Internrevision

Genomföra internrevisionens granskningar

Internrevisionens granskning omfattar bland annat förberedande planering, genomförande och rapportering. Här beskriver vi arbetet med att förbereda, genomföra och dokumentera granskningsaktiviteterna.

Utgångspunkten för internrevisionsårets granskningar är de aktiviteter som är upptagna i den beslutade revisionsplanen med tillhörande underlag. Men innan aktiviteterna genomförs kan internrevisionen ta fram en mer detaljerad granskningsplan.

Planera revisionsaktiviteterna

Hur internrevisionen planerar sin verksamhet kan variera beroende på revisionsuppdragets omfattning och tillgängliga resurser. Men internrevisionen börjar ofta med att fördjupa sina kunskaper inom de aktuella områdena.

Relevant information kan samlas in genom att göra intervjuer och läsa styrdokument, rapporter och resultat från tidigare granskningar. Internrevisionens kännedom om myndighetens verksamhet kan också vara relevant information i sammanhanget.

Utifrån en analys av granskningsområdet avgör internrevisionen

  • vilka uppgifter den behöver tillgång till
  • vilka metoder som ska användas
  • vilken omfattning granskningen behöver ha.

Fördjupade riskanalyser kan förekomma

Det kan förekomma att internrevisionen genomför en fördjupad riskanalys innan revisionen påbörjas. Det kan vara lämpligt när internrevisionen inte har all information som behövs för att bedöma granskningsområdets risker. En fördjupad riskanalys kan ses som en form av förstudie eller underlag till den mer detaljerade granskningsplanen och ska ha en koppling till revisionsplanen. Den fördjupade riskanalysen kan innehålla en analys av specifika risker, rutiner och regelverk samt eventuellt kompletterande intervjuer.

Den fördjupade riskanalysen resulterar antingen i att internrevisionen beslutar att revisionen inom ett visst område ska fullföljas eller att den inte ska påbörjas. En anledning till att den inte ska påbörjas kan vara omständigheter som visar att granskningsområdet inte har de svagheter som internrevisionen tidigare bedömde att det hade, eller att verksamheten redan inrättat tillfredsställande kontroller. En sådan förändring kan innebära att myndighetens ledning behöver ta ett nytt beslut om revisionsplanen.

Ta fram en detaljerad granskningsplan

Innan granskningen påbörjas tar internrevisionen fram en mer detaljerad granskningsplan för de enskilda aktiviteterna i revisionsplanen. Tidpunkten för respektive granskning bör stämmas av med ansvarig chef.

Granskningsplanen kan exempelvis innehålla:

  • granskningsaktiviteter
  • aktiviteternas omfattning
  • tidsplan
  • resurser
  • vilka som ska genomföra revisionen (vem som gör vad)
  • revisionsfrågor
  • mottagare av rapporteringen
  • vilka rapporten ska stämmas av med
  • övriga önskemål.

I samband med att internrevisionen beskriver aktiviteterna i den detaljerade planen för den enskilda granskningen är det bra att fundera på lämpliga kriterier för att bedöma granskningsområdet. Internrevisionen kan även formulera revisionsmål och revisionsfrågor som ska besvaras.

Varje granskning omfattar i regel en kombination av olika aktiviteter:

  • intervjuer
  • granskning av underlag i form av
    • riktlinjer
    • verifikationer
    • andra underlag
  • observationer
  • analyser.

Revisionen genomförs i enlighet med granskningsplanen

Revisionen genomförs sedan i enlighet med den detaljerade granskningsplanen. Myndighetens ledning ska enligt 11 § internrevisionsförordningen se till att internrevisionen får tillgång till de uppgifter och upplysningar som den behöver för att kunna genomföra uppdraget.

Internrevisionen genomför granskningar inom myndighetens olika processer. Dessa kan exempelvis delas in i:

  • ledningsprocesser
  • kärnprocesser (verksamhetsprocesser)
  • stödprocesser (administration).

Internrevisionen granskar genomförande och effekter till följd av ledningens beslut om verksamheten. Revision av ledningsprocesser utifrån kraven i myndighetsförordningen (2007:515) kan exempelvis omfatta

  • myndighetsledningens ansvar för verksamheten (organisation, arbetsfördelning med mera)
  • myndighetens allmänna uppgifter (till exempel att utveckla verksamheten och samarbete med andra myndigheter)
  • myndighetens arbetsgivarpolitik (exempelvis samverkan med andra myndigheter)
  • myndighetschefens ansvar gentemot styrelsen (exempelvis direktiv och riktlinjer)
  • myndighetens handläggning av ärenden (exempelvis kostnadsmässiga konsekvenser)
  • åtgärder med anledning av en modifierad skrivning i Riksrevisionens revisionsberättelse
  • myndighetens riskhantering.

Internrevisionen genomför revisionen av myndighetens kärnprocesser genom att granska myndighetens uppgifter enligt instruktionen, medan revisionen av myndighetens stödprocesser består av att granska exempelvis it, lokalförsörjning, personaladministration, ekonomi och juridik.

Granskningarna kan ha olika inriktning

En granskning kan genomföras med en eller flera revisionsinriktningar.

Exempel på olika inriktningar:

  • Verksamhetsinriktad revision består av granskningar för att bedöma om myndighetens verksamhetsprocesser och rutiner är effektiva och ändamålsenliga, om avsedda mål och resultat uppnåtts samt om myndigheten fungerar på avsett sätt.
  • Regelefterlevnadsrevision bedömer om verksamheten följer interna och externa regelverk.
  • Finansiell revision är en analys och värdering av myndighetens redovisning och ekonomiska rapporter för att bedöma om informationen är tillförlitlig och rättvisande.
  • Effektivitetsrevision bedömer effekterna av de reviderade aktiviteterna (internt inom myndigheten men kan även vara ur ett samhällsperspektiv), som kan delas in i följande områden:
    • kostnadseffektivitet/hushållning
    • inre effektivitet/resursutnyttjande/produktivitet
    • effekter och måluppfyllelse.

It kan granskas i en renodlad it-granskning

It-revision ingår vanligtvis som en del i andra granskningar men kan även genomföras som en renodlad it-granskning.

När internrevisionen granskar stödfunktioner kan it ingå genom att exempelvis granska följande områden:

  • applikationer (exempelvis betalning och personal)
  • it-säkerhet
  • systemförvaltning
  • systemutveckling.

En renodlad it-revision kan genomföras genom att granska till exempel

  • integrationsplattformar som kopplar applikationer till varandra
  • tekniska säkerhetslösningar av själva driften
  • servrar
  • liknande granskningar.

Dokumentera granskningen

Enligt god sed ska det för varje granskning finnas ett granskningsprogram där granskningsaktiviteterna framgår. Av granskningsprogrammet ska det vara möjligt att i efterhand se

  • vad som granskats
  • när och hur granskningen genomfördes
  • vem eller vilka som genomförde granskningen
  • vilka iakttagelser som gjorts
  • vilka slutsatser som dragits.

Dokumentationen ska vara ordnad och strukturerad på ett sådant sätt att det går att hitta revisionsbevisen som underbygger de iakttagelser och slutsatser som internrevisionen har redovisat i sin rapportering.

Samma krav ställs på dokumentationen av granskningar som har genomförts av anlitade konsulter. Internrevisionschefen ska därför säkerställa att dokumentationen från konsulter blir myndighetens egendom efter avslutat uppdrag. Dokumentation från konsulterna kvalitetssäkras på samma sätt som det material som den anställda personalen har producerat.

Hantera internrevisionens allmänna handlingar korrekt

När revisionen har avslutats ska akten rensas från arbetsmaterial som inte tillför något till ärendet. Det som arkiveras i akten blir som grundregel allmänna handlingar.

I akten kan bland annat följande allmänna handlingar bevaras och arkiveras:

  • uppdragsplaneringen
  • granskningsprogram
  • checklistor
  • dokumentation av utfört arbete
  • iakttagelser och slutsatser
  • minnesanteckningar från intervjuer
  • underlag som har tillförts noteringar av revisor.

Allmänna handlingar inom myndighetens internrevision är offentliga om informationen inte omfattas av sekretess. Internrevision är i sig ingen sekretessgrund men bestämmelser om sekretess för skydd av det allmänna intresset eller enskildas personliga eller ekonomiska förhållanden kan tillämpas även för internrevision.

Internrevisionen kan inte ge löfte om anonymitet som inte har stöd i offentlighets- och sekretesslagen.(2009:400) Detta gäller även material från konsulter, vilket lämpligen klarläggs i avtal med konsulterna.

Nya internationella standarder, Global Internal Audit Standards, publicerades 9 januari 2024 och gäller från 9 januari 2025. Gamla och nya standarder, se länk i högermarginalen. 

Senast uppdaterad:
Innehållet är granskat:
Regelverk
3 § myndighetsförordningen (2007:515)
4 § internrevisionsförordningen (2006:1228)
6 § internrevisionsförordningen (2006:1228)
7 § internrevisionsförordningen (2006:1228)
11 § internrevisionsförordningen (2006:1228)

Fördjupning

The Institute of Internal Auditors (IIA:s) international professional practices framework (IPPF).