Handläggningsordning för intern styrning och kontroll

Ansvarig enhet: Planeringssekretariatet

Kontaktperson: Jesper Bergqvist

1 Inledning

Alla myndigheter ska säkerställa en intern styrning och kontroll som fungerar på ett betryggande sätt. Myndigheter som omfattas av internrevisionsförordningen (2006:1228) ska även tillämpa förordningen om intern styrning och kontroll (2007:603). Det innebär bland annat att verksamheten ska bedrivas enligt de krav som framgår av myndighetsförordningen (2007:515).

Enligt förordningen om intern styrning och kontroll ska det finnas en process som säkerställer att myndigheten, med rimlig säkerhet, fullgör sina uppgifter och uppnår verksamhetens mål. Processen ska även förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter. Det är universitetsstyrelsen som är ansvarig för att det finns en process för intern styrning och kontroll som är betryggande vid Stockholms universitet.

Denna handläggningsordning beskriver och reglerar hur arbetet med intern styrning och kontroll och riskhantering går till på Stockholms universitet. Handläggningsordningen riktar sig till samtliga chefer och medarbetare som är involverade i arbetet med intern styrning och kontroll. I slutet av dokumentet framgår skrivningar kring uppföljning och hur ofta handläggningsordningen ska aktualitetsgranskas.

2 Förordningen (2007:603) om intern styrning och kontroll

Förordningen (2007:603) om intern styrning och kontroll gäller de förvaltningsmyndigheter som har en skyldighet att följa internrevisionsförordningen, vilket Stockholms universitet har. Enligt förordningen ska det finnas en process för intern styrning och kontroll som säkerställer att universitetet, med rimlig säkerhet, fullgör sina uppgifter och når verksamhetens mål.

Av förordningen framgår att 3§ myndighetsförordningen, de så kallade myndighetskraven, ska uppfyllas vilket innebär att verksamheten ska bedrivas effektivt, enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att verksamheten redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. Förordningen anger även att en riskanalys ska upprättas.

Enligt förordningen har ledningen ansvar för att det finns en god intern miljö som ger förutsättningar för en fungerande intern styrning och kontroll. Den interna miljön kan exempelvis vara hur verksamheten organiseras och hur arbetsfördelningen ser ut. Ledningen ska även förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägerier och andra oegentligheter. Det kan exempelvis handla om att ingen person ensam handlägger ärenden med ekonomiska konsekvenser.

3 Processen vid Stockholms universitet

Processen för intern styrning och kontroll vid Stockholms universitet är integrerad i ordinarie styrning som regleras genom olika styrdokument. Det handlar bland annat om universitets arbetsordning, universitetets och områdenas besluts- och delegationsordningar, områdenas och förvaltningens åtgärdsplaner, behörighetsregler samt handläggnings- och attestordningar. Ytterligare exempel är väl etablerade rutiner kring beredningsprocesser och handläggning av olika typer av ärenden. Dessa styrdokument och processer hanteras i särskild ordning enligt universitets regelverk och beskrivs därför inte närmare i detta dokument. För en mer fullständig bild kring hur dessa dokument och processer konkret bidrar till den interna styrningen och kontrollen, se den rapport om intern styrning och kontroll[1] som årligen överlämnas till styrelsen i samband med att årsredovisningens upprättas.

Utöver ovan upprättar Stockholms universitet i enlighet med förordningen en riskanalys. Riskanalysen upprättas i syfte att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla myndighetskraven. Av högskolelagen, högskoleförordningen och universitetets regleringsbrev framgår vilka mål och uppgifter som finns för universitetet och därtill har universitet egna strategier som anger den övergripande visionen och inriktningen för universitetets verksamhet och prioriteringar. Universitetets riskanalys är tvåårig och fastställs av universitetsstyrelsen efter en intern beredning inom universitetet. Riskanalysen justeras vid behov.

I samband med att riskanalysen upprättas ska även en värdering av riskerna göras vilket innebär en bedömning av sannolikheten av att risken inträffar samt en bedömning av konsekvensen av att risken inträffar. På Stockholms universitet används en fyrgradig skala vid riskvärdering av sannolikhet och konsekvens enligt nedan.

Sannolikhet

4 Mycket sannolik - Inte en fråga om, utan när den inträffar

3 Sannolik – Kan mycket väl inträffa

2 Möjlig – Möjlig, men inträffar inte under normala omständigheter

1 Osannolik – Osannolikt att risken inträffar

Konsekvens

4 Allvarlig – Omfattande påverkan på möjligheten att uppfylla mål och fullgöra sitt uppdrag

3 Märkbar – Betydande påverkan på möjligheten att uppfylla mål och fullgöra sitt uppdrag

2 Lindrig – Begränsad påverkan på möjligheten att uppfylla mål och fullgöra sitt uppdrag

1 Försumbar – Påverkar nästan inte alls möjligheten att uppfylla mål och fullgöra sitt uppdrag

När riskerna värderats beräknas riskens riskvärde genom att multiplicera sannolikhet och konsekvens.

Riskvärde mellan 1 – 6 bedöms vara en låg risk och risken behöver inte leda till särskilda åtgärder, men bevakas för eventuell omvärdering.

Riskvärde mellan 7 – 11 bedöms vara en medel risk och risken bör åtgärdas och uppföljningen ska dokumenteras.

Riskvärde mellan 12 – 16 bedöms vara en hög risk och risken ska åtgärdas och uppföljningen ska dokumenteras.

Den universitetsövergripande riskanalysen tas fram genom en beredningsprocess där de båda vetenskapsområdena och universitetsförvaltningen genomför var sin riskanalys där väsentliga risker identifieras och värderas. Vid behov kan även underlag avseende specifika verksamhetsområden såsom exempelvis säkerhet inhämtas.

Därefter utarbetas ett förslag till universitetsövergripande riskanalys, inklusive riskvärdering, med områdenas och universitetsförvaltningens riskanalyser som utgångspunkt. Efter det slutbereds förslaget till universitetsövergripande riskanalys på Områdesövergripande rådet innan det lämnas vidare till universitetsstyrelsen för diskussion och beslut.

Efter riskanalysens fastställande utarbetar områdena och universitetsförvaltningen inom tre till sex månader åtgärder för att minska sannolikheten och konsekvensen av att en risk ska inträffa, så kallade riskåtgärder. Åtgärderna ska sammanställas i en åtgärdsplan. Riskåtgärder ska även tas fram för risker som identifierats i processen som högrisker på områdes- eller förvaltningsnivå för den organisatoriska enheten. Detta även om risken inte tas med eller bedöms som en högrisk i universitetets sammanvägda riskanalys.

Riskanalysen och riskåtgärderna ska följas upp varje tertial inom universitetets ordinarie tertialuppföljningar. Uppföljningen inkluderar att säkerställa att risker, riskvärderingar och riskåtgärder är aktuella och att inga nya risker tillkommit. Fördjupad återrapportering av arbetet med riskåtgärderna sker efter tertial två, och endast en förenklad slutavstämning sker i januari inför årsrapporten om intern styrning och kontroll.

4 Bedömning i årsredovisningen

Enligt förordningen (2000:605) om årsredovisning och budgetunderlag[2] ska ledningen i årsredovisningen lämna en bedömning av om den interna styrningen och kontrollen varit betryggande under det år som årsredovisningen avser. Om ledningen bedömer att det funnits väsentliga brister i den interna styrningen och kontrollen ska dessa kortfattat redovisas.

För att underlätta bedömningen för ledningen upprättas årligen en ”Årsrapport om intern styrning och kontroll” där universitetets arbete med intern styrning och kontroll redogörs för.

5 Uppföljning av handläggningsordningen

Aktualitetsgranskning av handläggningsordning för Intern styrning och kontroll sker årligen i samband med universitetsförvaltningens årliga uppföljning. Uppföljning av att handläggningsordningen följs sker årligen i samband med att årsrapporten för intern styrning och kontroll upprättas.

[1] Rapporten diarieförs och kan fås ut via diariet eller registrator.

[2] Förordningen (2000:605) om årsredovisning och budgetunderlag, kap. 2:9

Styrdokumentet i pdf-format

Handläggningsordning för intern styrning och kontroll Pdf, 298.9 kB.