Internrevisionsplan 2023–2025
2 (8)
Datum
Internrevisionen
2023-02-15
Dnr FK 2022/021622
Innehållsförteckning
1. Inledning
...................................................................................................................... 3
2. Internrevisionens riskanalys
......................................................................................... 3
3. Granskningsuppdrag
.................................................................................................... 3
3.1 Korrekta utbetalningar av försäkringsförmåner ........................................................................ 4
3.2 Föräldrapenning ........................................................................................................................ 4
3.3 Sjukpenning .............................................................................................................................. 4
3.4 Aktivitetsstöd och utvecklingsersättning ................................................................................... 5
3.5 Återkrav och fordringshantering ............................................................................................... 5
3.6 Infiltration, korruption och otillbörlig påverkan .......................................................................... 6
3.7 Hantering av säkerhetskrav vid utveckling av informationssystem .......................................... 6
4. Rådgivningsuppdrag
.................................................................................................... 7
5. Budget och resurser
..................................................................................................... 7
Bilaga 1 - Tentativa granskningar för perioden 2024 och 2025
.......................................... 8
3 (8)
Datum
Internrevisionen
2023-02-15
Dnr FK 2022/021622
1. Inledning
Försäkringskassan har i enlighet med sin instruktion en internrevisionsfunktion. Internrevisionen ska
vara ett av styrelsens instrument för att utvärdera effektiviteten och ändamålsenligheten i
myndighetens
interna
styrning
och
kontroll.
Internrevisionen
arbetar
enligt
internrevisionsförordningen1 och Ekonomistyrningsverkets tillhörande föreskrifter och allmänna
råd, god internrevisions- och internrevisorssed enligt IIA:s2 ramverk IPPF3 samt de av styrelsen
beslutade riktlinjerna4 för internrevision. Det innebär att internrevisionen, utifrån en analys av
verksamhetens risker, självständigt ska granska om ledningens interna styrning och kontroll är
utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål
och uppfyller kraven i
3 § myndighetsförordningen (2007:515), det vill säga:
• att verksamheten bedrivs effektivt;
• att verksamheten bedrivs enligt gällande rätt och de förpliktelser som följer av Sveriges
medlemskap i EU;
• att den redovisas på ett tillförlitligt och rättvisande sätt; och
• att myndigheten hushållar väl med statens medel.
Internrevisionens uppdrag är att vara en oberoende och objektiv gransknings- och rådgivnings-
funktion. Internrevisionen ska granska och lämna förslag till förbättringar av myndighetens process
för intern styrning och kontroll. I det ingår att hjälpa organisationen genom att systematiskt och
strukturerat utvärdera och förbättra effektiviteten i riskhantering, intern kontroll och
ledningsprocesser. Det kan ske genom granskningar eller genom råd och stöd till uppdragsgivaren.
Granskningsområdet omfattar all verksamhet som Försäkringskassan bedriver.
2. Internrevisionens riskanalys
Internrevisionsplanen utgår från internrevisionens identifiering och analys av myndighetens risker.
Internrevisionen har i sin riskanalys inför 2023 utgått från den riskanalys som upprättats inom
myndigheten i enlighet med myndighetens riktlinjer (2020:4) intern styrning och kontroll. Därtill
bygger internrevisionens riskanalys på information från organisationen, interna och externa
granskningsrapporter, intervjuer med avdelningschefer samt omvärldsbevakning. Analysen har
omfattat hela Försäkringskassans verksamhet och har även beaktat risken för korruption, otillbörlig
påverkan, bedrägerier och andra oegentligheter. Internrevisionen har vägt samman organisationens
egen bedömning av risker och planerade åtgärder, information från intervjuer med avdelningschefer
och andra ansvarslinjen samt internrevisionens samlade kunskaper om den verksamhet som
myndigheten bedriver i syfte att identifiera förslag till gransknings- och rådgivningsuppdrag 2023
samt tentativa gransknings- och rådgivningsuppdrag för perioden 2024 till 2025.
3. Granskningsuppdrag
Nedan anges de områden som internrevisionen avser att granska under 2023. Inriktningen för
respektive granskning kommer att preciseras närmare i planeringen av respektive granskning.
Beslutade granskningar för 2022 i internrevisionsplanen för 2022–2024 som inte hade påbörjats vid
utgången av 2022 och som fortsatt bedömts utgöra väsentliga riskområden och därmed relevanta att
granska ingår i internrevisionsplanen 2023–2025.
1 SFS 2006:1228
2 The Institute of Internal Auditors
3 International Professional Practices Framework, se www.theiia.se/standarder-och-vägledning/
4 Riktlinjer (2011:44) Internrevision
4 (8)
Datum
Internrevisionen
2023-02-15
Dnr FK 2022/021622
3.1 Korrekta utbetalningar av försäkringsförmåner
Felaktiga utbetalningar och bidragsbrott riskerar att undergräva förtroendet för socialförsäkringen
och i förlängningen medborgarnas vilja att bidra till välfärdssystemet som sådant. Försäkringskassan
ska bidra till det övergripande målet att utbetalningarna från välfärdssystemen ska vara korrekta,
andelen felaktiga utbetalningar ska minska och fel ska motverkas.
Försäkringskassan betalar årligen ut väsentliga belopp inom ramen för sitt uppdrag. Varje förmån
ansvarar för att identifiera risker och utforma kontroller för att förebygga och upptäcka en felaktig
utbetalning. Det arbete som pågår inom Försäkringskassan handlar till stor del om att öka
myndighetens förmåga att upptäcka och förhindra fel och bidragsbrott genom bl.a. samverkan,
förstärkt kontrollutredningsverksamhet, ökad kunskapsuppbyggnad samt regelutveckling.
En översyn pågår av organiseringen av Avdelningen för ledningsstöd (LS) och ambitionen är att ett
nytt verksamhetsområde ska koordinera styrning av arbetet med att minska felaktiga utbetalningar
utifrån ett myndighetsövergripande perspektiv.
Risk
Risk att utbetalningar från de förmåner och ersättningar som Försäkringskassan ansvarar för inte är
korrekta.
Syfte
Syftet med granskningen är att bedöma om myndighetens interna styrning och kontroll för att
säkerställa korrekta utbetalningar från de förmåner och ersättningar som myndigheten ansvarar för
efterlevs och har avsedd effekt.
3.2 Föräldrapenning
Föräldrapenning är ett ekonomiskt stöd som föräldrar får i samband med att ett barn föds eller
adopteras. Ersättningen ska göra det möjligt för föräldrar att vara hemma med sina barn, såväl kortare
som längre sammanhängande perioder, genom att den ersätter en del av en förälders inkomstbortfall
vid föräldraledighet. Föräldrapenningen ska göra det möjligt för både män och kvinnor att kombinera
förvärvsarbete med familjeliv.
Vi bedömer att föräldrapenning är en av de förmåner med hög inneboende risk och som därmed är
relevant att granska med viss regelbundenhet. Föräldrapenning är en av de största förmånerna som
Försäkringskassan hanterar sett till förmånens utgifter och det är också en av de förmåner som
myndigheten bedömer har
avgörande betydelse för ett stort antal försäkrades försörjning.
Risk
Risk att föräldrapenning inte betalas ut till rätt person, med rätt belopp och i rätt tid.
Syfte
Syftet med granskningen är att bedöma om den interna styrningen och kontrollen i handläggningen
av förmånen föräldrapenning efterlevs och har avsedd effekt.
3.3 Sjukpenning
Sjukpenning är en förmån som ska ge ekonomisk trygghet vid sjukdom och vara ett effektivt stöd för
att den försäkrade ska återfå arbetsförmågan och återgå i arbete. Den försäkrade ska lämna in ett
läkarintyg till Försäkringskassan som styrker nedsättningen av arbetsförmåga. Efter 90 dagar ska
Försäkringskassan beakta om hen kan återgå i arbete efter en omplacering till annat arbete hos
arbetsgivaren. Efter 180 dagar ska det beaktas om den försäkrade har sådan förmåga att hen kan
återgå i arbete genom att ta ett annat förvärvsarbete som är normalt förekommande på
arbetsmarknaden.
5 (8)
Datum
Internrevisionen
2023-02-15
Dnr FK 2022/021622
Försäkringskassans förvaltning av sjukförsäkringen har identifierats som ett förbättringsområde av
myndigheten. Våren 2022 startade Försäkringskassan
Programmet för förnyelse av
sjukförsäkringens förvaltning. Syftet med förnyelsearbetet är att skapa en stabil, ändamålsenlig och
förutsägbar förvaltning av sjukförsäkringen.
Vi bedömer att sjukpenning är en av de förmåner med hög inneboende risk och som därmed är
relevant att granska med viss regelbundenhet. Sjukpenning är en av de största förmånerna som
Försäkringskassan hanterar sett till förmånens utgifter och det är också en av de förmåner som
myndigheten bedömer har
avgörande betydelse för ett stort antal försäkrades försörjning.
Risk
Risk att sjukpenning inte betalas ut till rätt person, med rätt belopp och i rätt tid.
Syfte
Syftet med granskningen är att bedöma om den interna styrningen och kontrollen i handläggningen
av förmånen sjukpenning efterlevs och har avsedd effekt.
3.4 Aktivitetsstöd och utvecklingsersättning
Aktivitetsstöd och utvecklingsersättning är ekonomiska ersättningar till den som deltar i ett
arbetsmarknadspolitiskt program. Syftet med de arbetsmarknadspolitiska insatserna och
programmen är att stärka individens förutsättningar att få och behålla ett arbete samt stimulera
arbetsgivare att anställa arbetssökande som bedöms ha svårt att få ett arbete. Om man uppfyller
villkoren för att få ersättning från en a-kassa eller är över 25 år får man aktivitetsstöd. Om man inte
har fyllt 25 år och heller inte uppfyller villkoren för att få ersättning från en a-kassa får man
utvecklingsersättning istället.
Arbetsförmedlingen ansvarar för och beslutar om inskrivning i arbetsmarknadspolitiska program och
Försäkringskassan beslutar om rätten till ersättning och betalar ut ersättningen under den tid som en
person deltar i ett arbetsmarknadspolitiskt program. Utifrån denna uppdelning behövs ett långtgående
samarbete mellan myndigheterna för att hantera aktivitetsstöd och utvecklingsersättning. Det är
viktigt att ansvarsfördelningen och samarbetet mellan Försäkringskassan och Arbetsförmedlingen
fungerar, primärt utifrån möjligheterna till att minska de felaktiga utbetalningarna.
Vi bedömer att aktivitetsstöd och utvecklingsersättning är ersättningar med hög inneboende risk och
som därmed är relevant att granska med viss regelbundenhet. Myndigheten bedömer även att
aktivitetsstöd och utvecklingsersättning har en
avgörande betydelse för de försäkrades försörjning.
Risk
Risk att aktivitetsstöd och utvecklingsersättning inte betalas ut till rätt person, med rätt belopp och i
rätt tid.
Syfte
Syftet med granskningen är att bedöma om den interna styrningen och kontrollen i handläggningen
av ersättningarna aktivitetsstöd och utvecklingsersättning efterlevs och har avsedd effekt.
3.5 Återkrav och fordringshantering
Av socialförsäkringsbalken framgår att Försäkringskassan ska besluta om återbetalning av felaktiga
ersättningar som den försäkrade orsakat eller borde ha insett var felaktiga.5 Antalet återkravsärenden
5 108 kap. 2 § socialförsäkringsbalken.
6 (8)
Datum
Internrevisionen
2023-02-15
Dnr FK 2022/021622
har under de senaste åren ökat kontinuerligt. Fordringsstocken fortsätter att öka, från 6,9 miljarder
kronor vid 2022 års ingång till 8,1 miljarder kronor per september 2022.
Från 1 september 2022 gäller nya regler i utsökningsbalken som innebär att Försäkringskassans
återkravsbeslut blir direkt verkställbara. Det kan på sikt innebära att återkrävda belopp kommer att
betalas in fortare. Implementering av de förändringar som lagändringen innebär pågår.
Risk
Risk att felaktigt utbetalda ersättningar inte återbetalas.
Syfte
Syftet med granskningen är att bedöma om den interna styrningen och kontrollen i arbetet med
återkrav och fordringshantering efterlevs och har avsedd effekt.
3.6 Infiltration, korruption och otillbörlig påverkan
För att upprätthålla ett högt förtroende för den offentliga förvaltningen och välfärdssystemen måste
medborgarna ha tilltro till att verksamheten bedrivs på ett korrekt sätt och att offentliga medel inte
används på felaktiga grunder. Av förordning (2007:603) om intern styrning och kontroll framgår att
myndighetsledningens process för intern styrning och kontroll ska förebygga att verksamheten utsätts
för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter.
Att förebygga/motverka otillåten påverkan i form av hot, våld, trakasserier, skadegörelse samt
korruption och infiltration är viktigt för Försäkringskassan. Otillåten påverkan kan få till följd att den
anställde tvekar inför åtgärder, undviker situationer eller agerar så att tjänsteutövningen kan
ifrågasättas. Felaktig tjänsteutövning kan också vara kopplad till korruption och infiltration.
Korruption avser situationer där en person utnyttjar sin ställning för att uppnå otillbörlig fördel för
egen eller någon annans vinning, t.ex. genom att ge eller ta emot en muta.
Risk
Risk för korruption, infiltration och otillbörlig påverkan.
Syfte
Syftet med granskningen är att bedöma om myndighetens interna styrning och kontroll för att
motverka infiltration, korruption och otillbörlig påverkan efterlevs och har avsedd effekt.
3.7 Hantering av säkerhetskrav vid utveckling av informationssystem
Försäkringskassans verksamhet är helt beroende av en fungerande it-miljö för att kunna fullgöra sitt
uppdrag. År 2022 omfattade myndighetens verksamhetsutveckling med it-inslag drygt 600 miljoner
kronor och it-miljön utvecklas i stor omfattning internt. Försäkringskassan som utbetalande
myndighet, utvecklare av verksamhetskritiska informationssystem och ägare av en omfattande
mängd socialförsäkringsinformation behöver ha en god kravställning och kontroll avseende
säkerhetskrav vid utveckling av nya informationssystem.
Risk
Risk att verksamhetskritiska informationssystem inte uppfyller externa och interna säkerhetskrav.
Syfte
Syftet med granskningen är att bedöma om myndigheten vid utveckling av informationssystem
beaktar de säkerhetskrav som ställs vid utveckling av informationssystem.
7 (8)
Datum
Internrevisionen
2023-02-15
Dnr FK 2022/021622
4. Rådgivningsuppdrag
Inga rådgivningsuppdrag har identifierats för år 2023.
5. Budget och resurser
Internrevisionens budgetram för 2023 är 12 500 tkr. Internrevisionens verksamhet utgår från en
grundbemanning på cirka tio årsarbetskrafter. Den totala disponibla arbetstiden för 2023 bedöms
vara 13 800 timmar, vilket motsvarar cirka nio årsarbetskrafter. Av tabellen nedan framgår hur
timmarna fördelas.
Nr
Process
Antal h 2023
Tidsperiod
-
Granska
9 700
T1-T3
-
Slutförande av granskningar från tidigare internrevisionsplaner
2 000
T1-T2
-
Datastyrning
300
T1
-
Processen för intern styrning och kontroll
300
T1
-
Assistansersättning
300
T1
-
Smittbärarersättning
600
T1-T2
-
Molntjänster
500
T1-T2
Granskningar 2023
7 700
T1-T3
3.1
Korrekta utbetalningar av försäkringsförmåner
1 100
T2-T3
3.2
Föräldrapenning
1 100
T1-T2
3.3
Sjukpenning
1 100
T2-T3
3.4
Aktivitetsstöd och utvecklingsersättning
1 100
T2-T3
3.5
Återkrav och fordringshantering
1 100
T1-T2
3.6
Infiltration, korruption och otillbörlig påverkan
1 100
T2-T3
3.7
Hantering av säkerhetskrav vid utveckling av informationssystem
1 100
T1-T2
-
Ge råd och stöd
500
Löpande
-
Följa upp beslutade åtgärder
500
Löpande
-
Leda och styra Internrevisionen
1800
Löpande
-
Utveckla och förvalta Internrevisionens verksamhet
800
Löpande
-
Utveckla och förvalta Internrevisionens kompetens
500
Löpande
Totalt:
13 800
8 (8)
Datum
Internrevisionen
2023-02-15
Dnr FK 2022/021622
Bilaga 1 – Tentativa granskningar för perioden 2024 till 2025
Av tabellen nedan framgår de riskområden som har identifierats i riskanalysen och som i nuläget
bedöms ändamålsenliga att granska år 2024 eller 2025.
Riskområde
Risk
Risk att aktivitetsersättning inte betalas ut till rätt person, med rätt belopp
Aktivitetsersättning
och i rätt tid.
Risk att etableringsersättning inte betalas ut till rätt person, med rätt belopp
Etableringsersättning
och i rätt tid.
Risk att EU-familjeförmåner inte betalas ut till rätt person, med rätt belopp
EU-familjeförmåner
och i rätt tid.
Risk att sjukersättning inte betalas ut till rätt person, med rätt belopp och i
Sjukersättning
rätt tid.
Risk att statligt tandvårdsstöd inte betalas ut till rätt vårdgivare, med rätt
Statligt tandvårdsstöd
belopp och i rätt tid.
Risk att tillfällig föräldrapenning inte betalas ut till rätt person, med rätt
Tillfällig föräldrapenning
belopp och i rätt tid.
Risk att totalförsvarsförmåner inte betalas ut till rätt person, med rätt belopp
Totalförsvarsförmåner
och i rätt tid.
Risk att en person inte är försäkrad för att ta del av en förmån eller
FTH
ersättning inom den svenska socialförsäkringen.
SGI
Risk att en försäkrads beslutade SGI inte är korrekt.
Utbetalningsprocessen
Risk att förmåner och ersättningar betalas ut felaktigt.
Hantering av nya lagkrav och
Risk att Försäkringskassan inte kan hantera nya lagkrav och
regeringsuppdrag
regeringsuppdrag på ett ändamålsenligt sätt.
Risk att den rättsliga styrningen inte efterlevs/tillämpas som avsett vilket
Rättslig styrning
leder till att förmåner och ersättningar inte betalas ut till rätt person och
med rätt belopp.
Risk att det rättsliga stödet inte efterlevs/tillämpas som avsett vilket leder till
Rättsligt stöd
att förmåner och ersättningar inte betalas ut till rätt person och med rätt
belopp.
Styrning av
Risk att myndighetens verksamhetsutveckling inte bedrivs effektivt och inte
verksamhetsutveckling
uppnår avsedd effekt.
Risk att myndighetens uppdrag inte kan genomföras pga. att myndighetens
Hantering av teknisk skuld
tekniska skuld inte hanteras i tillräcklig takt med driftstörningar,
(COBOL-migrering)
kvalitetsbrister, utebliven verksamhetsutveckling eller kompetensbrist som
konsekvens.
Risk att myndighetens informationstillgångar inte i tillräcklig omfattning
Informationssäkerhet
skyddas avseende konfidentialitet, riktighet och tillgänglighet.
Generella it-kontroller, vilket
Risk att myndighetens it-stöd inte är robusta pga. att generella it-kontroller
omfattar följande områden:
inte är ändamålsenliga eller inte utförs på ett effektivt sätt.
åtkomst och behörighet;
systemutveckling;
ändringshantering; samt drift
och kontinuitetshantering
Risk att myndigheten inte har den kompetens som krävs för att utföra sitt
Kompetensförsörjning
uppdrag på kort-, medellång- och långsikt.
Systematiskt
Risk för ohälsa, olycksfall och otillfredsställande arbetsmiljö.
arbetsmiljöarbete
Processen för upphandling
Risk att externa och interna regelverk för upphandling inte efterlevs.
och inköp