Universitetet i Oslo ENHET FOR INTERN REVISJON ÅRSPLAN FOR 2012 OSLO, 21. februar 2012 Sveinung Svanberg Revisjonssjef 1
1. INNLEDNING Enhet for intern revisjon (EIR) har i høst invitert samtlige fakulteter og fagavdelinger til å komme med innspill til revisjonsområder for 2012. Dette har også vært ett tema på en møterunde EIR gjennomførte med fakultetene i 4. kvartal. Gjennom året har vi mottatt forslag som er innarbeidet i planen. Videre bygger planen på enhetens egne erfaringer og tilbakemeldinger og rapporter fra Riksrevisjonen. Planen tar også opp i seg styringssignaler som er gitt fra Kunnskapsdepartementet, spesielt hva gjelder styringsprinsipper - herunder risikohåndtering. Videre er det en målsetting med planen at den skal reflektere de utfordringene som preger UiOs strategiplan. Tilsammen hadde vi et utgangspunkt på ca. tjue områder til vurdering. Enkelte av områdene var overlappende slik at det var naturlig å slå dem sammen. I desember i fjor ble EIR anmodet om å gjennomføre en revisjon/risikoanalyse av publiseringsverktøyet VORTEX. Dette var en hasteoppgave med leveringsfrist første halvdel av februar. Denne oppgaven har tatt en stor del av ressursene de seks første ukene av året. 2. VURDERING AV FORSLAG TIL REVISJONSOMRÅDER Områdene har vært gjennom en grundig vurdering i EIR, og de er diskutert med universitetsdirektøren. Videre ba vi hvert medlem i universitetsdirektørens ledergruppe om å velge ut fem områder, og prioritere dem innbyrdes. Responsen fra ledergruppen var imidlertid ikke så stor som ønsket, men ga likevel noen indikasjoner. Den endelige revisjonsplanen ble utarbeidet etter samtale med universitetsdirektør; se vedlegg 1. RISIKO og VESENTLIGHET har hele tiden vært de viktigste elementene i våre vurderinger. De områdene som står på vent, vil bli vurdert på ny etter 1. halvår; men anses i dag som mest aktuelle for revisjon i 2013; jfr. punkt 6; andre avsnitt. 3. STRATEGIER/ARBEIDSMÅL I EIRs Mål og strategidokument er enhetens mål formulert slik: Intern Revisjon skal bidra til målbare kvalitetsforbedringer i rutiner, systemer og den administrative drift slik at universitetets overordnede strategier og mål kan oppfylles på en effektiv og rasjonell måte. Videre heter det at EIR skal ha fokus på måloppnåelse ut fra visjon, strategier, verdigrunnlag, kommunikasjonsplattform og ledelseskrav som er fastlagt for UiO gi bidrag/råd i utviklingsprosjekter for å skape forbedringer øke forståelsen for betydningen av helhetlig og integrert risikostyring i organisasjonen 2
Intern revisjons arbeid tar utgangspunkt i vurderinger av risiko og vesentlighet. Risiko kan defineres som en samling av alle interne og eksterne faktorer som påvirker vår evne til å nå mål eller å oppfylle formålet. Risiko oppstår like mye ut fra faren for at noe fordelaktig ikke vil skje (tapte muligheter), som trusselen for at noe galt vil inntreffe, eller avvik fra forventet resultat. UiOs ledelse er pålagt å sørge for at det er etablert en forsvarlig risikostyring og intern kontroll, samt å påse at den fungerer på en tilfredsstillende måte. Intern Revisjon vil fokusere på dette i sitt arbeid, og vil bistå organisasjonen med å etablere intern kontroll i tråd med Økonomireglementets krav til virksomhetsstyring. Vi viser til det som er skrevet under nedenstående punkt 4 om EIRs informerende og rådgivende rolle. EIR ønsker å bidra til økt kvalitet ved å fokusere på et bevisst forhold til risiko, samt å støtte opp under ønskede endringsprosesser som skal sette organisasjonen enda bedre i stand til å gripe og utnytte nye muligheter. Gjennom sitt arbeid i store deler av organisasjonen vil Intern Revisjon være i en god posisjon til å spre best practice og bidra til intern læring og samhandling mellom fag- og funksjonsområder. For at vi skal lykkes, er vi avhengig av en god dialog med universitetsledelsen, fakulteter, institutter og de tekniske og administrative enhetene både i planleggingsarbeidet og i gjennomføringen av revisjonsarbeidet. 4. ENHET FOR INTERN REVISJON BEMANNING - ARBEIDSUTFØRELSE Enhet for Intern revisjon disponerer fire stillinger. EIRs oppgaver er knyttet til utførelsen av operasjonell revisjon. Revisjonsmetodikk velges ut fra det enkelte oppdrags formål og omfang, samt etter tilgjengelige ressurser. I enhetens instruks er det slått fast at revisjonsarbeidet skal være kontrollerende, informerende og rådgivende. Videre er Intern Revisjon pålagt å drive utstrakt veiledningsvirksomhet og yte bistand og gi råd innenfor internrevisjonens saksområder og kompetanse. Enheten skal drive forebyggende virksomhet og sikre at rutiner omkring kontroll av sikringssystemer blir tilfredsstillende fulgt opp i organisasjonen. Revisjonene utføres ved bruk av kartleggings-, evaluerings- og testingsverktøy som gir grunnlag for evalueringer og forbedringsforslag. EIR har utarbeidet et nettbasert verktøy for kartlegging, risikovurderinger og egenevalueringer. Dette verktøyet vil bli benyttet i en viss utstrekning, men stedlige revisjonsbesøk vil være den viktigste arbeidsmetoden. En medarbeider i EIR er tillagt rollen som personvernombud for administrative behandlinger ved UiO, en rolle som beslaglegger ca 20% av stillingen. EIR er også en sentral enhet i UiOs varslingsregime. Alle varslinger ved UiO skal meldes til EIR som har som oppgave å følge opp at varslingene får en god og forsvarlig behandling. Varslinger kan også sendes direkte til EIR, og det vil kunne være aktuelt for EIR å følge opp sakene. Dette arbeidet må prioriteres, men det er ikke mulig å anslå omfanget. Revisjon av EU-prosjekter innebærer en bekreftelse på at kostnadene i prosjektene er i samsvar med kontrakten med EU, og at de er tilfredsstillende dokumentert. 3
Intern revisjons virksomhet blir utført i samsvar med de standarder som er utarbeidet av The Institute of Internal Auditors (IIA). EIRs medarbeidere er medlem av Norges Interne Revisorers Forening (IIA s norske organisasjon). En medarbeider er også medlem av ISACA, internasjonal organisasjon spesielt for interne revisorer innen IT. En medarbeider skal ut i foreldrepermisjon fom. august 2012, men vi har godt håp om å få dekket stillingen med vikariat. 5. BUDSJETT Det er viktig at enheten tilføres midler som sikrer faglig utvikling, og som medfører at medarbeiderne kan delta på vedlikeholdsaktiviteter som er nødvendige for å kunne opprettholde sertifiseringer. Den budsjettrammen enheten er tildelt for 2012 legger til rette for det. Således tas det sikte på aktiv deltagelse i IIAs 1, ISACAs 2 og NIRFs 3 kurs- og seminartilbud. Det avsettes to arbeidsdager vår og høst for evaluering av egen virksomhet mot planer, instruks, UiOs Visjon og verdier, EIRs eget visjons- og verdidokument, samt til planlegging av kommende oppgaver. Videre ser vi det som verdifullt å delta i nettverksarbeid med internrevisjonsavdelinger ved universitets- og høgskoler i Norden. 6. REVISJONSPLAN 2012 Vi har som vedlegg til planen en beskrivelse av de enkelte revisjonsområdene/arbeidsoppgavene med angivelse av formål og omfang. Omfanget vil bli vurdert og konkretisert når vi starter planleggingen av de enkelte revisjonene. Dette vil skje i dialog med de enhetene som skal revideres, og de avdelingene som har et ansvar i forhold til revisjonsområdet. Aktivitetene dekker hele 2012, men det vil bli foretatt en ny vurdering før 2. halvår for å se om de oppgavene som pr. dato er ført opp i planen, fortsatt er de mest relevante. Eventuelle endringer vil skje etter dialog med universitetsdirektøren. Det er ikke reservert tid til ad hoc-oppdrag, men de vil bli utført fortløpende ved at det foretas omprioriteringer i samråd med universitetsdirektøren. I tillegg viser vi til det som er sagt under punkt 4 om rollen som personvernombud, og EIRs oppgaver i UiOs varslingsregime. Følgende hovedområder (1-10) planlegges revidert i 2012. Nummereringen innebærer ingen prioritering, men er henvisninger til beskrivelsen av områdene i vedlegget. 1 The Institute of Internal Auditors 2 Information Systems Audit and Control Associoation 3 Norges interne revisorers forening 4
REVISJONSMATRISE FOR EIR 2012 Nr Område 1 kv 2 kv 3 kv* 4 kv* 1 Innformasjonssikkerhet mobile enheter X X 2 Eksternt finansierte prosjekter - økonomistyring På vent arb.gr. IHR 3 Internkontroll i grensesnittet EFP/innkjøp/sidegjm. X X 4 Midlertidig ansatte På vent 5 UiOs miljøsatsing grønt universitet X X 6 Strategisk plan 2020 implementering/oppfølging X X 7 SBH-rutiner med hovedvekt på arkivering X X 8 Imlementering av helseforskningsloven X 9 Doble utbetalinger X X 10 Forskningsbasert utdaning På vent 1) 11 Varierte undervisnings- og evalueringsformer På vent 1) 12 Tilgangsstyring it-området X X 13 Formidling På vent 14 Vortex X Des 2011 feb 2012 I tillegg kommer EU-revisjoner, Rådgivingsoppgaver (spesielt fasilitering av risikovurderinger). 1 ) 10 og 11 kan slåes sammen, områdene vurderes også i forhold til at NOKUT har signalisert stedlig tilsyn i 2013. *Det foretas en ny vurdering før sommeren av oppgavene ført opp i 2. halvår og da vurdert opp mot oppgaver på vent. 7. OPPFØLGINGSREVISJONER I henhold til instruksen, er det pålagt Intern Revisjon å følge opp og se etter at det blir tatt behørig hensyn til revisjonsrapportene. På bakgrunn av endelig revisjonsrapport, har revidert enhet ansvar for at det blir utarbeidet en handlingsplan. Handlingsplanen, som skal inneholde så vel tidsfrister som opplysning om hvem som har ansvar for gjennomføring av tiltak, skal være grunnlaget for oppfølgingsarbeidet. 8. RAPPORTERING Det vil bli utarbeidet rapporter etter alle revisjoner. Rapport sendes revidert enhet med gjenpart til overordnet enhet. Rapportformen vil kunne variere alt etter hva som anses som hensiktsmessig. I henhold til Intern revisjons instruks skal det utarbeides halvårlige rapporter som også skal framlegges for Styret ved UiO. 5
VEDLEGG TIL REVISJONSPLAN 2012 Revisjonstemaer: NR Tema/revisjonsområde Utfyllende om tema 1 Informasjonssikkerhet mobile enheter, (laptop, smartmobil, nettbrett) Informasjon i dokumenter og e-poster blir i økende grad overført til mobile enheter som en del arbeidsutførelse. Se på både faste sikkerhetsmekanismer som er etablert, hva som er frivillig å bruke, og bevissthet hos brukerne. 2 Ekstern finansierte prosjekter ØKONOMISTYRINGEN Har UiO god nok økonomistyring på ekstern-finansierte prosjekter? Innbetaling av midler, prosjektopprettelse, eierskap, oppfølging etc. 3 INTERNKONTROLL i grensesnittet mellom Innkjøp Sidegjøremål & EFP Innkjøp, EFP og SGM er alle områder med høy risiko og det er felles internkontroll-problematikk i grensesnittet mellom disse områdene 4 Midlertidige ansatte Eksternt finansierte prosjekter og undervisningsstillinger. Status nå / mål / fremdrift jfr. brev fra KD om reduksjonsmål. Problematikken rundt variable inntekter og en mer fast kostnadsmasse i form av lønn. Nå strammere krav vedr. fast ansettelse. 5 Miljøsatsing UiO grønt universitet Jfr. Formuleringer UiO grønt universitet i SP 2010-2020. UiO skal etablere seg som et grønt universitet (Strategi 2020) og det er etablert en miljøsatsing ved universitetet. Hvordan ligger UiO an i arbeidet med å bli et grønt universitet? Hva er status, planer, drivere, hindre, realisert og potensiell gevinstrealisering? 6 Strategisk Plan 2010-2020 Strategisk plan 2010 2020 angir ambisjons-nivået for UiO. Planen ble vedtatt i april 2010, og et sett med indikatorer skulle bidra til å konkretisere ambisjonsnivået. Indikatorene er også et viktig hjelpemiddel for å følge opp at UiO når sine ambisjoner. Formålet med revisjonen vil være å se etter om SP 2010-2020 er et levende dokument i hele organisasjonen, og i hvilken grad UiO når sine ambisiøse mål. 6
NR Tema/revisjonsområde Utfyllende om tema 7 SBH-rutiner/arkivering v/uio Er SBH-rutinene ved UiO i samsvar med Statens SBH-rutiner? Og etterleves de? Elektronisk saksbehandling er stadig høyere prioritert både fra politisk hold og gjennom krav til økt effektivitet i forvaltningens virksomheter. Bakgrunnen for en satsing på elektronisk saksbehandling kan finnes i følgende kjensgjerninger: Dokumentmengder i forvaltningen vokser i hurtig tempo. 90 % av all informasjon brukt bl.a. i saksbehandlingen finnes i dokumenter. Kostnader knyttet til håndteringen av papirdokumenter stiger jevnt. Arkiveringsrutinene spesielt fokusområde i revisjonen? 8 Helseforskningsloven Lov om medisinsk og helsefaglig forskning (helseforskningsloven) trådte i kraft 1.7.2009. Samme dag ble forskrift om organisering av medisinsk og helsefaglig forskning vedtatt. Formålet med loven er å fremme god og etisk forsvarlig forskning, det vil si at bl.a. etiske og personvernmessige forhold ivaretas. Loven stiller krav til at forskningsansvarlig institusjon skal ha et system for å sikre overholdelse. Dette systemet inkluderer internkontroll og interne revisjoner. Eksternt tilsyn høsten 2012 eller våren 2013. Som en del av revisjonen vil også noen biobanker få en nærmere oppfølging. 9 Doble utbetalinger UiO mottok i 2011 ca 107000 fakturaer. Har vi rimelig sikkerhet for at samme faktura ikke betales flere ganger? 10 Forskningsbasert utdanning 11 "Varierte undervisningsog evalueringsformer" Se dokument fra Univeritets- og Høyskolerådet. Det bør settes fokus på hvordan studenter helt ned på bachelornivå involveres i forskningen at de ikke bare er passive mottagere. Dette handler om hvordan læringsprosessene (undervisningen) legges opp. Dette er en er del av Tiltak 4 i årsplan (STA) 2011-2013 med frist 31.12.11. Fakultetene skal legge til rette for at studentene møter varierte undervisnings- og evalueringsformer og bruk av digitalt støttede læringsformer underveis i studieløpet. Dette skal sikre aktivisering, læringsfremmende vurdering og god sammenheng mellom læringsmål, undervisning og prøving. Alle fakulteter skal sette i gang pilotprosjekter og avklare hvordan fakultetet vil jobbe strategisk og systematisk med varierte undervisnings- og evalueringsformer og bruk av digitalt støttede læringsformer. 7
NR Tema/revisjonsområde Utfyllende om tema 12 Tilgangsstyring IT Tilgang til både fagsystemer og andre ressurser, og særlig koblet til intern flytting og avslutning av arbeidsforhold. Er det tilstrekkelige rutiner som sikrer konfidensialitet? (konfidensialitet = at kun autorisert personale får tilgang til tilgangsbegrenset informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen) 13 Formidling Undervisning og forskning har store støtteorganisasjoner i SA; hva har den tredje av UiOs lovpålagte hovedoppgaver? 14 VORTEX Revisjonen påbegynt desember 2011, rapport leveres medio februar 2012 I tillegg kommer EU-revisjoner, Rådgivingsoppgaver (spesielt fasilitering av risikovurderinger), personvernoppgaver, oppfølging av varslingssaker mm. 8