Menu

V3 Vägledning

Riskanalys

Bakgrund

Enligt god revisionssed1 inhämtar revisorerna på ett strukturerat sätt information om verksamheten och omvärlden för att göra aktiva val av gransknings insatser, baserade på identifierade risker. Riskanalysen syftar till att utifrån en helhetssyn identifiera och analysera de största riskerna i verksamhet, funktioner och processer. För att få underlag till riskanalysen inhämtar revisorerna information om interna och externa händelser och faktorer som påverkar riskbilden. Utifrån riskanalysen planerar och prioriterar revisorerna gransknings insatser.

Syfte

Syftet med denna vägledning är att ge yrkesrevisorn stöd i arbetet med riskanalyser. Genom att beskriva hur arbetet med riskanalyser kan bedrivas vill Skyrev bidra till att utveckla kvaliteten i de uppdrag som yrkesrevisorer utför och därmed främja den kommunala revisonen. Vägledningen är användbar för arbetet med riskanalyser oavsett om revisionen avser verksamhet som bedrivs i förvaltningsform eller i kommunala företag.

Vägledningen tar sikte mot att stödja yrkesrevisorn när denne involveras i revisorernas arbete med den riskanalys som ska göras enligt god revisionssed. En yrkesrevisor kan också komma i kontakt med riskanalyser i andra former och med andra syften, exempelvis riskanalyser som upprättats av den kommun som är föremål för granskningen. Även i dessa sammanhang kan vägledningen helt eller delvis fungera som ett stöd.

Teoretiskt ramverk

En riskanalys bör ta sin utgångspunkt i ett teoretiskt ramverk. Ett exempel på ett sådant ramverk är COSO som är utarbetat med tanke på styrning och ledning i alla typer av verksamheter. Ramverket tillämpas också i hög utsträckning inom revisionsverksamhet. COSO-ramverket kan därför utgöra den teoretiska grunden för yrkesrevisorns arbete med riskanalyser.

Med utgångspunkt i ramverket för COSO läggs en grund där riskerna ses i förhållande till verksamhetens grundläggande uppdrag och mål samt den styrning och kontroll som verksamheten själv ska utföra. Detta innebär att det finns ett sammanhang mellan en verksamhets uppdrag och mål, riskerna för att uppdraget inte kan fullföljas eller målen nås samt den styrning och ledning som utförs för att säkerställa att uppdrag och mål nås.

COSO-ramverket understryker att ansvaret för verksamhetens riskhantering ligger hos verksamhetens ledning och övrig personal.

Yrkesrevisorns uppdrag

Yrkesrevisorn kan i olika grad involveras i arbetet med att genomföra en riskanalys. Det är revisorerna som avgör i vilken utsträckning en yrkesrevisor engageras i arbetet. Utgångspunkten är dock, enligt god revisionssed, att arbetet bedrivs i samarbete mellan revisorer och yrkesrevisorer.

Exempel på punkter som en yrkesrevisor kan ha skäl att beakta i den utsträckning denne blir involverad i revisorernas riskanalysarbete:

  • Inhämta nödvändiga kunskaper från andra om yrkesrevisorn inte själv besitter aktuell kunskap i ett riskanalysarbete.

  • Sträva efter att, t.ex. i insamlandet av underlag för riskanalysen, involvera flera personer med varierande kunskaper som kan tillföra värde i analysarbetet, t.ex. förvaltningschefer, ämnessakkunniga i kommunen, förtroendevalda i kommunen m.fl.

Att genomföra en riskanalys

Arbetet med att genomföra en riskanalys kan delas in i olika moment:

  • Grundläggande ställningstaganden
  • Insamlande av underlag för riskanalys
  • Strukturering/sortering av risker
  • Analys och väsentlighets bedömning av risker 

I texten nedan redovisas bl.a. olika exempel och idéer på hur de olika momenten kan hanteras och riskanalysarbetet bedrivas. Den praktiska tillämpningen kan dock skilja sig åt beroende på kommunens storlek, tillgängliga resurser etc. Som exempel kan olika moment i analysarbetet hanteras i ett och samma steg eller i delvis annan ordning än vad som redovisas. Det som är väsentligt är dock att arbetet med riskanalysen innehåller de moment som redovisas.

Grundläggande ställningstaganden

Innan arbetet med en riskanalys påbörjas bör några grundläggande förhållanden tydliggöras i samförstånd mellan revisorerna och yrkesrevisorn. Förhållanden som är aktuella att tydliggöra kan redovisas i en projektplan för arbetet med riskanalysen.

Exempel på grundläggande förhållanden som yrkesrevisorn bör tydliggöra i samförstånd med revisorerna är

1. Riskanalysens tidsperspektiv
Utgångspunkten är att en riskanalys ska genomföras inför varje verksamhetsår. Att genomföra en genomgripande riskanalys är dock resurskrävande. Ett alternativ kan vara att genomföra en mer djupgående riskanalys i början av revisorernas mandatperiod som därefter revideras och uppdateras inför följande verksamhetsår. Arbetssättet medger att riskanalysen kan få en högre detaljeringsgrad och i större grad beakta såväl resursåtgång som behovet av en genomarbetad riskanalys.

2. Analysens detaljeringsnivå
Riskanalysens detaljeringsnivå är också en fråga som bör bli föremål för ställningstagande. Eftersom revisorerna ansvarsprövar varje nämnd och styrelse finns ett behov av att dela upp riskerna på samma vis. Samtidigt är det viktigt att inte överordnade risker glöms bort i detta perspektiv.

3. Dokumentation av riskanalysen
Riskanalysen bör dokumenteras på ett, för varje analys, relevant sätt. På vilket sätt analysen dokumenteras bör överenskommas med revisorerna innan arbetet påbörjas

4. Ansvarsfördelningen mellan revisorerna och medverkande yrkesrevisorer.

Insamlande av underlag för riskanalys

En grundläggande uppgift i allt arbete med att genomföra en riskanalys är att inhämta information i olika former. Insamlingen sker genom inhämtande av underlag löpande under året. Underlag som baseras på information från många håll kan bli mycket omfattande. Det kan därför finnas skäl att anpassa informationsinhämtningen till t.ex. kommunens storlek.

Exempel på information som, beroende på omfattning, kan utgöra underlag i en analys av risker för en verksamhet:

Information från kommunen

  • Dokument (t.ex. mål och lokala regelverk, styr- och ledningsstruktur, finansiell ställning, budget och årsredovisning, internkontrollplaner, verksamhetens egna riskanalyser etc.)
  • Möten/seminarier med tjänstemannaledning
  • Studiebesök i organisationen, möten med personalföreträdare
  • Möten/seminarier med politisk ledning
  • Enkäter – medarbetarundersökningar i organisationen
  • Kommunens hemsida
  • Övrig information om kommunen som kan påverka riskanalysen, t.ex. otydliga eller svaga majoritetsförhållanden.

Information från andra offentliga källor

  • Skriftlig dokumentation eller möte med representanter för tillsynsmyndigheter
  • Information från offentlig statistik och andra tillgängliga databaser (socioekonomiska och demografiska förhållanden, samhällsstruktur, näringslivsstruktur etc.)
  • Lagstiftning och offentliga utredningar, propositioner etc.

Information från den egna revisionen

  • Erfarenheter från räkenskapsrevisionen och andra tidigare genomförda granskningar
  • Kunskaper från tidigare genomförda riskanalyser eller liknande riskanalyser inom motsvarande områden
  • Kännedom om och erfarenhet av i kommunen tillgänglig kompetens inom olika områden, olika verksamheters tidigare förmåga att bedriva verksamheten etc.

Information från andra håll

  • Massmedia, facklitteratur och aktuell forskning kring berörda verksamhetsområden
  • Möten med forskare, personer med omfattande kunskaper om berörda verksamheter etc.

Strukturering och sortering av riskerna

De risker som identifierats genom insamlingen av underlag för riskanalysen behöver struktureras och sorteras för att kunna hanteras på önskad detaljeringsnivå. Riskerna kan, beroende på omfattningen av arbetet, i samband med struktureringen/sorteringen också brytas ned/sorteras till önskad detaljeringsgrad på t.ex. nämndnivå.

Exempel på hur riskerna kan struktureras och sorteras ur ett övergripande perspektiv redovisas nedan

 – Fungerar den lokala demokratin som avsett i lagstiftningen

Riskerna knyts här till om styrelser och nämnder säkerställer att de demokratiskt fattade besluten (t.ex. i form av fullmäktiges mål) verkställs på alla nivåer i organisationen. Risker kan också knytas till om beslutsunderlag har tillräcklig kvalitet eller om ärenden presenteras på ett sätt som underlättar transparens i beslutsfattandet.

– Producerar kommunen/nämnden de tjänster som medborgarna har rätt att förvänta sig på ett ändamålsenligt och effektivt sätt.

Riskerna knyts här till kommunens/nämndens myndighetsutövning och tjänsteproduktion. Efterlevs gällande lagstiftning och sker myndighetsutövningen och tjänsteproduktionen rationellt och effektivt. Säkerställs att medborgarna erhåller de tjänster de          har rätt till enligt lagstiftning och kommunala styrdokument.

– Bidrar kommunen/nämnden genom sin verksamhet till en bärkraftig utveckling

Riskerna fokuserar här på den kommunala verksamheten ur ett framtidsorienterat verksamhetsperspektiv. Har t.ex. kommunen/nämnden en beredskap i förhållande till befolkningsutveckling och näringslivsutveckling. Andra områden är om verksamheten stödjer den lokala- och regionala utvecklingen eller om verksamheten på ett ändamålsenligt sätt möter klimatutvecklingen.

– Har kommunen/nämnden byggt upp en förvaltning med tillräcklig kompetens och tillräckliga verktyg

Riskerna fokuserar här på ändamålsenligheten i system, om det finns system som säkerställer en tillräcklig uppföljning och utvärdering, om verksamheterna tillämpar kvalitetscertifieringar etc.

Analys och väsentlighetsbedömning av risker

Den genomförda insamlingen av underlag för riskanalysen och sorteringen/struktureringen av riskerna har resulterat i att revisorerna har en mängd risker/information som måste analyseras. En central del i denna analys är att värdera hur väsentlig en risk är. För att kunna göra denna värdering måste risken först analyseras utifrån följande två faktorer.

  • Värdering av konsekvenserna av att en händelse, som bedömts innebära en risk, inträffar
  • Värdering av sannolikheten för att en händelse, som bedömts innebära en risk, faktiskt inträffar

Värdering av konsekvenserna behöver göras med utgångspunkt i olika typer av konsekvenser som kommunen kan drabbas av.

Exempel på konsekvenser som identifierade risker kan analyseras utifrån:

  • Ekonomiska konsekvenser
  • Juridiska konsekvenser
  • Politiska konsekvenser med utgångspunkt från förtroendet för kommunen
  • Konsekvenser för brukarna/avnämarna av kommunens myndighetsutövning eller tjänsteproduktion
  • Konsekvenser för personalen
  • Konsekvenser för samhället och miljön

Värderingen av en risk är därmed avhängig av en sammanvägning av de båda faktorerna konsekvens och sannolikhet. Om bedömningen att risken för att konsekvenserna blir omfattande och sannolikheten för att konsekvenserna också kommer att inträffar är stor blir den sammanvägda risken hög. Det omvända gäller om konsekvenserna blir obetydliga och sannolikheten också är liten blir risken låg.

En metod att i analysen sortera riskerna är den matris som redovisas i SKR:s skift Riskanalys i kommunal revision (SKR 2018).

Vägledning riskanalys beslutad 1 april 2022 bild


För de risker som kvarstår och bedömts innebära såväl allvarliga konsekvenser som hög sannolikhet för att inträffa (granska i matrisen ovan) behöver det göras en väsentlighetsbedömning. Avsikten med väsentlighetsbedömningen är att identifiera och prioritera de risker som ska bli föremål för fördjupade granskningar eller andra revisionsinsatser.

Väsentlighetsbedömningen utgör ett viktigt inslag i arbetet med en riskanalys och innebär att risken bl.a. prövas i en revisionell kontext.

Exempel på faktorer som behöver beaktas i arbetet med väsentlighetsbedömningen:

  • De åtgärder som vidtagit för att reducera såväl konsekvenserna av en risk som sannolikheten för att en risk inträffar. Det är därför nödvändigt att ha kunskap om de styrnings och kontrollaktiviteter som tillämpas i kommunen och värdera i hur hög grad dessa fungerar riskreducerande i förhållande till såväl konsekvenser som sannolikhet för att oönskade händelser inträffar.
  • Riskerna måste ställas i relation till revisionsrisken, dvs. riskerna måste bedömas utifrån vilka risker som är väsentliga för revisorerna att granska för att inte göra ett felaktigt uttalande i revisionsberättelsen. Detta innebär att riskerna såväl måste vägas mot som kopplas till:

– Revisorernas uppdrag enligt kommunallagen att pröva om verksamheten sköts på ett ändamålsenligt och från ekonomisk synpunkt tillfredställande sätt, om räkenskaperna är rättvisande och om den interna kontrollen är tillräcklig.

– De i god revisionssed angivna grunderna då revisorerna kan rikta anmärkningar eller avstyrka ansvarsfrihet

Väsentlighetsbedömningen kan göras genom att t.ex. sortera de identifierade riskerna.

Exempel på hur en väsentlighetsbedömning kan genomföras finns i filen längst ner på sidan. 

De risker som slutligen identifieras som väsentliga att granska eller som kan bli föremål för andra revisionella åtgärder tas upp i revisionsplanen.

———-

1 God revisionssed i kommunal verksamhet 2018, avsnitt 4

———-

Dokumentet: V3 Risk och väsentlighetsbedömning i pdf-format