Ta kommandot Üver risk- & väsentlighetsanalysen! Vägen fram till en revisionsplan
© Sveriges Kommuner och Landsting Grafisk form: KLF Grafisk produktion Tryck: Katarina Tryck AB, Stockholm, 2005 ISBN: 91-7164-050-9
Förord Den här skriften handlar om risk och väsentlighet i kommunal revisionsverksamhet. I skriften resonerar vi om vad en risk är och hur det går att avgöra om den är väsentlig. Vi identifierar också några olika faktorer för ett framgångsrikt risk- och väsentlighetsarbete. I skriften har vi samlat några goda exempel och tips för hur det går att göra. Under år 2004 startade Sveriges Kommuner och Landsting ett projekt som utforskat hur analysen av risk och väsentlighet sker i kommuner och landsting/ regioner. Projektet genomfördes i samverkan med 8 kommuner och 3 landsting. Några av erfarenheterna från projektet är samlade i denna skrift. Vi vill rikta ett speciellt tack till våra deltagare i projektgruppen, som deltagit med sin tid, erfarenheter och engagemang. Denna skrift vänder sig till dig som är förtroendevald revisor i kommuner, landsting och regioner. Skriften har inte ambitionen att vara en lärobok eller handbok i hur en bra risk- och väsentlighetsanalys ska gå till. Avsikten med skriften är att belysa och resonera om innebörd och synsätt i fråga om risk och väsentlighet i kommunal verksamhet. Sveriges kommuner och landsting har ett uppdrag att arbeta med utveckling av den kommunala revisionen, men också att utmana och utforska den. Skriften har detta syfte och vår önskan är att den ska stärka dig som förtroendevald i processen med risk- och väsentlighetsbedömning. Skriften är framtagen av Caroline Nyman, som tillsammans med Karin Tengdelius – båda på sektionen för demokrati och styrning på Sveriges Kommuner och Landsting – också varit projektledare.
Lennart Hansson Sektionen för demokrati och styrning Sveriges Kommuner och Landsting
Ta kommandot över risk- & väsentlighetsanalysen!
Innehållsförteckning Inledning ...................................................................................... 1 Bakgrund .......................................................................................................... 1 Varför behövs en utveckling av risk och väsentlighets analysen? ............................................................................... 2 Avsikt med skriften ............................................................................................ 2 Projektet ........................................................................................................... 3 Läsanvisning ..................................................................................................... 4
Risk och väsentlighet – en viktig del i revisionsuppdraget .............. 5 Revisionsuppdraget i kommunallagen ................................................................. 5 God revisionssed om risk och väsentlighet ........................................................... 6
Vad är en risk och vad är väsentligt? .............................................. 7 Risk och väsentlighet i teorin .............................................................................. 7 …för revisorn i ett aktiebolag ............................................................................ 9 …för de förtroendevalda revisorerna ............................................................... 10 …och intern kontroll ....................................................................................... 12 Lika men ändå olika ........................................................................................ 13
Hur går det till idag? ................................................................... 15 Om praxisstudien ............................................................................................ 15
Hur kan man komma igång? ........................................................ 16 Stabil och gemensam grund ............................................................................. 16 Tid och planering ............................................................................................ 16 Goda exempel ................................................................................................. 16 Intern kontroll och styrning .............................................................................. 17 Arbetssätt och metod ...................................................................................... 17
Ta kommandot över risk- & väsentlighetsanalysen!
Kommunikation, dialog och förhållningssätt ..................................................... 17 Tydlig koppling till ansvarsprövningen............................................................... 18
Hur andra gjort – några exempel................................................. 19 Borlänge – intern kontroll skapar delaktighet och ökar dialogen ............................................................................................ 19 Söderköpings kommun – en studie av förväntningar på revisorerna .......................................................................20 Heby – utvecklade kontakter och relationer för ökad samsyn ........................................................................ 21 Landstinget i Värmland – omstart .................................................................... 22 Växjö – bättre framförhållning och kvalitet med en god planering ...................................................................................... 24 Göteborgs stad – framförhållning, strategisk planering och ett effektivt resursutnyttjande. .................................................................. 25
Avslutande reflexioner ................................................................ 27 Risk och väsentlighet i kommunal revision – ett särskilt uppdrag ...................................................................................... 27 Den interna kontrollens betydelse för risk och väsentlighet ................................................................................... 28 Revisionsplaneringens koppling med ansvarsprövningen ................................................................................... 28 Revisorernas egen delaktighet .......................................................................... 29 Till sist…........................................................................................................ 29
Litteratur och hänvisningar .........................................................30
Ta kommandot över risk- & väsentlighetsanalysen!
Inledning Bakgrund
Grundläggande i många uppdrag är en noggrann planering av uppdraget. En god planering bäddar för ett gott resultat och en nöjd uppdragsgivare. Extra betydelsefullt är en god planering när de ekonomiska resurserna är begränsade. Med begränsade ekonomiska resurser följer ett behov av prioriteringar som kan genomföras enligt olika metoder och modeller. Revision i alla former kräver därför, liksom andra uppdragsrelationer, både planering och prioritering. Den kommunala revisionen är i det sammanhanget inte ett undantag. Inom den kommunala revisionen har det hittills inte funnits någon gemensam praxis för att genomföra denna prioritering eller risk- och väsentlighetsbedömning. Det har sett olika ut över landet och mellan revisionsgrupper. Eftersom riskoch väsentlighetsanalysen är en central del av revisionsprocessen kan den behöva fördjupas. Revisionen ska (enligt skriften God revisionssed) identifiera och bedöma vilka hinder, hot eller risker som finns i verksamheten, hur betydande dessa risker är och hur sannolikt det är att de existerar eller kommer att inträffa. Därefter ska revisorerna bedöma hur allvarlig skada som uppkommer om hinder, hot eller risker realiseras. Detta ger underlag dels för den årliga mer detaljerade revisionsplaneringen, dels för revisorernas budgetplanering. God revisionssed ger däremot inte någon djupare vägledning och det finns därför ett behov av fördjupning inom området. Enligt kommunallagen är det de förtroendevalda revisorerna som har revisionsuppdraget. Detta pekar på de politiskt tillsatta revisorernas ansvar för att genomföra en risk- och väsentlighetsbedömning. Denna bedömning är nödvändig för att de ska kunna ta ställning till en revisionsplan som både är genomtänkt och anpassad till kommunens aktuella situation. De förtroendevalda revisorernas gemensamma delaktighet i processen är väsentlig. Hur kan revisorerna genomföra denna process? Hur ska det sakkunniga biträdet engageras i processen? Vilka metoder eller modeller finns det och vilka är framgångsrika?
En absolut lärdom är att nästan allt går – det är bara den egna kraften som sätter gränserna!
1
Ta kommandot över risk- & väsentlighetsanalysen!
Varför behövs en utveckling av risk och väsentlighets analysen? Enligt kommunallagen ska revisorerna årligen granska all verksamhet. I enlighet med God revisionssed ska de förtroendevalda revisorerna ansvara för riskoch väsentlighetsbedömningen. Vi har uppfattat att God revisionssed inte ger tillräcklig vägledning i hur risk- och väsentlighetsbedömning ska gå till och inte definierar innebörden i dessa begrepp. I det praktiska arbetet med risk och väsentlighet anser revisorerna att det är svårt och abstrakt, varför de gärna lämnar över till sina sakkunniga att utföra bedömningen. Bedömningen av risk och väsentlighet sker på väldigt olika sätt. En del förtroendevalda gör själva bedömningen och på något håll är det en enskild ledamot som utför bedömningen. Andra revisionsgrupper handlar upp tjänsten av ett sakkunnigt biträde på samma sätt som ett granskningsprojekt, medan andra grupper utför bedömningen som en gemensam process tillsammans med sitt sakkunniga biträde. Olikheterna pekar på behovet av utveckling av praxis i detta avseende. Vår uppfattning är att de förtroendevalda revisorerna inte kan överlämna hela denna bedömning till sina sakkunniga biträden eftersom det är de förtroendevalda revisorerna som har uppdraget. I revisionsuppdragets ansvar inryms hela revisionsprocessen, där planeringsdelen lägger grunden för hela den fortsatta processen. Att rätt saker granskas är grundläggande för att uttalandet i revisionsberättelsen blir välgrundat och ytterst för fullmäktiges bedömning i ansvarsprövningsfrågan.
Att göra som man alltid gjort är otidsenligt och projektet väsentlighet & risk ger ett arbetssätt som är nytt
Avsikt med skriften Som ett led i det löpande arbetet med att utveckla god sed har vi bedrivit ett fördjupande projektarbete kring arbetet med att ta fram en risk- och väsentlighetsanalys. Denna skrift presenterar bland annat projektgruppens arbete. Avsikten med skriften är att dels belysa och resonera om innebörd och synsätt i fråga om risk och väsentlighet i kommunal verksamhet. Dels handlar det om att belysa och stödja processen med att identifiera, analysera och bedöma risk och väsentlighet. Skriften ska även sprida goda exempel. Ytterst är målet att stärka de förtroendevalda i processen med risk- och väsentlighetsbedömning för att på så sätt stärka god sed i dessa delar.
Ta kommandot över risk- & väsentlighetsanalysen!
2
Det betyder att skriften inte ger exakt vägledning i hur man ska göra och vilka metoder som är de rätta och som ska användas. Fokus ligger på att ge inspiration och att skapa en bas för innebörden av begreppen risk och väsentlighet.
Projektet Projektets syfte var att stärka de förtroendevalda i processen med risk och väsentlighetsbedömningen. Projektet har, genom en praxisstudie, utforskat hur revisorerna i några kommuner och landsting gör, se sidan 15, men också utmanat genom att pröva nya möjligheter. Längre fram i skriften beskrivs olika erfarenheter projektet bidragit med. Förbunden inbjöd förtroendevalda revisorer i kommuner, landsting och regioner att delta i projektet. Efter intresseanmälan skapades en projektgrupp med 8 kommuner och 3 landsting. Projektgruppen har träffats vid sex tillfällen under 2003/04. Vid dessa tillfällen har vi tillsammans bl a utforskat begreppen risk och väsentlighet men också olika sätt att utföra en risk- och väsentlighetsanalys. Projektgruppen har letts av Caroline Nyman och Karin Tengdelius från Sveriges Kommuner och Landsting. Projektgruppens deltagare kom från: Bollnäs kommun Borlänge kommun Heby kommun Landskrona kommun Skara kommun Stockholms stad Söderköpings kommun Växjö kommun
I projektgruppen har vi inte åstadkommit så mycket, det är hemma det hänt saker!
3
Ta kommandot över risk- & väsentlighetsanalysen!
Gävleborgs landsting Landstinget Sörmland Landstinget i Värmland
Läsanvisning I texten använder vi begreppet kommuner som ett samlingsnamn för kommuner, landsting och regioner utom när vi berättar något unikt om gruppen kommuner eller gruppen landsting och regioner. Vi använder också begreppet God revisionssed när vi menar den skrift som sammanfattar det som är att beteckna som god revisionssed i kommunal verksamhet. Skriften heter God revisionssed i kommunal verksamhet 2002 och ges ut genom Sveriges Kommuner och Landsting. När det i skriften står god sed avses den praxis som finns inom revisionsområdet i kommuner, landsting och regioner. De rutor med citat som finns löpande genom skriften är kommentarer som projektdeltagarna skrivit eller uttryckt vid de projektmöten vi haft.
Ta kommandot över risk- & väsentlighetsanalysen!
4
Risk och väsentlighet – en viktig del i revisionsuppdraget
Revisionsuppdragets omfattning gör det nödvändigt för de förtroendevalda revisorerna att göra urval utifrån en bedömning av risk och väsentlighet. I avsnittet beskrivs förutsättningarna som de ges i kommunallagen och God revisionssed.
Revisionsuppdraget i kommunallagen Revisionen i kommuner regleras i olika författningar och lokala föreskrifter. I kommunallagen regleras den kommunala revisionen huvudsakligen i kap 9. I aktiebolagslagen regleras lekmannarevisionen i kap 11. Revisionsuppdraget regleras även i ägardirektiv och revisionsreglementen. Revisionen bedrivs av förtroendevalda som väljs av fullmäktige. Revisorerna är valda utifrån bl a sin kunskap om den lokala demokratiska processen och om den aktuella kommunens olika förutsättningar och förhållanden. Det revisionsansvar som utkrävs av nämnder, beredningar och styrelse är en kombination av ett ekonomiskt, juridiskt och politiskt/demokratiskt ansvar. Till sin hjälp har revisorerna sakkunniga som de själva väljer och anlitar i den omfattning som behövs. Ansvaret för revisionen är därmed de förtroendevalda revisorernas och de sakkunniga arbetar på uppdrag av dessa. Revisorernas uppgifter återfinns i kommunallagen 9 kap 9 §, där det framgår att revisorerna årligen ska granska all verksamhet i den omfattning som följer av god sed. Att granska all verksamhet årligen skulle kräva omfattande resurser till revisionen. Innebörd och avgränsning av begreppet verksamhet kan också diskuteras. Med begränsade resurser måste därför avvägningar och prioriteringar göras. I God revisionssed liksom i prop. 1998/99:66 lyfts prioriteringsfrågorna. Prioritering av granskningsuppdraget ska göras med utgångspunkt från en risk- och väsentlighetsbedömning. Kommunallagens krav på årlig granskning av all verksamhet innebär därför i praktiken att revisorerna gör ett urval av det som ska granskas. Detta urval eller prioritering sker utifrån en bedömning av risk och väsentlighet.
5
Ta kommandot över risk- & väsentlighetsanalysen!
God revisionssed om risk och väsentlighet I God revisionssed indelas revisionsprocessen i tre huvudsakliga delar: planera, granska och pröva. Den första delen beskrivs som en grund för att de två nästkommande delarna ska fungera tillfredsställande. Utan en god planering kan granskningen förlora sin precision och trovärdighet, därmed riskerar revisorerna att göra ett felaktigt uttalande i revisionsberättelsen. Revisorerna ska bedöma vilka hinder, hot eller risker som finns i verksamheten. Hur betydande är riskerna? Hur sannolikt är det att de existerar eller kommer att inträffa? Revisorerna ska också ta ett avstamp i styrelsers och nämnders eget arbete med omvärldsbevakning, styrning och intern kontroll samt risk- och väsentlighetsarbete. Enligt god revisionssed ska analysen ske löpande under året men en årlig avstämning krävs för varje enskilt års planering och granskning. Analysen ska ske med helhetssyn och aktualitet. Ett gott planeringsarbete med ständig omprövning och flexibilitet lägger grunden för ett riktigt och skarpt uttalande i revisionsberättelsen. Annorlunda uttryckt så minskar ett gott planeringsarbete risken för fel i granskning, bedömning och revisionsberättelse.
Ta kommandot över risk- & väsentlighetsanalysen!
6
Vad är en risk och vad är väsentligt? I samspelet med andra människor är orden och hur de kommuniceras betydelsefulla. Att vara överens om ordens innebörd är avgörande för hur väl den fortsatta kommunikationen kommer att fungera. Därför är det även i detta sammanhang väsentligt att definiera de mest grundläggande begreppen i revisionsprocessens planeringsdel, risk och väsentlighet. Projektgruppen ägnade en stor del av projekttiden till att fundera över begreppens innebörd. I följande avsnitt presenterar vi begreppen, vi tar också upp något om den interna kontrollens betydelse vid risk- och väsentlighetsbedömning.
Risk och väsentlighet i teorin Begreppet risk kan definieras på många olika sätt och väsentligheten i riskerna bedöms olika utifrån discipliner, erfarenheter, situationer och individer. I dagligt tal menar vi ofta olika saker när vi talar om risker och bedömer väsentligheten i en risk. Begreppen definieras ofta i vida termer. I Nordstedts ordbok (1997) definieras en risk som en ”möjlighet till negativ utveckling eller negativt resultat.” Väsentlighet definieras i samma ordbok som ”något som utgör en viktig eller grundläggande del av något.” Begreppet risk används även olika i skilda sammanhang. Vi talar om riskkapitalister och tänker på människor som satsar kapital i riskfyllda branscher, vi talar om affärsrisker och tänker på ett företags risk för att göra en dålig affär eller förlora en stor order eller kund. Vi talar om sjukdomsrisker och tänker på hur sannolikt det är att en sjukdom drabbar oss. På nyheterna talas ibland om risk för dåligt väder eller risk för storm och snö. Riskerna har i dessa olika situationer olika stor betydelse och bedömningen av hur väsentliga de är uppfattas olika, kanske dessutom relaterad till både situation och individ. Inom ekonomisk teori (nationalekonomi) används ordet risk snävare: ”att det föreligger risk för att en viss händelse skall inträffa innebär då inte bara att man inte vet om händelsen skall inträffa utan också att man känner sannolikheten för att den skall inträffa.”(Dickson m.fl.1992). Här förs begreppet sannolikhet in vilket leder tanken till matematiska beräkningar av mer eller mindre komplicerad art. 1 1
Den klassiska definitionen av en sannolikhet är att antalet gynnsamma/mindre gynnsamma utfall divideras med antalet möjliga utfall och sannolikheten definieras som kvoten dem emellan. Det skulle innebära att om vi vet att 2 av 100 fakturor blir fel innebär det att sannolikheten för att det 2 uppstår ett fel blir 100 =0,02 . I vårt exempel blir då sannolikheten 2 % att en faktura blir felaktig. 7
Ta kommandot över risk- & väsentlighetsanalysen!
Ofta finns inte möjligheten att göra exakta beräkningar. När sannolikheten i en risk inte kan beräknas eller är svårbedömd kan man istället tala om osäkerhet. Risk kan definieras och särskiljas från osäkerhet på följande sätt:
Risk
Sannolikheten för tänkbara utfall är känd eller kan bestämmas
Osäkerhet
Tänkbara utfall är kända men inte sannolikheten för att de ska inträffa
Figur 1: Distinktion mellan risk och osäkerhet (Haglund mfl, 2001, s 28)
Den praktiska betydelse ovanstående resonemang får inom den kommunala revisionen är att vi måste förhålla oss på något sätt till risk, sannolikhet och osäkerhet. Ett avancerat matematiskt beräkningsunderlag i samband med revisorernas risk- och väsentlighetsbedömning är troligen inte särskilt ändamålsenligt. Det innebär inte att revisorerna ska strunta i att bedöma en risks sannolikhet eller att strunta i alla risker som skulle kunna klassificeras som en osäkerhet. Hur förhåller sig revisorerna till risken att t ex uppgifter på en faktura manipuleras, vilket leder till ökade kostnader för kommunen och intäkter till den anställde? Kan sannolikheten för detta bedömas? Hur? Klart är att om fakturahanteringen inte är reglerad i något avseende i kommunen ökar sannolikheten för att en faktura blir manipulerad. Osäkerheten ligger måhända i den anställde själv dvs dennes samvete, värdegrund, ansvarskänsla inför arbetsgivaren mm. Den definition av risk som projektgruppen enades om förhåller sig till både risk och osäkerhet, eftersom den innefattar risker som kan sannolikhetsbedömas och risker som inte kan det. ”En risk är en oönskad händelse som vi kan bedöma sannolikheten för att den ska inträffa. En risk är också en handling/brist på handling av styrelse eller nämnd som påverkar kommunen/invånarna/personalen negativt.”
Projektet har inspirerat till ett nytt angreppssätt!
Ta kommandot över risk- & väsentlighetsanalysen!
8
…för revisorn i ett aktiebolag Den revision som sker av bolag är, liksom den kommunala revisionen, präglad och anpassad till det sammanhang och det syfte som verksamheterna har. Detta präglar också de auktoriserade revisorernas förhållningssätt och syn på väsentlighet och risk. Målet med ett privat aktiebolag är förenklat sett att generera avkastning på aktiekapitalet till ägarna. (De kommunala bolagen har en vidare målsätting). Det leder till att fokus på bolagets finansiella ställning och status blir centralt i revisionsuppdraget. Detta innebär att revision av bolag i vissa avseenden skiljer sig åt från den kommunala revisionen, vilket också har bäring på riskoch väsentlighetsanalysen. Värderingen av risker och analysen av dessa upptar en stor del av tiden för revisorn i uppdraget. Är uppdraget nytt går stor kraft åt till att förstå verksamheten, därför arbetar revisorer ofta inom ett fåtal branscher. Revisorn fastställer genom analyser och olika beräkningsmetoder det väsentliga beloppets storlek dvs tröskelvärden. Beloppets storlek avgör vilka poster, transaktioner och rörelser som ska revideras. Belopp under det som fastställs som väsentligt revideras i allmänhet inte. Etiska frågor om förtroenderisker har alltmer blivit en het fråga även för de auktoriserade revisorerna, särskilt i ljuset av de två skandalerna med Enron och WordCom. Förtroenderisker kan få stor påverkan på företaget, men identifieras kanske inte idag då de väsentliga beloppen ligger över de belopp som kan hänföras till förtroenderisker t ex extravaganta representationer, telefonräkningar etc. De auktoriserade revisorernas intresseförening FAR beskriver i boken Revisionsstandarder i Sverige (2002) vad som är väsentlighet och vad som är risk. Väsentlighet definieras utifrån internationell revisionsstandard men summerar att det är upp till professionen att bedöma vad som är väsentligt. Väsentlighet definieras (vilket tidigare nämnts) som en fråga om tröskelvärde snarare än en kvalitativ värdering av information. ”När revisionsplanen utformas fastställer revisorn en acceptabel väsentlighetsnivå för att upptäcka kvantitativt väsentliga, felaktiga uppgifter”. (Revisionsstandarder i Sverige, FAR s 79) Vid revisionsplaneringen ska revisorn beakta vad som väsentligen skulle kunna göra att årsredovisningen blir felaktig. Denna bedömning hjälper revisorn att avgöra vilka poster som ska granskas och om revisionsmässiga urval och analytisk granskning ska användas. I revisionsstandarden framgår att väsentlighet avgörs i relation till bolagets storlek och ekonomi, därför fastställs väsentliga beloppsgränser av revisorn.
9
Ta kommandot över risk- & väsentlighetsanalysen!
Begreppet risk används av de auktoriserade revisorerna i förhållande till dem själva och i relation till ägarna. Begreppet revisionsrisk är den risk revisorn löper att göra ett oriktigt uttalande i revisionsberättelsen. Revisionsrisken delas därefter in i tre komponenter; inneboende risk, kontrollrisk och upptäcktsrisk (Revisionsstandard i Sverige, 2002, sid. 82).
Inneboende risk handlar om risken för fel i redovisningen eller brister i förvaltningen på grund av bolagets verksamhet. Det skulle kunna handla om komplexa och sårbara IT system eller tillgångar som ändras kraftigt till följd av ändrad efterfrågan.
Kontrollrisk är risken att ett saldo eller transaktionsslag inte skulle kunna rättas till, förhindras eller upptäckas via redovisningssystem eller system för intern kontroll. Det skulle kunna handla om attestering av fakturor som inte fungerar riktigt.
Upptäcktsrisk innebär risken av att revisorn inte upptäcker en felaktig uppgift i ett saldo eller transaktionsslag. Denna risk är beroende av revisorns val av granskningsinriktning och omfattning. Revisorn ska använda sin professionella kunskap i syfte att bedöma revisionsriskerna och utforma granskningsåtgärder för att minimera risken till en godtagbar nivå. Utgångspunkten är som tidigare nämnts att minska risken för ett felaktigt uttalande i revisionsberättelsen.
…för de förtroendevalda revisorerna I God revisionssed beskrivs hur konsekvenser och sannolikhet kan bedömas utan att involvera matematiska beräkningar. Tanken är att de förtroendevalda utifrån sina erfarenheter, kännedom om kommunen, tidigare granskningar, omvärldsbevakning mm. identifierar de olika riskerna i kommunens olika verksamheter. Denna riskidentifiering sker naturligtvis med utgångspunkt från revisionsuppdraget och den prövning av ansvar som är revisionens slutmål. Risker kan identifieras som externa dvs utifrån kommande och interna dvs inifrån kommande. Externa risker kan vara t ex nystiftade rättighetslagar, arbetsmarknadspolitiska förändringar eller stora företagsnedläggningar. Interna risker kan vara t ex oklara befogenheter, otydliga rutiner, eller sjukskrivningar. Bland interna risker återfinns också de risker som auktoriserade revisorer benämner inneboende risk och kontrollrisk. Blandade risker är en kombination
Ta kommandot över risk- & väsentlighetsanalysen!
10
av externa och interna risker t ex politiska förändringar eller demografiska förändringar. Dessa tre typer av risker är viktiga att ta hänsyn till vid en riskbedömning. De risker som identifierats ska därefter värderas utifrån vilka konsekvenser de kan få för kommunen i termer av ekonomiska, politiska, verksamhetsmässiga och förtroenderelaterade. De förtroendevalda revisorernas risk- och väsentlighetsbedömning sker med utgångspunkt från fullmäktiges uppdrag till nämnderna och ytterst det medborgerliga perspektivet.
Hur allvarliga konsekvenser får det om risken blir verklig? Hur ”ont” gör det?
Konsekvenser
Stora/ allvarliga Uppmärksamhet!
Ingen granskning
Små/ försumbara
Granska!
Eventuell granskning
Hur sannolikt är det att risken kan bli verklig? Hur troligt är det?
Uppmärksamhet! Eventuell granskning
Liten /osannolik
Stor Sannolikhet
Figur 2: Schematisk bild av bedömning av konsekvenser och sannolikhet (God sed i kommunal verksamhet 2002, s 22)
I figur 2 visas hur konsekvenser och sannolikhet av en risk kan bedömas. Innebörden är att när revisorerna identifierat en risk som skulle innebära avsevärda konsekvenser (förtroendemässiga, ekonomiska, verksamhetsmässiga eller politiska) men som har liten sannolikhet att inträffa ska den endast ägnas uppmärksamhet under året med eventuell granskning. Om däremot sannolikheten är stor att risken inträffar så ska de granskas. Det är värt att observera att med denna definition är mandatet för de förtroendevalda revisorerna vidare än den för revisorer i aktiebolag. De förtroendevalda revisorerna bedömer konsekvenserna av risker. En enda risk kan värderas utifrån flera olika aspekter och de
11
Ta kommandot över risk- & väsentlighetsanalysen!
konsekvenser den får. Notera även att sannolikheten inte behöver beräknas matematiskt utan även kan bedömas som troligt/icke troligt utfall. I projektgruppen funderade vi över med vilka perspektiv risk- och väsentlighetsanalysen görs. Görs den med fokus på verksamheten internt dvs nämnder och styrelser, eller på medborgarna? Resultatet blir olika beroende på vilka risker som identifieras och vilka perspektiv som anläggs. Det är viktigt att gemensamt i revisionsgruppen enas om vilket perspektiv som anläggs när risk- och väsentlighetsbedömningen görs. Gruppen menade att revisorerna bör ha fler perspektiv på risker – verksamhets-, medborgareoch politiskt/demokratiskt perspektiv. Revisionsperspektivet innehåller därmed flera aspekter att ta hänsyn till i riskanalysen. Ovanstående resonemang runt risker kan möjligen viktas med hjälp av något slags poängsystem, men kan också med fördel användas för bedömning utan matematiska beräkningar. Fördelen med att inte använda matematiska beräkningar är att bedömningen kan göras av alla (utan särskilda förkunskaper) och att även osäkerhet kan hanteras. Idén med revisorernas risk- och väsentlighetsanalys är att alla förtroendevalda ska kunna involveras och att uppgiften kan genomföras på ett enkelt sätt. Längre fram i skriftens sidan 19 beskrivs några olika kommuners sätt att utföra denna analys.
Väsentlighet = värdet av en identifierad risk!
…och intern kontroll I revisionsuppdraget som de förtroendevalda revisorerna har är granskning av den interna kontrollen lagstiftad. Det är nämnderna och styrelsen som har ansvaret för att den interna kontrollen är god och i funktion, revisorernas uppdrag är att granska detta förhållande. Ett bra system för intern kontroll minskar risken för fel i det dagliga arbetet som kan leda till fel i t ex redovisningen. En god intern kontroll hjälper kommunen att bl a utnyttja resurserna väl, skydda tillgångar, ge tillförlitlig information om verksamheten samt följa lagar, regler och förordningar. En god intern kontroll har därför påverkan på verksamhetens effektivitet och ändamålsenlighet, styrning och kontroll. När revisorerna ska planera revisionsuppdraget och börjar med en risk- och väsentlighetsbedömning är informationsinsamling om olika förhållanden i verksamheten värdefull. För revisorerna är det effektivt och rationellt att i planeringsfasen av revisionsuppdraget samla information och kunskap om vad verksamheten själva gjort för att styra, kontrollera, följa upp och minska
Ta kommandot över risk- & väsentlighetsanalysen!
12
riskerna i verksamheten. Den interna kontrollen är en värdefull informationskälla för revisorerna, eftersom det där framkommer vad verksamheterna själva bedömt som riskfyllt. Saknas en intern planerad och systematisk kontroll, arbetar verksamheten utan skyddsnät och revisorernas insatser måste vara mycket stora i den verksamheten. COSO (Committee of Sponsoring Organizations of the Tredway Commission) är en kommitté i USA med representanter från företag, redovisningsekonomer och revisorer som tagit fram en definition av intern kontroll. Definitionen är spridd världen över och används av revisorer både inom den offentliga sektorn och i den privata. Synsättet som COSO representerar ger en bred och användbar utgångspunkt för att närma sig den interna kontrollens alla dimensioner. Enligt COSO definitionen är intern kontroll en process genom vilken företagets styrelse, ledning och annan personal skaffar sig rimlig säkerhet om att företagets mål uppnås på följande områden (FAR 2005, Revision en praktisk beskrivning s 33): • Verksamhetens ändamålsenlighet och effektivitet • Den ekonomiska rapporteringens tillförlitlighet • Efterlevnaden av tillämpliga lagar och förordningar. Detta innebär sammantaget att verksamhetsansvariga måste bedöma verksamhetens risker, värdera verksamhetens kultur och medvetenhet (kontrollmiljön), vidta kontrollåtgärder, arbeta med information och kommunikation liksom övervaka och följa upp.
Lika men ändå olika Begreppen vi använt hittills kan förvirra eftersom det finns likheter i begreppen men olikheterna måste hanteras. Begreppet risk och väsentlighet används av många grupper men i olika sammanhang, dessutom används begreppet olika för olika typer av revision. De auktoriserade revisorerna och de förtroendevalda revisorerna använder liknande begrepp, men med uppenbara olikheter i förhållande till innebörd. Innebörden och sammanhanget har betydelse och finns huvudsakligen i fokus på uppdraget. De auktoriserade revisorernas uppdrag finns i en miljö där ägarna (aktieägarna) är intresserade av ekonomisk avkastning. De förtroendevalda revisorernas uppdrag finns i en miljö där ägarnas (medborgarnas) krav är att verksamheten i sig ska ge maximal utdelning i form av tjänster och service i förhållande till de skattepengar som verksamheten fått.
13
Ta kommandot över risk- & väsentlighetsanalysen!
Sättet revisorn bedömer både risk och väsentlighet på bör tolkas i ljuset av vilken typ av organisationer som huvudsakligen granskas och revideras samt vad revisionsansvaret gäller. I aktiebolag granskas VD och styrelsens förvaltning samt om räkenskaperna är rättvisande och årsredovisningen ska godkännas. De auktoriserade revisorerna har två viktiga faktorer att ta hänsyn till i sitt uppdrag och sin granskning. Bolaget har möjlighet att stämma revisorn för en felaktig granskning, något som kan åstadkomma stor skada på revisionsbolaget och individen. Revisionsbyrån Andersen gick i konkurs när Enrons aktieägare stämde bolaget. Revisorn själv genomgår också en granskning av revisorsnämnden om något blivit fel i en granskning och kan där förlora sin auktorisation. Revisorn måste därför hantera vad som är väsentligt först och därefter fokusera på revisionsriskerna vilka i det sammanhanget främst har bäring på att minska revisorns felkällor i granskningen. Detta i sin tur ökar kvaliteten och stringensen i granskningarna och säkerheten i uttalandet i revisionsberättelsen. Den förtroendevalda revisorns bedömning av risk och väsentlighet skiljer sig i viss utsträckning från den som auktoriserade revisorer gör. Riskerna identifieras och värderas utifrån ett verksamhets-, medborgar- och politiskt/demokratiskt perspektiv liksom revisorns risk för felaktiga uttalanden i revisionsberättelsen. I den kommunala revisionen är fokus på revisorns egen risk inte lika uttalad som den är för de auktoriserade revisorernas revision av privata bolag. Riskerna och värderingen av dessa måste ha bäring på revisionsfrågor och ytterst den prövning av ansvar som revisorerna gör. Den förtroendevalda revisorn identifierar riskerna och gör en bedömningen av hur väsentliga dessa är utifrån ett revisionsperspektiv dvs de förtroendevaldas uppdrag. Fullmäktiges uppdrag till nämnder, beredningar och styrelser är centrala i revisorernas bedömning liksom öppenhet och kommunikation för att den demokratiska kontrollen ska fungera i medborgarnas tjänst. Väsentlighet handlar därför om fullmäktiges uppdrag till nämnder och styrelser. Värdering av riskerna sker utifrån de konsekvenser riskerna får på verksamhet, politik, ekonomi och förtroende.
Ta kommandot över risk- & väsentlighetsanalysen!
14
Hur går det till idag? När projektet startade insåg vi att processen med att bedöma risk och väsentlighet ser mycket olika ut. Vi valde därför att göra en mindre praxisstudie för att undersöka hur det ser ut på några olika håll i Sverige. I detta avsnitt visar vi några resultat från den studien.
Om praxisstudien Studien genomfördes av en konsult som utförde en enkätundersökning om hur risk och väsentlighetsanalysen går till i ett urval kommuner och landsting. Uppdraget var att lyfta fram och presentera starka och svaga sidor och att relatera resultatet till God revisionssed. Det var 15 kommuner och 5 landsting som fick en enkät att besvara. Urvalet skedde med hjälp av ett sk bedömningsurval. Antalet är litet vilket innebär att några generella slutsatser som rör alla kommuner och landsting inte kan dras. Resultatet är därför att betrakta som ett exempel på hur det kan se ut i ett urval kommuner och landsting i Sverige. Praxisstudiens resultat ger antydningar om att: • revisorerna i praktiken inte använder sin risk- och väsentlighetsanalys i det konkreta urvalet. • de viktigaste underlagen revisionsgrupperna använder för risk- och väsentlighetsanalysen är årsredovisning/bokslut, riskanalyser, intervjuer/seminarier med politiker och tjänstemän. • risk- och väsentlighetsanalysen startar mellan två och sex månader innan revisionsplanen fastställs, enligt enkätsvaren. • de sakkunniga sköter i allmänhet sammanställningarna. • analysen av risk och väsentlighet sker kontinuerligt under året. • de flesta revisionsgrupper (i enkätsvaren) kommunicerar analysen med fullmäktiges presidium.
15
Ta kommandot över risk- & väsentlighetsanalysen!
Hur kan man komma igång? En viktig fråga är hur man kan komma igång med risk- och väsentlighetsarbetet. Vilka är framgångsfaktorerna och vad ska man tänka på? Vad gör ett väsentlighets- och riskarbete framgångsrikt? I detta avsnitt ska vi dela med oss av projektgruppens erfarenheter. I projektet identifierade vi ett antal faktorer som viktiga för ett framgångsrikt arbete med risk och väsentlighet.
Stabil och gemensam grund Det är viktigt att de förtroendevalda revisorerna själva skaffar sig kunskap om begreppen risk och väsentlighet, så att revisorsgruppen är överens om och menar samma saker. Genom att göra detta skapas förutsättningar för enighet och partipolitiska motsättningar kan tonas ned. Det är också viktigt att gemensamt beskriva verksamheten och fullmäktiges uppdrag på ett sådant sätt att alla har samma grund och ser på verksamheten genom likartade ”glasögon”.
Tid och planering Det är viktigt att skapa en tidplan och att göra saker i god tid för att inte revisionen ska hamnar i tidsnöd och behöva forcera fram en revisionsplan. Ansvarsprövningen kan komma att påverkas av om tillräckligt med tid ägnats till att planera revisionen. Bristfällig planering ökar risken för ett felaktigt uttalande i revisionsberättelsen. Vad är god tid och när ska man börja? Detta är en fråga den enskilda revisionsgruppen måste komma överens om, men planeringen (bedömning av risk och väsentlighet) måste påbörjas i ett tidigt skede av uppdraget.
Det handlar mycket om att vara konsekvent, idog, envis och ”på plats” hela tiden.
Goda exempel Att samverka med andra revisionsgrupper och byta erfarenheter med varandra är viktigt för att ”vässa” den egna revisionsgruppens process. Det handlar om att se på andras exempel för att på så sätt skapa en referensram för det egna arbetet med risk och väsentlighet.
Ta kommandot över risk- & väsentlighetsanalysen!
16
Intern kontroll och styrning Den interna kontrollen i nämnder och styrelser kan användas som en informationskälla i revisorernas planeringsarbete. I den interna kontrollen ingår bl a nämndens och styrelsens egna uppföljningar, kontroller, beskrivningar av risker och värdering av dessa. Revisorerna kan använda den dokumentation, kunskap och beskrivning av risker som finns i nämnder och styrelser. En bristfällig intern kontroll motiverar revisorerna till ökade revisionsinsatser och vice versa. Se också sidan 12.
Arbetssätt och metod Den process som förs med hela revisionsgruppen i tänkandet runt risk och väsentlighet är viktigare än den tekniskt valda metoden. Ett bra grundarbete kan ge en bättre ekonomi, eftersom granskningen blir mer planerad och precis. Revisorerna har då lätttare att motivera inför fullmäktige vad som behöver göras och hur kostnaden för detta ser ut. Det finns olika modeller för hur risk och väsentlighet kan analyseras och värderas. Som exempel kan nämnas att det finns olika nyckeltal för jämförelser av olika verksamheter. Nyckeltalen är framtagna för jämförelser mellan kommuners verksamhet och över tiden. Dessa kan revisorerna använda i ett arbete med risk och väsentlighet. Revisorerna kan även utnyttja checklistor av olika slag för att identifiera, analysera eller klassificera risker. Det finns olika metoder för analys framtagna, de olika revisionsbolagen har egna metoder och längre fram i skriften beskrivs Landstinget i Värmlands och Göteborgs stads arbete med risk och väsentlighet.
Vi har arbetat på ett sätt för att vi förtroendevalda ska bli mer aktiva.
Kommunikation, dialog och förhållningssätt Att ha en öppen kommunikation och dialog med fullmäktige och fullmäktiges presidium är viktigt för hur revisionsberättelsen ”landar” i fullmäktige. Det är också viktigt med en god kommunikation och dialog med dem som ska eller har granskats, både ur ett kvalitetsperspektiv för revisorerna som ett förbättringsperspektiv för den granskade. Revisorernas deltagande i olika nätverk ökar revisorernas kunskap och samverkansmöjligheter, vilket kan ge positiva effekter vid planering av revisionen.
17
Ta kommandot över risk- & väsentlighetsanalysen!
Revisorernas kommunikation kan delas upp i extern och intern kommunikation. Den externa kommunikationen handlar bl a om att bilda nätverk med revisorer för att på så sätt ta hjälp och stöd i varandra för utveckling och utbildning. Det handlar också om att skapa kontakter med revisorer från hela landet för att på så sätt öka både sin egen kunskap och andras, men också att förändra praxis till det bättre. Den interna kommunikationen handlar om att öka kunskapen internt i kommunen/landstinget/regionen om revisionsfrågor och revisionsplanen, men ytterst om att underlätta ansvarsprövningen. Detta kan ske bl a genom kurser och seminarier om risk och väsentlighet, revisions- och fullmäktigekontakter (utbildning), dialog med fullmäktige och nämnder och styrelser, personliga kontakter mellan revisorer och nämnderna, information om revision på Internet. Revisorerna kan med fördel kommunicera såväl bedömningen av risk och väsentlighet som revisionsplanen med fullmäktige, för att förankra granskningarna och öka förståelsen för varför granskningarna görs.
Tydlig koppling till ansvarsprövningen Revisionsplanen baseras på revisorernas bedömning av risk och väsentlighet. Genom att redan i planen visa hur denna bedömning kopplar till ansvarsprövningen i fullmäktige läggs grunden för en tillräcklig prövning av ansvar i slutet av året. Fullmäktige och de granskade får (om detta även kommuniceras med dem) en insikt om vad som ska granskas och varför samt hur revisorernas bedömning sker. Detta ökar i sin tur aktörernas förståelse och kunskap om den kommunala revisionen.
Ta kommandot över risk- & väsentlighetsanalysen!
18
Hur andra gjort – några exempel
I detta avsnitt presenteras några exempel (såväl ur projektet som från andra håll).
Borlänge – intern kontroll skapar delaktighet och ökar dialogen Revisionens uppgift är att granska om den interna kontrollen i nämnderna är tillräcklig. Det är nämndernas uppgift att se till att det finns en god intern kontroll i nämndens verksamhetsområde. Revisionsgruppen i Borlänge valde att undersöka om nämndernas egna risk- och väsentlighetsanalyser i de interna kontrollplanerna kunde ge revisionen ett stöd att finna riskerna och identifiera de områden som hade behov av granskning. Revisorerna insåg tidigt att det interna kontrollarbetet inte fungerade i de flesta nämnderna. Detta resulterade i ett arbete med att förbättra den interna kontrollen. Ett förtroendefullt samarbete mellan revisionen och nämnderna ansågs viktigt, trots revisionens granskande roll. Det är viktigt att i detta sammanhang även poängtera revisorernas självständiga roll. Revisorerna ska sträva efter dialog med nämnderna och skapa delaktighet hos dem som granskas, men de ska inte granska på uppdrag av nämnd eller styrelse. Att revisorerna tillsammans med en nämnd värderar deras internkontrollarbete och tar del av nämndens bedömning av risker innebär inte att nämndens bedömning är tillämplig för revisorerna eller ens ska granskas av revisorerna. Nämndens egen bedömning är en hjälp till revisorerna och ett stöd. I vissa fall kan detta i sin tur innebära att revisorerna gör samma bedömning som nämnden av en risk, vilket minskar behovet av granskning (nämnden identifierar och åtgärdar risker).
Arbetet med den interna kontrollen har givit en språngbräda in i analysen av risk och väsentlighet.
19
Ta kommandot över risk- & väsentlighetsanalysen!
Söderköpings kommun – en studie av förväntningar på revisorerna Söderköpings revisorer gjorde en studie av skillnader i bedömning av risk och väsentlighet mellan revisorer och de granskade. De genomförde en intervju undersökning som syftade till att ta reda på vad ett antal politiker och chefstjänstemän hade för syn på vad som är väsentligt att granska för revisorerna. Alla de intervjuade ansåg att revisionen var en viktig resurs genom att den arbetar oberoende och belyser kommunala förhållanden på ett ”utanförstående sätt”. Undersökningen pekar på och identifierar det gap som kan finnas mellan vad revisorerna granskar och den förväntan som finns från de granskade på vad revisorerna borde göra. För att undvika ett sådant förväntningsgap är det viktigt att revisorerna har en öppen dialog till nämnderna och styrelsen över vad de ska granska och varför. Förväntningsgapet består alltså av skillnaden i vad den granskade tror att revisorerna ska granska och vad dessa verkligen anser sig ska granska. Den granskade kanske anser att revisorerna borde granska ett projekts effekter och ekonomi, medan revisorerna anser att detta faller under verksamhetens eget uppföljningsansvar. Ett urval av de synpunkter som de intervjuade hade var att: • revisorerna förväntades att följa upp uppgjorda planer för verksamheten. • det går slentrian i nämndarbetet • långsiktigheten i arbetet kommer i skymundan på grund av aktuella frågor • chefsrekrytering inte görs med tillräcklig noggrannhet Som framgår ovan är vissa synpunkter av sådan karaktär att det är verksamheten själva som har huvudansvaret för uppföljning och kontroll. Det är därför viktigt att revisorerna är tydliga i vad som är deras uppdrag och vad nämnder och styrelsen själva förväntas att utföra. En dialog om detta kan stärka revisionen i kommunen.
Ta kommandot över risk- & väsentlighetsanalysen!
20
Heby – utvecklade kontakter och relationer för ökad samsyn Heby kommunrevision valde att utveckla kontakter och relationer mellan revisorerna och kommunfullmäktige för att få en samsyn bl a i risktänkande och bedömning. Bakgrunden till detta var att Heby revisorer under år 2002 hade riktat skarp kritik mot kommunstyrelsen och föreslagit avstyrkt ansvarsfrihet. I fullmäktige handlade debatten om formalia istället för sakfrågan. Ansvarsfrihet beviljades av fullmäktige, men revisorerna ansåg att behovet av kommunikation runt risk och väsentlighet samt ansvar var så fundamentalt att det behövde arbetas vidare med detta.
Viktigt att kommunicera och återkomma till analysen under året vid överläggningar med nämnder/förvaltningar. •
• • •
Revisorerna har under 2003/04 därför börjat med eller planerat att genomföra följande: Alla revisionsplaner och granskningsrapporter sänds ut till alla fullmäktiges ledamöter. Revisionens ordförande föredrar rapporterna och svarar på frågor vid nästa fullmäktigemöte. Ett seminarium om revisionens uppgifter samt om risk och väsentlighet har genomförts tillsammans med fullmäktige. Företrädare för revisionen lämnar (när så är befogat) synpunkter och kommentarer i samband med olika ärenden i fullmäktige. Revisionen träffar fullmäktiges presidium regelbundet. Till vissa av dessa träffar inbjuds även gruppledarna i fullmäktige.
Heby kommunrevisorer anser att de genom sitt arbete blivit mer synliga inte bara när frågan om ansvarsfrihet ska avgöras, utan hela året. Revisorernas riskoch väsentlighetsbedömning har också blivit känd av fullmäktige och förankrad där. Detta uppfattas ha stärkt revisorerna och relationerna mellan fullmäktige.
21
Ta kommandot över risk- & väsentlighetsanalysen!
Landstinget i Värmland – omstart Landstingsrevisorerna upplevde ett behov av att omarbeta tidigare risk- och väsentlighetsbedömning och göra en omstart i sitt analysarbete. Revisorerna gav revisionskontoret ett uppdrag att ta fram ett underlag till revisionsgruppen. Underlaget bestod av dels risk- och väsentlighetsdokument från andra huvudmän, dels diskussionsunderlag för bedömning av risk och väsentlighet i landstinget. Underlaget redovisade vilka omvärldsfaktorer som kan påverka riskbedömningarna och försök gjordes med att beskriva huvudområden (personal, ekonomi, fysiska resurser, organisation och verksamhet) inom vilka risk- och väsentlighetsbedömningar lämpligen bör göras. Revisorerna gav även ett uppdrag till en revisionsbyrå att genomföra en risk- och väsentlighetsanalys av den ekonomiska redovisningen. En PM med resonemang om risk och väsentlighet lades fast av revisorerna. Utifrån detta dokument förtecknades olika sakområden t ex styrning och ledning, verksamhetsuppföljning, kompetensförsörjning etc. Dessa områden värderades av de sju revisorerna dels med tanke på väsentlighet och dels risk, hög (3 poäng), medel (2 poäng) och låg (1 poäng). Värderingarna summerades och ett 30-tal områden rangordnades inbördes. Revisorerna uppfattade arbetssättet och metoden som mycket viktig och engagerande. Genom förfaringssättet har revisorerna fått goda tillfällen till att gemensamt diskutera och värdera väsentliga revisionsområden och bedöma förmodade risker. Granskningsplanen har inriktats på områden som revisorerna gemensamt bedömt som väsentliga områden och områden med hög risk. Granskningsarbetet har därigenom fått en mycket tydligare koppling till en risk- och väsentlighetsvärdering. Granskningsplanen har kommunicerats med fullmäktige och förankrats. Exempel på den bedömningsmatris landstingets revisorer har använt. Det område som får högst summa har prioriterats i granskningar av revisorerna.
Vi vill bli aktivare själva, gå ut och visa oss mera!
Ta kommandot över risk- & väsentlighetsanalysen!
22
Styrning och ledning
Väsentlighet
Risk
Summa
*
*
*
Budgetuppföljning Mål- och måluppfyllelse Sjukfrånvaro Investeringsbeslut/struktur * summan av revisorernas poängfördelning ** summan av kolumnerna risk och väsentlighet inom området Figur 4: Bedömningsmatris, Landstinget i Värmland
23
Ta kommandot över risk- & väsentlighetsanalysen!
Växjö – bättre framförhållning och kvalitet med en god planering Revisorerna genomförde under september-november 2003 en analys av risk och väsentlighet. Analysen upphandlades av en konsult som studerade nämndernas årsrapporter och annan relevant dokumentation och därefter genomförde intervjuer med förvaltningschefer, verksamhetsansvariga och ledande politiker. De huvudområden som ingick i intervjumaterialet var; omvärldspåverkande faktorer, personalresurser, finansiella resurser och redovisning, lokal- och anläggningsresurser, organisation och verksamhet samt processer och funktioner. Revisorerna följde arbetet och diskuterade under hand projektet och analysen. Parallellt genomförde revisorerna själva ett presentationsarbete i samtliga nämnder. I dessa samtal betonades särskilt nämndernas ansvar, revisionens roll och vikten av intern kontroll. I januari 2004 presenterades den slutliga analysrapporten av risk och väsentlighet, en revisionsplan togs fram liksom en revisionsstrategi. Kommunledningen beslutade att alla nämnder ska informeras om revisionsplanen och planera sitt arbete efter denna. Revisorerna ser att en av de stora effekterna av arbetet har blivit att kunskapen ökade hos dem själva och att de blev en sammanhållen grupp med tydliga mål för revisionsarbetet. I förvaltningarna och nämnderna ökade insikten om att revisorerna hade mer tyngd i sitt arbete och att revisionsgranskning är en del av den kommunala verksamheten. Detta ingav respekt för revisionen och deras arbete. Revisorerna har fått en god planering för arbetet.
Tanken är att utnyttja nämndernas egna riskanalyser i vår framtida revisionsplanering.
Ta kommandot över risk- & väsentlighetsanalysen!
24
Göteborgs stad – framförhållning, strategisk planering och ett effektivt resursutnyttjande. Utgångspunkten för de förtroendevalda revisorernas årliga planering är att skapa möjligheter till framförhållning, strategisk planering och ett effektivt resursutnyttjande. Revisionsstrategin grundar sig på en diskussion runt de risker som finns i den kommunala verksamheten med ett särskilt fokus på de risker som knyts till mål och uppdrag till styrelse, nämnder och bolag. Riskerna har identifierats och värderats i överläggningar med yrkesrevisorer, förtroendevalda revisorer och stadskansliets ledning. Riskidentifieringen skedde i flera steg. Nedan presenteras stegen i kronologisk ordning. 1. Revisionskontoret – en heldag utifrån kommunfullmäktiges budget 2004 mfl år. 2. Förtroendevalda revisorer inkl ersättare- heldag med omvärldsanalys. 3. Förtroendevalda revisorer – heldag med riskidentifiering och riskvärdering. 4. Revisionskontoret – kompletterande riskinventering utifrån verksamhetsrisker i den dagliga revisionsverksamheten. 5. Stadskansliets ledningsgrupp – en halvdags riskidentifiering och riskvärdering i samverkan med revisionskontorets ledningsgrupp. Revisorernas granskning baserar sig på en analys av de risker som utgör hot eller hinder för att fullmäktiges mål och uppdrag till verksamheterna inte ska kunna genomföras. Detta är i sin tur beroende av samhällsutveckling och omvärldsfaktorer, vilket innebär att revisorerna genomfört viss omvärldsbevakning. Omvärldsförändringar som revisorerna tagit hänsyn till har ett tidsperspektiv på upp till 50 år. Risker identifieras och definieras av revisorerna som: ”Hotet att en händelse eller agerande/icke agerande ogynnsamt skall inverka på Göteborgs Stads förmåga att uppnå verksamhetsmål och uppgifter samt utföra sina strategier på ett framgångsrikt sätt”. Därefter värderas riskerna utifrån kriterierna väsentlighet och sannolikhet utifrån erfarenhet. Granskningarna under perioden syftar till att verifiera eller falsifiera de risker som spårats i analysen. En uppdaterad revision leder till en revision som tidigt upptäcker risker som inte hanterats.
25
Ta kommandot över risk- & väsentlighetsanalysen!
Väsentliga riskområden som revisorerna arbetar med är: • Finansiella risker • Personal och ledarskap • Redovisningsrisker • Miljöområdet • Styrning, utvärdering, • Lagstiftning uppföljning och rapportering. • Koncernsamordning • Intern kontroll och strukturfrågor • Kommunal service Riskerna värderas dels utifrån den påverkan på kommunen som risken har och dels vilken sannolikheten är för att risken ska inträffa. Båda dessa kriterier poängsattes från 1-9, där allvarlighetsgraden var från 1=försumbar påverkan/ osannolikrisk till 9=katastrofal påverkan/sannolik risk. Därefter visualiserades denna värdering på en riskkarta, se figur 5.
Väsentlighet
3
1
Risk 1 Bostadsbrist 2 Finansiell risk 3 Personal rekryteringspolicy
2
Sannolikhet
Figur 5: Exempel på riskkarta Göteborgs stad, omarbetat från OH presentation december 2003
Ta kommandot över risk- & väsentlighetsanalysen!
26
Avslutande reflexioner Projektet har inte haft ambitionen att kunna komma med den idealiska lösningen eller det perfekta verktyget för en god risk- och väsentlighetsanalys. Däremot har vi haft en ambition att öka kunskapen och visa på olika sätt att utföra en risk- och väsentlighetsanalys. Vi har även önskat inspirera och utmana till en utvecklad och skarpare revisionsplanering. Några slutsatser av projektet skulle vi särskilt vilja peka på. De rör kopplingen till ansvarsprövning, vikten av kommunikation och dialog, den interna kontrollens betydelse samt revisorernas egen delaktighet.
Risk och väsentlighet i kommunal revision – ett särskilt uppdrag De förtroendevalda revisorerna har ett brett uppdrag att granska ändamålsenlighet, ekonomisk effektivitet, rättvisande räkenskaper samt den interna kontrollen. Nämndernas revisionsansvar är ekonomiskt, politiskt/demokratiskt och juridiskt. Förenklat sett har revisionsobjektet (dvs kommunen/ landstinget /regionen) uppdraget att generera allmännyttig verksamhet för skattemedlen. Detta sätter sin prägel på den revision som ska bedrivas liksom på de metoder som är lämpliga att använda vid revisionsplanering. De förtroendevalda revisorerna har ett eget ansvar för hela revisionen från planering, granskning till prövning av ansvar. Vid en risk- och väsentlighetsanalys måste därför de förtroendevalda revisorerna beakta att riskerna identifieras och värderas utifrån både ett verksamhets-, medborgar- och ett politiskt/demokratiskt perspektiv. Riskerna ska också värderas utifrån olika parametrar, ekonomiska, politiska, verksamhetsmässiga och förtroenderelaterade. Sammantaget innebär detta att de förtroendevaldas revisionsuppdrag är brett och samtidigt svårt att helt överlåta på någon annan att utföra. Det innebär också att de traditionella metoder som bolagsrevisionen använder inte är direkt överförbara. Vid användning av olika metoder och modeller måste därför det kommunala revisionsansvarets bredd beaktas.
27
Ta kommandot över risk- & väsentlighetsanalysen!
Den interna kontrollens betydelse för risk och väsentlighet I God revisionssed beskrivs att revisionen kan ta ett avstamp i det som verksamheten själva gjort, när revisorerna ska planera revisionen. Har nämnden/ styrelsen en bra intern kontroll är ofta självutvärdering och omvärldsbevakning redan gjord av nämnden/styrelsen. Vid upprättande av en intern kontrollplan är det nödvändigt att nämnden/styrelsen reflekterar över de risker som kan finnas i verksamheten. Planen utformas utifrån dessa risker för att förhindra riskernas förverkligande i organisationen. En internkontrollplan innebär därför att ledningen med nödvändighet måste fundera över kontrollåtgärder för att förhindra risker från att realiseras. Det är av den orsaken fruktbart för de förtroendevalda revisorerna att i riskoch väsentlighetsarbetets initiala fas utgå ifrån den internkontrollplan som finns upprättad. Saknas en sådan eller om den inte är tillräckligt genomarbetad, svävar organisationen i ovisshet om de risker som finns i verksamheten liksom de kontroller som är nödvändiga att vidta för att förhindra att risken blir en realitet. Revisionsinsatsen riskerar att bli större i en sådan verksamhet.
Revisionsplaneringens koppling med ansvarsprövningen Ansvarsprövningen börjar inte i och med att revisionsberättelsen ska skrivas och överlämnas till fullmäktige. Den börjar redan när de förtroendevalda revisorerna utför sin risk- och väsentlighetsanalys och upprättar sin revisionsplan. Risk- och väsentlighetsanalysen genomförs alltså med ansvarsprövningen som slutmål. Eftersom inget uppdrag blir bättre än den tid som läggs ned i början av uppdraget på att planera hur det ska utföras, bör revisorerna lägga tid, kraft och energi på planeringen. Genom att redan i planeringsfasen beakta ansvarsprövningen skapas en tydlig koppling till den prövning av ansvar som är slutmålet. Detta betyder att varje granskning ska ha samband med ansvarsprövningen för nämnder och styrelser.
Ta kommandot över risk- & väsentlighetsanalysen!
28
Revisorernas egen delaktighet Revisorernas delaktighet i risk- och väsentlighetsanalysen kan ske på många olika sätt. I skriften har vi beskrivit olika sätt att vara delaktiga i processen på. De förtroendevalda revisorernas egna engagemang är viktigt. Trovärdigheten i revisionsberättelsen blir stor om revisorerna själva också deltagit i och genomfört planeringsfasen dvs risk- och väsentlighetsanalysen. Vikten av att revisorerna tar kommandot över risk- och väsentlighetsprocessen är en övergripande slutsats från projektet.
Till sist… Vi har i denna skrift presenterat flera olika sätt att genomföra en risk- och väsentlighetsanalys på. Vi har visat på olika metoder och beskrivit den interna kontrollens betydelse i planeringsarbetet. De presenterade exemplen kommer från både små och stora kommuner/landsting. Stora kommuner och stora landsting har oftast mer resurser och därmed större möjligheter att ta hjälp av sakkunniga för att göra en gedigen genomgång av både risker och väsentlighet. Den lilla kommunen med mindre resurser har inte samma möjligheter att genomföra en omfattande planering. Resurser och modeller är inte det viktigaste i ett gott planeringsarbete, det viktiga är att börja samtala om och tänka i risker och vad som är väsentligt. Genom att fundera i dessa banor tar revisorerna också kommandot och initiativet i planerings-processen, vilket är det centrala. Att successivt börja tänka på risk och väsentlighet samt att starta ”smart”, genom att återanvända sådant som redan är gjort eller sådant andra gjort, är ett sätt. Att använda nämndernas och styrelsernas interna kontrollarbete är ett annat sätt. I den interna kontrollen finns mycket information om nämndernas och styrelsens egen värdering av risker och beskrivning av kontrollsystem för att förhindra risker. Saknas en intern kontrollplan är detta i sig något som revisorerna kan lyfta fram för att kommunen ska påbörja ett arbete med att införa intern kontrollplaner. Revisorerna ska däremot vara försiktiga med att bli ”internkonsulter” i arbetet med intern kontroll. Det finns många olika metoder och modeller man kan använda sig av för att genomföra en risk- och väsentlighetsanalys. I skriften finns inte dessa olika metoder och modeller presenterade. Det viktiga är inte primärt vilken modell eller metod man använder utan att börja tänka risk och väsentlighet. Att använda en modell eller metod som är svår och komplicerad innebär kanske inte ett stöd utan snarare ett hinder. Det är därför bättre att genomföra analysen och planeringen utan en avancerad och svårbegriplig metod än att använda metoden och inte förstå vad man gör.
29
Ta kommandot över risk- & väsentlighetsanalysen!
Litteratur och hänvisningar Allén, Sture mfl, 1997, PLUS svensk ordbok + uppslagsbok, Nordstedts Förlag AB Dickson, Harald mfl, 1992, Termer i nationalekonomi, Almqvist & Wiksell Förlag AB. FAR, 2002, RS – Revisionsstandard i Sverige, FAR förlag AB. Haglund, Anders mfl, 2001, Intern kontroll – ett flerdimensionellt ledningsverktyg, Komrev AB Hilborn Ingegärd mfl, 2001, Kommunallagen kommentarer och praxis, Svenska kommunförbundet och Kommentus Förlag 2001. Svenska Kommunförbundet och Landstingsförbundet, 2002, God revisionssed i kommunal verksamhet 2002, Ordförrådet AB Stadsrevisionen i Göteborg, Mål och inriktning för åren 2004–2006 Budget för år 2004
Ta kommandot över risk- & väsentlighetsanalysen!
30