Nej, ett fel i förvaltningen behöver inte vara en brist i intern styrning och kontroll enligt 2 kap 8§ tredje stycket förordningen (2000:605) om årsredovisning och budgetunderlag. En brist är det om den interna styrningen och kontrollen inte har fungerat på avsett vis. Ett fel i förvaltningen kan dock vara väsentlig information för prövningen av verksamheten och om felet medfört att nya åtgärder vidtas för att kunna acceptera risken kan det redovisas som information om arbetet med intern styrning och kontroll.

Nej det finns inte ett rätt sätt – det kan finnas flera. Resultatet av uppföljningen syftar till att ge ledningen den information som den behöver för att kunna ta ställning till om den interna styrningen och kontrollen är betryggande. För att ge ledningen ett sådant underlag kan det dock vara bra att följa upp den interna styrningen och kontrollen ur olika perspektiv.

Ett underlag för ledningens bedömning bör kunna vara den granskning som internrevisionen gör enligt 4 § internrevisionsförordningen. Där framgår att internrevisionen ska granska om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen (2007:515)

Ett annat underlag som kan utgöra ett underlag för ledningens bedömning är en uppföljning av om verksamheten arbetar med den interna styrningen och kontrollen på det sätt ledningen har beslutat, det vill säga om processen för intern styrning och kontroll är införd i verksamheten. En sådan uppföljning bör kunna genomföras inom ramen för den ordinarie verksamhetsuppföljningen, till exempel genom en avvikelserapportering där verksamheten redogör för om den inte arbetar i enlighet med beslutad ordning och i så fall på vilket sätt och i vilken omfattning den avviker.

Det kan också finnas anledning att följa upp de faktiska fel som har inträffat i verksamheten. Bland annat bör då följande beaktas:

Är omständigheten som utgör grund för felet identifierad i en riskanalys?

• Om inte, borde den ha identifierats eller är det rimligt att man inte har gjort det?

Är den identifierade risken accepterad eller finns det beslut om åtgärd?

• Om risken är accepterad, ligger den inom ramen för myndighetens riskacceptans?
• Om det finns beslut om åtgärd, har den vidtagits som planerats?

I första hand kan den som ansvarar för verksamheten där felen inträffar ställa sig dessa frågor. Uppgifterna kan därefter inhämtas och vid behov omprövas till stöd för ledningens bedömning av den interna styrningen och kontrollen. Denna uppföljning kan i viss utsträckning användas som en kvalitetssäkring av lämnad avvikelserapportering.

Nej, riskanalys ska omfatta all verksamhet som myndigheten bedriver och inte begränsas till vissa delar av den. Utgångspunkten för riskanalysen ska därför vara de uppgifter och mål som regeringen har beslutat om i instruktion, regleringsbrev eller på annat sätt.

Det finns inget krav på att riskanalys ska följa ett visst tillvägagångssätt förutom att identifiera och värdera risker. Lämpligen bör formen för riskanalysen vara ändamålsenlig och anpassad efter myndighetens behov. Detta kan härledas ur kraven i 3 § myndighetsförordningen.

Av förordningen framgår att riskanalys ska göras för att identifiera omständigheter som utgör risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen (2007:515).

Nej, om myndigheten följer den process som förordningen föreskriver föreligger inte en brist i den interna styrningen och kontrollen, även om införda åtgärder inte uppnår avsedd effekt.

En myndighet kan alltid efter att ha följt upp och bedömt en införd åtgärd komma fram till att ytterligare åtgärder behöver vidtas. En brist uppträder först när myndigheten låter bli att försöka begränsa risken samtidigt som myndigheten inte har ändrat sitt ställningstagande om att risken ska hanteras till att myndigheten accepterar risken.

Det ska finnas en aktuell riskanalys som omfattar den verksamhet som myndigheten bedriver. Myndigheten ska ha kunskap om de risker som föreligger för verksamheten. En riskanalys ska således vara genomförd innan verksamheten påbörjas.

En myndighet har en aktuell riskanalys när

• den har genomfört en riskanalys och det inte finns anledning för myndigheten att uppdatera den.
• den har genomfört en riskanalys och den har bedömt att riskanalysen behöver uppdateras och uppdateringen är genomförd.

En myndighet har inte en aktuell riskanalys om

• den inte har genomfört en riskanalys för verksamheten
• den har genomfört en riskanalys tidigare och den har bedömt att riskanalysen behöver uppdateras och uppdateringen är inte genomförd inom rimlig tid.

Enligt 3 § förordningen om intern styrning och kontroll (2007:603) ska riskanalys göras för att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen (2007:515).

Ja, har inget alls blivit gjort med anledning av förordningen om intern styrning och kontroll, ska det framgå av redovisningen och kan då uttryckas med att förordningen inte har tillämpas av myndigheten. Det gäller då hela verksamheten.

När bristerna har varit begränsade i omfattning, till innehåll eller till verksamhet, ska begränsningarna framgå av redovisningen för att det ska framgå vad som faktiskt är de aktuella bristerna.

Redovisningen av bristerna sker då enligt den indelning av verksamheten som används i resultatredovisningen när så är lämpligt och med angivande av vad bristen avser. En brist kan till exempel kortfattat i punktform anges enligt följande.

• Inom verksamheten tillståndsgivning har den genomförda riskanalysen inte varit aktuell under första kvartalet när det gäller risken för otillräckligt underlag för beslut i ärendet.

Redovisningen ska ge en bild av bristerna utifrån det behov myndighetsledningen bedömer att regeringen har. En generell hänvisning till en förordning är inte alltid tillräckligt för att förstå den aktuella bristen.

Om myndighetsledningen bedömer att det har funnits brister i den interna styrningen och kontrollen ska underskriftsmeningen kompletteras med de aktuella bristerna, vilket framgår av 23 § Ekonomistyrningsverkets föreskrifter och allmänna (ESVFA 2022:1) råd om årsredovisning och budgetunderlag till 2 kapitlet 8 § förordningen (2000:605) om årsredovisning och budgetunderlag. Enligt föreskrifterna ska eventuella brister redovisas kortfattat och i punktform. Information ska också lämnas om när bristerna har förelegat. Liksom övrig information som lämnas i årsredovisningen ska uppgifterna om brister ge underlag för regeringens uppföljning, prövning och budgetering av verksamheten.

Ja, det ska redovisas som en brist i den interna styrningen och kontrollen. Observera dock att det bristerna ska anses vara väsentliga enligt 2 kap 8 § förordning om årsredovisning och budgetunderlag. Också i 2 kap 4 § 4 stycket i förordningen framgår att information som lämnas i årsredovisningen ska bedömas vara av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten.

Om ledningen bedömer att brister inte har haft en sådan betydelse att de kan bedömas vara väsentliga ska de inte redovisas i årsredovisningen – myndighetsledningen ska då ange att den interna styrningen och kontrollen vid myndigheten har varit betryggande under den period som årsredovisningen avser.

Nej, enligt 23 § Ekonomistyrningsverkets föreskrifter och allmänna råd (ESVFA 2022:1) om årsredovisning och budgetunderlag till 2 kap 8 förordningen om årsredovisning och budgetunderlag ska undertecknandet av årsredovisningen kompletteras med en av två meningar:

”Jag/vi bedömer att den interna styrningen och kontrollen vid myndigheten har varit betryggande under den period som årsredovisningen avser”

”Jag/Vi bedömer att det har funnits brister i den interna styrningen och kontrollen under den period som årsredovisningen avser enligt följande”.

De två meningarna går inte att kombinera.

Notera att de två meningarna inte är varandras motsatser. I den första meningen tar myndighetsledningen ställning till att den interna styrningen och kontrollen har varit betryggande. I den andra meningen redovisar myndigheteten att det har förelegat brister i den interna styrningen och kontrollen under en angiven tidsperiod.

Ja, om den interna miljön inte har fungerat på det sätt som ledningen har givit uttryck för ska det redovisas som en brist i den interna styrningen och kontrollen.

Myndighetens ledning utformar den interna miljön på det sätt den finner lämpligt för att kunna ta ansvar för verksamheten och för att myndigheten ska fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen (2007:515).

Vid en riskanalys kan risker som berör en ej fungerande intern miljö identifieras. Riskerna ska då behandlas i den ordning som gäller på myndigheten. Väljer myndigheten att acceptera riskerna utgör det inte en brist i den interna styrningen och kontrollen. Väljer myndigheten att åtgärda riskerna och åtgärderna inte genomförs i enlighet med vad som har beslutats är det en brist i den interna styrningen och kontrollen, på samma sätt som gäller för åtgärder i övrigt.

I olika förordningar finns krav som berör vissa aspekter av den interna miljön, exempelvis kraven på att ledningen ska besluta om arbetsordning och verksamhetsplan. Väljer myndigheten att inte följa regelverken bör det utgöra en brist i den interna styrningen och kontrollen.

Notera också att om en myndighet har gjort avsteg från de generella ekonomiadministrativa reglerna ska myndigheten lämna uppgift om avstegen i årsredovisningen enligt 2 § Ekonomistyrningsverkets föreskrifter och allmänna råd (ESVFA 2022:1) om årsredovisning och budgetunderlag till 7 kap 1 § i förordningen om årsredovisning och budgetunderlag.

Nej, infaller tidpunkten för att lämna en årsredovisning under den period som en åtgärd vidtas är det inte en brist. Definitionsmässigt vidtas en åtgärd från det att den planeras till dess att den är genomförd som planerat.

Däremot är det en brist om åtgärden inte genomförs alls eller inte genomförs som planerat. Här har dock myndigheten alltid möjlighet att revidera en upprättad tidplan om det finns skäl till det. Om en sådan revidering har skett innan åtgärden ska vara vidtagen är det inte en brist.

Bedömer myndigheten att information om en risk är väsentlig för regeringens uppföljning och prövning av verksamheten, enligt 2 kap 4 § 4 st. förordningen om årsredovisning och budgetunderlag, kan myndigheten, enligt allmänt råd i Ekonomistyrningsverkets föreskrifter och allmänna råd (ESVFA 2022:1) om årsredovisning och budgetunderlag till 2 kap 8 § samma förordning, lämna information om risken och hur den hanteras i årsredovisningen.