Nytt med FISKen
Nedan följer en sammanfattning av 2019 års uppdaterade förordning om intern styrning och kontroll.
Sedan förordningen om intern styrning och kontroll trädde ikraft 2007 har den varit till både glädje och förtret för myndigheter. Med anledning av att Statskontoret gjorde en utredning om hur onödig administration på myndigheterna kunde minskas hamnade förordningen om intern styrning och kontroll under lupp. Det ledde sedermera till att ESV fick i uppdrag av regeringen att utvärdera förordningen och föreslå förändringar.
Från 2019 gäller den uppdaterade förordningen om intern styrning och kontroll. Förordning riktar sig primärt mot myndighetens ledning det vill säga myndighetens styrelse eller i de fallen som myndigheten saknar styrelse och är en så kallad enrådighetsmyndighet – Generaldirektören. I den nya förordningen ges ledningen också ett mycket tydligare ansvar för att säkerställa att det finns en väl fungerande process för intern styrning och kontroll vid myndigheten.
Ansvaret finns egentligen redan uttryckt i Myndighetsförordningen men har nu tydliggjorts direkt i den nya förordningen. Där framgår numera att processen för intern styrning och kontroll ska säkerställa att myndigheten med rimlig säkerhet når sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § Myndighetsförordningen. Uppgifter och mål är nytt och med det avses uppgifter och mål som kommer från regering och riksdag i form av instruktion, regleringsbrev, regeringsuppdrag, lagar med mera. Dessa omsätts ofta inom myndigheten till någon form av målbild men förordningen i sig tar sikte på den styrning som kommer från riksdag och regering.
I den nya förordningen har en ny COSO-komponent införts som handlar om att myndighetsledningen ska säkerställa att det finns en god intern miljö som skapar förutsättningar för en väl fungerande process för intern styrning och kontroll. I förordningen beskrivs inte närmre vad som förväntas, men i ESV:s rapport om förordningsändringar pekar ESV på COSO-ramverket som beskriver den interna miljön. ESV utvecklar detta vidare och hänvisar till att många områden i den interna miljön redan är reglerade i Myndighetsförordningen, exempelvis att myndighetsledningen ska besluta om arbetsordning innehållande närmare föreskrifter om myndighetens organisation, arbetsfördelning mellan styrelse och myndighetschef, delegering av beslutanderätt, handläggning av ärenden med mera. Vissa delar är dock mer ”mjuka” och behöver då snarare uttrycka ledningens inställning och vilja i olika frågor och återfinns ofta i myndighetens värdegrund, etikpolicy och så vidare.
I förordningen har det också tydliggjorts att det rör sig om väsentliga risker. Det innebär ett tydligare ansvar för myndighetsledningen att ha koll på för dem väsentliga risker för att kunna avgöra vad som ryms inom deras riskaptit och vilka risker som eventuellt behöver eskaleras. Det rekommenderas att det bör finnas en sammanställning för myndigheten som helhet av de risker som bedömts som väsentliga.
Vidare framgår att riskanalyser som görs enligt andra regelverk, exempelvis risk- och sårbarhetsanalyser, analys av arbetsmiljörisker eller säkerhetsskyddsrisker, också bör ses som riskanalyser enligt denna förordning och därmed tas i beaktande.
I förordningen framgår numera också att processen för intern styrning och kontroll ska förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägeri och annan oegentlighet.
I den gamla förordningen reglerades att riskanalys, vidtagna åtgärder med mera skulle dokumenteras. I den nya förordningen har ett tydligare ansvar lagts på myndighetsledningen att avgöra vilken dokumentation som de anser sig behöva för att kunna bedöma om den interna styrningen och kontrollen är betryggande. Det finns också tydligare krav på att beskriva vidtagna eller planerade åtgärder och hur de ska eller har följts upp och bedömts. I uppföljningen ingår också att bedöma om vidtagna åtgärder har haft avsedd effekt.
Förordningen pekar på att processen för intern styrning och kontroll bör integreras med övrig styrning av verksamheten. Detta indikerar att många myndigheter har sett processen för intern styrning och kontroll som en egen process och risken är att detta synsätt kvarstår då förordningen tar sikte på myndighetsledningen och beskrivs som en process. COSO:s definition är vidare och där beskrivs intern styrning och kontroll som att det är en process som utförs av människor på alla nivåer i en organisation.
Internrevisionsförordningen har endast uppdaterats med de nödvändiga delarna för att förordningarna fortsatt ska hänga ihop, bland annat har paragrafen om internrevisionens uppdrag utvidgats till att internrevisionen utifrån en analys av verksamhetens risker självständigt ska granska om ledningens interna styrning och kontroll är så utformad att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven enligt kraven i 3 § myndighetsförordningen. I den uppdaterade internrevisionsförordningen framgår också att i riskanalysen ska internrevisionen bedöma risken för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter.
Vad gäller det årliga uttalandet som myndighetsledningen ska göra avseende processen för intern styrning och kontroll i årsredovisningen har uttalandet rört om den interna styrningen och kontrollen ÄR betryggande. Nytt nu är att uttalat ska omfatta det som årsredovisningen gör i övrigt, det vill säga en redogörelse över året som har gått. Uttalandet avser således om den interna styrningen och kontrollen HAR VARIT betryggande under året.
Vad är det då för brister som ska lyftas i Årsredovisningen? Jo – det är endast brister i processen för intern styrning och kontroll som behöver lyftas. För att utveckla detta kan man säga att om det finns en process som fångar väsentliga brister och risker så har myndigheten en väl fungerande process för intern styrning och kontroll, även om myndigheten har stora brister – processen har fångat dem. Däremot – om det dyker upp allvarliga brister eller incidenter som processen för intern styrning och kontroll inte har fångat, så fungerar inte processen och det måste då lyftas i årsredovisningen.
Förordningen är både lik och olik COSO. Den största skillnaden är att den så tydligt riktar sig mot myndighetsledningen. Hur myndighetsledningen vill bygga upp sitt system för intern styrning och kontroll för att de ska känna sig trygga är helt upp till dem. Vi som arbetar med intern kontroll och internrevisorer vill gärna se ett heltäckande system i COSO:s anda, men det ställer förordningen egentligen inte krav på – annat än på en övergripande nivå. Dock bör det rimligen finnas ett system som omfamnar hela verksamheten och som möjliggör att myndighetsledningen kan få rätt information i rätt tid för att känna att deras process för intern styrning och kontroll fungerar och att de därmed kan ta sitt ansvar för verksamheten.