Internrevision

Besluta om åtgärder och följa upp internrevisionens rekommendationer

Myndighetsledningen beslutar om åtgärder utifrån internrevisionens rekommendationer och internrevisionen ansvarar för att bevaka myndighetens process för att genomföra åtgärderna. Här beskriver vi förutsättningarna för att kunna göra detta.

Myndighetens ledning beslutar om myndigheten ska vidta åtgärder med anledning av internrevisionens rekommendationer. Ledningen kan välja att följa rekommendationerna, inte agera utifrån rekommendationerna, eller agera på ett annat sätt som ledningen tycker fungerar bättre än internrevisionens förslag.

Åtgärder som följer av myndighetsledningens delegering av beslutanderätt är också beslut om åtgärder enligt 10 § 3 internrevisionsförordningen.

Dokumentera beslut om åtgärder

Myndighetsledningens beslut om åtgärder med anledning av internrevisionens rekommendationer måste vara dokumenterat för att det ska vara möjliga att följa upp åtgärderna. Ledningens beslut fattas i praktiken på olika sätt. Till exempel förekommer det att internrevisionen inkluderar den granskade verksamhetens vidtagna eller planerade åtgärder i sin rapport för att myndighetsledningen ska få ett bättre beslutsunderlag. Gemensamt är att det alltid ska finnas ett beslut.

En enrådighetsmyndighet ska dokumentera beslutet i ett beslutsdokument. Styrelsemyndigheter dokumenterar vanligen beslutet i ett styrelseprotokoll. Beslutet i sig kan formuleras på olika sätt. Det kan till exempel stå att rapporten har behandlats, föredragits eller lagts till handlingarna eller så kan beslutet referera till förslagen i rapporten eller till åtgärdsförslaget. Vad ett beslut ska omfatta framgår av 21 § myndighetsförordningen.

Det är vanligt att beslutanderätten delegeras inom myndigheten, vilket innebär att beslut om åtgärder kan fattas på olika nivåer inom verksamheten. Myndighetsledningen ska ändå besluta om åtgärder utifrån internrevisionens rekommendationer. Men beslutet kan vara att lägga internrevisionens rapport till handlingarna om ledningen inte har någon annan uppfattning än det beslut om åtgärder som redan är fattat på delegation.

Föredragning behövs för att fatta beslut om åtgärder

När myndigheten leds av en styrelse kan det i vissa fall diskuteras om styrelsen verkligen har fattat något beslut om åtgärder. Det gäller i de fall där internrevisionen inte har föredragit alla iakttagelser och rekommendationer för styrelsen, utan endast för lägre chefsnivåer inom myndigheten. Detsamma gäller när styrelsen inte önskar få en löpande rapportering från internrevisionen och åtgärderna därmed redovisas till styrelsen i efterhand, exempelvis i en årlig rapport.

Om förslaget till beslut om åtgärder inte har föredragits för styrelsen går det inte heller att säga att myndighetsledningen har fattat något beslut om åtgärder. Det kan då möjligen ses som att styrelsen har godkänt åtgärderna i efterhand, om den har fått en föredragning av åtgärderna vid ett senare tillfälle. Detta är inte i enlighet med 3 § Ekonomistyrningsverkets allmänna råd (ESVFA 2022:9) där det framgår att internrevisionen bör rapportera till myndighetsledningen efter varje avslutad granskning. 

Tydliggör ansvaret för att genomföra åtgärderna

Det är myndighetsledningens ansvar att se till att myndigheten har lämpliga rutiner för att säkerställa att åtgärder blir beslutade och verkställda. Det kan förekomma att myndigheten överlåter ansvaret för att följa upp att åtgärderna blir implementerade på internrevisionen, men detta ansvar bör i första hand ligga på verksamheten.

Myndigheten bör ha en genomtänkt och dokumenterad process för hur iakttagelser och rekommendationer i internrevisionens rapporter ska hanteras efter det att myndighetens ledning har fattat sitt beslut. Processen ser dock inte likadan ut vid alla myndigheter eftersom den är anpassad till den enskilda myndighetens verksamhet och rutiner.

Det är viktigt att ansvaret för att genomföra åtgärderna är tydligt och att det finns ett slutdatum för när åtgärderna ska vara genomförda. Myndigheten bör ha en rutin för att hålla reda på vad som hänt med rekommendationerna och vilka som ännu inte är åtgärdade.

Följ upp de beslutade åtgärderna

Enligt god internrevisionssed ska internrevisionen följa upp att myndigheten genomför de åtgärder som myndighetsledningen har beslutat om och att de införs i verksamheten på ett effektivt sätt. Men det innebär inte att ansvaret för att säkerställa att åtgärderna verkställs ligger på internrevisionen. Det är alltid myndighetsledningens ansvar, även om genomförandet är delegerat till verksamheten. 

Internrevisionens ansvar är att bevaka myndighetens process och att lämna en lägesrapport till myndighetens ledning.

Nya internationella standards, Global Internal Audit Standards, publicerades 9 januari 2024 och gäller från 9 januari 2025. Gamla och nya standards, se länken i högermarginalen. 

Senast uppdaterad:
Innehållet är granskat:
Regelverk
21 § myndighetsförordningen (2007:515)
10 § 3 internrevisionsförordningen (2006:1228)

Fördjupning

The Institute of Internal Auditors (IIA:s) international professional practices framework (IPPF)