Sakstittel: Enhet for internrevisjon årsrapport 2011, årspian 2012, presentasjon av enheten

Transkript

1 FRA UNIVERSITETSDIREKTØREN FREMLEGGSNOTAT Møtesaksnr.: Møtedato: Notatdato.: Arkivsaksnr: Saksbehandler: TIL UNIVERSITETSSTYRET Sakstittel: Enhet for internrevisjon årsrapport 2011, årspian 2012, presentasjon av enheten Enhet for intern revisjon skal legge fram sine arsrapporter og Årspianer for Styret til orientering. Dessuten har Universitetsstyret bedt om en presentasjon av ER. Hovedproblemstillinger i saken: Enhet for Intern Revisjon skal bistå universitetets øverste ledelse med å se etter at en tilfredsstillende intern kontroll er etablert og at den funksjonerer som forutsatt... Intern Revisjon skal bidra til at UiO når sine målsetninger Ovenstående er 2 utdrag fra EIRs instruks. Med utgangspunkt i arsrapport 2011, årsplan 2012 og en pr entasjon av enheten gis det mulighet for at Styret kan presentere sine ønsker og forventninger. ~~ng Svanb Revisj onssjef g Morten Seniorradgiver Vedlegg: Årsrapport for 2011 Årsplan for 2012 mlvedlegg Side i

2

3 ENHET FOR INTERN REVISJON RAPPORT 2011 OSLO, 21. februar 2012 Sveinung Svanberg Revisjonssjef

4 Innhold 1 INNLEDNING OPPFØLGING AV ÅRSPLAN REVISJONER/OPPGAVER Eksternt finansierte prosjekter Anskaffelser kjøp av konsulenter Mislighetseksponeringen ved UiO Institutt for medisinske basalfag/mekanisk verksted Helseforskningsloven AD HOC-Revisjoner Medisinsk Fakultet Budsjettdisponeringsmyndighet Kulturhistorisk museum/revita-midler Risikovurdering av publiseringsløsningen Vortex Oppfølgingsrevisjoner Sidegjøremålsapplikasjonen HMS-vernerunder Felles Studentsystem Risikogjennomgang ANDRE OPPGAVE Personvernombud UiO (PVO)for administrative behandlinger EU-revisjoner utstedelse av revisjonssertifikater Varslingsfunksjonene ved UiO ADMINISTRATIVE FORHOLD INTERN KONTROLL VED UiO

5 1 INNLEDNING Som en liten enhet, er EIR sårbar i forhold til uforutsette fravær. I en periode på nesten en måned før sommerferien hadde enheten to sykefravær som medførte at det måtte bli endringer i planlagte aktiviteter. Dessuten ble også planene for høsten i noen grad påvirket. EIR har fire stillinger. En stilling var ubesatt etter at en medarbeider sluttet i Stillingen ble lyst ut høsten 2010, men ingen av søkerne ble funnet å tilfredsstille kriteriene. Etter ny kunngjøring ble ny medarbeider tilsatt Enheten er dermed fulltallig, ny medarbeider er allerede fullt operativ. 2 OPPFØLGING AV ÅRSPLAN 2011 Revisjonsplanen for 2011 ble lagt fram for universtetsstyret til orientering, og ble i matriseform presentert slik: Nr Revisjonsområder 2011 Q1 Q2 Q3 Q4 1 Eksternt finansierte prosjekter X 2 Misligheter X X 3 Kjøp av konsulenttjenester X 4 Helseforskningsloven X 5 Risikohåndtering (rådgiving/fasilitering) X X X X 6 Risikogjennomgang av forvaltningsområdet X X 7 EU-Revisjoner utstedelse X X X X revisjonssertifikater 8 Personvernkontroller X X X X 9 Gjennomgang av utvalgte enheter (TILBUD) X X X 10 Oppfølgingsrevisjoner X X X X Det eneste området som ikke ble gjennomført ihht planen var nr. 6 Risikogjennomgang av forvaltningsområdet. Det skyldtes at oppgaver ble forskjøvet pga ovennevnte sykefravær. I tillegg har det bare blitt gjennomført en kartlegging av status vedrørende ny Helseforskningslov med spesielt fokus på å få en oversikt over eksisterende biobanker. Når revisjonen ikke kunne gjennomføres, skyldes det at implementeringen av loven har blitt forsinket ved UiO. Ellers ble det bare gjennomført én gjennomgang av utvalgte enheter (9). Arbeidet var tenkt gjennomført som en full service av to tre enheter gjennom året. Vi ga tilbud til samtlige enheter, og mottok noen få henvendelser, men bare én enhet ba om en gjennomgang. Det var ved Institutt for medisinske basalfag; jfr avsnitt 3.6. I tillegg ble det utført to ad hoc-oppdrag etter henvendelser fra enhetene. Det gjaldt anmodning om en revisjon av budsjettdisponeringsmyndigheten ved Det medisinske fakultet; jfr avsnitt 3.7, og en gjennomgang av bruken av Revita-midler ved Kulturhistorisk museum; jfr. avsnitt

6 3 REVISJONER/OPPGAVER Eksternt finansierte prosjekter Eksternt finansierte prosjekter (EFP) har vært revidert flere ganger de siste årene og da med forskjellig vinkling fra gang til gang. Formålet med revisjonen ble nå definert slik: Å se etter om formelle prosesskrav etterleves slik at UiO har tilfredsstillende kontroll med den eksternt finansierte virksomheten. Prosessen i denne sammenheng, omfatter: Søknad, budsjettering, registrering, gjennomføring, budsjettoppfølging og prosjektavslutning Revisjonen ble gjennomført ved et nettbasert spørreskjema til økonomimedarbeidere ved samtlige fakulteter, institutter og begge museene. I etterkant av spørreundersøkelsen ble det foretatt intervjuer med en del medarbeidere ved fakulteter og institutter, og avslutningsvis ble det foretatt tester ved at en del arkivmapper ble gjennomgått. Konklusjon: UiO som organisasjon har gjort betydelige framskritt i håndteringen av eksternt finansierte prosjekter. I alle de fasene som ihht formålet for revisjonen skulle gjennomgås (Søknad, budsjettering, registrering, gjennomføring, budsjettoppfølging og prosjektavslutning), har det skjedd forbedringer uten at man kan si at man er i mål. De største svakhetene mener EIR ligger i arkiveringsrutinene. For revisjonsarbeidet medførte det problemer med å få gjennomført testingen. Det innebærer også at UiO har problemer med å dokumentere i hvilken grad man har et tilfredsstillende opplegg for håndtering av EFP. EFP er et prioritert område i IHR-prosjektet, og EIR avventer hva som kommer ut av den prosessen. 3.3 Anskaffelser kjøp av konsulenter Bakgrunn Formål - Omfang: Innkjøp generelt har også vært revidert jevnlig de siste årene. Kjøp av konsulenttjenester har ikke vært gjenstand for revisjon siden Området er betydelig; det ble i 2010 kjøpt konsulenttjenester for NOK 126 millioner, og det var budsjettert med NOK 133 millioner for Formålet med revisjonen var «å se etter om det er etablert rutiner som sikrer gode kjøp av konsulenttjenester». Omfanget var i utgangspunktet planlagt til å følge opp et utvalg kjøp etter en analyse av kjøpshistorikk på aktuell artskode (6722). Imidlertid viste analysen at det var få kjøp av noe størrelse som ikke var gjort via rammeavtaler. Av den grunn ble omfanget endret, slik at det ikke skulle bli en ny revisjon av innkjøp generelt. Tidligere anbefalinger: I 2003 gjennomførte EIR en revisjon av «kjøp av eksterne konsulenttjenester ved UiO». I den revisjonen var konklusjonen at «Universitetet mangler en overordnet policy og strategi 4

7 for kjøp av konsulenttjenester. Vi vil derfor anbefale at det snarest utarbeides en innkjøpsstrategi for kjøp av eksterne konsulenttjenester, og at det utarbeides hjelpeverktøy som enhetene ved behov kan benytte for å kvalitetssikre slike kjøp». Riksrevisjonen la i mars 2004 fram for Stortinget «Dokument nr 3:8 ( ), Riksrevisjonens undersøkelse av kjøp og bruk av konsulenttjenester i staten». I den rapporten oppsummeres følgende sentrale punkter: Strategi, et ledelsesverktøy for å beslutte hvordan virksomheten skal benytte eksterne konsulenter Retningslinjer, for å sikre at anskaffelser foregår i samsvar med regelverket Styring av konsulenten, for å sikre at konsulentoppdraget gjennomføres som planlagt Kompetanseoverføring, for å sikre nødvendig kompetanseoverføring og derigjennom redusere virksomhetens framtidige behov for konsulenthjelp i tilsvarende situasjoner (hensiktsmessig å avtale i kontrakten eller oppdragsbeskrivelsen) Evaluering, for å bevisstgjøre organisasjonen på god og dårlig håndtering av konsulentkjøp. o Er målet oppnådd o Står resultatet i forhold til honoraret o Er enheten fornøyd med faglig og økonomisk styring o Inneholder leveransen tilstrekkelig faglig kvalitet Enhet for intern revisjon mener at disse anbefalingene fortsatt har aktualitet. Konklusjon: EIR mener det bør utarbeides en strategi for kjøp og bruk av konsulenttjenester, jf tidligere anbefalinger fra både Riksrevisjonen og EIR. Dette vil bidra til å redusere risikoen for at UiO ikke gjør gode kjøp av konsulenttjenester. 3.4 Mislighetseksponeringen ved UiO I desember 2007 gjennomførte EIR en workshop (WS) med medarbeidere fra en rekke (de fleste) fagavdelingene, fakultetene og muséene. Workshopen ble gjennomført i etterkant av en grundig kartlegging av aktuelle risikoområder der også Riksrevisjonen kom med viktige innspill. Således informerte Riksrevisjonen blant annet om hvilke områder man betraktet som spesielt utsatte for misligheter. Gjennomgangen resulterte i en rapport og en rangering av de områdene som ble behandlet. Følgende definisjon av misligheter lå til grunn for arbeidet: Mislighet foreligger når ansatte, tillitsvalgte eller forbindelser benytter seg av gitt tillit til å oppnå uberettiget økonomisk fordel. [Knut Løken, Kontroll] De områdene som ble vurdert (med noen underliggende problemstillinger): Likvide midler/inntekter Underslag av salgsinntekter Innkjøp Kjøp fra eget firma 5

8 Forfordeling familie/venners firma Returprovisjoner Misbruk bestillingsfullmakt Refusjoner Trikset med bilag Bilag ikke jobbrelaterte/jobbrelevante Reiseregninger Reisen ikke gjennomført Reisen godtgjøres flere ganger Utfylling (kostdøgn/ satser) Eksternt finansierte prosjekter (EFP) EFV-midler til private formål EFV-midler kanaliseres til egne prosjekter Sidegjøremål Bruk av UiOs ressurser/tid Interessekonflikter Lønn Feil registrering variabel lønn Feil innlegging av fast lønn På seg selv På slekt/venner På ikke eksisterende personer Eiendomsforvaltning Salg av eiendommer til undertakst Kjøp av varer og tjenester Utleieforhold Gjennom behandling, diskusjon og elektronisk stemmegiving, ble følgende områder fremhevet som de tre mest risikoutsatte i forhold til misligheter: Innkjøp, Sidegjøremål, Eksternt finansierte prosjekter. Misligheter - oppsummering/hovedkonklusjon etter oppfølging 2011 Risikoen for misligheter ved UiO vurderes å være redusert siden EIRs kartlegging i desember Dette gjelder på alle de områdene som da ble gjort til gjenstand for vurdering/analyse. Vi kan ikke se at det har kommet til nye områder som bør vurderes. UiO har systemer og rutiner på plass som skal gi rimelig sikkerhet for at misligheter ikke oppstår. Men det forutsetter at de brukes og at de funksjonerer som de skal. Sidegjøremålsreglementet er et eksempel på at det ikke fullt ut er tilfelle. Videre vil vi understreke viktigheten av at beslutninger som gjelder forhold hvor det kan bli stillet spørsmål ved UiOs og UiO-ansattes integritet, blir behørig dokumentert. Restrisiko - akseptabel risiko - anbefaling Restrisiko defineres som den gjenværende risikoen etter at tiltak [mot risikoen] er gjennomført. Akseptabel risiko defineres som den risikoen institusjonen er villig til å leve med [akseptere]. Gjennom denne kartleggingen mener vi å ha konstatert at risikoen for misligheter ved UiO er redusert. I den risikogjennomgangen som ble gjennomført i 2007 ble risikoen tallfestet, og det ville vært mulig å definere akseptabel risiko. Denne oppfølgingen gir ikke grunnlag for det. Det som må stå fast, er at UiO skal ha nulltoleranse overfor misligheter. 6

9 Vi vil anbefale at UiO øker sin oppmerksomhet mot mislighetsproblematikk. Selv små saker kan få stoere konsekvenser for den som har latt seg friste og for vedkommendes familie. Dessuten kan små saker også få betydelige konsekvenser for UiOs omdømme. Vi er imidlertid enig i universitetsdirektørens vurdering at det ikke er grunnlag for strakstiltak. 3.4 Institutt for medisinske basalfag/mekanisk verksted Revisjonen inngikk i EIRs årsplan om en generell gjennomgang av en enhet. I årsplanen heter det at: Arbeidet er tenkt gjennomført som en full service av en enhet. Vi ønsker å gi tilbud om en slik gjennomgang til noen enheter og vi mener at dette vil være spesielt nyttig for nytilsatte ledere ved at de vil få en god oversikt over enhetens utfordringer. Institutt for medisinske basalfag er en stor enhet med en relativt ny ledelse. Det ble utarbeidet et mandat for revisjonen som ble akseptert av instituttledelsen. Formålet med revisjonen er å se etter at ledelsen ved IMB har tilfredsstillende kontroll og styring med virksomheten ved Mekanisk Verksted. Det innebærer at: driften skal være målrettet og kostnadseffektiv roller, ansvar og fullmakter skal være klare og tydelige såvel økonomisk som operasjonell rapportering skal være pålitelig eiendeler og aktiva skal være godt sikret lover, regler og forskrifter overholdes Revisjonen fokuserte således på administrasjonens oppfølging av Mekanisk Verksted, og selve driften av verkstedet. Mekanisk verksted utfører konstruksjon og design av produkter samt en rekke finmekaniske tjenester. Verkstedet er en serviceenhet for instituttets primærvirksomheter, men har også samarbeid med eksterne aktører. Konklusjon: Mekanisk Verksted ved IMB gir betydelige bidrag til at IMB skal nå sine mål. Til tross for at virksomheten ved MV er vesensforskjellig fra det som er IMBs kjernevirksomhet, virker det som om enheten er godt integrert i den totale virksomheten ved IMB. Enheten består av dyktige og engasjerte medarbeidere. Driften er preget av fleksibilitet og oppfinnsomhet mht å finne gode, praktiske løsninger på ofte kompliserte problemer. EIR er likevel av den oppfatning at det vil være nyttig at det utarbeides et måldokument for MV som synliggjør hva enheten skal og kan bidra med. Dagens rutiner for ordre- og fakturabehandling understøtter ikke kravet om at økonomisk og operasjonell informasjon skal være pålitelig. Dette har igjen som konsekvens at det er vanskelig å dokumentere at driften er kostnadseffektiv. I forhold til HMS-regelverket er det viktig at det gjennomføres medarbeidersamtaler og vernerunder. Personalet ved IMB og Mekanisk Verksted var meget positive, og begynte arbeidet med å implementere EIRs forbedringsforslag allerede før revisjonen var avsluttet. 7

10 3.5 Helseforskningsloven Ny Lov om Helseforskning ble gjort gjeldende fra 1. juli 2009, og skulle således vært implementert ved UiO forlengst. Revisjon av implementeringen sto på EIRs revisjonsplan for 2011, men ble ikke gjennomført da loven ikke var implementert som forventet. UiO skal drives... i overensstemmelse med de lover, forskrifter og regler som gjelder..., jfr. Lov om universiteter og høgskoler; 9-1, og således er det uheldig at Loven ikke er implementert to og et halvt år etter at den ble vedtatt. Et rammeverk for hvordan loven skal implementeres forelå til årsskiftet 2010/2011, men det er nå gitt frist til 1. juli 2012 med å få på plass et system som skal medvirke tilat UiO etterlever lovens bestemmelser. Etter dette har ikke EIR hatt mulighet for å revidere implementeringen som planlagt, men vi har hatt en møterunde på fakultetene for å få en oversikt over hvordan status er mht til helseforskningsprosjekter og biobanker. Konklusjon: Det vi kan fastslå er at det kun var Det odontologiske fakultet som hadde en tilfredsstillende kontroll med hva som finnes av forskningsprosjekter og biobanker. For øvrig har UiO en viktig oppgave med å få på plass holdninger, forståelse og rutiner som kan sikre at vi etterlever Helseforskningslovens krav. 4 AD HOC-Revisjoner 2011 Det avsettes ikke tid og ressurser til Ad hoc-revisjoner i EIRs årsplan. Forespørsler fra UiOs organisasjon, diskuteres alltid med universitetsdirektøren ettersom planlagte oppgaver må nedprioriteres. I 2011 påtok EIRs seg tom større oppgaver etter forespørsler fra organisasjonen. Det gjaldt Det medisinske fakultet og Det kulturhistoriske museum. 4.1 Medisinsk Fakultet Budsjettdisponeringsmyndighet Bakgrunn Medisinsk fakultet henvendte seg våren 2011 til Enhet for intern revisjon (EIR) med ønske om å få en gjennomgang av tildelte roller for budsjettdisponeringsmyndighet (BDM) ved fakultetet. Formål Formålet med revisjonen: «å se etter om dagens organisering av BDM-funksjonene ved Det medisinske fakultet: ivaretar behovet for effektive og gode rutiner, bidrar til en trygg og kostnadseffektiv innkjøpsfunksjon for MedFak som helhet, Organiseringen bør også ivareta tilstrekkelig fleksibilitet ved den enkelte enhet.» 8

11 Gjennomgangen ble utført med intervjuer ved alle enheter med BDM, hvor også innkjøpsroller var del av intervjuet. Omfang Revisjonen var rettet mot alle enheter ved fakultetet, og omfattet også innkjøpsfunksjonen. Rapporten hadde en todelt struktur, en del for UiO-relaterte problemstillinger og en del direkte mot Det medisinske fakultet. Prinsipper rundt BDM-roller Rollen BDM er beskrevet i dokument «Budsjettdisponeringsmyndighet ved Universitet i Oslo:» «Før en person med budsjettdisponeringsmyndighet gjennomfører disposisjoner, skal vedkommende påse at: Det er hjemmel for disposisjonen Det er budsjettmessig dekning for disposisjonen Disposisjonen er økonomisk forsvarlig» Følgende skisse visualiserer BDM-roller til systemer og funksjoner. BDM blir tildelt gjennom delegasjon fra Dekan og nedover i organisasjonen. Delegert BDM tildeles via et skjema som må signeres og sendes fysisk til RS. Dertil er det etablert løsninger for å få tilgang til systemene HR-portal, Fakturabehandlingssystem og Bestillingssystem. Her er tilgangene styrt via pålogging til det enkelte system, og høyeste rettighet i det enkelte system er BDM (eller Godkjenner). Prinsipielt mener EIR at det må være en logikk i tildeling av BDM slik at det ikke kan tildeles BDM til systemer uten at samme person har blitt gitt Delegert BDM. Dette prinsippet er sammenfallende med RS sitt syn (ØPA/RS/systemgruppa). Konklusjon ang UiO-relaterte forhold Tilgangsstyringen til Delegert BDM, Fakturasystem, Bestillingssystem og HR-portal ser ut til å være tilfredsstillende mht hvordan tilganger kontrolleres før godkjenning og innlegging. Imidlertid er det 2 helt adskilte løsninger. HR-portal er helt selvstendig og utføres i OPA, mens de 3 andre håndteres i systemgruppa i RS. Også disse 3 er delvis adskilte, og det må gjennomføres manuelle kontroller før systemtilganger gis. ØPA og 9

12 OPA har sett at det kan være gevinster å hente ved å lage en løsning hvor tilganger gis og ajourholdes i ett punkt, SAPUiO er omtalt som aktuelt sted. Funksjonelt kan da en del roller knyttes til stillingen personen er tilsatt i, og automatiseres fra kilden (SAPUiO) og ut til det enkelte system. EIR mener en slik løsning vil være hensiktsmessig å etablere Ved bruk av plankjøp i Bestillingssystemet er det også en problemstilling. Dersom fakturabeløp blir annerledes enn beløp satt inn i bestillingen, blir ikke plankjøpsaldo oppdatert ift fakturaen. Dette gir utrygghet mht saldo i tildelt plan. EIR anbefaler at forholdet vurderes. Til prosjektkonti benyttes skyggeregnskap i noen grad for å holde en mer oppdatert oversikt enn hva regnskapsrapporter gir. EVF-delprosjektet i IHR-prosjektet har skyggeregnskap som et av sine temaer, og EIR forutsetter at problematikken vil bli vurdert i den sammenheng. Konklusjon EIR mener at organiseringen av BDM-roller ved Medisinsk fakultet i hovedsak ivaretar behovet for effektive og gode rutiner, og bidrar til en trygg og kostnadseffektiv innkjøpsfunksjon for fakultetet som helhet. Frist for respons på rapporten og en evt plan for iverksetting av tiltak er Det medisinske fakultet har i sitt svar skrevet «Fakultetet takker for rapporten og betrakter den som et nyttig verktøy i den videre utviklingen av fakultetets fullmaktsstruktur». 4.2 Kulturhistorisk museum/revita-midler EIR ble primo september anmodet om å vurdere om bruken av midler ved Kulturhistorisk museum (KHM) knyttet til REVITA-prosjektet har vært ihht. forutsetningene for tildelingene. EIR utarbeidet følgende mandat som ble godkjent av HR-direktøren: I den grad det er fastsatt prinsipper, eller lagt føringer for bruken av tildelte midler i REVITA-PROSJEKTET, skal EIR vurdere og konkludere mht om midlene er brukt slik bevilgende myndigheter har forutsatt. Bakgrunnen for anmodningen var en påstand fra en medarbeider ved museet om at midlene ikke var brukt i samsvar med Kunnskapsdepartementets (KDs) retningslinjer. Tildeling fra Kunnskapsdepartementet (KD) Riksrevisjonenes undersøkelse av bevaring og sikring av samlingene ved fem statlige museer (3:9 ( ) er utgangspunktet for økte bevilgninger fra Kunnskapsdepartementet (KD). Bevilgningene er tildelt UiO med merknad om bruk til «Bevaring og sikring av universitetsmuseene» og at «Ansvar for det løpende vedlikehold og sikring er lagt til institusjonene og det forutsettes at institusjonene prioriterer dette innenfor sine rammer.». Fordelingen av midlene mellom KHM og NHM er gjort av UiO. Vi har i denne sammenheng kun sett på midler tildelt KHM. Organisering KHM opprettet en prosjektorganisasjon hvor det ble tilsatt en prosjektleder, laget en handlingsplan, og opprettet en styringsgruppe. Styringsgruppen har mandat fra Styret i KHM. Det ble opprettet egen stedkode for føring av tildelte midler og kostnader, som danner grunnlag for rapportering til KD. 10

13 For øvrig inngår prosjektet i KHMs basisbudsjettet. Styret i KHM er fortløpende blitt holdt orientert om prosjektets fremdrift og har ikke kommet med større innvendinger. Hvilke poster som skal ligge i REVITA-prosjektet er fortløpende vurdert av styringsgruppen. Sikring og bevaring av et museums gjenstander, hører inn under den ordinære virksomheten. REVITA-prosjektet ble initiert på bakgrunn av at det forelå et betydelig etterslep jamfør Riksrevisjonenes rapport fra som det også er henvist til ovenfor. EIRs undersøkelser Enhet for intern revisjon har gått gjennom styrereferater (KHMs styre)fra , en del referater fra REVITAs styringsgruppe, rapporteringer og annen tilgjengelig dokumentasjon. Vi har i vår gjennomgang av foreliggende dokumentasjon konstatert at det har vært uenighet og diskusjon om noen utbedringsoppgaver skulle belastes prosjektet eller ordinær drift. Vi kan ikke se at de løsninger som er valgt, er i strid med føringene som er lagt for bruk av departementets tildelinger. EIR har ikke hatt mulighet for å gjennomføre en fullstendig regnskapsmessig revisjon av REVITA-prosjektet fra oppstarten og fram til i dag. De undersøkelsene som er gjennomført, har ikke avdekket transaksjoner som er i uoverensstemmelse med de føringer som er gitt av Kunnskapsdepartementet. Konklusjon EIR har ikke funnet eksempler, eller indikasjoner, på at tildelte midler til REVITAprosjektet er brukt i strid med gitte forutsetninger. 4.3 Risikovurdering av publiseringsløsningen Vortex Formål og bakgrunn for oppdraget I månedsskiftet november/desember 2011, mottok EIR en forespørsel fra universitetsledelsen om å foreta en risikovurdering av Vortex ift å evaluere sårbarhet knyttet til utvikling og drift av systemet. Formålet med revisjonen er å risikovurdere Vortex som publiseringsløsning for UiO-web. Vortex har også andre funksjoner og leverer løsninger til andre nettsider enn UiO-web. Denne revisjonen avgrenses til å vurdere Vortex sin, brukervennlighet, funksjonalitet, ytelse og stabilitet, og sikkerhet for UiO-web på kort og lang sikt. Prinsipielle betraktninger IHR-prosjektet har utviklet et dokument med anbefalinger for UiO s administrative ITsystemer. Anbefalingene går ut på å etablere entydige systemeierskap, entydig ansvars- og myndighetskart, veikart for administrative IT-systemer og etablering av en strategisk koordineringsgruppe. Dette er anbefalinger som også bør gjelde UiO s publiseringsløsning, men Vortex har ikke en plass i dette dokumentet. Vortex har heller ikke et allment kjent og akseptert formål/strategi. 11

14 SWOT-analyse og de største risikoene Vi har gjennomført en SWOT-analyse av Vortex som viser styrker, svakheter, muligheter og trusler på nåværende tidspunkt. S Strengths Brukervennlig ved enkel publisering Stabilt og tydelig driftsmønster Blitt bedre over tid UiO styrer retningen på utvikling av løsningen Dedikerte tekniske ansatte med god kompetanse Feil kan bli (og blir) korrigert raskt Kostnaden for utvikling går til oss selv Tilpasset universell utforming Opportunities UiO kan påvirke utviklingen av løsningen i ønsket retning O W Weaknesses Strategi og langsiktig plan mangler Tatt i bruk uten en reell vurdering Alene i verden om å bruke det Uklare ansvarsforhold Avhengig av en håndfull personer Vanskelig rekruttering Liten fleksibilitet i kapasitet Mangler i funksjonalitet (ikke utviklet så langt) Mindre sannsynlig at sikkerhetshull blir oppdaget grunnet få brukere T Threats Manglende strategiske beslutninger rundt publiseringsløsning og organisering Ikke troverdig at utviklingen kan være bedre enn andre løsninger som utvikles av mange Bortfall av personalressurser Ukjent økonomisk bilde Analysen danner grunnlag for de risikovurderingene som er foretatt og omfatter såvel faren for uønskede hendelser som faren for at noe fordelaktig ikke vil skje. Her presentere vi de risikoene vi anser som grunnleggende for alle delområdene i rapporten. Felles for alle disse risikoene er at UiO er alene i verden om å utvikle og bruke Vortex som publiseringsverktøy. Risikoer ved at UiO er alene om å bruke Vortex Kort sikt Lang sikt 1. Tilgang til kompetente ressurser 2. Utviklingstakt i forhold til andre produkter på markedet 3. Kun få brukere kan avdekke sikkerhetsfeil 4. Ukjent kostnadsbilde 12

15 Konklusjon I denne risiko-vurderingen har vi erfart at det ikke foreligger et klart, entydig og kjent formål for UiO s publiseringsløsning. Det er av stor betydning at det kommer på plass slik at best mulige veivalg for løsningen kan gjøres. Dagens løsning er egenutviklet, og Vortex-miljøet i USIT har gjennom sin kompetanse og sitt store engasjement skapt en god fungerende løsning. Men miljøet er lite og sårbart og det knytter seg usikkerhet til om man på lengere sikt klarer å hevde seg i konkurransen med andre løsninger. 5 Oppfølgingsrevisjoner 5.1 Sidegjøremålsapplikasjonen Rapporten ble oversendt OPA ved starten av 2011, og ble omtalt i EIRs årsrapport for Revisjonens funn: Revisjonen avdekket at det ikke var noe formalisme rundt eierskapet av SGM. Det er ingen formell avtale mellom OPA og USIT på verken utvikling eller drift. Det er ikke formalisert noe system for kvalitetssikring av SGM hos systemeier, Revisjonens anbefalinger det lages avtale mellom OPA og USIT mht utvikling og drift. det etableres et system for kvalitetssikring av SGM hos systemeier risikomomentene tas med i vurderingene av forvaltning og videreutvikling OPA responderte på rapporten innen satt frist, og var enige i rapportens påpekninger. OPA beskrev også 3 tiltak de ville iverksette med frist ultimo april for 2 av tiltakene og løpende for det siste tiltaket. STATUS per Ingen av tiltakene er implementert så langt. Et forslag til iverksetting ble lagt fram i Universitetsdirektørens ledergruppe i høsten 2011, hvor OPA anbefalte å overføre sidegjøremålsapplikasjon til SAP. Forslaget ble returnert for fornyet gjennomgang hvor endringer i SAP skal ses i sammenheng med det pågående IHR-arbeidet. 5.2 HMS-vernerunder Formålet med revisjonen var definert slik: Å se etter hvordan vernerunder følges opp og hvordan oppfølgingen er dokumentert, jf UiOs dokumentasjon av vernerunder. Framgangsmåte i revisjonen: Revisjonen har hatt en todelt innretning: En spørreundersøkelse vha nettskjema sendt til alle verneombud ved UiO ihht liste fra HMS-seksjonen, herunder også varaverneombud. Intervjuer med ansvarlig ledelse ved et utvalg institutter, totalt 7 enheter fordelt på 6 fakulteter Rapporten ble oversendt OPA i september 2010, og ble omtalt i EIRs årsrapport for Revisjonen avdekket at det var klare mangler i oppfølgingen av vernerunder. 13

16 Det er mangler i dokumentasjonen som utarbeides, og det er ikke tilfredsstillende dokumentasjon på hvilke tiltak som er realisert eller hvilken status et tiltak har. Systemet for vernerunder fungerer ikke etter hensikten da enheter kan droppe vernerunder i flere år uten at det etterspørres. Det må etableres et tryggere rapporteringssystem for å sikre at reglene for vernerunder følges. Det er ikke tilstrekkelig klare linjer for roller og ansvar, og hvem som skal ta kostnadene mellom TA og den enkelte enhet. OPA responderte på rapporten innen satt frist, og listet opp følgende tiltak for å forbedre tilstanden på området. 1. Utvikle en rutine for interne revisjoner, inkludert gjøre den kjent. Utvikle en pool med spørsmål til hjelp for enhetene. 2. Revidere rutinen for vernerunder og endre sjekklistene slik at de blir tydeligere basert på risiko. Endre nettsidene og gjøre endringene kjent 3. Utvikle en opplæringsmodul for ledere, lokale HMS-koordinatorer og verneombud slik at de blir i stand til å gjennomføre revisjoner og vernerunder 4. Vurdere den totale rapporteringen innen HMS. Hva skal fra institutt til fakultet. Hva skal fra fakultet til sentraladministrasjonen. Hva skal til styrene. Hva skal til arbeidsmiljøutvalgene. Hvordan skal det gis tilbakemelding på rapportene. Ingen av tiltakene var satt med en frist, men at det skulle diskuteres ut fra en samlet bruk av ressursene innen HMS. Status per Ingen av tiltakene er ferdig implementert så langt, men de har vært jobbet med. Til punkt 1 jobbes det med å følge internasjonal standard (OHSAS 18001) og rutinen Ledelsens gjennomgåelse er første steg. Punkt 2 anslås ferdigstilt i løpet av Til punkt 3 er det besluttet å kjøpe tjenesten, og første kurs er estimert til mars Punkt 4 anslås ferdigstilt i løpet av Det er tilsatt ny leder i HMS-stab som startet i jobben fra Felles Studentsystem Risikogjennomgang I 2010 fasiliterte EIR en risikogjennomgang av Felles Studentsystem (FS). FS er systemet for studieadministrative data ved UiO. Alle studenter, studier og eksamener blir registrert i FS. Systemet er utviklet av Usit og blir brukt av flere og flere universiteter og høgskoler i Norge. I forberedelsene til risikogjennomgangen konstaterte vi at det manglet en målsetting for hva FS skal være. Det ble utarbeidet et forslag til målformulering som ble forelagt, og godkjent av FS styre: FS skal være et informasjonssystem som: På en effektiv, stabil og brukervennlig måte støtter studieadministrative oppgaver og rutiner i henhold til gjeldende krav og regler Systematisk videreutvikles for å ivareta UH-sektorens behov Er tilrettelagt for samspill med andre administrative systemer (og databaser /informasjonssystemer) i sektoren. Totalt 20 personer deltok i selve risikoprosessen. Derav to reptesentanter fra FS styre. I tillegg til å kartlegge og evaluere risikoene ble det igangsatt en diskusjon om tiltak for å 14

17 redusere den enkelte risiko. Dette arbeidet ble videreført lokalt, og deretter satt sammen og bearbeidet i et samarbeid mellom EIR og sekretariatsleder av FS. 34 risikoer var med i vurderingen, fordelt på temaene: Ved bruk i institusjonene, 10 risikoer Systemutvikling, 7 risikoer Styring/administrasjon, 11 risikoer Drift 6 risikoer FS-styret har gjort rapporten, som ble utarbeidet etter riskogjennomgangen, til et levende dokument og den følges fortsatt opp på styremøtene. FS-sekretariatet og FS-styret har fulgt opp denne saken på en meget god og profesjonell måte ved at man har sørget for en kontinuerlig oppfølging. 6 ANDRE OPPGAVE 6.1 Personvernombud UiO (PVO)for administrative behandlinger EIR ivaretar funksjonen som personvernombud for administrative behandlinger ved UiO, estimert til 20% stilling. Den ivaretas av 1 medarbeider, godkjent av Datatilsynet. Opplegg med stedlige kontroller av behandling av personopplysninger har kommet godt i gang i 2011 med gjennomgang ved 2 fakulteter og 3 fagavdelinger. Arbeidet med stedlige kontroller vil pågå kontinuerlig og målet er å rekke over alle grunnenheter i løpet av 4-5 år. Et register er etablert for å holde oversikt over hvilke behandlinger av personopplysninger som foregår ved UiO, og PVO har oppfølgingen av at behandlingene skjer ihht lov og at registeret er oppdatert. De stedlige kontrollene er i stor grad med på å sikre at registeret inneholder alle aktuelle behandlinger og at det er á jour. De stedlige kontrollene gjennomføres i et samarbeid mellom PVO og daglig behandlingsansvarlig, som et team. Det er gunstig å være flere til å ivareta gjennomføringene, og samarbeidet med daglig behandlingsansvarlig er svært godt. Effektene av stedlige kontroller er at bevisstheten og kompetanse i besøkt enhet øker. Samtidig er kontrollteamet svært fornøyd med tilstanden ved de besøkte enheter, og også den vilje som vises for å bedre på de mangler som påpekes. 6.2 EU-revisjoner utstedelse av revisjonssertifikater EIR reviderte 22 EU prosjekter i 2011, hvorav 16 var prosjekter i 6. rammeprogram, 3 var i 7. rammeprogram og 3 utenfor rammeprogrammene. Flere av revisjonene har vært avsluttende prosjekter i 6. rammeprogram. Dette er en nedgang fra 2010 og vi regner med at nedgangen fortsetter i 2012, da prosjekter i 7. rammeprogram ikke trenger revisjon like ofte på grunn av en høyere beløpsgrense. Vi kan konstatere at kompetansen på innrapporteringen stadig blir bedre. Vi har også revidert EU-prosjekter utenom rammeprogrammene. Disse har ikke vært revidert tidligere, og det viser seg at kvaliteten på disse rapporteringene har vært dårligere. Dessuten er disse prosjektene underlagt andre regelverk, som EIR må sette seg inn i før hver revisjon. Arbeidet med disse prosjektene blir derfor også mer ressurskrevende. 15

18 6.3 Varslingsfunksjonene ved UiO Enheter som mottar varslinger skal rapportere om det til EIR EIR skal påse at enhetene følger opp varslingene på en god måte Man kan varsle direkte til EIR (hvis man ikke ønsker å varsle til for eksempel egen leder) I 2011 mottok EIR kun to meldinger fra fakultetene om varslinger, og vi mottok én varsling direkte. At det kun har vært to varslinger ved UiO (utenom EIR) anser vi for å være usannsynlig, og der kan tyde på at denne delen av varslingsregimet ikke fungerer som det skal. EIR har derfor anmodet OPA om å innskjerpe reglene slik at EIR kan ivareta sin oppgave med å følge opp varslingsbehandlingen. 7 ADMINISTRATIVE FORHOLD Som nevnt innledningsvis hadde EIR to lengere sykefravær før sommeren. Det medfører at sykefraværet, som alltid har vært svært lavt, i 2011 var uvanlig høyt totalt sett. Men ingen av sykefraværene kan relateres til arbeidet i EIR. Samtlige fire stillinger har vært besatt siden august, og vi vurderer ressurssituasjonen som tilfredsstillende. Medarbeider som ble tilsatt i august er allerede fullt operativ, og enheten mener å ha en god og allsidig kompetanse. 8 INTERN KONTROLL VED UiO Enhet for Intern Revisjon skal bistå universitetets øverste ledelse med å se etter at en tilfredsstillende intern kontroll er etablert og at den funksjonerer som forutsatt slik at virksomhet under universitetets forvaltningsområde drives effektivt, rasjonelt, forsvarlig og i samsvar med overordnede mål, vedtak og forutsetninger. Dette er innledningen på instruks for Enhet for intern revisjon ved UiO; vedtatt av UiOs styre i Det er ikke mulig for EIR å dekke hele organisasjonen i løpet av et år, og vår vurdering av internkontrollen ved UiO vil være basert på et begrenset antall revisjoner og andre oppgaver enheten har arbeidet med. For 2011 opplever vi at utviklingen har vært positiv, og vi viser til bl.a. til avsnitt 3.3 i denne rapporten der det vises til at internkontrolltiltak har hatt synergieffekter utover det som var primærhensikten med tiltakene. EIR har, som nevnt ovenfor, i stor grad hatt oppmerksomheten rettet mot internkontrollen knyttet til det aktuelle revisjonsområdet. Heretter vil vi i tillegg i alle revisjoner øke fokus på internkontroll generelt. Dermed håper vi å få et bedre grunnlag for å kunne konkludere på om...tilfredsstillende intern kontroll er etablert og at den funksjonerer som forutsatt... 16

19 Videre ønsker vi å lage en rapporteringsmodell som vil gjøre det enkelt for universitetsledelesen og universitetstyret å få den ønskede oversikten. 17

20 Universitetet i Oslo ENHET FOR INTERN REVISJON ÅRSPLAN FOR 2012 OSLO, 21. februar 2012 Sveinung Svanberg Revisjonssjef 1

21 1. INNLEDNING Enhet for intern revisjon (EIR) har i høst invitert samtlige fakulteter og fagavdelinger til å komme med innspill til revisjonsområder for Dette har også vært ett tema på en møterunde EIR gjennomførte med fakultetene i 4. kvartal. Gjennom året har vi mottatt forslag som er innarbeidet i planen. Videre bygger planen på enhetens egne erfaringer og tilbakemeldinger og rapporter fra Riksrevisjonen. Planen tar også opp i seg styringssignaler som er gitt fra Kunnskapsdepartementet, spesielt hva gjelder styringsprinsipper - herunder risikohåndtering. Videre er det en målsetting med planen at den skal reflektere de utfordringene som preger UiOs strategiplan. Tilsammen hadde vi et utgangspunkt på ca. tjue områder til vurdering. Enkelte av områdene var overlappende slik at det var naturlig å slå dem sammen. I desember i fjor ble EIR anmodet om å gjennomføre en revisjon/risikoanalyse av publiseringsverktøyet VORTEX. Dette var en hasteoppgave med leveringsfrist første halvdel av februar. Denne oppgaven har tatt en stor del av ressursene de seks første ukene av året. 2. VURDERING AV FORSLAG TIL REVISJONSOMRÅDER Områdene har vært gjennom en grundig vurdering i EIR, og de er diskutert med universitetsdirektøren. Videre ba vi hvert medlem i universitetsdirektørens ledergruppe om å velge ut fem områder, og prioritere dem innbyrdes. Responsen fra ledergruppen var imidlertid ikke så stor som ønsket, men ga likevel noen indikasjoner. Den endelige revisjonsplanen ble utarbeidet etter samtale med universitetsdirektør; se vedlegg 1. RISIKO og VESENTLIGHET har hele tiden vært de viktigste elementene i våre vurderinger. De områdene som står på vent, vil bli vurdert på ny etter 1. halvår; men anses i dag som mest aktuelle for revisjon i 2013; jfr. punkt 6; andre avsnitt. 3. STRATEGIER/ARBEIDSMÅL I EIRs Mål og strategidokument er enhetens mål formulert slik: Intern Revisjon skal bidra til målbare kvalitetsforbedringer i rutiner, systemer og den administrative drift slik at universitetets overordnede strategier og mål kan oppfylles på en effektiv og rasjonell måte. Videre heter det at EIR skal ha fokus på måloppnåelse ut fra visjon, strategier, verdigrunnlag, kommunikasjonsplattform og ledelseskrav som er fastlagt for UiO gi bidrag/råd i utviklingsprosjekter for å skape forbedringer øke forståelsen for betydningen av helhetlig og integrert risikostyring i organisasjonen 2

22 Intern revisjons arbeid tar utgangspunkt i vurderinger av risiko og vesentlighet. Risiko kan defineres som en samling av alle interne og eksterne faktorer som påvirker vår evne til å nå mål eller å oppfylle formålet. Risiko oppstår like mye ut fra faren for at noe fordelaktig ikke vil skje (tapte muligheter), som trusselen for at noe galt vil inntreffe, eller avvik fra forventet resultat. UiOs ledelse er pålagt å sørge for at det er etablert en forsvarlig risikostyring og intern kontroll, samt å påse at den fungerer på en tilfredsstillende måte. Intern Revisjon vil fokusere på dette i sitt arbeid, og vil bistå organisasjonen med å etablere intern kontroll i tråd med Økonomireglementets krav til virksomhetsstyring. Vi viser til det som er skrevet under nedenstående punkt 4 om EIRs informerende og rådgivende rolle. EIR ønsker å bidra til økt kvalitet ved å fokusere på et bevisst forhold til risiko, samt å støtte opp under ønskede endringsprosesser som skal sette organisasjonen enda bedre i stand til å gripe og utnytte nye muligheter. Gjennom sitt arbeid i store deler av organisasjonen vil Intern Revisjon være i en god posisjon til å spre best practice og bidra til intern læring og samhandling mellom fag- og funksjonsområder. For at vi skal lykkes, er vi avhengig av en god dialog med universitetsledelsen, fakulteter, institutter og de tekniske og administrative enhetene både i planleggingsarbeidet og i gjennomføringen av revisjonsarbeidet. 4. ENHET FOR INTERN REVISJON BEMANNING - ARBEIDSUTFØRELSE Enhet for Intern revisjon disponerer fire stillinger. EIRs oppgaver er knyttet til utførelsen av operasjonell revisjon. Revisjonsmetodikk velges ut fra det enkelte oppdrags formål og omfang, samt etter tilgjengelige ressurser. I enhetens instruks er det slått fast at revisjonsarbeidet skal være kontrollerende, informerende og rådgivende. Videre er Intern Revisjon pålagt å drive utstrakt veiledningsvirksomhet og yte bistand og gi råd innenfor internrevisjonens saksområder og kompetanse. Enheten skal drive forebyggende virksomhet og sikre at rutiner omkring kontroll av sikringssystemer blir tilfredsstillende fulgt opp i organisasjonen. Revisjonene utføres ved bruk av kartleggings-, evaluerings- og testingsverktøy som gir grunnlag for evalueringer og forbedringsforslag. EIR har utarbeidet et nettbasert verktøy for kartlegging, risikovurderinger og egenevalueringer. Dette verktøyet vil bli benyttet i en viss utstrekning, men stedlige revisjonsbesøk vil være den viktigste arbeidsmetoden. En medarbeider i EIR er tillagt rollen som personvernombud for administrative behandlinger ved UiO, en rolle som beslaglegger ca 20% av stillingen. EIR er også en sentral enhet i UiOs varslingsregime. Alle varslinger ved UiO skal meldes til EIR som har som oppgave å følge opp at varslingene får en god og forsvarlig behandling. Varslinger kan også sendes direkte til EIR, og det vil kunne være aktuelt for EIR å følge opp sakene. Dette arbeidet må prioriteres, men det er ikke mulig å anslå omfanget. Revisjon av EU-prosjekter innebærer en bekreftelse på at kostnadene i prosjektene er i samsvar med kontrakten med EU, og at de er tilfredsstillende dokumentert. 3

23 Intern revisjons virksomhet blir utført i samsvar med de standarder som er utarbeidet av The Institute of Internal Auditors (IIA). EIRs medarbeidere er medlem av Norges Interne Revisorers Forening (IIA s norske organisasjon). En medarbeider er også medlem av ISACA, internasjonal organisasjon spesielt for interne revisorer innen IT. En medarbeider skal ut i foreldrepermisjon fom. august 2012, men vi har godt håp om å få dekket stillingen med vikariat. 5. BUDSJETT Det er viktig at enheten tilføres midler som sikrer faglig utvikling, og som medfører at medarbeiderne kan delta på vedlikeholdsaktiviteter som er nødvendige for å kunne opprettholde sertifiseringer. Den budsjettrammen enheten er tildelt for 2012 legger til rette for det. Således tas det sikte på aktiv deltagelse i IIAs 1, ISACAs 2 og NIRFs 3 kurs- og seminartilbud. Det avsettes to arbeidsdager vår og høst for evaluering av egen virksomhet mot planer, instruks, UiOs Visjon og verdier, EIRs eget visjons- og verdidokument, samt til planlegging av kommende oppgaver. Videre ser vi det som verdifullt å delta i nettverksarbeid med internrevisjonsavdelinger ved universitets- og høgskoler i Norden. 6. REVISJONSPLAN 2012 Vi har som vedlegg til planen en beskrivelse av de enkelte revisjonsområdene/arbeidsoppgavene med angivelse av formål og omfang. Omfanget vil bli vurdert og konkretisert når vi starter planleggingen av de enkelte revisjonene. Dette vil skje i dialog med de enhetene som skal revideres, og de avdelingene som har et ansvar i forhold til revisjonsområdet. Aktivitetene dekker hele 2012, men det vil bli foretatt en ny vurdering før 2. halvår for å se om de oppgavene som pr. dato er ført opp i planen, fortsatt er de mest relevante. Eventuelle endringer vil skje etter dialog med universitetsdirektøren. Det er ikke reservert tid til ad hoc-oppdrag, men de vil bli utført fortløpende ved at det foretas omprioriteringer i samråd med universitetsdirektøren. I tillegg viser vi til det som er sagt under punkt 4 om rollen som personvernombud, og EIRs oppgaver i UiOs varslingsregime. Følgende hovedområder (1-10) planlegges revidert i Nummereringen innebærer ingen prioritering, men er henvisninger til beskrivelsen av områdene i vedlegget. 1 The Institute of Internal Auditors 2 Information Systems Audit and Control Associoation 3 Norges interne revisorers forening 4

24 REVISJONSMATRISE FOR EIR 2012 Nr Område 1 kv 2 kv 3 kv* 4 kv* 1 Innformasjonssikkerhet mobile enheter X X 2 Eksternt finansierte prosjekter - økonomistyring På vent arb.gr. IHR 3 Internkontroll i grensesnittet EFP/innkjøp/sidegjm. X X 4 Midlertidig ansatte På vent 5 UiOs miljøsatsing grønt universitet X X 6 Strategisk plan 2020 implementering/oppfølging X X 7 SBH-rutiner med hovedvekt på arkivering X X 8 Imlementering av helseforskningsloven X 9 Doble utbetalinger X X 10 Forskningsbasert utdaning På vent 1) 11 Varierte undervisnings- og evalueringsformer På vent 1) 12 Tilgangsstyring it-området X X 13 Formidling På vent 14 Vortex X Des 2011 feb 2012 I tillegg kommer EU-revisjoner, Rådgivingsoppgaver (spesielt fasilitering av risikovurderinger). 1 ) 10 og 11 kan slåes sammen, områdene vurderes også i forhold til at NOKUT har signalisert stedlig tilsyn i *Det foretas en ny vurdering før sommeren av oppgavene ført opp i 2. halvår og da vurdert opp mot oppgaver på vent. 7. OPPFØLGINGSREVISJONER I henhold til instruksen, er det pålagt Intern Revisjon å følge opp og se etter at det blir tatt behørig hensyn til revisjonsrapportene. På bakgrunn av endelig revisjonsrapport, har revidert enhet ansvar for at det blir utarbeidet en handlingsplan. Handlingsplanen, som skal inneholde så vel tidsfrister som opplysning om hvem som har ansvar for gjennomføring av tiltak, skal være grunnlaget for oppfølgingsarbeidet. 8. RAPPORTERING Det vil bli utarbeidet rapporter etter alle revisjoner. Rapport sendes revidert enhet med gjenpart til overordnet enhet. Rapportformen vil kunne variere alt etter hva som anses som hensiktsmessig. I henhold til Intern revisjons instruks skal det utarbeides halvårlige rapporter som også skal framlegges for Styret ved UiO. 5

25 VEDLEGG TIL REVISJONSPLAN 2012 Revisjonstemaer: NR Tema/revisjonsområde Utfyllende om tema 1 Informasjonssikkerhet mobile enheter, (laptop, smartmobil, nettbrett) Informasjon i dokumenter og e-poster blir i økende grad overført til mobile enheter som en del arbeidsutførelse. Se på både faste sikkerhetsmekanismer som er etablert, hva som er frivillig å bruke, og bevissthet hos brukerne. 2 Ekstern finansierte prosjekter ØKONOMISTYRINGEN Har UiO god nok økonomistyring på ekstern-finansierte prosjekter? Innbetaling av midler, prosjektopprettelse, eierskap, oppfølging etc. 3 INTERNKONTROLL i grensesnittet mellom Innkjøp Sidegjøremål & EFP Innkjøp, EFP og SGM er alle områder med høy risiko og det er felles internkontroll-problematikk i grensesnittet mellom disse områdene 4 Midlertidige ansatte Eksternt finansierte prosjekter og undervisningsstillinger. Status nå / mål / fremdrift jfr. brev fra KD om reduksjonsmål. Problematikken rundt variable inntekter og en mer fast kostnadsmasse i form av lønn. Nå strammere krav vedr. fast ansettelse. 5 Miljøsatsing UiO grønt universitet Jfr. Formuleringer UiO grønt universitet i SP UiO skal etablere seg som et grønt universitet (Strategi 2020) og det er etablert en miljøsatsing ved universitetet. Hvordan ligger UiO an i arbeidet med å bli et grønt universitet? Hva er status, planer, drivere, hindre, realisert og potensiell gevinstrealisering? 6 Strategisk Plan Strategisk plan angir ambisjons-nivået for UiO. Planen ble vedtatt i april 2010, og et sett med indikatorer skulle bidra til å konkretisere ambisjonsnivået. Indikatorene er også et viktig hjelpemiddel for å følge opp at UiO når sine ambisjoner. Formålet med revisjonen vil være å se etter om SP er et levende dokument i hele organisasjonen, og i hvilken grad UiO når sine ambisiøse mål. 6

26 NR Tema/revisjonsområde Utfyllende om tema 7 SBH-rutiner/arkivering v/uio Er SBH-rutinene ved UiO i samsvar med Statens SBH-rutiner? Og etterleves de? Elektronisk saksbehandling er stadig høyere prioritert både fra politisk hold og gjennom krav til økt effektivitet i forvaltningens virksomheter. Bakgrunnen for en satsing på elektronisk saksbehandling kan finnes i følgende kjensgjerninger: Dokumentmengder i forvaltningen vokser i hurtig tempo. 90 % av all informasjon brukt bl.a. i saksbehandlingen finnes i dokumenter. Kostnader knyttet til håndteringen av papirdokumenter stiger jevnt. Arkiveringsrutinene spesielt fokusområde i revisjonen? 8 Helseforskningsloven Lov om medisinsk og helsefaglig forskning (helseforskningsloven) trådte i kraft Samme dag ble forskrift om organisering av medisinsk og helsefaglig forskning vedtatt. Formålet med loven er å fremme god og etisk forsvarlig forskning, det vil si at bl.a. etiske og personvernmessige forhold ivaretas. Loven stiller krav til at forskningsansvarlig institusjon skal ha et system for å sikre overholdelse. Dette systemet inkluderer internkontroll og interne revisjoner. Eksternt tilsyn høsten 2012 eller våren Som en del av revisjonen vil også noen biobanker få en nærmere oppfølging. 9 Doble utbetalinger UiO mottok i 2011 ca fakturaer. Har vi rimelig sikkerhet for at samme faktura ikke betales flere ganger? 10 Forskningsbasert utdanning 11 "Varierte undervisningsog evalueringsformer" Se dokument fra Univeritets- og Høyskolerådet. Det bør settes fokus på hvordan studenter helt ned på bachelornivå involveres i forskningen at de ikke bare er passive mottagere. Dette handler om hvordan læringsprosessene (undervisningen) legges opp. Dette er en er del av Tiltak 4 i årsplan (STA) med frist Fakultetene skal legge til rette for at studentene møter varierte undervisnings- og evalueringsformer og bruk av digitalt støttede læringsformer underveis i studieløpet. Dette skal sikre aktivisering, læringsfremmende vurdering og god sammenheng mellom læringsmål, undervisning og prøving. Alle fakulteter skal sette i gang pilotprosjekter og avklare hvordan fakultetet vil jobbe strategisk og systematisk med varierte undervisnings- og evalueringsformer og bruk av digitalt støttede læringsformer. 7