Internrevision

Genomföra internrevisionens riskanalys

Internrevisionens riskanalys blir underlag för att prioritera internrevisionens granskningsområden och ska ligga till grund för revisionsplanen. Här beskriver vi arbetet med att genomföra riskanalysen.

Internrevisionen ska utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen.

Internrevisionschefen ansvarar för att genomföra en riskanalys för all verksamhet som myndigheten bedriver eller ansvarar för. Riskanalysen ska ligga till grund för det förslag till revisionsplan som internrevisionen tar fram.

Utgå från myndighetens riskanalys

Internrevisionens riskanalys ska bygga på internrevisionens egna bedömningar av verksamhetens risker. Men för att undvika dubbelarbete bör internrevisionen utgå från myndighetens riskanalys i den mån det är lämpligt. Internrevisionen kan dock inte använda myndighetens riskanalys i oförändrat skick som sin egen, även om de områden som internrevisionen granskar ska utgå från risker som är väsentliga för myndighetsledningen att ha kontroll över.

Tänk särskilt på att internrevisionens och myndighetens riskanalyser kan skilja sig från varandra. Ett skäl kan vara att myndighetens riskanalys utgår från att de beslutade kontrollåtgärderna inom en verksamhet fungerar och att verksamhetens risker därmed värderas utifrån detta antagande. Internrevisionen kan i stället värdera riskerna till den risknivå som skulle råda om kontrollåtgärderna inte fanns på plats, eftersom internrevisionen även kommer att utvärdera kontrollåtgärderna i sin granskning.

Planera för att informationsinsamlingen kan vara tidskrävande

Det kan vara bra att planera för att informationsinsamlingen oftast är den del av riskanalysarbetet som tar längst tid. Samtidigt är det informationsinsamlingen som avgör riskanalysens kvalitet.

Att fördjupa en riskanalys inom samtliga verksamhetsområden kan vara särskilt tidskrävande om myndigheten har en omfattande och komplex verksamhet. Då kan internrevisionen behöva fördela arbetet över en längre period.

Underlagen för att identifiera risker kan vara både muntliga och skriftliga

Riskanalysen förbereds genom att internrevisionen samlar in en tillräcklig mängd av relevant information, som kan bestå av både skriftliga underlag och muntlig information.

Risker kan identifieras på olika sätt, exempelvis genom idégenerering. Lämpliga underlag för att identifiera risker kan vara andra riskanalyser som har genomförts på myndigheten eller olika former av utvärderingar och granskningar.

Som en del i riskanalysarbetet är det brukligt att internrevisionen genomför samtal med ledningen och andra nyckelpersoner inom myndigheten, till exempel om att jämföra riskbedömningar.

Exempel på underlag för information:

  • intervjuer med chefer och nyckelpersoner
  • kontinuerlig omvärldsbevakning
  • tidigare revisioner och rådgivningsuppdrag
  • kartläggningar
  • underlag till myndighetens riskanalys
  • egna riskbedömningar
  • enkäter och workshoppar.

Internrevisionen bör även basera riskanalysen på information från bland annat

  • regleringsbrev
  • arbetsordning
  • strategiska dokument
  • myndighetens uppföljning av verksamhetsplanen
  • Riksrevisionens granskningar.

Genomför en självständig riskbedömning

Internrevisionen ska genomföra en egen riskbedömning utifrån de risker som den har identifierat. Riskbedömningen bör även kompletteras med all egen relevant kunskap om myndighetens risker. Det innefattar bland annat information som internrevisionen har fått i samband med gransknings- och rådgivningsuppdrag. 

Internrevisionen ska bedöma risken för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter i enlighet med 3 § Ekonomistyrningsverkets föreskrifter (ESVFA 2022:9) om internrevisionens analys av verksamhetens risker. 

Förhöjd risk för oegentligheter kan till exempel förekomma

  • i processer som hanterar stora medelsflöden
  • i samband med upphandlingar
  • vid ärendehandläggning där det krävs bedömningar.

Värdera riskerna för att prioritera dem

När riskerna har valts ut finns ett behov av att prioritera bland dem. För att underlätta prioriteringen är det vanligt att värdera de identifierade riskerna. Värderingen kan göras på många olika sätt men syftar till att bedöma vilken påverkan riskerna kan ha på möjligheten att genomföra myndighetens uppgifter och upprätthålla förtroendet för verksamheten.

Risken kan exempelvis värderas utifrån sannolikheten att en oönskad händelse ska inträffa och konsekvensen av om den oönskade händelsen inträffar. Produkten mellan sannolikheten och konsekvensen kan då användas för att beskriva myndighetens sammanvägda risk. Konsekvenserna kan vara verksamhetsmässiga, ekonomiska eller förtroendeskadliga.

Om internrevisionen vill ha möjlighet att jämföra sin värdering av enskilda risker med myndighetens värdering kan det vara lämpligt att utforma riskvärderingen enligt samma modell som myndigheten använder.

Det är viktigt att analysera vilka skillnader det finns mellan internrevisionens respektive myndighetens riskanalys och vad de beror på. Större skillnader i riskbedömning bör internrevisionen kommunicera till myndighetsledningen.

Prioritera vilka risker som ska med i revisionsplanen 

Efter att riskerna är sammanställda och värderade ska internrevisionen prioritera vilka risker som ska redovisas i det förslag till i revisionsplan som internrevisionen lämnar till myndighetsledningen att besluta om.

Ofta har de väsentligaste riskerna redan uppmärksammats av myndigheten. Riskerna kan då redan ha börjat hanteras eller så finns de med i myndighetens verksamhetsplan för åtgärder. Sådana risker är vanligtvis inte värda att granska för internrevisionen i det här läget. Myndigheten har då själv planerat aktiviteter inom det aktuella området för att hantera risken.

Men om internrevisionen i sin analys upptäcker risker som inte finns med bland de aktiviteter som myndigheten planerar bör risken prioriteras i internrevisionens förslag till revisionsplan. Alternativet är att internrevisionen uppmärksammar ledningen på att riskerna inte är hanterade. Läs mer i avsnittet ta fram revisionsplanen.

Riskanalysen kan utformas på olika sätt

En bra riskanalys har en tydlig koppling till myndighetens mål och verksamhet. Det ska också vara möjligt att förstå var riskerna som är beskrivna i riskanalysen finns och vad de kan få för konsekvenser.

Regelverket säger dock ingenting om hur internrevisionens riskanalys ska vara utformad, så det kan skilja sig åt mellan internrevisionen på olika myndigheter. Vissa riskanalyser består enbart av en uppräkning av risker med en riskvärdering, medan andra även inkluderar beskrivningar av verksamheten, processer och risker.

Riskanalysens teori kan bygga på olika modeller som exempelvis COSO:s modeller, som kan vara ett stöd i riskanalysarbetet.

Senast uppdaterad:
Innehållet är granskat:
Regelverk
3 § myndighetsförordningen (2007:515)
4 § internrevisionsförordningen (2006:1228)
5 § internrevisionsförordningen (2006:1228)
6 § internrevisionsförordningen (2006:1228)

Fördjupning

Committee of Sponsoring Organizations of the Treadway Commission (CO)