UNIVERSITETET I OSLO UNIVERSITETSDIREKTØREN Til Universitetsstyret Sakstype: Orienteringssak Motesaksnr.: Motenr. 2/2011 Motedato: 01.03.2011 Notatdato: 16.02.2011 Arkivsaksnr.: 2010/5245-3 Saksbehandler: S.Svanberg SAKSTITfEL: EN ET FOR INTERN REVISJON -ÅRSPLAN FOR 2011 Henvisning til lovverk, plandokumenter og tidligere behandling i styret: I henhold til Instruks for Intern revisjon skal enhetens årsplan legges fram for Univversitetsstyret som orienteringssak. Hovedproblemstillinger i saken: Årsplanen bygger på innspill fra enheter ved UiO og EIRs egne erfaringer og vurderinger. I møter med assisterende universitetsdirektor og med universitetsdirektøren, har vi kommet fram til de revisjonsområdene som i utgangspunktet skal prioriteres i 2011. Det har de siste årene kommet ønsker om at UR skal påta seg ad hoc-oppgaver. disse bli innpasset i revisjonsplanen etter avtale med universitetsdirektøren. I tilfelle vil Vedlegg: Årsplan for Enhet for Intern revisjon 2010 J~LJ4 Sveinung Svajnberg Revisjonssjef~ Universitetsdirektøren Universitetet i Oslo
Universitetet i Oslo ENHET FOR INTERN REVISJON ÅRSPLAN FOR 2011 OSLO, 20. januar 2011 Sveinung Svanberg Revisjonssjef
1. INNLEDNING Revisjonsplanen for 2011 er et produkt av innspill og signaler EIR har mottatt gjennom det siste året. I tillegg tar den opp seg enhetens egne vurderinger av risiko og vesentlighet, og den har vært gjenstand for diskusjoner med universitetsdirektør og assisterende universitetsdirektør. Den tar også opp i seg viktige styringssignaler som er gitt fra Kunnskapsdepartementet, spesielt hva gjelder styringsprinsipper - herunder risikohåndtering. Videre er den en målsetting med planen at den skal refiektere de utfordringene som preger UiOs strategiplan. 2. STRATEGIERIARBEIDSMÅL I Intern revisjons Mål og strategidokument er enhetens mål formulert slik: Intern Revisjon skal bidra til målbare kvalitetsforbedringer i rutiner, systemer og den adminisfrative drift slik at universitetets overordnede strategier og mål kan oppfylles på en effektiv og rasjonell måte. Videre heter det at EIR skal V hafokuspå maloppnaelse utfra visjon, strategier, verdigrunnlag, kommunikasjonspiattform og ledelseskrav som erfastlagtfor UiO V gi bidrag/råd i utviklingsprosjekterfor å skape forbedringer V øke forståelsen for betydningen av helhetlig og integrert risikostyring i organisasjonen Intern revisjons arbeid tar utgangspunkt i vurderinger av risiko og vesentlighet. Risiko kan defineres som en samling av alle interne og eksterne faktorer som påvirker vår evne til å nå mål eller a oppfylle formålet. Risiko oppstår like mye ut fra faren for at noe fordelaktig ikke vil skje (tapte muligheter), som trusselen for at noe galt vil inntreffe, eller avvikfraforventet resultat. UiOs ledelse er pålagt å sørge for at det er etablert en forsvarlig risikostyring og intern kontroll, og påse at den fungerer på en tilfredsstillende måte. Intern Revisjon vil fokusere på dette i sitt arbeid, og det er satt av egne ressurser for å bistå organisasjonen i å etablere intern kontroll i tråd med økonomireglementets krav til virksomhetsstyring. EIR ønsker å bidra til økt kvalitet ved å fokusere på et bevisst forhold til risiko, samt å støtte opp under ønskede endringsprosesser som skal sette organisasjonen enda bedre i stand til å gripe og utnytte nye muligheter. Gjennom sitt arbeid i store deler av organisasjonen vil Intern Revisjon være i en god posisjon til å spre best practice og bidra til intern læring og samhandling mellom fag- og funksjons-områder. For at vi skal lykkes, er vi avhengig av en god dialog med universitetsledelsen, fakulteter, institutter og de tekniske og administrative enhetene både i planleggingsarbeidet og i gjennomføringen av revisjons arbeidet.
3. ENHET FOR INTERN REVISJON BEMANNING - ARBEIDSUTFØRELSE Enhet for Intern revisjon disponerer i utgangspunktet fire stillinger. Én medarbeider sluttet pr. 1. mai 2010, (permisjon fram til 15. oktober 2010). Stillingen ble kunngjort i oktober i fjor, men ingen av de fem søkerne ble funnet aktuelle for tilsetting. derfor ha noe redusert kapasitet framover. Således er stillingen kunngjort på nytt. Enheten vil EIRs oppgaver er knyttet til utførelsen av operasjonell revisjon. Revisjonsmetodikk velges ut fra det enkelte oppdrags formål og omfang, samt etter tilgjengelige ressurser. I enhetens instruks er det slått fast at revisjonsarbeidet skal være kontrollerende, informerende og rådgivende. Videre er Intern Revisjon pålagt å drive utstrakt veiledningsvirksomhet og yte bistand og gi råd innenfor internrevisjonens sak.sområder og kompetanse. Enheten skal drive forebyggende virksomhet og sikre at rutiner omkring kontroll av sikringssystemer blir tilfredsstillende fulgt opp i organisasjonen. Revisjonene utføres ved bruk av kartleggings-, evaluerings- og testingsverktøy som gir grunnlag for evalueringer og forbedringsforslag. EIR har utarbeidet et nettbasert verktøy for kartlegging, risikovurderinger og egenevalueringer. Dette verktøyet vil bli benyttet i en viss utstrekning, men stedlige revisjonsbesøk vil være den viktigste arbeidsmetoden. Revisjon av EU-prosjekter innebærer en bekreftelse på at kostnadene i prosjektene er i samsvar med kontrakten med EU, og at de er tilfredsstillende dokumentert. Intern revisjons virksomhet blir utført i samsvar med de standarder som er utarbeidet av The Institute of Internal Auditors (IlA). EIRs medarbeidere er medlem av Norges Interne Revisorers Forening (IlA s norske organisasjon). En medarbeider er også medlem av ISACA, internasjonal organisasjon spesielt for interne revisorer innen IT. 4. BUDSJETT Det er viktig at enheten tilføres midler som sikrer faglig utvikling, og som medfører at medarbeiderne kan delta på vedlikeholdsaktiviteter som er nødvendige for å kunne opprettholde sertifiseringer. Den budsj ettrammen enheten er tildelt for 2011 legger til rette for det. Således tas det sikte på aktiv deltagelse i IlAs, ISACAs2 og NIRFs3 kurs- og seminartilbud. Det avsettes to arbeidsdager vår og høst for evaluering av egen virksomhet mot planer, instruks, UiOs Visjon og verdier, EIRs eget visjons- og verdidokument, samt til planlegging av kommende oppgaver. Videre ser vi det som verdifullt å delta i nettverksarbeid med internrevisjonsavdelinger ved universitets- og høgskoler i Norden. EIR ved UiO skal arrangere nettverkssamlingen 22. 24. august 2011. 5. EVISJONSPLAN 2011 Vi har som vedlegg til planen en beskrivelse av de enkelte revisjonsområdene/arbeidsoppgavene med angivelse av formål og omfang. Omfanget vil bli vurdert og konkretisert når vi starter planleggingen The Institute of Internal Auditors 2 Information Systems Audit and Control Associoation ~ Norges interne revisorers forening
av de enkelte revisjonene. Dette vil skje i samarbeid med de enhetene som skal revideres, og de avdelingene som har et ansvar i forhold til revisjonsområdet. Aktivitetene dekker hele 2011. Det er ikke reservert tid til ad hoc-oppdrag, men de vil bli utført fortløpende ved at det foretas omprioriteringer i samråd med universitetsdirektøren. Oppgaven som personvernombud for administrative behandlinger tilligger fremdeles en stilling i EIR og beslaglegger ca 20 % av denne stillingen. Enhet for intern revisjon er tildelt rollen som varslings- og rapporteringsinnstans for UiO. Det er ikke mulig a tidfeste ressursbruken til dette arbeidet i 2011. Men dette er et arbeid som MÅ prioriteres. Følgende hovedområder (1-10) planlegges revidert i 2011. Nummereringen innebærer ingen prioritering, men er henvisninger til beskrivelsen av områdene i vedlegget. Nr Revisjonsomrader 2011 Q1 Q2 Q3 Q4 1 Ekstemt finansierte prosjekter X 2 Misligheter X X 3 Kjøp av konsulenttjenester X 4 Helseforskningsloven X 5 Riskiohandtering (radgiving/fasilitering) X X X X 6 Risikogjennomgang av forvaltningsomradet X X 7 EU-Revisjoner utstedelse revisjonssertifikater X X X X 8 Personvernkontroller X X X X 9 Gjennomgang av utvalgte enheter (TILBUD) X X X 10 Oppfølgingsrevisjoner X X X X 6. OPPFØLGINGSREVISJONER I henhold til instruksen, er det pålagt Intern Revisjon å følge opp og se etter at det blir tatt behørig hensyn til revisjonsrapportene. På bakgrunn av endelig revisjonsrapport, har revidert enhet ansvar for at det blir utarbeidet en handlingspian. Handlingsplanen, som skal inneholde sa vel tidsfrister som opplysning om hvem som har ansvar for gjennomføring av tiltak, skal være grunnlaget for oppfølgingsarbeidet. 7. RAPPORTERING Det vil bli utarbeidet rapporter etter alle revisjoner. Rapport sendes revidert enhet med gjenpart til overordnet enhet. Rapportformen vil kunne variere alt etter hva som anses som hensiktsmessig. I henhold til Intern revisjons instruks skal det utarbeides halvårlige rapporter som ogsa skal framlegges for Styret ved UiO. ~
FORSLAG REVISJONSOMRÅDER/ARBEIDSOPPGAVER EIR 2011 NR Revisjonsområde Bakgrunn for valg av revisjonsområde 1. Eksternt finansierte Området har vært revidert i 2008 og 2010. I 2010 gjennomførte ogsa 3. kvartal prosjekter (EFP) Riksrevisjonen en revisjon av omradet ved UiO. ØPA har gjennom 2010 arbeidet med på definere standard prosesser, og resultatetlimplementeringen av dette arbeidet, vil være sentralt i revisj onen; samt a se etter hvordan Riksrevisjonens tilbakemeldinger blir fulgt opp. 2. Misligheter EIR gjorde en kartlegging og risikovurdering av mislighetseksponeringen 1. og 2. kvartal ved UiO høsten 2007. Høsten 2009 gjorde Riksrevisjonen en kartlegging pa samme område, som er omtalt i Dokument 1 (2010-2011) for regnskapsaret 2009. Definisj on: Mislighetforeligger nar ansatte, tillitsvalgte ellerforbindelser benytter seg av gitt tillit til a oppna uberettiget økonomiskfordel. 3. Kjøp av konsulenttjenster UiO kjøper arlig konsulenttjenester for betydelige beløp. Innkjøp generelt 1. kvartal har vært revidert jevnig de siste arene. Konsulenttjenester har ikke vært gjenstand for revisjon siden 2003. Det knytter seg flere risikoer til omådet i tillegg til hva som er gjeldende for innkjøp generelt. Overholdelse av ov om offentlige anskaffelser og Forskrift om offentlige anskaffelser vil være sentrale i revisj onen. Likeledes de etiske retnings-linj ene pa innkjøpsomradet. 201 1-final.DOC
NR Revisjonsområde Bakgrunn for valg av revisjonsomrade 4. Helseforskningsloven Lov om medisinsk og helsefaglig forskning (helseforskningsloven) tradte i 4. kvartal kraft 1.7.2009. Samme dag ble forskrift om organisering av medisinsk og helsefaglig forskning vedtatt. Formalet med loven er a fremme god og etisk forsvarlig forskning, det vil si at bl.a. etiske og personvemmessige forhold ivaretas. Loven stiller krav til at forskningsansvarlig institusjon skal ha et system for a sikre overholdelse. Dette systemet inkluderer internkontroll og interne revisjoner. Loven skal implementeres i løpet av 1. kvartal 201 1, og Helsetilsynet har allerede signalisert at de vil foreta et tilsyn etter det; trolig tidlig i 2012. Omradet er risikoutsatt: Vurdering av risiko for UiO ved manglende system: - Ikke forberedt ved tilsyn - Redusert omdømme hos forvaltningsmyndigheter - Feilvurdering av meldeplikt, dvs manglende søknad til andre forvaltningsmyndigheter enn REK - Manglende forsikringsdekning i prosjekter hvor UiO ikke kan være selvassurandør - Kritiske funn i tilsynsrapporter (som er offentlige) 5. Risikohandtering Risikovurderinger er et sentralt element hva gjelder virksomhetsstyring (ofte Hele aret betegnet Corporate Governance). økonomireglement for Staten stiller krav om at UiO skal basere sine styringssystemer pa en vurdering av risiko og vesentlighet. Departementets tildelingsbrev for 2011 fastslar ogsa at Styret for UiO har ansvar for a etablere et system for risikostyring som inbefatter: -vurdering av akseptabel risiko -risikoelementer hensyntatt etter vurdering av akseptabel risiko -vurdering av risikostørrelse for hvert risikoelement -tiltak for a redusere risikoen -vurdering av restrisikoen etter at tiltak er iverksatt 201 1-final.DOC 2
NR Revisjonsområde Bakgrunn for valg av revisjonsområde Risikogjennomgang i Forvaltningsomradet ble risikovurdert i 2010 mht. overholdelse forskrifter og 2. og 3. kvartal 6. Forvaltningsomradet retningslinjer. Men forvaltning omfatter mye mer som er viktig for at UiO skal framsta som et fremragende universitet. Forhold som inngar: - Ressursene utnyttes effektivt og rasjonelt - økonomisk og operativ informasjon er palitelig og nøyaktig - Aktiva/eiendeler er forsvarlig sikret - Planer, retningslinjer, lover og forskrifter etterleves - Etablerte_formal_og_mal_for_driften_og_prosjekter_oppfylles 7 EU-revisjoner For EU-prosjekter i 6. og 7. rammeprogram kreves det utstedt Audit Hele året Certificates av en uavhengig instans. EIR tilfredsstiller kravet til uavhengighet, og er anmodet om å utstede revisjonssertifikater. Revisjonene gir positive ringvirkninger i form av større innsikt i økonomistyring i UiOs organisasjon, og i drift og administrasjon av prosjektportefølje. 8. Personvern-kontroller UiO har de siste arene en rekke ganger havnet i medienes og Datatilsynets Hele året søkelys etter feilaktig/uheldig håndtering av personopplysninger. Kontrollaktivitetene /revisjonene vil bli utført i samarbeid med Behandlingsansvarliges representant. Saledes er dette et eksempel pa at funksjonens som personvernombud gir synergi til det ordinære revisj onsarbeidet. 9. Gjennomgang av en Arbeidet er tenkt gjennomført som en full service av to tre enheter 2. og 3. utvalgt enhet, full gjennom året. Vi ønsker a gi tilbud om en slik gjennomgang til noen enheter kvartal service, og vi mener at dette vil være spesielt nyttig for nytilsatte ledere ved at de vil fà en god oversikt over enhetens utfordringer. 10 Oppfølgingsrevisjoner JR har et instruksfestet ansvar for a følge opp sine revisjoner. Hele året i. økonomisk og operativ informasjon skal være pålitelig og nøyaktig. ii. Policy, planer, retningslinjer lover og forskrifter skal etterleves; iii. Aktivaleiendeler skal være forsvarlig sikret iv. Bruken av ressurser skal være mest mulig økonomisk og rasjonell; v. Den interne kontrollen skal bidra til at etablerte mål og formål for drift og prosjekter oppfylles 201 1-final.DOC
DOUi~U~J-I 101