Myndighetsledningen är ansvarig för att fatta beslut om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer enligt 10 §  punkt 3 internrevisionsförordningen. Myndighetsledningen kan välja att inte agera utifrån internrevisionens rekommendationer, följa rekommendationerna eller agera på rekommendationerna men på ett sätt som myndigheten tror ger ett bättre resultat än internrevisionens förslag.

I praktiken kan det innebära att styrelsen fattar beslut om att åtgärder ska vidtas men delegerar den faktiska utformningen av åtgärderna. Det är därför ingen begränsning av myndighetschefens ansvar att sköta den löpande verksamheten enligt första stycket 13 § myndighetsförordningen (2007:515) eller av den arbetsfördelning som gäller mellan styrelsen och chefen eller av den delegation av beslutanderätt som gäller inom myndigheten enligt 4 § punkt 2 myndighetsförordningen.

I rapporteringen till myndighetsledningen kan internrevisionen inkludera åtgärder som är vidtagna eller planerade av den som på delegation har beslutanderätt inom den granskade verksamheten. Det förutsätter att internrevisionen delar sina iakttagelser och rekommendationer med den granskade verksamheten under pågående granskning.

Om myndigheten behöver undantag från internrevisionsförordningen är det ett beslut som fattas av regeringen och som normalt meddelas via regleringsbrevet eller instruktionen som undantag från ekonomiadministrativa bestämmelser. Regeringen kan också delge sitt beslut i annan ordning.

Myndigheten kan även få undantag från föreskrifterna till internrevisionsförordningen enligt föreskrifter till 13 § internrevisionsförordningen. Om myndigheten behöver göra avsteg från ESV:s föreskrifter kan myndigheten lämna en begäran om undantag till Ekonomistyrningsverket. När vi prövar om en begäran om undantag ryms inom det som föreskriften reglerar bedömer vi

• vad som är undantaget från föreskriften,
• varför myndigheten behöver ett undantag,
• hur undantaget påverkar bilden av myndighetens internrevision.

Om myndigheten behöver göra avsteg från de allmänna råden för att få en ändamålsenligare internrevision kan myndigheten göra det. Motivet till ett avsteg kan framgå av rapporteringen till myndighetsledningen.

Gallring av handlingar regleras i arkivlagen (1990:782) och arkivförordningen (1991:446). Där bemyndigas Riksarkivet att besluta och föreskriva om myndigheternas gallring. Arkivlagen är subsidiär, det vill säga att om det finns en avvikande bestämmelse i annan lag eller förordning ska bestämmelserna i Arkivlagen inte tillämpas.

Allt ska som grundprincip arkiveras. Eftersom det inte finns några gallringsföreskrifter gäller grundprincipen enligt arkivlagen, att alla allmänna handlingar ska bevaras, dvs. arkiveras i evig tid.

Det är lämpligt att rensning sker innan handlingarna arkiveras.

I internrevisionens granskningsområde ingår bland den interna miljön. Det gör att personal och enskilda personer kan granskas av internrevisionen. Om en personalsocial faktor ingår som en del av flera faktorer vid en bedömning av kontrollmiljön och hur den påverkar den interna styrningen och kontrollen är det möjligt för internrevisionen att granska den personalsociala faktorn.

Internrevisionen bör dock inte granska personalsociala frågor som ett enskilt ärende. Detta är en uppgift för den operativa verksamheten.

Enligt 3 § internrevisionsförordningen ska internrevisionen "granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll."

Av 4 § framgår att "Internrevisionen ska utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen". Verksamhetens uppgifter och mål framgår av myndighetens instruktion och regleringsbrev eller av andra författningar och regeringsbeslut.

Myndighetens interna miljö är basen för intern styrning och kontroll. Den anger hur organisationen ser på betydelsen av intern kontroll.

Myndighetens interna miljö innefattar de interna förutsättningar som påverkar en verksamhets förmåga att fullgöra sina uppgifter och nå sina mål enligt kraven för verksamheten. Exempel på sådana förutsättningar är organiseringen av verksamheten samt fördelningen av ansvar och befogenheter. Andra exempel är sådant som ledarstil, erfarenhet och kompetens hos medarbetarna, integritet och etik samt annat som ger uttryck för en organisations värdegrund.

Läs mer i Förordning (2007:603) om intern styrning och kontroll och Internal Control Framework, COSO (Committee of Sponsoring Organizations of the Treadway Commission).

Internrevisionen ska enligt 5 § internrevisionsförordningen ge råd och stöd, både till styrelsen och till chefen för myndigheten. Internrevisionen kan också ge råd och stöd till andra inom myndigheten om myndighetsledningen har beslutat om det i internrevisionens riktlinjer enligt allmänna råd till 5 § internrevisionsförordningen, Ekonomistyrningsverkets föreskrifter och allmänna råd om internrevision 3 § (ESVFA 2022:9).

En förutsättning för att kunna lämna råd och stöd är att internrevisionen har kompetens inom området. Om inte, informerar internrevisionen uppdragsgivaren om att den kompetens som krävs för att ge råd och stöd saknas. Myndigheten har då möjligheten att ta in annan kompetens för att genomföra uppdraget. En annan aspekt är om internrevisionen har resurser att genomföra uppdraget utan att övriga aktiviteter som finns inplanerade i revisionsplanen påverkas. Internrevisionen bör även i dessa fall ta upp frågan med myndighetsledningen. Lösningen kan vara att göra omprioriteringar i revisionsplanen eller att tillföra internrevisionen extra resurser. Internrevisionens råd och stöd kan i vissa lägen vara extra värdefulla för myndigheten. Det kan handla om råd och stöd när myndigheten befinner sig i ett uppstartsskede eller bedriver projekt av strategisk betydelse. Internrevisionen måste då vara tydlig med att internrevisionens roll enbart är rådgivande. Internrevisionen kan inte delta i myndighetens beslut. Om ni som internrevisorer bedömer att rådgivningsuppdraget har inneburit att ni deltagit operativt i myndighetens verksamhet behöver ni utvärdera hur det kommer begränsa er objektivitet i eventuella framtida granskningar/revisioner inom det aktuella området. Det här förhållandet kan medföra problem för internrevisionen när det inte finns flera medarbetare att fördela framtida granskningsuppdrag på. Om internrevisionens objektivitet inte kan säkerställas i samband med ett rådgivningsuppdrag bör detta förhållande meddelas till myndighetsledningen.

Ja, internrevisionens granskning kan omfatta myndighetens interna miljö och även myndighetens information och kommunikation.

Internrevisionen ska enligt 3 § internrevisionsförordningen granska och lämna förslag till förbättringar av processen för intern styrning och kontroll. Processen för intern styrning och kontroll syftar till att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen. Detta innebär att granskningen kan omfatta myndighetens interna styrning och kontroll i sin helhet och inte begränsas till förordningen (2007:603) om intern styrning och kontroll.

Att vara ansvarig för en myndighets miljörevision är en operativ arbetsuppgift. Operativa arbetsuppgifter ligger utanför internrevisionens normala verksamhet. Det förekommer dock att internrevisionen får en förfrågan från myndigheten om att åta sig den här typen av uppdrag. Miljörevision kan till exempel vara revision enligt 17 § förordningen (2009:907) om miljöledning i statliga myndigheter och revision som följer av en certifiering (till exempel ISO 14000 standarder om miljöledning). Miljörevision kan utföras som råd och stöd enligt 5 § internrevisionsförordningen Ekonomistyrningsverkets föreskrifter och allmänna råd om internrevision 3 § (ESVFA 2022:9). 

En förutsättning för att internrevisionen ska kunna åta sig ett uppdrag är att internrevisionen har eller får tillgång till den kompetens som behövs. Observera dock att många certifieringar kräver en revision som utförs av vissa utpekade eller certifierade revisorer och att i de fallen behöver en granskning utförd av en internrevisor inte vara en giltig revision enligt kraven i certifieringen. Internrevision kan också vara en granskning av hur myndigheten bedriver miljörevision och är då med i revisionsplanen. Om området miljöledningssystem tidigare har varit föremål för råd och stöd behöver internrevisionen bedöma hur det påverkar internrevisionens objektivitet i den planerade granskningen. Om internrevisionens objektivitet inte kan säkerställas i samband med granskningen ska detta förhållande meddelas till myndighetsledningen.

Ja, myndighetsledningen beslutar om revisionsplan för sin internrevision enligt 10 § punkt 2 internrevisionsförordningen. En ändring av revisionsplanen är ett nytt beslut om revisionsplanen som också ska fattas av myndighetsledningen.

Internrevisionschefen kan göra mindre ändringar av revisionsplanen. Det kan till exempel avse när en granskning ska rapporteras till styrelsen om styrelsen ändrar sin planering av sammanträdestillfällen eller av vilka ärenden som ska tas upp till behandling. Det kan också vara att höja en budgetmarginal om en granskning behöver utökas.

Internrevisionschefen kan avbryta eller avstå från att påbörja en granskning om förutsättningarna har ändrats så att det inte går eller är meningsfullt att granska eller lämna förslag till förbättringar. De ändrade förutsättningarna kan till exempel vara att:

• den analys av riskerna enligt 4 § internrevisionsförordningen som granskningen utgår ifrån inte längre är aktuell,
• det råd och stöd som ska lämnas enligt 5 § internrevisionsförordningen inte längre är efterfrågat,
• myndigheten inte lägre bedriver eller ansvarar för den verksamhet som omfattas av internrevision enligt 6 § internrevisionsförordningen,
• den information som behövs inte blir tillgänglig enligt 11 § internrevisionsförordningen,
• den kompetens som förutsätts i revisionsplanen inte finns eller är otillräcklig på grund av omständigheter som internrevisionschefen inte råder över.

När det inte är möjligt för myndighetsledningen att i tid fatta ett beslut om att avstå eller avbryta en granskning enligt ovan är det ett beslut om ändring av revisionsplanen som kan fattas av internrevisionschefen. Internrevisionschefen rapporterar sitt beslut till myndighetsledningen så snart det kan ske.

Myndighetens arbetsordning innehåller en arbetsfördelning mellan styrelsen och myndighetschefen. I övriga frågor där besluten inte fattas av styrelsen är det myndighetschefen som beslutar enligt den delegation av beslutanderätt som gäller enligt 4 § punkt 2. myndighetsförordningen (2007:515) och som sköter den löpande verksamheten enligt direktiv och riktlinjer enligt 13 § myndighetsförordningen. Myndighetschefen kan även delegera beslutanderätt till andra. Myndighetschefen svarar också under styrelsen för myndighetens arbetsgivarpolitik och företräder myndigheten som arbetsgivare enligt 8 § myndighetsförordningen. Styrelsens ordförande kan dock genomföra löne- och medarbetarsamtalen med chefen för internrevisionen.

När det gäller frågan om när myndighetsledningens kan avsluta en granskning så finns det inget i internrevisionsförordningen som säger hur långt in i pågående granskning det får ske. När granskningen är upptagen i revisionsplanen innebär ett beslut om att avsluta en granskningen ändring av planen. När revisionsplanen ändras ska myndighetsledningen fatta ett nytt beslut om den reviderade planen.

En i förtid avslutad granskning ska rapporteras till myndighetsledningen om internrevisionen hunnit göra väsentliga iakttagelser inom granskningsområdet. Att inte rapportera iakttagelserna och rekommendationerna till myndighetensledningen kan inte anses vara i överensstämmelse med 9 § internrevisionsförordningen.

Myndighetsledningen ska enligt internrevisionsförordningens 10 § punkt 3 besluta om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Det betyder inte att myndighetsledningen behöver acceptera internrevisionens rekommendationer. Myndighetsledningen kan lägga rapporten till handlingarna om man inte anser att det finns behov av åtgärder med anledning av internrevisionens rapportering.

Ja, en avslutad granskning ska rapporteras till myndighetsledningen enligt 9 § internrevisionsförordningen. Det är ett underlag för myndighetsledningens bedömning av den interna styrningen och kontrollen. Om granskningens resultat inte medför några förslag redovisar internrevisionen detta.

Detsamma gäller för granskningar som inte påbörjas eller som avbryts. Även dessa måste rapporteras (kan vara muntligt) och då redovisas skälet till avvikelsen från revisionsplanen.

Styrelsen avgör om och hur länge som internrevisionen ska vara med på styrelsemöten. Myndighetschefen avgör internrevisionens deltagande vid ledningsgruppsmöten.

Internrevisionens deltagande i styrelsens möten

Det är lämpligt att internrevisionen är med på styrelsemöten där frågor om internrevisionens riktlinjer, revisionsplan, revisionsrapporter samt frågor om intern styrning och kontroll behandlas. Styrelsemötena kan även ge internrevisionen information om hur styrelsen ser på sin styrning och ledning av myndigheten.

Internrevisionen bör ha tillgång till styrelsemötenas dagordning och minnesanteckningar.

Internrevisionens deltagande i ledningsgruppens möten

Det är lämpligt att internrevisionen är med då frågor som berör internrevisionens revisionsrapporter och frågor om intern styrning och kontroll behandlas. Internrevisionen har även möjlighet att delta för att ge råd och stöd till ledningsgruppen, under förutsättning att det framgår av riktlinjerna.

Det finns en risk att internrevisionens deltagande i ledningsgruppsmöten leder till att internrevisionen växer in i organisationen och därefter kan få problem med oberoendet i sin granskning.

Internrevisionen bör alltid ha tillgång till ledningsgruppsmötenas dagordning samt minnesanteckningar.

Internrevisionens uppdragsgivare

Internrevisionens uppdragsgivare är myndighetens ledning. Om myndigheten har en styrelse är det styrelsen som är internrevisionens uppdragsgivare. Styrelsen ansvarar för verksamheten inför regeringen och myndighetschefen ansvarar för den löpande verksamheten enligt styrelsens direktiv och riktlinjer. Myndighetschefen ingår i styrelsen men ska inte vara ordförande eller vice ordförande.

Om myndigheten saknar styrelse och är en så kallad enrådighetsmyndighet så är myndighetschefen internrevisionens uppdragsgivare. Myndighetschefen sköter den löpande verksamheten och ansvarar för verksamheten inför regeringen. Myndighetschefen kan utse en ledningsgrupp som ett stöd för att leda verksamheten.

Internrevisionen är inte oberoende gentemot sin uppdragsgivare men ska vara oberoende i förhållande till den verksamhet som granskas.

En form av råd och stöd kan vara att internrevisionen väljer att ge ett omdöme (bedömning) till myndighetsledningen om den interna styrningen och kontrollen i den verksamhet som granskats.

Myndighetsledningen kan i riktlinjerna för internrevisionen ange att internrevisionen ska rapportera resultatet av granskningen med ett omdöme om den interna styrningen och kontrollen. Internrevisionen ska då i sin rapportering av en granskad verksamhet, förutom att redovisa iakttagelser och rekommendationer, också ska lämna en bedömning. Bedömningen är då begränsad till det internrevisionen har granskat eller har kunskap om. Ett exempel på bedömning kan då vara att myndighetsledningen inom en viss granskad verksamhet har säkerställt en betryggande intern styrning och kontroll enligt 4 § internrevisionsförordningen villkorad med (eller med undantag av) iakttagelser och rekommendationer enligt 9 § internrevisionsförordningen.

En form av råd och stöd kan vara att internrevisionen väljer att ge lämna ett övergripande omdöme (bedömning eller försäkran) till myndighetsledningen om den interna styrningen och kontrollen i myndighetens hela verksamhet.

Myndighetsledningen ansvarar för att säkerställa en god intern styrning och kontroll vid myndigheten. Myndighetsledningen ska även lämna ett uttalande i myndighetens årsredovisning om att den interna styrningen och kontrollen i myndigheten är betryggande. Internrevision är ett sätt för myndighetsledningen att säkra att de har säkerställt en betryggande intern styrning och kontroll inom myndigheten.

Myndighetsledningen kan i riktlinjerna för internrevisionen ange att internrevisionen ska lämna ett övergripande omdöme om den interna styrningen och kontrollen. Internrevisionen kan lämna det övergripande omdömet i en sammanfattande årsrapport till myndighetsledningen eller i annan ordning. De omdömen som lämnas bör formuleras på ett sådant sätt att internrevisionen är bekväm med och kan stå för dem. Eftersom ett övergripande omdöme ska vara tydligt och genomtänkt bör det inte lämnas muntligt. I ett muntligt omdöme framgår inte omdömets omfattning och begränsningar på ett tydligt sätt.

Bedömningen ska alltid begränsas till områden internrevisionen granskat eller har aktuell kunskap om. Det övergripande omdömet bör lämnas med samma krav och tolkning som i IIA:s standard 2450. Där framgår att den rapport som lämnas ska innehålla:

• omdömets omfattning och begränsningar,
• tidsperioden som omdömet avser,
• om man har använt sig av andra leverantörer eller säkringstjänster,
• kriterier som använts för det övergripande omdömet, exempelvis ramverk för risk och kontroll,
• det övergripande omdömet, bedömningen eller slutsatsen,
• en summering av den information som stödjer omdömet,
• orsaken till ett ofördelaktigt helhetsomdömet.

Läs mer i International standards for the professional practice of internal auditing (standards) 2017. The Institute of Internal Auditors, standard 2450.

Det är styrelsen som beslutar om de närmare formerna för föredragningar på styrelsemöten. ESV anser att det är lämpligt att internrevisionschefen är föredragande av revisionsrapport med iakttagelser och rekommendationer.

Myndighetsledningen beslutar inte om internrevisionens rapport, det kan endast internrevisionschefen göra, utan fattar beslut om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer.

Ja, den kan granskas av internrevisionen eftersom internrevisionen ska omfatta den verksamhet som myndigheten bedriver eller ansvarar för enligt 6 § internrevisionsförordningen. Det är myndighetsledningens ansvar för verksamheten som sätter gränsen för omfattningen av internrevisionens uppdrag. Ansvaret för verksamheten kvarstår hos myndighetsledningen även för den verksamhet som utförs av annan som en köpt tjänst.

Från en annan myndighet får internrevisionen tillgång till allmänna handlingar men myndigheterna behöver också vara överens om att internrevisionen får tillgång till den personal de behöver intervjua när granskningen utförs på en annan myndighet. Varje myndighet ska också lämna andra myndigheter hjälp inom ramen för den egna verksamheten enligt 6 § förvaltningslagen (1986:223).

Internrevisionens förslag till revisionsplan ska enligt internrevisionsförordningens 4 § bygga på en analys av verksamhetens risker. Riskanalysen ska enligt internrevisionsförordningens 6 § omfatta all verksamhet som myndigheten bedriver eller ansvarar för. Riskanalysen ska vara internrevisionens egen bedömning av risker och risknivåer men för att undvika dubbelarbete bör internrevisionen använda sig av den information som finns i myndighetens riskanalys i den mån det är lämpligt.

Internrevisionen bör även komplettera sin riskbedömning med all egen relevant kunskap om myndighetens risker. Det innefattar bland annat information som internrevisionen har fått i samband med gransknings- och rådgivningsuppdrag.

Internrevisionens och myndighetens riskanalyser kan skilja sig från varandra. Det finns flera skäl till det. Ett skäl kan vara att myndighetens riskanalys utgår från att beslutade kontrollåtgärder har fungerat och värderar risken till vad den då borde vara. Internrevisionen kan värdera riskerna till den risknivå som råder om kontrollåtgärderna inte funnits eftersom internrevisionens utvärderar kontrollåtgärderna när internrevisionen genomför en granskning. Beslutet om revisionsplanen utgår från den bedömning av riskerna som myndighetsledningen gör. Den kan vara en annan än internrevisionens bedömning. När internrevisionen senare genomför en granskning från revisionsplanen utgår internrevisionen från de risker som internrevisionen bedömer är relevanta för att uppnå granskningens mål.

Yttrandefriheten kan inte begränsas genom myndighetsinterna instruktioner. Alla anställda har rätt att lämna uppgifter till massmedia och att delta i den offentliga debatten. Det är dock viktigt att hålla isär rätten att ge offentlighet åt sin egen uppfattning, respektive att uttala sig som företrädare för myndigheten. Statliga myndigheter har som sådana ingen meddelarfrihet.

Enligt regeringsformen har alla svenska medborgare och utlänningar här i landet vissa grundläggande fri- och rättigheter. En av dessa fri- och rättigheter är yttrandefriheten. Inom ramen för rätten till yttrandefrihet har statliga internrevisorer som statliga tjänstemän en meddelarfrihet. Varje statlig tjänsteman har rätt att för någon person eller organisation som sysslar med yrkesmässig förmedling av nyheter berätta saker som de vill ska offentliggöras i massmedia. Det finns dock undantag från meddelarfriheten;

• Det är inte tillåtet att lämna uppgifter för publicering i en bok eller tidning, om uppgiftslämnaren därigenom gör sig skyldig till ett allvarligt brott mot rikets säkerhet, t ex. spioneri.
• Det är inte tillåtet att med avsikt lämna ut en allmän handling som är hemlig för publicering.
• Det är inte tillåtet att avsiktligen bryta mot vissa tystnadsplikter (som därför kan sägas ta över meddelarfriheten).
• De tystnadsplikter som tar över meddelarfriheten finns uppräknade i 13 kap i Offentlighets- och Sekretesslag (2009:400). Som två exempel på offentliga funktionärer som inte fritt kan lämna uppgifter till massmedierna kan nämnas advokater och läkare i allmän tjänst.

Av § 7 internrevisionsförordningen framgår att "Internrevisionen skall bedrivas enligt såväl god internrevisionssed som god internrevisorssed". I ESV:s allmänna råd till internrevisionsförordningen hänvisas bland annat till allmänt accepterade riktlinjer för internrevision.

Av god internrevisionssed framgår det etiska förhållningssätt som gäller för internrevisorer. Där framgår ett antal principer som internrevisorer förväntas tillämpa. Bland annat ska internrevisorer respektera värdet av och äganderätten till informationen de får tillgång till och får inte röja denna utan särskilt tillstånd, förutsatt att det inte finns juridiska eller yrkesmässiga skyldigheter att göra så.

Läs mer i International Professional Practice Framework (IPPF) 2013, The Institute of Internal Auditors – Yrkesetisk kod.

Den dokumentation som uppstår under internrevisionens granskning blir allmän handling när dokumentationen är inkommen, upprättad, expedierad eller på annat sätt färdigställd. Det kan till exempel vara granskningsprogram som visar granskningens inriktning och omfattning, arbetspapper som innehåller iakttagelser från granskningen samt minnesanteckningar från intervjuer och möten. Det är inte möjligt att utlova uppgiftslämnare anonymitet. Detsamma gäller för handlingar som uppkommer vid råd och stöd enligt 5 § internrevisionsförordningen. 

Utlämnande av handlingar kan uppkomma i två situationer, dels utanför myndigheten dels inom myndigheten.

Utanför myndigheten

När det gäller utlämnande av handlingar utanför myndigheten är det offentlighetsprincipen som gäller. Huvudprincipen är att allmän handling är offentlig. Allmänna handlingar kan dock vara belagda med sekretess vilket innebär att den sekretessbelagda informationen inte kan lämnas ut. Enligt huvudregeln är en handling allmän, om den förvaras hos myndigheten och är att anse som inkommen eller upprättad hos myndigheten.

En handling är inkommen när den har anlänt till myndigheten eller överlämnats till behörig befattningshavare hos myndigheten. Formerna för hur handlingen har överlämnats saknar betydelse.

En handling som framställts eller utarbetats inom myndigheten anses upprättad och därmed allmän när den har expedierats, eller om expediering inte sker, när det ärende till vilken den tillhör har slutbehandlats hos myndigheten. En handling som inte hör till något ärende blir allmän när den har justerats av myndigheten eller på annat sätt färdigställts.

Inom myndigheten

Inom en myndighet finns det ingen skyldighet att lämna ut handlingar. Om en allmän handling är sekretessbelagd enligt sekretesslagen gäller sekretessen även internt inom en myndighet. Sekretessbelagd uppgift får inte röjas för en annan verksamhetsgren inom samma myndighet. När det gäller utlämnande av arbetsmaterial är grundprincipen att inget arbetsmaterial är privat utan arbetsmaterialet tillhör myndigheten och den anställdes överordnade har rätt att ta del av materialet.

Myndigheten ska ha en process för att behandla internrevisionens rekommendationer och säkerställa att beslutade åtgärder blir genomförda. Det är myndighetsledningens ansvar att hantera åtgärderna med anledning av internrevisionens rekommendationer. Internrevisionen följer upp hur verksamheten arbetar med genomförandet av de åtgärder som beslutats med anledning av internrevisionens rekommendationer i revisionsrapporterna. Resultatet från uppföljningarna ska internrevisionen rapportera till myndighetsledningen.

Myndighetsledningen ska besluta om riktlinjer för internrevisionen Riktlinjerna, enligt 10 § och allmänna råd till 10 § punkt 1 internrevisionsförordningen, är myndighetsledningens föreskrifter för internrevisionen i förhållande till myndighetsledningen och till myndigheten i övrigt. I Handledning Statlig internrevision för myndighetsledningar (ESV 2014:1) finns exempel på vad riktlinjerna kan innehålla. Riktlinjerna kan bland annat omfatta följande områden:

• hur internrevision är organiserad inom myndigheten
• hur internrevisionen får del av myndighetens analys av risker i verksamheten
• hur myndighetsledningen vill att internrevisionen ska bidra till att myndighetens process för att underbygga uttalande om intern styrning och kontroll i årsredovisningen fungerar väl
• till vilka, utöver myndighetschefen och styrelsen, internrevisionen kan lämna råd och stöd
• vilka verksamheter som myndigheten bedriver eller ansvarar för och som därmed utgör ramarna för internrevisionens totala granskningsområde
• hur internrevisionen är samordnad med annan myndighet eller på annat sätt samarbetar eller samverkar med annan myndighet
• hur internrevisionen redovisar iakttagelser och rekommendationer och uttrycker graden av väsentlighet
• hur ledningen försäkrar internrevisionen tillgång till information.

Normalt behöver inte bestämmelser som redan finns i ett regelverk upprepas i ett annat. Myndighetsledningen beslutar om riktlinjerna och kan ta med sådant som redan är reglerat. Vid "sammanfattningar" av annat regelverk bör regelverket tas in i citatform. Vidare bör hänvisningar till det använda regelverket göras.

Myndigheten får enligt 8 § internrevisionsförordningen ingå en överenskommelse med en annan myndighet om att samordna myndighetens internrevision med en annan myndighet. Samordningen kan omfatta internrevision av den verksamhet som myndigheterna bedriver eller ansvarar för enligt 6 § internrevisionsförordningen.

Respektive myndighetsledning beslutar om riktlinjer, revisionsplan och åtgärder enligt 10 § 1-3 internrevisionsförordningen och ska se till att internrevisionen har tillgång till den information som behövs enligt 11 § internrevisionsförordningen.

När internrevisionen är samordnad kan resultatet av en granskning utförd av en internrevisor anställd vid en annan myndighet enligt allmänna råd till 8 § internrevisionsförordningen rapporteras till myndighetsledningen enligt 9 § internrevisionsförordningen.

Vid samordning måste internrevisonsförordningens 2 § som ställer krav på att alla internrevisionsmyndigheter ska ha en vid myndigheten anställd chef, beaktas.

Samordningen kan avse att granska utifrån en analys av verksamhetens risker enligt 4 § internrevisionsförordningen och redovisa iakttagelser och rekommendationer enligt 9 § internrevisionsförordningen. Samordningen kan även avse att ge råd och stöd till myndighetens styrelse och chef enligt 5 § internrevisionsförordningen. Även att ta fram revisionshandböcker, mallar och dokument kan samordnas.

Myndigheter ska verka för samarbete enligt 5 § myndighetsförordningen (2007:515) utan att det behöver innebära att internrevisionen blir samordnad mellan myndigheterna. Myndigheter kan tillexempel ge varandra råd och stöd. Tre myndigheter kan även samarbeta för att utföra extern kvalitetssäkring av internrevisionen i form av så kallad Peer Review.

Myndigheterna kan samverka med sin internrevision enligt 6 § förvaltningslagen (1986:223) genom att lämna hjälp och upplysningar utan att det är en samordning av myndigheternas internrevision. Det kan vara fallet om det i myndigheternas verksamhet finns ett överlämnade av information mellan myndigheterna. Då kan internrevisionen vid respektive myndighet granska verksamheten inom sin myndighet och dela resultatet med varandra.

Den statliga internrevisionen ska följa internrevisionsförordningen (2006:1228) med föreskrifter och allmänna råd. I ansvaret att leda internrevisionen ingår att följa svenska författningar samt att tillämpa god internrevisions- och internrevisorssed enligt 7 § internrevisionsförordningen. Enligt ESV:s allmänna råd till 7 § kan vägledning hämtas från allmänt accepterade riktlinjer för internrevision.

Inom staten brukar man tala om normering av ett regelverk. ESV har föreskriftsrätt till internrevisionsförordningen, och är därmed normerande. Först kommer förordningstexten, sedan kommer ESV:s föreskrifter till förordningen. Förordningstext och föreskrifter ska alltid följas. Efter det kommer ESV:s allmänna råd. När det gäller allmänna råd ska man ha goda skäl för att inte följa dem. Sist kommer det stöd vi ger genom metoder och riktlinjer, utredning, utbildning och rådgivning i handledningar, där lämpliga och användbara tillämpningar beskrivs.

Den goda seden kan komma från internationella standarder, andra överenskommelser eller av sedvana. Inom den statliga internrevisionen är det vanligt att söka vägledning i The Institute of Internal Auditors (IIA:s) standarder. Vi har i Sverige valt att inte ta in innehållet i IIA:s standarder direkt i vår förordning med föreskrifter och allmänna råd. Det har både för- och nackdelar. Fördelen är att vårt svenska regelverk inte behöver uppdateras när IIA:s standarder förändras. Nackdelen är att det kräver mer av den som letar efter stöd inom ett visst område. Ibland finns svaret i internrevisionsförordningen med föreskrifter och allmänna råd eller i ESV:s handledningar. Ibland finns svaret i IIA:s standarder eller i annat material från IIA.

När det gäller vårt stöd kontra standarder går det inte att säga generellt att det ena alltid går först när det gäller att tolka god sed. Det beror på vilket område det gäller. Vissa delar av det vi skriver i vårt stöd har dock en mer direkt koppling till internrevisionsförordningen vilket gör att de väger tungt eftersom det handlar om tillämpning av regelverk. Det gäller både om regelverken är i konflikt med standarder eller om de ligger i linje med varandra. Det finns delar i vårt stöd som gäller det specifikt statliga och som inte har sin motsvarighet i IIA:s standarder. I IIA:s standarder finns det i sin tur delar som inte har sin motsvarighet i internrevisionsförordningen och där ges inte så mycket ledning i vårt stöd. Då blir det i IIA:s standarder man kan hämta stöd i de frågorna.

Det framgår av 8§ internrevisionsförordningen (2006:1228) att myndigheterna får samordna sin internrevision. Av ESV:s allmänna råd till 8§ framgår att när internrevisionen är samordnad med annan myndighet kan myndigheten använda internrevisorer från en annan myndighet för att utföra internrevisionsuppdrag. Det innebär att internrevisorer inom en annan myndighet självständigt kan granska och lämna  förslag till förbättringar av den interna styrningen och kontrollen. Det innefattar även att rapportera reslutatet av granskningen till den granskade myndighetsledningen.

Det framgår av 8§ förvaltningslagen (2017:900) att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter. Myndigheterna samverkar för visst syfte (eller mål). Det gäller för statlig internrevision som för all annan statlig verksamhet. 

Som jämförelse kan nämnas myndigheternas arbetsgivarpolitik, där ska myndigheterna i samverkan med andra myndigheter utveckla och samordna den statliga arbetsgivarpolitiken enligt 8§ myndighetsförordningen (2007:515).

Internrevisionsförordningen innehåller inga bestämmelser om dokumentation. Då gäller för myndigheten att tillämpa god sed enligt 7 § internrevisionsförordningen. Innehållet i internrevisionshandlingar ger spårbarhet till internrevisionens iakttagelser och rekommendationer och är ett underlag för föredragning av internrevisionens rapportering till myndighetsledningen.

Dokumentationen av internrevisorns utförda arbete/granskning visar:

• vad som har granskats,
• hur och när granskningen utförts,
• vilken omfattning granskningen har haft,
• vilka iakttagelser och analyser som gjorts,
• vilka slutsatser som dragits, samt
• vad som rapporterats till uppdragsgivaren.

Rådgivning bör dokumenteras på likartat sätt.

Minnesanteckningar från intervjuer, möten och e-post är att anse som dokumentation av internrevisorns granskningsarbete.

Internrevisionens dokumentation är också myndighetens handlingar. De ska hanteras enligt myndighetens egna föreskrifter om hantering och utformning av handlingarna.

Internrevisionens handlingar blir också allmänna handlingar vilket ställer krav på tillgänglighet och bevarande.

Internrevisionsförordningen gäller inte för alla myndigheter och regeringen beslutar i vilken omfattning förordningen gäller enligt 1 § internrevisionsförordningen.

I myndighetens instruktion kan regeringen ange att myndigheten ska tillämpa internrevisionsförordningen. Det kan även framgå att internrevisionsförordningen gäller men med undantag från enskilda paragrafer. Regeringen kan också besluta om undantag i myndighetens regleringsbrev.

Regeringen kan besluta att delar av internrevisionsförordningen ska tillämpas (till exempel 8 § andra stycket förordningen (2009:1395) med instruktion för Sametinget) utan att besluta om att det ska finnas en internrevision inom myndigheten. Det kan då framgå av en annan myndighets instruktion att den myndigheten ska utföra internrevision inom andra myndigheter (till exempel 9 § 2. förordningen (2009:1464) med instruktion för Statens jordbruksverk).

Myndigheter som inte själva ska inrätta internrevision men som ändå omfattas av internrevision från annan myndighet kommer i praktiken behöva tillämpa 9 § internrevisionsförordningen om rapportering till myndighetsledningen och 11 § internrevisionsförordningen om tillgång till information för att internrevision ska kunna utföras vid den myndigheten. Detta kan vara fallet för vissa länsstyrelser som är delaktiga i handläggningen av EU-medel (till exempel jordbruksmedel). Det är också en förutsättning att myndighetsledningen beslutar om åtgärder med anledning av internrevisionens förslag enligt 10 § 3 internrevisionsförordningen för att myndigheten ska ha nytta av internrevision.

Regeringen kan också besluta om myndighetens internrevision utan att ange att internrevisionsförordningen ska tillämpas (till exempel 11 § förordning (1965:1515) med instruktion för Regeringskansliet). Då gäller inte internrevisionsförordningen.

Enligt 11 § ska myndighetsledningen, i den utsträckning det inte möter hinder på grund av bestämmelse om sekretess, se till att internrevisionen får tillgång till de uppgifter och upplysningar som den behöver för att fullgöra sitt uppdrag. För att material ska kunna sekretessbeläggas måste det finnas stöd för detta i Offentlighets- och sekretesslagen (2009:400). Som grund för sekretessbeläggning kan inte myndigheten ange interna regler och policys.

Det är internrevisorn som bedömer vilken information som behövs för att fullgöra sitt uppdrag. Om internrevisorn inte får tillgång till den information som behövs upplyser internrevisorn i sin rapportering att tillräcklig information inte varit tillgänglig och hur det har påverkat granskningen.

Tillgång till information är även att få tillträde till chefer och handläggare inom den granskade verksamheten.

Enligt god internrevisions- och internrevisorssed ska internrevisorn begära ut tillräcklig, tillförlitlig, relevant och användbar information för att nå målet med uppdraget. Om myndighetsledningen inte ger internrevisionen tillgång till informationen så avviker ledningen från god sed. Om internrevisionen begär att få tillgång till irrelevant och oanvändbar information avviker internrevisionen från god sed. I detta fall bör myndighetsledningen ha rätt att neka revisorn att få tillgång till informationen utan att därmed avvika från god sed. Om internrevisionen är förhindrad att ta del av information som den bedömer vara väsentlig för uppdragets genomförande ska internrevisionen upplysa om detta i sin rapportering och ange hur detta har begränsat granskningen.

Råd och stöd enligt 5 § internrevisionsförordningen är internrevision men är inte detsamma som granskning enligt 3 § internrevisionsförordningen. En granskning utgår från en analys av risker i verksamheten enligt 4 § internrevisionsförordningen men det finns inget motsvarande krav för att lämna råd och stöd. Det finns inte heller något krav på att råd och stöd ska redovisas med iakttagelser och rekommendationer på samma sätt som granskning enligt 9 § internrevisionsförordningen.

Både råd och stöd samt granskning styrs av riktlinjer och revisionsplan enligt 10 § 1 och 2 internrevisionsförordningen. Myndighetsledningens ansvar också för att internrevisionen får den information som behövs enligt 11 § internrevisionsförordningen för att ge råd och stöd. Gemensamt för granskning och råd och stöd är också att de ska bedrivas enligt god sed (7 §) och får samordnas (8 §).