och hur arbetet med intern styrning och kontroll har
utvecklats. ESV bedömer därför att en reglering av den interna miljön i förordningen
tydliggör syftet med den interna styrningen och kontrollen. Därmed får myndig-
heterna bättre förutsättningar att mer effektivt tillämpa förordningen om intern styr-
ning och kontroll. Ytterligare ett skäl att reglera den interna miljön i förordningen om
intern styrning och kontroll är att den utgör en viktig grund för arbetet mot oegentlig-
heter i förvaltningen.
Liksom för regleringen av myndighetsledningens ansvar bedömer ESV att den lämp-
ligaste platsen att reglera denna fråga är tillsammans med definitionen av intern
styrning och kontroll, det vill säga i andra paragrafen. Vad som ingår i den interna
miljön exemplifieras nedan.
ESV bedömer vidare att uppräkningen i andra paragrafen av de moment som ska
ingå i processen är en onödig uppräkning. Uppräkningen av moment bör därför tas
bort från förordningen om intern styrning och kontroll.
Val av begrepp
ESV föreslår att myndighetsledningen ska upprätthålla en god intern miljö som en
del av processen för intern styrning och kontroll. Det har under utredningen framförts
synpunkter på att begreppet intern miljö inte är tillräckligt tydligt och att det kan leda
till en extensiv tolkning. Olika begrepp används för intern miljö, till exempel intern
kontrollmiljö och styr- och kontrollmiljö (se kapitel 4). Oavsett vilket begrepp som
används i förordningen behöver det förklaras för att underlätta förståelsen. Redan i
dag finns en förklaring till vad begreppet intern miljö kan innefatta i ESV:s ordbok
om ekonomisk styrning i staten54 (se avsnitt 4.3). ESV utgår från att det kommer att
finnas ett behov av att ytterligare förklara begreppet eftersom det beskriver en central
54 ESV 2011:9, ESV:s ordbok om ekonomisk styrning i staten, Stockholm.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
39
aspekt av och en förutsättning för en betryggande intern styrning och kontroll. Det
kan ESV göra där det är lämpligt i föreskrifter eller stöd.
ESV har i sitt tidigare stöd använt begreppet intern miljö. Begreppet intern miljö är i
linje med olika internationella ramverken för intern styrning och kontroll (se kapitel
4). Ett etablerat begrepp är också att föredra framför att införa ett helt nytt begrepp. I
de dialoger med myndigheter som ESV har haft vid genomförandet av detta uppdrag
har vi också uppfattat att medarbetare som arbetar med intern styrning och kontroll
på berörda myndigheter anser att begreppet intern miljö är att föredra framför andra
begrepp. Bland annat har företrädare för myndigheterna framfört att begreppet intern
miljö inte är lika värdeladdat, att det inte ger upphov till missuppfattningar i samma
utsträckning och att det är lättare att förklara än andra begrepp. En annan fördel med
att begreppet intern miljö kan ha en vid tolkning är att det möjliggör anpassning till
myndigheters behov. ESV föreslår därför att regeringen bör använda begreppet intern
miljö i förordningen om intern styrning och kontroll.
Den interna miljön omfattar både redan reglerade aspekter och aspekter som
inte är reglerade
Flera aspekter av den interna miljön finns redan reglerade i de förordningar som styr
hur myndigheter ska fungera, bland annat i myndighetsförordningen (se avsnitt 4.3).
Där framgår till exempel att myndighetsledningen ska besluta om en arbetsordning
som innehåller de närmare föreskrifter som behövs för myndighetens organisation,
arbetsfördelning mellan styrelse och myndighetschef, delegering av beslutanderätt
inom myndigheten, handläggning av ärenden och formerna i övrigt för verksam-
heten.55 I myndighetsförordningen regleras också andra aspekter som påverkar den
interna miljön. Där framgår bland annat att myndigheten ska se till att de anställda är
väl förtrogna med målen för verksamheten. Myndigheten ska även skapa goda
arbetsförhållanden och ta tillvara på och utveckla de anställdas kompetens och er-
farenhet. I myndighetsförordningen framgår också att myndigheten fortlöpande ska
utveckla verksamheten och att den genom samarbete med myndigheter och andra ska
ta tillvara på de fördelar som kan vinnas för enskilda samt för staten som helhet.56
Dessa aspekter i den interna miljön regleras inte på nytt i förordningen om intern
styrning och kontroll i och med ESV:s förslag.
Vissa aspekter av den interna miljön, som framför allt berör kulturen på myndig-
heten, finns däremot inte reglerade. Det finns därför anledning att lyfta fram dessa i
ESV:s föreskrifter och stöd. Det kan innebära ett större fokus på de aspekter av den
55 4 § p. 4 Myndighetsförordning (2007:515), 2 kap. 2 § p. 8 Högskoleförordning (1993:100). 56 6 och 8 §§, Myndighetsförordning (2007:515).
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
40
interna miljön som inte finns reglerade än på de som redan finns reglerade på annat
håll.
Myndighetsledningens roll för den interna miljön
En myndighets ledning har ansvaret för processen för intern styrning och kontroll,
och därmed också för den interna miljön. Myndighetens chef är dock normalt den
person som anger tonen inom myndigheten, och påverkar därmed integritet, etik och
andra faktorer i den interna miljön. I förvaltningen fullföljer myndighetens chef detta
ansvar genom sitt ledarskap. På styrelsemyndigheter har styrelsen rollen att följa upp
att myndighetschefen utövar sitt ledarskap utifrån styrelsens direktiv och riktlinjer.
Ledningsansvaret lyfts fram genom den förändring som ESV föreslår i avsnitt 5.1.
Ledningsansvaret betonas också med förslaget att myndighetsledningen ska upprätt-
hålla en god intern miljö.
Ett alternativ är en mer precis reglering av de delar av den interna miljön som i dag
inte är reglerade i någon annan förordning, det vill säga etiska värden. Vi har därför i
utredningen övervägt en formulering om att myndighetsledningen ska ge uttryck för
de etiska värden som myndigheten och dess medarbetare förväntas upprätthålla. ESV
har efter överväganden valt det mer övergripande begreppet intern miljö. Det begrep-
pet ger myndighetsledningen större möjlighet att välja vad och hur den interna
miljöns roll ska betonas i myndighetens interna styrning och kontroll.
5.4 Arbetet mot oegentligheter och förordningen om intern
styrning och kontroll
Förslag: I 2 § görs ett tillägg om att processen för intern styrning och kontroll ska
bedrivas så att verksamheten skyddas mot korruption, otillbörlig påverkan, bedrägeri
eller annan oegentlighet.
5.4.1 Bakgrund
I förordningen om intern styrning och kontroll finns inte någon skrivning om att
arbetet ska bidra till att motverka oegentligheter i verksamheten. Oegentligheter
nämns däremot i ett allmänt råd till förordningen.
Av ESV:s tidigare rapport framgår att arbetet mot oegentligheter endast får ett be-
gränsat stöd genom arbetet med riskanalyser. I rapporten gjorde ESV därför bedöm-
ningen att arbetet mot oegentligheter skulle vinna på att det tydligare framgår att ett
av syftena med den interna styrningen och kontrollen är att motverka otillbörlig på-
verkan, bedrägeri eller annan oegentlighet. En sådan koppling bör kunna göras direkt
i förordningstexten. En reglering i förordningen ger också ESV större möjlighet att i
föreskrifter och övrigt stöd arbeta vidare med frågor som rör oegentligheter.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
41
ESV har också under arbetet med den tidigare rapporten noterat att inte alla myndig-
heter har integrerat arbetet med oegentlighetsrisker med det förordningsreglerade
riskarbetet. Det indikerar att det behövs ett ökat yttre tryck i frågan och då kan en
förordningsreglering styra myndigheterna i önskad riktning.
5.4.2 Våra överväganden
Vår utredning visar att det finns skäl att reglera arbetet mot oegentligheter i förord-
ningen om intern styrning och kontroll. Att området i dag enbart regleras som ett
allmänt råd innebär en svagare styrning av myndigheterna. Vi uppfattar också att det
har skett en förskjutning i synen på risken för oegentligheter i förvaltningen, där det i
dag bedöms mer sannolikt att myndigheter kan utsättas för olika typer av oegentlig-
heter. Med anledning av den skada som oegentligheter kan få bland annat på allmän-
hetens förtroende för förvaltningen finns det skäl till en tvingande reglering i förord-
ningen om intern styrning och kontroll. En sådan reglering skulle tydliggöra kopp-
lingen mellan den interna styrningen och kontrollen och arbetet mot oegentligheter.
Det kan också medföra att arbetet med oegentligheter kommer att bedrivas mer
systematiskt.
Som framgår av avsnitt 5.3 finns det kopplingar mellan den interna miljön i en
organisation och arbetet mot oegentligheter. Den interna miljön påverkar till exempel
möjligheterna i en organisation att motverka oegentligheter (se avsnitt 4.3). Det kan
därför finnas anledning för ESV att i vårt stöd till myndigheterna ta upp samspelet
mellan den interna miljön och arbetet mot olika typer av oegentligheter.
Val av begrepp
Regeringen har definierat korruption som att utnyttja en offentlig ställning för att
uppnå en otillbörlig vinning för sig själv eller andra.57 Det är också vanligt att be-
greppet korruption används som ett samlingsbegrepp för olika oegentligheter. I
Sverige har vi författningsreglerat företeelser som räknas till korruption, som till
exempel tagande och givande av muta i brottsbalken, bisysslor och disciplinansvar i
lagen (1994:260) om offentlig anställning och jäv i förvaltningslagen.
ESV har i föreskrifter och stöd till myndigheter använt begreppen otillbörlig påver-
kan, bedrägeri eller annan oegentlighet, med oegentligheter som samlande begrepp.
ESV använder begreppet oegentligheter som ett generellt begrepp för en vid grupp
oönskade beteenden som även inbegriper korruption och förtroendeskadliga
ageranden som exempelvis avsiktliga eller oavsiktliga fel i beslutsfattande eller
57 Skrivelse 2012/13:167, Riksrevisionens rapport om statliga myndigheters skydd mot korruption, Stockholm:
Socialdepartementet.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
42
myndighetsutövning.58 I ESV:s vägledning Oegentligheter och intern styrning och
kontroll (ESV 2016:24) finns exempel på sådana oönskade beteenden.
Statskontoret har bland annat i uppgift att främja arbetet för en god förvaltningskultur
i staten. Inom ramen för detta har Statskontoret under 2017 fått i uppdrag att utveckla
och intensifiera arbetet med att upptäcka och förebygga korruption och andra
oegentligheter.59 Statskontoret använder i sitt arbete flera begrepp som är nära
besläktade: korruption, oegentlighet och allvarliga missförhållanden.60
Vi har övervägt att begränsa uppräkningen i förordningen om intern styrning och
kontroll till ”korruption eller annan oegentlighet”. En sådan skrivning är kortare och
har större likheter med Statskontorets användning av begreppen. Samtidigt kan det
tolkas snävare jämfört med en uppräkning av alla fyra begrepp. För att säkerställa att
myndigheterna beaktar alla dessa i den interna styrningen och kontrollen är det
viktigt att en förordningsreglering omfattar flera begrepp då dessa är närliggande
men inte synonyma. Därför föreslår ESV att lydelsen i förordningen om intern styr-
ning och kontroll omfattar korruption, otillbörlig påverkan, bedrägeri eller annan
oegentlighet.
5.5 Bredare fokus för riskanalysen
Förslag: 3 § ändras så att en riskanalys ska göras i syfte att identifiera omständigheter
som utgör väsentlig risk för att myndigheten inte fullgör sina uppgifter eller når verk-
samhetens mål. Riskanalysen får även beakta omständigheter som ger ökad möjlig-
het att fullgöra myndighetens uppgifter och nå verksamhetens mål.
5.5.1 Bakgrund
ESV har i sin tidigare rapport konstaterat att nuvarande förordning begränsar risk-
analysen till risker med negativ konsekvens för verksamheten. Av kartläggningen
framkommer att flera myndigheter har pekat på att begränsningen kan skapa en
ineffektivitet i arbetet när arbetet med intern styrning och kontroll integreras med
andra verksamhetsstyrningsprocesser. Från myndigheterna finns en önskan att arbetet
med intern styrning och kontroll också bör ge möjlighet att hantera positiva effekter
av ett agerande.
5.5.2 Våra överväganden
Vår utredning visar att det finns skäl att i förordningen om intern styrning och kon-
troll möjliggöra ett bredare fokus för myndigheternas riskanalyser. Det kan man göra
58 ESV 2016:24, Vägledning. Oegentligheter och intern styrning och kontroll, Stockholm, s. 10. 59 Regeringsbeslut, Fi2017/01595/SFÖ, Uppdrag till Statskontoret att stärka arbetet mot korruption och andra
oegentligheter i statsförvaltningen. 60 Statskontoret (2017), Ett stärkt arbete mot korruption och andra oegentligheter i statsförvaltningen (dnr 2017/130-5),
Stockholm.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
43
genom att ändra 3 § förordningen om intern styrning och kontroll. För att möjliggöra
ett bredare fokus i myndigheternas riskanalys har vi övervägt förändringar av såväl
begreppet riskanalys som riskanalysens inriktning.
Riskanalys som begrepp
Begreppet risk är centralt för riskanalysen och begreppet har olika betydelser i olika
internationella standarder (se kapitel 4). I COSO:s ramverk Internal Control definie-
ras risk som ”the possibility that an event will occur and adversely affect the achieve-
ment of objectives”61, där den negativa innebörden av risk framgår av att det som
inträffar hindrar (engelska: adversely affect) en organisation från att nå sina mål.
I COSO:s ERM-ramverk utgår man i stället från att alla organisationer möter osäker-
het, där osäkerhet kan ses som antingen risker (engelska: risks) eller möjligheter
(engelska: opportunities), eller som både och.62 Dubbelheten i risk-begreppet åter-
finns också inom ISO, där begreppet risk ses som något som kan vara positivt eller
negativt. ISO definierar begreppet risk som ”osäkerhetens effekt på mål” där en
effekt är en avvikelse, positiv eller negativ, från det förväntade.63
Även om det internationellt finns exempel på ramverk som fyller begreppet risk med
både en positiv och en negativ betydelse har ordet i en svensk kontext avsett risk i
negativ mening, som något oönskat. Det märks till exempel i följande definition av
risk, där risk beskrivs som ”den samlade bedömningen av sannolikheten för en
oönskad händelse och konsekvensen om händelsen skulle inträffa”.64
Mot den bakgrunden har vi i vår utredning övervägt såväl att behålla begreppet risk-
analys som att ändra det till det mer neutrala analys. Analys skulle tydliggöra att
myndigheterna kan beakta såväl positiva som negativa omständigheter. Av vår
tidigare kartläggning framgår också att begreppet risk kan vara svårt att förstå utanför
den ofta mindre krets på en myndighet som arbetar med intern styrning och kontroll.
Riskanalys är emellertid ett etablerat begrepp och det har under vår utredning fram-
förts flera önskemål om att begreppet ska användas även framöver. I de fall man i
våra externa kontakter har framfört kritik mot en breddning av riskanalysen har kriti-
ken ofta förklarats av en ovilja att byta ut begreppet riskanalys. Att behålla begreppet
är en signal om att risker i negativ mening även fortsättningsvis måste ingå i myndig-
heternas riskanalys. Sammantaget gör ESV därför bedömningen att begreppet
riskanalys även fortsatt bör användas.
61 COSO (2013), Internal Control – Integrated Framework, kapitel 6. 62 COSO (2004), Enterprise Risk Management – Integrated Framework, Executive Summery, s. 4. 63 ISO (2009), Riskhantering – Principer och riktlinjer, 31000:2009, avsnitt 2.1. 64 Wikland, T (2011), Intern styrning och kontroll – både lönsamt och säkert, FAR akademi AB, Stockholm, s. 19.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
44
Riskanalysens omfattning
Enligt nuvarande lydelse i förordningen om intern styrning och kontroll ska myndig-
heter göra en riskanalys för att identifiera omständigheter som utgör risk för att
kraven inte fullgörs, det vill säga en avgränsning till de negativa riskerna. En bredare
ansats i myndigheternas riskanalyser kan möjliggöras genom en skrivning som om-
fattar vad som ska respektive får beaktas i myndighetens riskanalys. I stället för att
identifiera omständigheter som utgör risk för att verksamhetskraven i myndighets-
förordningen inte fullgörs, ska riskanalysen framöver göras i syfte att identifiera
omständigheter som utgör risk för att myndigheten inte fullgör sina uppgifter och når
verksamhetens mål.
Samtidigt får myndigheterna även beakta omständigheter som ger myndigheten ökad
möjlighet att fullgöra uppgifterna och nå målen. En sådan mer öppen skrivning för-
tydligar för myndigheterna att riskanalysen kan omfatta omständigheter som kan vara
negativa, positiva eller både och. Det kan i sin tur underlätta integreringen av
riskanalysen i myndighetens övriga arbete med planering och uppföljning.
Den föreslagna skrivningen innebär inte att alla myndigheter ska identifiera både
negativa och positiva omständigheter. Det skulle vara att öka kraven på myndig-
heterna. I stället syftar formuleringen till att ge myndigheterna utrymme att verksam-
hetsanpassa riskanalysen utifrån de egna önskemålen och behoven. Det kan också
underlätta för myndigheten att integrera den interna styrningen och kontrollen i övrig
ledning av verksamheten, eftersom analysen inte endast begränsas till negativa
omständigheter. En negativ följd av en bredare omfattning på riskanalysen skulle
kunna bli att riskerna reduceras i betydelse om riskanalysen också omfattar möjlig-
heter. Av den anledningen är det viktigt att myndigheterna inte bortser från de
negativa omständigheterna i sina framtida riskanalyser. Därför ser vi behov av att i
vår översyn av ESV:s föreskrifter och stöd till denna paragraf betona att omständig-
heter som negativt kan påverka myndighetens förmåga ska finnas med i riskanalysen.
De myndigheter som så önskar får kombinera analysen med positiva omständigheter.
I avsnitt 5.2 föreslår ESV en ändring i 2 § förordningen om intern styrning och kon-
troll så att den interna styrningen och kontrollen syftar till att myndigheten med
rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål. Även det förslaget
bidrar till ett bredare innehåll i myndigheternas riskanalys.
Samtidigt är det viktigt att riskanalysen avser det som är väsentliga risker på respek-
tive myndighet. Det är något som kan förtydligas genom att lägga till begreppet
väsentlig i förordningstexten. Med väsentliga risker65 menar ESV risker som
65 Väsentlig är ett begrepp som också förekommer i 2 kap. 4 § 4 stycket förordningen om årsredovisning och
budgetunderlag. Där framkommer att myndigheten i årsredovisningen ska lämna information om andra förhållanden av
väsentlig betydelse för regeringens uppföljning och prövning av verksamheten.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
45
påverkar myndighetsledningens ansvar för verksamheten inför regeringen. Det vill
säga framför allt de risker som är relevanta för regeringens uppföljning och prövning
av verksamheten. Till väsentliga risker hör också sådana andra risker som myndig-
hetsledningen är intresserad av att följa upp utifrån sitt ansvar för verksamheten inför
regeringen.
5.6 Ändring av begreppet kontrollåtgärder
Förslag: Begreppet kontrollåtgärder ändras till åtgärder i rubriken till 4 §.
5.6.1 Bakgrund
I ESV:s tidigare kartläggning framkommer att myndigheterna har önskemål om
förändringar av vissa begrepp i förordningen om intern styrning och kontroll. Det
handlar bland annat om begreppet kontrollåtgärder, som myndigheterna uppfattar
som begränsande och svårt att förstå.
5.6.2 Våra överväganden
Kontrollåtgärder regleras i 4 § förordningen om intern styrning och kontroll. Där
framgår följande under rubriken Kontrollåtgärder: ”Med ledning av riskanalysen
skall åtgärder vidtas som är nödvändiga för att de krav som framgår av 3 § myndig-
hetsförordningen (2007:515) skall fullgöras med rimlig säkerhet.”
I den nuvarande lydelsen används begreppet kontrollåtgärder i paragrafens rubrik
medan begreppet åtgärder används i författningstexten. Ett sätt att öka tydligheten är
att använda samma begrepp i såväl rubrik som författningstext. Eftersom begreppet
kontrollåtgärder enligt ESV:s tidigare kartläggning kan vara svårt att förstå för de
myndigheter som ska tillämpa förordningen finns det skäl att ändra rubriken och
genomgående använda begreppet åtgärder.
Den föreslagna ändringen av begreppet innebär en anpassning till praktiken och kan
bidra till en samordning mellan verksamhetsplanering och arbetet med intern styr-
ning och kontroll.
I avsnitt 5.2 har ESV föreslagit en ändring av syftet med processen för intern styr-
ning och kontroll. ESV ser därför skäl till en följdändring i fjärde paragrafen. De
åtgärder som myndigheterna ska vidta med anledning av genomförd riskanalys bör
alla syfta till att bidra till att myndigheten med rimlig säkerhet fullgör sina uppgifter
och når verksamhetens mål.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
46
5.7 Kravet på dokumentation får ett syfte
Förslag: Kravet på dokumentation i 6 § ändras så att riskanalys och åtgärder ska
dokumenteras i den utsträckning som myndigheten behöver för uppföljning och
bedömning av om det finns en betryggande intern styrning och kontroll.
5.7.1 Bakgrund
ESV har i sin tidigare rapport konstaterat att syftet med dokumentationen av den
interna styrningen och kontrollen i den nuvarande regleringen är oklar. Doku-
mentationskravet har av många myndigheter i ESV:s kartläggning lyfts fram som en
belastning för verksamheten. Andra myndigheter delar inte denna uppfattning. ESV
gjorde bedömningen att ett angivet syfte med dokumentationskravet kan hjälpa
myndigheterna att bättre hitta en nivå för sin dokumentation av arbetet med intern
styrning och kontroll. ESV föreslog därför att förordningen ändras så att doku-
mentationen ska utgöra ett underlag för bedömningen av om det på myndigheten
finns en betryggande intern styrning och kontroll.
5.7.2 Våra överväganden
Det finns anledning att ändra förordningens krav på dokumentation för att ge förut-
sättningar för en mer ändamålsenlig dokumentation. Den föreslagna ändringen består
av två delar. För det första handlar det om att tydliggöra vad som måste finnas
dokumenterat, enligt vår mening riskanalys och åtgärder. För det andra handlar det
om att det är myndigheten som ska avgöra i vilken omfattning riskanalysen och
åtgärderna behöver dokumenteras för att myndigheten ska kunna följa upp och
bedöma den interna styrningen och kontrollen.
Avsikten med ESV:s förslag är inte att ta bort kravet på dokumentation utan att tyd-
liggöra syftet med dokumentationen. Det kan innebära att omfattningen av doku-
mentationen begränsas vilket i sin tur kan minska den belastning som många myn-
digheter upplever. En minskad omfattning har också av berörda myndigheter upp-
fattats som positivt i de kontakter vi har haft under utredningens gång. Bland annat
har man framfört att det kommer att minska arbetsbördan och leda till en förenklad
process för myndigheterna. Vårt förslag påverkar inte andra bestämmelser som
reglerar dokumentation på myndigheterna.
Samtidigt har några myndigheter pekat på risker med detta förslag, om det skulle
medföra att myndigheterna inte dokumenterar de olika momenten i förordningen i
tillräcklig utsträckning. I det fallet skulle en ändring av förordningens doku-
mentationskrav kunna innebära att myndighetens interna styrning och kontroll tappar
i transparens och spårbarhet. Det har också framförts att möjligheten för revision och
annan granskning kan påverkas i den mån som den sträcker sig utanför vad som
framgår av myndighetsledningens behov av dokumentation. Även Riksrevisionen har
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
47
framfört att ett ändrat dokumentationskrav kommer att leda till bristande kontinuitet
samt varierande kvalitet och omfattning i myndigheternas interna styrning och kon-
troll. Enligt Riksrevisionen ska det framgå av förordningen att dokumentationskravet
omfattar risker, åtgärder, uppföljning och bedömning, det vill säga en reglering lik-
nande dagens förordning.
Mot bakgrund av de synpunkter som framkommit under utredningen har ESV valt att
inte föreslå en formulering som innebär att det är helt upp till myndigheten att avgöra
dokumentationens omfattning. ESV:s förslag till förordningsändring syftar till en av-
vägning mellan myndigheternas önskemål om att minska kraven på dokumentation
och revisionens önskemål om vad som ska dokumenteras. Därför innebär ESV:s
förslag att det tydligt framgår att kravet på dokumentation i förordningen omfattar
riskanalys och åtgärder. Förordningsändringen kan också vid behov kombineras med
föreskrifter från ESV om dokumentationskraven av den interna styrningen och kon-
trollen.
5.8 Samma period för bedömningen som för
årsredovisningen i övrigt
Förslag: 2 kap. 8 § förordningen om årsredovisning och budgetunderlag ändras så att
myndighetsledningens bedömning av den interna styrningen och kontrollen avser
samma period som årsredovisningen avser.
5.8.1 Bakgrund
ESV har i den tidigare rapporten föreslagit att myndighetsledningens bedömning av
intern styrning och kontroll bör avse samma period som årsredovisningen i övrigt.
Det kan uppnås genom att ändra förordningen om årsredovisning och budget-
underlag. Med en sådan ändring får regeringen ett bättre underlag för att följa upp
om myndighetens process för intern styrning och kontroll har fungerat betryggande
för den period som årsredovisningen avser.
5.8.2 Våra överväganden
Enligt den nuvarande lydelsen i förordningen om årsredovisning och budgetunderlag
ska myndighetens ledning i anslutning till underskriften av årsredovisningen lämna
en bedömning av huruvida den interna styrningen och kontrollen är betryggande. Det
innebär att utlåtandet är en nulägesbedömning vid tillfället då den lämnas. Det är
något som skiljer detta utlåtande från övrig information som lämnas i årsredovis-
ningen som gäller den period som årsredovisningen avser, ofta det föregående
verksamhetsåret.
I ESV:s utredning har vi erfarit att Regeringskansliets myndighetshandläggare
uppfattar Riksrevisionens granskning av årsredovisningen som en kvalitetssäkring av
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
48
myndigheternas arbete med intern styrning och kontroll. Riksrevisionen har dock
svårt att genomföra en sådan granskning av den interna styrningen och kontrollen
och hur den har påverkat den verksamhet som myndigheten har redovisat i årsredo-
visningen, eftersom dagens bedömning avser en annan tidpunkt än den tidsperiod
som årsredovisningen avser.
Myndigheternas utlåtande om den interna styrningen och kontrollen utgör ett under-
lag till regeringens uttalande till EU. Regeringens uttalande baseras på myndigheter-
nas räkenskaper, förvaltningsförklaring om EU-medel och myndigheternas bedöm-
ning av den interna styrningen och kontrollen i årsredovisningen.66 Även i det per-
spektivet kan det vara problematiskt att tidpunkten för myndigheternas bedömning av
intern styrning och kontroll skiljer sig från den tidsperiod som årsredovisningen
avser.
Enligt ESV:s uppfattning kan de problem som den nuvarande formuleringen i förord-
ningen skapar lösas dels genom att förändra tempus i förordningen från är till har
varit, dels genom att ange att myndighetens utlåtande om den interna styrningen och
kontrollen omfattar hela den period som årsredovisningen avser.
Med en sådan ändring får regeringen underlag för att följa upp om myndighetens
process för intern styrning och kontroll har fungerat betryggande för den period som
årsredovisningen avser. Förändringen ger också Riksrevisionen en möjlighet att
granska den interna styrningen och kontrollen i relation till vad som i övrigt har
redovisats i årsredovisningen.
ESV lämnar årligen en redovisning av den statliga internrevisionen och myndigheter-
nas interna styrning och kontroll till regeringen. Av de uppföljningar som ESV har
gjort sedan 2009 av myndigheters bedömningar av den interna styrningen och kon-
trollen och den utredning som ligger till grund för denna rapport framgår att flera
myndigheter redan i dag lämnar en redovisning av hur den interna styrningen och
kontrollen har varit. Den föreslagna regleringen är alltså en kodifiering av detta.
Förslaget kommer därför att påverka myndigheter olika mycket. För vissa myndig-
heter innebär den endast att regleringen stämmer överens med hur de redan redovisar
medan andra myndigheter kommer att behöva redovisa brister som åtgärdats under
året för att säkerställa en betryggande intern styrning och kontroll.
Den föreslagna förordningsändringen medför att ESV behöver se över föreskrifter,
allmänna råd och det stöd som myndigheterna erbjuds. I våra kontakter med myndig-
heter inom ramen för detta regeringsuppdrag har vi därför även översiktligt
diskuterat en förändring av utformningen av föreskrifterna till denna paragraf. Av
66 Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 av den 25 oktober 2012 om finansiella regler för
unionens allmänna budget och om upphävande av rådets förordning (EG, Euratom) nr 1605/2002, artikel 59.
ESV:S ÖVERVÄGANDEN OCH FÖRSLAG
49
dagens föreskrifter framgår att myndigheter som inte bedömer att den interna
styrningen och kontrollen är betryggande ska redovisa de brister som finns i den
interna styrningen och kontrollen. En sådan information kan fortsatt vara intressant
för till exempel regeringen som mottagare av årsredovisningen. Vid en förordnings-
ändring, där myndigheten bedömer hur den interna styrningen och kontrollen har
varit under den period som årsredovisningen avser, finns det dock anledning för ESV
att överväga föreskrifternas innehåll. I detta arbete ingår att överväga om information
om brister är fortsatt intressant, alternativt om den bör ersättas eller kombineras med
information om de åtgärder som myndigheten har vidtagit utifrån de brister som
funnits i den interna styrningen och kontrollen.
5.9 Följdändringar i andra förordningar
Förslag: I 4 § internrevisionsförordningen görs en ändring så att internrevisionen ska
granska om ledningens interna styrning och kontroll är utformad så att myndigheten
med en rimlig säkerhet fullgör sina uppgifter och når verksamhetens mål.
5.9.1 Våra överväganden
ESV:s uppdrag omfattar att vid behov lämna förslag till följdändringar i andra för-
fattningar. Vi har i vår utredning sett behov av en följdändring i internrevisions-
förordningen.
Den föreslagna ändringen i 2 § förordningen om intern styrning och kontroll medför
en följdändring i 4 § internrevisionsförordningen. Ändringen består i att syftet med
processen för intern styrning och kontroll ändras från att hänvisa till 3 § myndighets-
förordningen till att referera till verksamhetens mål och uppgifter.
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
50
6 Konsekvenser för myndigheter,
Regeringskansliet och Riksrevisionen
I vårt uppdrag ingår att utreda vilka konsekvenser ESV:s förslag till förordningsänd-
ringar får för myndigheterna. Vi har valt en bred tolkning av begreppet myndigheter
och redovisar i detta kapitel de konsekvenser för internrevisionsmyndigheterna,
Regeringskansliet och Riksrevisionen som framförts under vårt arbete med uppdra-
get.
6.1 Konsekvenser för myndigheternas arbete med intern
styrning och kontroll
Få myndigheter kan kvantifiera kostnaderna för tillämpningen av förordningen om
intern styrning och kontroll.67 Mot den bakgrunden har ESV bedömt att det inte har
varit möjligt att samla in kvantitativa uppgifter från alla internrevisionsmyndigheter
om vilka kostnadsförändringar ESV:s förslag till förordningsändringar kan innebära.
Däremot har förslagens kostnadsmässiga och andra konsekvenser diskuterats i våra
olika kontakter med internrevisionsmyndigheterna. I detta avsnitt sammanfattar vi
vår analys av vilka konsekvenser som ESV:s förslag bedöms medföra.
6.1.1 Konsekvenserna av förordningsändringarna som helhet
Myndigheterna bedömer att förslagens samlade påverkan blir relativt liten och att de
ändringar som förslagen medför ryms inom myndigheternas nuvarande arbetssätt och
processer. Därmed bedöms inte heller förslagen medföra någon större kostnads-
mässig påverkan som till exempel påverkar myndigheternas anslag.
Enligt myndigheterna innebär de föreslagna förändringarna att vissa skrivningar i
förordningen om intern styrning och kontroll blir öppnare, något som i sin tur ger
myndigheterna ett tolkningsutrymme. Initialt kan därför myndigheterna behöva
avsätta tid för att diskutera och tolka förändringarna utifrån den egna verksamhetens
förutsättningar. En möjlig konsekvens av att tolkningsutrymmet ökar är att myndig-
hetsledningar önskar höja ambitionen i arbetet med den interna styrningen och kon-
trollen. Ambitionshöjningen kan i sin tur påverka myndighetens kostnader, dock inte
i en sådan omfattning att det bedöms påverka myndigheternas anslagsram.
6.1.2 De enskilda förslagens konsekvenser
I detta avsnitt redogör vi för de konsekvenser som respektive förslag bedöms få för
internrevisionsmyndigheterna.
67 ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll, Stockholm.
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
51
Myndighetsledningens process
Förslaget innebär inte någon ändring i sak och bedöms därmed inte innebära några
större konsekvenser för myndigheterna. En majoritet av de myndigheter vi har träffat
bedömer att ändringen inte kommer att påverka omfattningen av arbetet med intern
styrning och kontroll.
Uppgifter och mål som utgångspunkt för den interna styrningen och
kontrollen
I våra myndighetskontakter har den föreslagna ändringen genomgående bedömts få
positiva konsekvenser. Till exempel har det framförts att förslaget gör det lättare att
integrera den interna styrningen och kontrollen med planering och uppföljning av
verksamheten, något som ses som positivt. I relation till medarbetare i verksamheten
bedöms denna ändring medföra ett förtydligande av vad den interna styrningen och
kontrollen syftar till. Vissa myndigheter har framfört att förslaget kan kräva att myn-
digheten behöver göra en ny tolkning av regleringen för att anpassa tillämpningen till
den enskilda myndigheten. I detta sammanhang kan förklaringar av nyckelbegrepp
som uppgifter och mål i ESV:s föreskrifter, allmänna råd och rådgivning vara ett
stöd. Myndigheterna bedömer dock att behovet av tolkning inte medför någon
kostnadsmässig påverkan.
Förordningen kompletteras med en reglering av den interna miljön
Den interna miljön ingår redan i flera myndigheters arbete med förordningen om
intern styrning och kontroll, exempelvis i de fall myndigheten arbetar utifrån
COSO:s modeller. För dessa myndigheter innebär inte förslaget någon ändring.
Flera myndigheter har framfört att begreppet intern miljö medför ett tolknings-
utrymme som ESV behöver hantera i föreskrifter och stöd. I sammanhanget har
några myndigheter framfört att det blir viktigt hur Riksrevisionen kommer att tolka
begreppet, samt att man ser en risk i att myndigheten och Riksrevisionen kan komma
att göra olika tolkningar. ESV:s föreskrifter, allmänna råd och rådgivning får även
här en roll.
Sammantaget bedöms förslaget inte få några större kostnadsmässiga konsekvenser
för myndigheterna.
Arbetet mot oegentligheter regleras i förordningen
I dagens reglering finns ett allmänt råd till bestämmelsen om riskanalys i 3 § förord-
ningen om intern styrning och kontroll. Av det allmänna rådet framgår att en
myndighet som bedömer att verksamheten kan komma att utsättas för otillbörlig
påverkan, bedrägeri eller annan oegentlighet ska vidta åtgärder. I många myndig-
heters arbete med intern styrning och kontroll ingår redan risken för oegentligheter.
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
52
Trots det bedömer myndigheterna att en reglering i förordningen om intern styrning
och kontroll kan få en positiv effekt, då den kan fungera som en ”hävstång” i
myndigheternas fortsatta arbete. Arbetet mot olika typer av oegentligheter kan också
komma att bedrivas mer systematiskt med en reglering i förordningen. Myndig-
heterna bedömer vidare att det tillägg som detta förslag innebär inte medför några
ökade kostnader för myndigheterna, eller möjligtvis får en begränsad kostnadsmässig
påverkan.
För den myndighet som i den interna styrningen och kontrollen inte alls har hanterat
risker för oegentligheter är det rimligt att anta att kostnaderna kan påverkas i något
större omfattning. Det kan till exempel handla om att ta fram nya policydokument
eller att hantera nya aspekter i riskanalysen. Samtidigt har våra myndighetskontakter
visat att myndigheterna samlat ser positivt på denna förändring, något som indikerar
att nyttan av förändringen torde vara större än kostnadsökningen.
Breddad riskanalys
Många myndigheter arbetar redan med en bredare ansats i riskanalysen, och för dessa
kommer denna ändring inte att innebära någon skillnad. Den föreslagna skrivningen
innebär inte heller något utökat krav, eftersom förslaget innebär en valmöjlighet. Det
är något som myndigheterna har uppskattat i de diskussioner vi har haft inom ramen
för detta regeringsuppdrag.
Vi har under uppdraget prövat alternativa skrivningar för regleringen av riskanalysen
i förordningen. I det sammanhanget har flera myndigheter framfört att en ändring
som innebär att riskanalysen omfattar omständigheter som både positivt och negativt
påverkar myndighetens förmåga skulle medföra ett mer omfattande arbete med risk-
analysen. Samtidigt syftar inte förslaget till att tvinga myndigheterna att inkludera
positiva aspekter, utan riskanalysens utformning ska kunna anpassas till verksam-
hetens önskemål och behov och därmed bidra till att den interna styrningen och
kontrollen kan integreras i ledningen av verksamheten.
Det har också framförts att en breddad riskanalys som även fångar möjligheter kan
medföra att de negativa riskerna inte står i fokus på samma sätt. Därmed skulle
myndighetsledningen kunna få ett sämre underlag för sin bedömning. Samtidigt
föreslår ESV ett förtydligande om att det är myndighetsledningens process för intern
styrning och kontroll. Riskanalysens inriktning blir därmed också något som ska
svara mot myndighetsledningens behov.
Kontrollåtgärder föreslås bli åtgärder
Myndigheterna ser positivt på en förändring av begreppet kontrollåtgärder till åtgär-
der. De bedömer att förändringen kommer att förenkla och underlätta arbetet, bland
annat då det är ett begrepp som är lättare att kommunicera inom myndigheten.
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
53
Förändrade krav på dokumentationen
De flesta myndigheter ser positivt på den föreslagna förändringen av kraven på
dokumentation, då det ger myndigheterna utrymme att själva bedöma omfattningen
av dokumentationen. I det sammanhanget har det också förts fram en oro för att
myndigheterna och Riksrevisionen kan komma att göra olika bedömningar av vilken
dokumentation som krävs. Det är myndigheten som avgör dokumentationens omfatt-
ning. Riksrevisionen kan dock bedöma att dokumentationen är otillräcklig.
Bedömningens period
Myndigheterna ska enligt förordningen om intern styrning och kontroll systematiskt
och regelbundet följa upp och bedöma den interna styrningen och kontrollen. Intern-
revisionen ska vidare lämna förslag till förbättringar i myndigheternas interna styr-
ning och kontroll. Samlat utgör detta underlag till myndigheternas bedömning av den
interna styrningen och kontrollen. Detta underlag möjliggör också för myndigheten
att göra en bedömning om den interna styrningen och kontrollen har varit betryg-
gande under året, likväl som att den är betryggande vid årsredovisningens
undertecknande. ESV:s förslag kan med andra ord börja tillämpas i den årsredovis-
ning som lämnas direkt efter att förordningsändringarna har trätt i kraft.
Våra kontakter med myndigheterna visar också att förslaget innebär en kodifiering av
praxis för många myndigheter. För dessa bedöms förslaget inte medföra några större
skillnader i arbetssätt. Den samlade uppfattningen från de myndigheter som ESV har
träffat är att förslaget innebär en mer enhetlig årsredovisning, vilket är positivt.
Arbetssättet hos de myndigheter som tidigare har följt upp den interna styrningen och
kontrollen vid enbart ett tillfälle per år bedöms däremot påverkas i större omfattning.
Flertalet myndigheter bedömer dock att omfattningen av deras arbete inte kommer att
påverkas av förändringen.
Inför ESV:s fortsatta arbete med föreskrifter och allmänna råd har vissa myndigheter
framfört att en eventuell ändring från redovisning av brister till åtgärder kan vara
kostnadsdrivande.
Följdändring i internrevisionsförordningen
Det har framförts att följdändringen i internrevisionsförordningen, där hänvisningen
till 3 § myndighetsförordningen tas bort, kan påverka internrevisionens arbete. ESV:s
förslag innebär emellertid inte ett ändrat uppdrag för internrevisionen, som även fort-
satt ska granska och föreslå förbättringar av ledningens interna styrning och kontroll.
6.2 Konsekvenser för regeringens uppföljning och prövning
I detta avsnitt redogör vi för de konsekvenser som ESV:s förslag kan få för
regeringen och Regeringskansliet.
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
54
6.2.1 Konsekvenser av förordningsändringarna som helhet
En konsekvens av de samlade föreslagna förändringarna är att regeringen kommer att
få ett delvis annat underlag från myndigheterna. Informationen till Regeringskansliet
från myndigheterna bedöms både kunna bli något mer omfattande och mer använd-
bar med de förändringar som vi föreslår. Ett mer omfattande underlag kan komma att
kräva mer tid för Regeringskansliet att analysera.
En följd av de föreslagna förordningsändringarna kan bli att både myndigheterna och
Regeringskansliet kortsiktigt behöver lägga extra resurser på att implementera det
nya arbetssättet. Bedömningen är dock att det på sikt kommer att få positiva konse-
kvenser.
6.2.2 De enskilda förslagens konsekvenser
I vår dialog med Regeringskansliet har företrädare särskilt lyft fram konsekvenser
med anledning av de föreslagna förändringarna i 2 och 6 §§ förordningen om intern
styrning och kontroll och i 2 kap. 8 § förordningen om årsredovisning och budget-
underlag.
Myndighetsledningen, uppgifter och mål
Företrädare för Regeringskansliet ser positivt på att förtydliga myndighetsledningens
roll för den interna styrningen och kontrollen. Man ser dock att det finns en risk att
kopplingen till kraven i myndighetsförordningen inte blir lika tydlig i och med den
föreslagna ändringen till uppgifter och mål.
Breddad riskanalys
Ur regeringens perspektiv är det viktigt att de negativa riskerna finns med i myndig-
heternas riskanalyser. Enligt företrädare för departementen innebär den föreslagna
förändringen inte någon skillnad i det avseendet. I de fall en myndighet väljer att
bredda sin riskanalys till att även omfatta positiva omständigheter kan det innebära
att departementen får ett större material att hantera.
Förändrade krav på dokumentation
Företrädare för Regeringskansliet har framfört några tänkbara konsekvenser av ett
förändrat dokumentationskrav. För berörda myndigheter skulle det kunna förenkla
och innebära minskad administration, samtidigt som man förlorar i transparens och
spårbarhet om det skulle vara helt upp till myndigheten att avgöra dokumentationens
omfattning. Myndigheternas dokumentation, till exempel riskanalysen, utgör ett
viktigt underlag för den analyspromemoria som departementet tar fram för varje
myndighet inför den årliga myndighetsdialogen. Det är också en nackdel för Rege-
ringskansliet om förändringar i kravet på dokumentation försvårar revision.
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
55
Bedömningens period
Förändringen får positiva konsekvenser för regeringen eftersom det ger ett mer
användbart underlag för uppföljning och prövning av myndigheterna än i dag.
Särskilt tydligt blir det om förändringen medför att Riksrevisionen efter sin årliga
granskning kan uttala sig om den interna styrningen och kontrollen på myndig-
heterna.
6.3 Konsekvenser för Riksrevisionens årliga revision
Nedan redovisar vi förslagens konsekvenser för Riksrevisionens granskning.
6.3.1 Konsekvenser av förordningsändringarna som helhet
Samlat bedömer ESV att de föreslagna förändringarna kan påverka Riksrevisionens
granskning av huruvida myndigheterna i bedömningen av den interna styrningen och
kontrollen har följt förordningen om intern styrning och kontroll. Påverkan består
främst i att ett minskat dokumentationskrav kan medföra att Riksrevisionen kan
komma att ompröva möjligheten till uttalande. Riksrevisionen har också framfört att
begrepp och krav i den föreslagna regleringen som kan ses som generella eller otyd-
liga kan leda till bristande kontinuitet och att Riksrevisionen kanske behöver om-
pröva sitt uttalande. Exempel på begrepp som Riksrevisionen ser som generella eller
otydliga är intern miljö och väsentliga risker.
6.3.2 De enskilda förslagens konsekvenser
Det är främst de föreslagna ändringarna i 2, 3 och 6 §§ förordningen om intern
styrning och kontroll samt i 2 kap. 8 § förordningen om årsredovisning och budget-
underlag som påverkar Riksrevisionen.
Uppgifter och mål samt oegentligheter
Att ändra till uppgifter och mål, i stället för att hänvisa till kraven i myndighets-
förordningen, bedöms inte få någon direkt påverkan på Riksrevisionens granskning.
Den föreslagna ändringen att lyfta in olika typer av oegentligheter i förordningen
innebär ett tydligare krav på myndigheterna. Om en myndighet i dag inte diskuterar
risker för oegentligheter i sin riskanalys kan Riksrevisionen inte uppmärksamma det
på samma sätt som om ändringen genomförs. En annan konsekvens är att kravet kan
medföra en ökad kunskap om hur myndigheterna arbetar med risken för oegentlig-
heter. Företrädare för Riksrevisionen bedömer inte att den föreslagna ändringen
kommer att påverka själva granskningen, eftersom man redan beaktar skyddet mot
oegentligheter. Däremot skulle förändringen ge ytterligare en anledning att diskutera
arbetet mot oegentligheter med myndighetsledningen.
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
56
Breddad riskanalys
För Riksrevisionen är det viktigt att riskanalysen omfattar enbart risker. Begreppet
möjligheter tenderar enligt företrädare för Riksrevisionen vara mer framåtsyftande än
risker. Därmed är det något som är svårare för Riksrevisionen att förhålla sig till. Om
myndigheternas riskanalyser inkluderar möjligheter, blir det svårare för Riksrevi-
sionen att förhålla sig till dessa när man ska bedöma myndighetsledningens uttalande
i årsredovisningen om hur myndigheten har följt förordningen.
Förändrade krav på dokumentationen
En förändring av dokumentationskravet som syftar till en minskad dokumentation av
myndigheternas arbete med intern styrning och kontroll kommer enligt Riksrevi-
sionen att vara negativt för Riksrevisionens granskning. En ökad frihet för myndig-
heterna att välja hur den interna styrningen och kontrollen ska dokumenteras påver-
kar Riksrevisionen på det sätt att dokumentationen som man får blir olika omfat-
tande. Ett ändrat dokumentationskrav kan också leda till ofullständig dokumentation
och bristande konsistens något som, enligt Riksrevisionen, i sin tur kan leda till att
det blir omöjligt för den årliga revisionen att avgöra om myndigheten har följt för-
ordningen om intern styrning och kontroll. Det kan också påverka revisionen om
revisorerna har en annan uppfattning än myndighetsledningarna om vad som är
tillräcklig dokumentation. I extrema fall kan förändringen påverka Riksrevisionens
uttalande i revisionsberättelsen, om Riksrevisionen bedömer att myndighetsledningen
saknar underlag för att bedöma den interna styrningen och kontrollen. En sådan ut-
veckling skulle kunna medföra att Riksrevisionens uttalande i denna del kan behöva
omprövas.
Enligt Riksrevisionen är det viktigt att det finns förordningskrav på vilka delar i den
interna styrningen och kontrollen som måste vara dokumenterade. Det kravet till-
godoses till viss del av ESV:s förslag till ändrat dokumentationskrav.
Bedömningens period
För Riksrevisionen får ändringen positiva konsekvenser eftersom den tydliggör för
en läsare av årsredovisningen vad myndighetsledningens bedömning omfattar. Det
blir även tydligare att ledningens uttalande handlar om samma period som Riks-
revisionens uttalande avser.
6.4 Konsekvenserna av oförändrade förordningar
Enligt förordningen (2007:1244) om konsekvensanalys vid regelgivning ska en
konsekvensanalys bland annat innehålla en beskrivning av vilka alternativa lösningar
som finns för det man vill uppnå och vilka effekterna blir om någon reglering inte
KONSEKVENSER FÖR MYNDIGHETER, REGERINGSKANSLIET OCH RIKSREVISIONEN
57
kommer till stånd.68 I kapitel 5 har vi redovisat de alternativa förslag till
förordningsändringar som vi har övervägt.
Under vår utredning har vi som alternativ också övervägt om de förändringar
förslagen syftar till kan uppnås genom att göra förändringar i ESV:s föreskrifter,
allmänna råd och rådgivning och inte själva förordningarna. Det är ESV:s samlade
bedömning att dagens förordningar inte möjliggör för oss att, utifrån de behov till
förändringar som har vi har identifierat, påverka myndigheternas tillämpning av för-
ordningen om intern styrning och kontroll. En följd av oförändrade förordningar
skulle därmed bli att en ökad verksamhetsanpassning i myndigheternas tillämpning
av förordningen, liksom en ökad integration mellan intern styrning och kontroll och
andra ledningsfrågor, uteblir.
68 6 §, Förordning (2007:1244) om konsekvensanalys vid regelgivning.
FÖRFATTNINGSFÖRSLAG
58
7 Författningsförslag
I detta kapitel presenterar vi ESV:s förslag till ändringar i förordningen (2007:603)
om intern styrning och kontroll, förordningen (2000:605) om årsredovisning och
budgetunderlag och internrevisionsförordningen (2006:1228). Föreslagna bestäm-
melser presenteras tillsammans med nuvarande bestämmelser.
Bestämmelserna föreslås gälla från och med den 1 januari 2019.
7.1 Förordningen om intern styrning och kontroll
Nuvarande lydelse Föreslagen lydelse
Intern styrning och kontroll Intern styrning och kontroll
2 § Med intern styrning och kontroll avses den
process som syftar till att myndigheten med
rimlig säkerhet fullgör de krav som framgår av 3
§ myndighetsförordningen (2007:515).
2 § Med intern styrning och kontroll avses
myndighetsledningens process som syftar till att
myndigheten med rimlig säkerhet fullgör sina
uppgifter och når verksamhetens mål.
I processen ingår att myndighetsledningen ska
upprätthålla en god intern miljö.
Processen ska bedrivas så att verksamheten
skyddas mot korruption, otillbörlig påverkan,
bedrägeri eller annan oegentlighet.
3–6 §§ anges de moment som skall ingå i denna
process.
Riskanalys Riskanalys
3 § En riskanalys skall göras i syfte att identifiera
omständigheter som utgör risk för att de krav
som framgår av 3 § myndighetsförordningen
(2007:515) inte fullgörs.
3 § En riskanalys ska göras i syfte att identifiera
omständigheter som utgör väsentlig risk för att
myndigheten inte fullgör sina uppgifter och når
verksamhetens mål. Riskanalysen får även
beakta omständigheter som ger ökad möjlighet
att fullgöra myndighetens uppgifter och nå
verksamhetens mål.
Kontrollåtgärder Åtgärder
4 § Med ledning av riskanalysen skall åtgärder
vidtas som är nödvändiga för att de krav som
framgår av 3 § myndighetsförordningen
(2007:515) skall fullgöras med rimlig säkerhet.
4 § Med ledning av riskanalysen ska åtgärder
vidtas som är nödvändiga för att myndigheten
med rimlig säkerhet fullgör sina uppgifter och når
verksamhetens mål.
FÖRFATTNINGSFÖRSLAG
59
Dokumentation Dokumentation
6 § Riskanalysen enligt 3 §, kontrollåtgärderna
enligt 4 § samt uppföljningen och bedömningen
enligt 5 § skall dokumenteras.
6 § Riskanalys och åtgärder ska dokumenteras i
den utsträckning som myndigheten behöver för
uppföljning och bedömning av om det finns en
betryggande intern styrning och kontroll.
7.2 Förordningen om årsredovisning och budgetunderlag
2 kap.
Nuvarande lydelse Föreslagen lydelse
8 § … 8 § …
Underskriften innebär att ledningen intygar att
årsredovisningen ger en rättvisande bild av
verksamhetens resultat och av kostnader,
intäkter och myndighetens ekonomiska ställning.
Underskriften innebär att ledningen intygar att
årsredovisningen ger en rättvisande bild av
verksamhetens resultat och av kostnader,
intäkter och myndighetens ekonomiska ställning.
Ledningen vid de förvaltningsmyndigheter under
regeringen som omfattas av förordningen
(2007:603) om intern styrning och kontroll skall i
anslutning till underskriften i årsredovisningen
lämna en bedömning av huruvida den interna
styrningen och kontrollen är betryggande.
Ledningen vid de förvaltningsmyndigheter under
regeringen som omfattas av förordningen
(2007:603) om intern styrning och kontroll ska i
anslutning till underskriften i årsredovisningen
lämna en bedömning av om den interna
styrningen och kontrollen har varit betryggande
under den period som årsredovisningen avser.
7.3 Internrevisionsförordningen
Nuvarande lydelse Föreslagen lydelse
4 § Internrevisionen ska utifrån en analys av
verksamhetens risker självständigt granska om
ledningens interna styrning och kontroll är
utformad så att myndigheten med en rimlig
säkerhet fullgör de krav som framgår av 3 §
myndighetsförordningen (2007:515).
4 § Internrevisionen ska utifrån en analys av
verksamhetens risker självständigt granska om
ledningens interna styrning och kontroll är
utformad så att myndigheten med en rimlig
säkerhet fullgör sina uppgifter och når
verksamhetens mål.
ERROR! USE THE HOME TAB TO APPLY RUBRIK 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE.
60
Referenser
Brottsförebyggande rådet (2017), Att förebygga och hantera påverkansförsök. En
handbok, Stockholm.
COSO (1992, 2013), Internal Control - Integrated Framework.
COSO (2004), Enterprise Risk Management – Integrated Framework.
Det Kongelige Finansdepartement, Bestemmelser om økonomistyring i staten,
fastställt 12 december 2003 och senast ändrat 5 november 2015.
Det Kongelige Finansdepartement, Reglement for økonomistyring i staten, fastställt
12 december 2003 och senast ändrat 18 september 2013.
Ds 2006:15, Intern styrning och kontroll i staten, Stockholm, Finansdepartementet.
DFØ 04/2013, Veileder i internkontroll.
DFØ 04/2013, Veileder Kort om internkontroll – för deg som er leder.
ESV 2011:9, ESV:s ordbok om ekonomisk styrning i staten, Stockholm.
ESV 2012:46, Handledning. Ansvaret för intern styrning och kontroll.
ESV 2016:24, Vägledning. Oegentligheter och intern styrning och kontroll,
Stockholm.
ESV 2017:65, Tillämpningen av förordningen om intern styrning och kontroll,
Stockholm.
Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 av den 25
oktober 2012 om finansiella regler för unionens allmänna budget och om
upphävande av rådets förordning (EG, Euratom) nr 1605/2002.
European Commission (2006), Welcome to the word of PIFC. Public Internal
Financial Control.
European Commission (2014), Compendium on the public internal control systems in
the EU Member States, second edition, 2014.
Förordning (2000:606) om myndigheters bokföring.
ERROR! USE THE HOME TAB TO APPLY RUBRIK 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE.
61
Förordning (2007:603) om intern styrning och kontroll.
Förordning (2007:1244) om konsekvensanalys vid regelgivning.
Förvaltningslag (2017:900).
Högskoleförordning (1993:100).
IIA (2013), International Professional Practice Framework, IPPF 2030 Control.
INTOSAI, GOV 9100 Guidelines for Internal Control Standards for the Public
Sector.
ISO (2009), Riskhantering – Principer och riktlinjer, 31000:2009.
Kollegiet för Svensk bolagsstyrning (2016), Svensk kod för bolagsstyrning.
Kommunallag (2017:725).
Myndighetsförordning (2007:515).
Proposition 2016/17:171, En ny kommunallag.
Regeringsbeslut, Fi2017/01595/SFÖ, Uppdrag till Statskontoret att stärka arbetet
mot korruption och andra oegentligheter i statsförvaltningen.
Regeringsbeslut, Fi2017/03760/BATOT, Fi2017/04002/BATOT, Uppdrag att ta
fram förordningsförslag för en utvecklad intern styrning och kontroll,
Finansdepartementet, 2017-10-19.
Regeringsformen.
SKL (2008-03-11), På den säkra sidan. Om intern kontroll för förtroendevalda i
kommuner och landsting.
Skrivelse 2012/13:167, Riksrevisionens rapport om statliga myndigheters skydd mot
korruption, Stockholm: Socialdepartementet.
Statskontoret (2017), Den statliga värdegrunden – professionella värderingar för en
god förvaltningskultur, Stockholm.
Statskontoret (2017), Ett stärkt arbete mot korruption och andra oegentligheter i
statsförvaltningen (dnr 2017/130-5), Stockholm.
ERROR! USE THE HOME TAB TO APPLY RUBRIK 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE.
62
Värdegrundsdelegationen (2013), Den gemensamma värdegrunden för de
statsanställda, Stockholm.
Wikland, T (2011), Intern styrning och kontroll – både lönsamt och säkert, FAR
akademi AB, Stockholm.
ERROR! USE THE HOME TAB TO APPLY RUBRIK 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE.
63
Ordlista
intern miljö
(inom statlig intern styrning och kontroll) de interna förutsättningar (ledning, organisation,
kultur med mera) som påverkar en verksamhets förmåga att fullgöra sina uppgifter och nå
verksamhetens mål
intern styrning och kontroll
(inom statlig förvaltning) den process som med rimlig säkerhet säkerställer att en myndighet
fullgör sina uppgifter och når verksamhetens mål
korruption, otillbörlig påverkan, bedrägeri eller annan oegentlighet
(inom statlig intern styrning och kontroll) oönskade beteenden eller handlingssätt med
konsekvenser för myndighetens anseende eller verksamhet
myndighetens uppgifter och verksamhetens mål
(inom statlig förvaltning) de uppgifter som framgår av myndighetens instruktion och de mål
som regeringen har angett i regleringsbrev eller i något annat beslut
riskanalys
(inom statlig intern styrning och kontroll) samordnade aktiviteter för att identifiera händelser
som utgör ett hot, värdera dessa och välja om och hur dessa ska hanteras. Riskanalysen får,
om myndigheten vill, också beakta händelser som utgör möjlighet
risk i verksamheten
(inom statlig intern styrning och kontroll) en omständighet (förhållande eller händelse) som
innebär att en myndighet (med rimlig säkerhet) inte fullgör sina uppgifter eller når verksam-
hetens mål
åtgärder
(inom statlig intern styrning och kontroll) de nödvändiga aktiviteter som en myndighet vidtar för
att hantera risker i verksamheten eller för att ta tillvara möjligheter
Ekonomistyrningsverket Drottninggatan 89 Tfn 08-690 43 00
Box 45316 Fax 08-690 43 50
104 30 Stockholm www.esv.se
ESV gör Sverige rikare
Vi har kontroll på statens finanser, utvecklar ekonomistyrningen och granskar
Sveriges EU-medel.
Vi arbetar i nära samverkan med Regeringskansliet och myndigheterna.