Stöd för analys av korruptionsrisker – del 1

Stöd för analys av korruptionsrisker

De statliga förvaltningsmyndigheterna ska bedriva sin verksamhet enligt de så kallade verksamhetskraven i myndighetsförordningen. Det betyder att verksamheten ska bedrivas effektivt och enligt gällande rätt och de förpliktelser som följer av att Sverige är medlem i Europeiska unionen. Varje myndighet ska också redovisa arbetet på ett tillförlitligt och rättvisande sätt samt hushålla väl med statens medel. Det är myndighetsledningarnas ansvar att verksamheterna lever upp till dessa krav.^[1] Det är därmed ledningarnas ansvar att respektive myndighet genomför nödvändiga åtgärder för att förebygga och motverka korruption i verksamheten.

Statskontoret har i uppdrag från regeringen att främja arbetet mot korruption i förvaltningen. I denna promemoria redovisar vi ett grundläggande stöd till myndigheterna i deras arbete med att hantera risker för korruption i den egna verksamheten. Syftet är att klargöra varför alla myndigheter bör analysera korruptionsrisker. Syftet med stödet är också att ge vägledning till myndigheter som har liten eller ingen erfarenhet av att analysera korruptionsrisker. Varje kapitel inleds med ett antal vägledande frågor som en myndighet kan ställa sig inför och under arbetet med att analysera korruptionsrisker.

Ingen verksamhet är helt befriad från risker för korruption och oegentligheter. Riskerna kan se olika ut och leda till olika former av skador. Därför bör alla myndigheter arbeta medvetet och strukturerat för att hantera dessa risker.

Det är viktigt för varje myndighet att analysera korruptionsriskerna för att kunna vidta åtgärder som är anpassade till den egna verksamheten.^[2] Det finns vissa typer av verksamheter som betraktas som mer riskutsatta än andra, exempelvis verksamheter som hanterar stora ekonomiska eller strategiska värden. Men korruption kan också handla om andra saker. Det kan till exempel vara att en chef anställer en bekant. Det kan även handla om omedvetna handlingar, till exempel att någon lämnar information i en upphandling som hen inte vet att hen inte får lämna ut och därmed skapar en fördel för någon av anbudsgivarna.

Arbetet bör utgå från en bred definition av korruptionsbegreppet

Korruption i offentlig sektor innebär att utnyttja en offentlig ställning för att uppnå otillbörlig vinning för sig själv eller andra.^[3] Oegentligheter är ett nära besläktat begrepp som delvis överlappar korruptionsbegreppet. Vi definierar oegentligheter som oönskade beteenden eller handlingssätt hos anställda som har konsekvenser för myndighetens verksamhet eller anseende.

När en myndighet analyserar korruptionsrisker i den egna verksamheten bör den utgå från en bred syn på vad som är korruption. Det innebär att korruption omfattar en bred uppsättning av oönskade beteenden och företeelser. Begreppet omfattar då alltifrån sådant som uppfattas som olämpligt till sådant som är olagligt.

Statskontoret tar fram stöd i två steg

Innehållet i den här promemorian är en del i Statskontorets uppdrag att främja arbetet mot korruption i förvaltningen.^[4] Enligt uppdraget gäller en del att ta fram ett stöd för att analysera korruptionsrisker. Detta gör vi färdigt under 2022. I deluppdraget samverkar vi särskilt med Brottsförebyggande rådet, Ekonomistyrningsverket och Kammarkollegiet. Frågor om stödets upplägg och inriktning avhandlas därtill i det samverkansforum som finns kopplat till Statskontorets uppdrag. I forumet ingår Brottsförebyggande rådet, Ekonomistyrningsverket, Konkurrensverket, Polismyndigheten och Upphandlingsmyndigheten.

Statskontoret tar fram stödet för analys av korruptionsrisker i två steg. En central utgångspunkt för upplägget är en förstudie som Statskontoret gjorde 2020.^[5] I den här promemorian presenterar vi ett grundläggande stöd och vägledning. Senare under 2022 kommer vi fortsätta med nästa steg och ta fram fördjupat stödmaterial. Det fördjupade stödmaterialet syftar till att stödja myndigheter som redan har erfarenhet av att analysera korruptionsrisker, men som av olika skäl har svårt att utföra arbetet.

Är det läge för vår myndighet att analysera riskerna för korruption?

Har vår myndighet analyserat korruptionsriskerna i hela verksamheten? Om myndigheten aldrig har analyserat korruptionsriskerna är det lämpligt att göra en analys av hela verksamheten. Analysen bör omfatta både kärn- och stödverksamheten. Det kan också vara lämpligt att göra mer riktade analysinsatser mot de verksamhetsgrenar som myndigheten bedömer är särskilt riskutsatta.
När analyserade vi riskerna för korruption senast? Olika myndigheter behöver analysera riskerna för korruption olika ofta. Myndigheternas verksamheter skiljer sig åt, vilket innebär att vissa myndigheter behöver analysera riskerna mer frekvent än andra. Alla myndigheter bör ta fram rutiner för att på egen hand kunna överväga och avgöra om det är nödvändigt att göra en ny analys eller att uppdatera en analys som myndigheten har genomfört tidigare.
Har myndighetens verksamhet förändrats på något väsentligt sätt sedan vi senast analyserade riskerna? Riskerna för korruption är inte statiska, utan förändras på grund av faktorer som kan vara både interna och externa. Det kan därför vara lämpligt att se över och uppdatera analysen när verksamheten förändras på något väsentligt sätt.

Alla myndigheter ska verka mot korruption

En analys av korruptionsriskerna visar vilka åtgärder som myndigheten behöver genomföra för att hantera korruptionsriskerna som finns i just deras verksamhet. På det sättet fyller myndighetens arbete med att analysera risker en praktisk funktion. Men det finns också formella skäl till att alla myndigheter bör analysera riskerna för korruption.

Generella regelverk är en central utgångspunkt

Alla myndigheter som lyder under regeringen måste hålla sig inom de ramar som följer av en rad allmänna lagar och förordningar. I förlängningen anger dessa regler att alla myndigheter ska arbeta mot korruption och oegentligheter.

De formella utgångspunkterna för arbetet:

Av regeringsformen och förvaltningslagen framgår att myndigheterna ska vara sakliga och opartiska.^[6] Myndighetsförordningen slår fast att myndighetens ledning ska se till att verksamheten bedrivs enligt de så kallade verksamhetskraven. Kraven innebär att verksamheten vid en myndighet ska bedrivas effektivt och enligt gällande rätt och de förpliktelser som följer av att Sverige är medlem i Europeiska unionen. Varje myndighet ska också redovisa sin verksamhet på ett tillförlitligt och rättvisande sätt samt hushålla väl med statens medel.^[7] Ledningen ska också säkerställa att det finns en intern styrning och kontroll som fungerar på ett betryggande sätt.^[8]

I förarbetena till myndighetsförordningen definieras intern styrning och kontroll som en process som den verkställande ledningen styr.^[9] Att analysera och eventuellt hantera korruptionsrisker bör enligt Statskontoret vara en del av den här processen. Processen ska med rimlig säkerhet resultera i en effektiv verksamhet enligt de mål som riksdagen och regeringen har satt upp, att myndigheten följer föreskrifter och regeringsbeslut samt att myndigheten tillförlitligt återrapporterar resultatet av verksamheten.

Det finns ytterligare förordningskrav på att myndigheterna ska analysera risker

Förutom myndighetsförordningens krav på att alla myndigheter ska verka mot korruption och hantera sådana risker så finns andra förordningskrav på att myndigheter ska arbeta aktivt med att analysera och hantera risker i verksamheten. Att analysera risker bör alltså i allmänhet vara ett förekommande inslag i myndigheternas arbete med intern styrning och kontroll.

Det finns mer allmänna stöd till riskanalys och riskhantering:

Myndigheternas arbete med att på ett mer allmänt plan analysera vilka risker som finns i verksamheten finns reglerade i förordningen (1995:1300) om statliga myndigheters riskhantering och förordningen (2007:603) om intern styrning och kontroll.^[10]

Kammarkollegiet har utformat ett stöd till de som arbetar med riskhantering på myndigheterna. Stödet är i huvudsak utformat för att identifiera och prioritera allmänna brister i den egna verksamheten, till exempel brister i arkiv, skalskydd och personalens säkerhet. Stödet innehåller också några frågor om korruption och oegentligheter. Stödet finns på Kammarkollegiets webbplats.^[11]

För de myndigheter som ska ha en internrevision finns ytterligare regler och stöd i Ekonomistyrningsverkets föreskrifter, allmänna råd och vägledningar. Där finns mer information om kraven i förordningen om intern styrning och kontroll, riskanalyser och åtgärder. Ekonomistyrningsverkets föreskrifter till förordningen om intern styrning och kontroll och stödmaterial i övrigt kan även fungera som inspiration till de myndigheter som endast ska tillämpa myndighetsförordningen.

Ett verksamhetsanpassat arbete krävs för att analysera korruptionsriskerna

En myndighet och den verkställande ledningen kan använda olika verktyg och arbetssätt för att förebygga och motverka korruption i verksamheten. En analys av riskerna är en viktig utgångspunkt för arbetet. Resultaten från analysen lägger en grund för verksamhetsanpassade och nödvändiga åtgärder och underlättar att arbeta strukturerat mot korruption vid den enskilda myndigheten. Genom att analysera riskerna lägger myndigheten grunden för en medveten hantering av de risker som finns.

Analysen lägger grunden för ett långsiktigt arbete

Grunden för att arbeta långsiktigt med att förebygga korruption är att ta fram rutiner för att analysera, åtgärda och följa upp både riskerna och de åtgärder som ska genomföras. Det kräver bland annat att de identifierade och hanterade riskerna dokumenteras systematiskt vid myndigheten. Riskanalysen kan på så sätt bidra till att förbättra och upprätthålla arbetet mot korruption över tid – även om myndighetsledningar eller nyckelfunktioner byts ut. Genom att analysera och dokumentera riskerna kan en myndighet skapa ett internt minne som motverkar att organisationen glömmer riskerna i den enskilda myndigheten.

Vilka funktioner vid myndigheterna som behöver vara inblandade och ha ett delansvar i arbetet med att analysera och hantera riskerna varierar. Men ytterst är det ledningens ansvar att arbetet bedrivs i en lämplig omfattning som en del i myndighetens interna styrning och kontroll.

Risknivån avgör hur ofta arbetet behövs

Varje myndighet behöver på egen hand ta ställning till hur omfattande behovet av att analysera korruptionsrisker är i den egna verksamheten. För vissa myndigheter kan det vara nödvändigt att göra mer avgränsade analyser för specifika delar av verksamheten. Till exempel kan det vara nödvändigt att mer frekvent analysera eventuella korruptionsrisker inom ramen för den löpande verksamheten eller i samband med att myndigheten planerar projekt. Men det kan vara tillräckligt att analysera korruptionsriskerna med mer sällan. Men även då är det viktigt att myndigheterna har beredskap och förmåga att analysera korruptionsriskerna när de behöver.

Processen har ett värde i sig

Utöver att riskanalysen och hanteringen av risker är verktyg som bidrar till att arbeta strukturerat så kan analysen även förbättra andra saker. Själva arbetet med att analysera korruptionsriskerna kan ha vissa förebyggande effekter. Analysprocessen kan ge viktiga lärdomar om myndighetens sårbarhet och därmed bidra till att höja medvetenheten om risker vid myndigheten. Detta kan exempelvis bli en effekt om myndigheten involverar delar av personalen i arbetet med att identifiera risker. Ett sådant tillvägagångssätt gör arbetet verksamhetsnära, och ger tillfälle för anställda att lära. Själva analysprocessen kan också leda till att synliggöra särskilt riskfyllda delar i verksamheten, vilket har ett värde i sig.

Behovet av ny analys bör övervägas i samband med väsentliga förändringar

De myndigheter som genomför analyser av korruptionsrisker sällan behöver ha rutiner som gör det möjligt att överväga om det finns skäl att uppdatera sin befintliga riskanalys. Detta är exempelvis lämpligt då myndigheten ska gå igenom eller nyligen har gått igenom någon väsentlig förändring. Väsentliga förändringar kan vara sådant som:

nya eller förändrade uppgifter från regeringen eller ändrade regleringar som medför förändringar av myndighetens verksamhet
förändringar i sektorn som myndigheten verkar inom och som påverkar myndighetens verksamhet
interna omorganiseringar
perioder med hög omsättning av personal.

Om myndigheten redan har analyserat riskerna för korruption inom samtliga verksamhetsområden är det inte alltid nödvändigt att göra om den från grunden. Ibland kan det vara tillräckligt att uppdatera analysen i en specifik del av verksamheten. Om en viss del av verksamheten går igenom större förändringar kan det alltså vara tillräckligt att analysera riskerna i just den delen av verksamheten.

Det finns ingen allmän modell som passar alla, men vissa moment är generella

Det finns ingen allmän modell för riskanalyser som passar alla myndigheter, utan myndigheter behöver arbeta för att utveckla egna arbetssätt. Men det finns ett antal moment som alla myndigheter kan utgå från för att strukturera arbetet. Det här kapitlet handlar främst om det första momentet. I kommande kapitel går vi närmare in på de efterföljande momenten.

Figur 1. Moment i riskanalysen och hanteringen av riskerna.

Figur 1 visar en flödesbild på de fem olika momenten i riskanalysen och hanteringen av riskerna. Momenten är Överväg behov, Identifiera riskerna, Prioritera, Hantera och åtgärda samt sist Följ upp.

Överväg behovet av en analys: Ytterst är det upp till varje myndighet att överväga och bedöma om myndigheten behöver analysera riskerna för korruption. Detta gäller såväl en övergripande analys av korruptionsriskerna i hela verksamheten som mer avgränsade analyser i specifika delar av verksamheten.
Identifiera risker: När en myndighet bedömer att det är nödvändigt att analysera korruptionsriskerna behöver myndigheten börja med att identifiera risker. Arbetet med att identifiera risker bör ske utifrån en bred definition av vad som är korruption.
Prioritera inför vidare hantering: Om myndigheten har identifierat risker i verksamheten behöver myndigheten sedan värdera riskerna. Värderingen ger myndigheten underlag för att prioritera rätt risker och åtgärder i den vidare hanteringen.
Vidta åtgärder: Myndigheten behöver ta ställning till vilken typ av åtgärder som är lämpliga att vidta mot de specifika riskerna. Det finns olika typer av åtgärder som en myndighet kan vidta mot korruption. Det kan handla om förebyggande och förhindrande åtgärder. Myndigheten genomför åtgärder för att minska de risker den inte har accepterat fram till dess att myndigheten kan acceptera den kvarvarande risken. Myndigheten kan även välja att upprätta någon form av bevakning av risker som har accepterats, om myndigheten bedömer att den behöver göra det.
Dokumentera och följ upp risker och åtgärder: Myndigheten bör dokumentera och följa upp riskerna och de eventuella åtgärderna. Ett väl dokumenterat arbete lägger grunden för att kunna arbeta strukturerat med att analysera och hantera korruptionsrisker på sikt. Genom att skapa rutiner och fördela ansvar för arbetet går det att integrera arbetet med att analysera korruptionsrisker i verksamhetens ordinarie arbete.

Hur identifierar vi riskerna?

Bild på samma flödesschema som i figur 1. Steget "Identifiera risker" är markerat.

Vilka på myndigheten ska ta initiativ till och hålla samman analysen? En myndighet som tidigare inte har analyserat korruptionsriskerna bör samla analysen centralt. När myndigheten inleder arbetet med att identifiera risker är det därför bra om en utpekad funktion har ansvar för att hålla samman arbetet. Det är också bra att undersöka om det finns någon med särskild kompetens vid myndigheten som bör delta i arbetet. Vilka funktioner som håller samman och genomför olika moment i arbetet kan variera från myndighet till myndighet. Men alla myndigheter bör se till att organisera arbetet på ett sätt som gör att myndighetens ledning kan informeras om analysens resultat.
Hur kan andra personalgrupper bidra till analysarbetet? Ofta är det personalen som arbetar i verksamheten som bäst känner till de konkreta riskerna. Genom att inkludera dem i arbetet med att identifiera risker kan analysen göras relevant och verksamhetsnära. Det kan också ske genom att utvald personal deltar i fördjupande diskussioner om de risker som har identifierats.
Vad kan korruption innebära i vår verksamhet? Utgå från en bred definition av vad som är korruption. Se till att täcka in alla myndighetens uppgifter och uppdrag. Kartlägg processerna i kärnverksamheten samt i administrativa moment och rutiner. Centrala styrdokument och annat som fungerar som stöd i det löpande arbetet kan gå att använda i kartläggningen. Ta gärna stöd av den kunskap som finns om kända riskområden.
Hur kan vi fördjupa vår förståelse för vilka de konkreta riskerna för korruption är i vår verksamhet? Ett svar är att kartlägga och analysera verksamhetens formella uppgifter och uppdrag, samt hur verksamheten är organiserad. Men dessutom bör analysen beröra risker för vissa typer av relationer, beteenden och kulturer som kan leda till korruption och oegentligheter. Detta kan bland annat ske genom att fokusera på relationer som kan leda till intressekonflikter och vänskapskorruption. Det kan också handla om att gemensamt diskutera eller på något annat sätt fånga upp faktorer i kulturen vid myndigheten som kan bidra till att chefer eller medarbetare agerar fel i någon situation.
Vad är skyddsvärt och hur sårbart är det skyddsvärda? Eftersom det rör sig om händelser som är relativt sällsynta kan det vara bra att ta avstamp i en analys av vad som är skyddsvärt. Därmed kan det vara lämpligt att komplettera riskanalysen med en sårbarhetsanalys.

Det yttersta ansvaret vilar på ledningen

Det operativa arbetet med att analysera riskerna för korruption kan se olika ut och bero på en rad olika faktorer. Däremot bär alltid myndighetsledningen formellt det övergripande ansvaret för att riskerna värderas och hanteras. Därför är det bra om riskanalysen ställs samman av en central funktion vid myndigheten som också informerar ledningen om resultatet av den.

I vissa myndigheter kan det vara lämpligt att analysera korruptionsrisker oftare i särskilt riskutsatta verksamhetsdelar. Men detta ersätter inte myndighetsledningens behov av att vid något tillfälle göra en analys av alla verksamhetens delar. En analys av hela verksamheten är nödvändig för att få en samlad bild av riskerna för korruption.

Hela organisationen kan bidra

Arbetet med att identifiera risker kan bli omfattande för den som håller samman analysen och själv ska identifiera och värdera risker i hela verksamheten. Det kan dessutom vara svårt att ha tillräckliga kunskaper om alla processer, moment och arbetssätt som finns vid myndigheten. Därför kan det vara bra om anställda från fler delar av verksamheten deltar i analysarbetet.

Personal i de olika verksamhetsdelarna har ofta god kännedom om problem och utmaningar i verksamheten, samt vilka konkreta risker för korruption som finns i anslutning till deras verksamhet och arbetsuppgifter. Att dra nytta av deras kunskaper och erfarenheter är ofta ett bra sätt att göra analysen träffsäker.

Det här kan exempelvis ske efter det att någon med ansvar för riskanalysen har identifierat ett riskområde, för att få en bättre förståelse för de problem och utmaningar som finns i den specifika delen av verksamheten. Ett annat exempel är att involvera personalen från början och inleda inventeringen av risker ute i linjen.

Det finns olika sätt att involvera personalen i arbetet med att identifiera risker. Det går till exempel att diskutera risker på alla enheter eller avdelningar. Det går också att sätta samman en myndighetsövergripande referensgrupp med representanter från alla delar av verksamheten. Ett annat alternativ är att föra enskilda samtal med delar av personalen, såväl chefer som medarbetare, för att fördjupa kunskapen om något område. Ytterligare ett sätt är att gå ut brett med en enkät för att samla in en bred bild av vilka risker som finns i verksamheten.

Kartlägg hela verksamheten

En myndighet som aldrig har analyserat riskerna för korruption tidigare bör börja med att kartlägga hela verksamheten. Kartläggningen bör ske med utgångspunkt i myndighetens uppgifter och uppdrag enligt instruktionen och regleringsbrevet samt de uppgifter som finns reglerade i andra författningar. Normalt går det att identifiera några eller fler risker efter en systematisk genomgång av hela verksamheten.

Det är också lämpligt att utgå från myndighetens organisering, till exempel hur processerna som leder fram till beslutsfattande fungerar eller hur ansvar är fördelat. Centrala styrdokument kan vara underlag för denna del av kartläggningen. Interna rutiner för upphandling och rekrytering och andra administrativa arbetssätt är också sådant som är lämpliga att kartlägga.

En myndighet som har analyserat riskerna tidigare kan använda en tidigare genomförd riskanalys som utgångspunkt för kartläggningen. Men då är det bra att vara medveten om att nya risker kan ha tillkommit sedan den tidigare analysen genomfördes. Det är också tänkbart att myndigheten inte fångade upp alla risker i den tidigare analysen.

Ta stöd av den kunskap som finns om kända riskområden

Det finns områden med särskilda risker för korruption och oegentligheter.^[12] Det är bra om arbetet med att kartlägga verksamheten och det vidare arbetet med att identifiera risker görs mot bakgrund av denna kunskap.

Myndigheten behöver i arbetet med att identifiera riskerna vara medveten om att kunskapen om riskområden inte är uttömmande och att själva listan över områden inte är slutgiltig. Risker kan även finnas inom andra områden. Det kan till exempel handla om områden som är mycket specifika för den enskilda myndigheten.

Det finns generella riskområden

Det finns riskområden som är mer eller mindre generella för alla myndigheter. Detta betyder i princip att alla myndigheter har vissa riskområden i verksamheten.

Några generella riskområden är:

upphandling och inköp
rekrytering
informationshantering
gåvor och representation
resor.

Det finns riskområden utifrån typ av verksamhet

All typ av ärendehandläggning medför risk för korruption. Men vilka specifika riskområden som finns beror på vilket slags ärenden som myndigheten har hand om. Exempel på riskområden kan vara:

utbetalningar
inbetalningar
tillsyn
brottsutredning
forskning
tillstånd och certifiering.

När det är svårt att identifiera konkreta risker kan det vara lättare att söka efter vad som är sårbart

Det kan vara svårt att med precision identifiera riskerna för korruption i en verksamhet. Ofta är det svårt att uppskatta både sannolikheten för och konsekvenserna av sällsynta händelser. Det beror bland annat på att de aldrig tidigare har inträffat.^[13]

Att analysera sårbarhet lämpar sig bättre för händelser som är mer sällsynta.^[14] Enligt Totalförsvarets forskningsinstitut ska den som vill göra en sårbarhetsanalys ställa sig följande frågor:

Vad är skyddsvärt?
Vad kan hota det skyddsvärda?
Hur sårbart är det skyddsvärda?
Hur är förmågan att stå emot och hantera påfrestningar på det skyddsvärda?

När det gäller sårbarheten för korruption och oegentligheter är det den statliga värdegrundens principer som är skyddsvärda. Det innebär mer precist att det skyddsvärda är att verksamheten är demokratiskt grundad och följer principerna om legalitet, objektivitet, fri åsiktsbildning och respekt, samt uppfyller kraven på effektivitet och service.

Fördjupa kartläggningen genom att öka förståelsen av riskerna

Myndighetens arbete med att identifiera risker går att fördjupa genom att fokusera närmare på olika former av relationer. Arbetet går också att fördjupa genom att identifiera om det finns några risker som är förenade med den kultur som finns vid myndigheten.

Relationer är ofta grunden för korruption

Relationer är centrala för alla former av korruption.^[15] Arbetet med att identifiera risker går därmed att fördjupa genom att mer noggrant undersöka hur relationer mellan anställda och omvärlden kan vara förenade med korruptionsrisker.

Det kan finnas skäl att vara särskilt uppmärksam på risker i verksamheter där personalen behöver bygga en relation med enskilda externa personer för att nå resultat. Detsamma kan gälla i verksamheter som fattar beslut som har stor betydelse för personers liv, hälsa och ekonomi. Även verksamheter som handlägger ärenden med långa väntetider kan vara särskilt riskutsatta. Både chefer och medarbetare i verksamheter av de här slagen kan exempelvis utsättas för påtryckningar som kan leda till korruption. Det kan också finnas risker i situationer där en beslutsfattare känner stor empati för en persons situation eller att en anställd möter manipulativa personer som utmanar den anställdas integritet.

Brottsförebyggande rådet har studerat hur vanligt det är med otillåten påverkan mot myndighetspersoner. I rapporten Otillåten påverkan mot myndighetspersoner går det bland annat att läsa mer om otillbörliga erbjudanden och hur utsatta olika yrkesroller är för sådant.^[16]

Det kan också finnas skäl att uppmärksamma riskerna för vänskapskorruption och intressekonflikter. Detta är viktigt eftersom de är former av korruption som har framhållits som en särskild utmaning i Sverige.^[17] Myndigheten kan öka förståelsen av de här riskerna genom att ta hänsyn till alla de sammanhang som en myndighet och dess personal verkar inom. Risken för att hamna i situationer med intressekonflikter kan vara särskilt stor för personer som har en eller flera bisysslor eller många andra arbetsrelaterade kontakter vid sidan av sitt arbete. Sådana risker kan också uppstå i situationer med upprepade eller långvariga kontakter med externa parter, exempelvis anbudsgivare och leverantörer. Vänskapskorruption och intressekonflikter kan dessutom uppstå inom branscher, sektorer eller verksamhetsområden där det inom en profession eller en viss yrkeskategori uppstår nära kontakter och band som kan leda till situationer där en medarbetare överskrider gränsen för vad som är korrupt.

Kulturer kan vara grogrund för korruption

Ett arbete med att få en fördjupad bild av korruptionsrisker kan också ta fasta på aspekter i kulturen vid en myndighet. Förhållningssätt och beteenden på en myndighet har stor betydelse för hur anställda agerar i svåra situationer. Vissa kulturer kan skapa en grogrund för korrupt beteende och försvåra arbetet mot korruption.^[18] Brottförebyggande rådet har identifierat fyra kulturer som kan öka risken för korruption: blindhetens kultur, tyst arbetskultur, informell regelkultur och effektivitetskultur. I Brottsförebyggande rådets handbok om att förebygga och hantera påverkansförsök går det att läsa mer om riskkulturerna.^[19]

Det finns olika sätt att fördjupa kartläggningen

Den eller de som håller i arbetet med att genomföra analysen kan föra interna diskussioner för att belysa och fånga upp hur eventuella risker kan uppstå eller förstärkas av kulturella aspekter. Dessa diskussioner kan då exempelvis ske mot bakgrund av de generella kunskaper som finns om riskkulturer. Det går även att använda andra metoder för att fånga upp infallsvinklar som har med den interna kulturen att göra. Till exempel går det att använda anonyma enkäter för att ställa frågor till medarbetarna eller inkludera den här typen av frågor i medarbetarundersökningar.

Hur prioriterar vi i den vidare hanteringen av riskerna?

Bild på samma flödesschema som i figur 1. Steget "Prioritera" är markerat.

Innebär någon av de identifierade riskerna att myndigheten kan utsättas för särskilt allvarliga former av korruption, exempelvis mutbrott eller bedrägeri? Även om det kan vara svårt att se en viss typ av korruption som mer skadlig än en annan så kan det i vissa fall vara värt att prioritera åtgärder mot de allvarligaste slagen av korruption.
Har vi i dagsläget något skydd mot de identifierade riskerna? Det kan finnas skäl att prioritera helt ohanterade risker framför risker där myndigheten har ett visst skydd.
Finns det något som talar för att en viss risk är särskilt sannolik? Den eller de som håller i arbetet med att analysera riskerna för korruption vid en myndighet bör i möjligaste mån utgå från befintliga kunskapsunderlag för att bedöma hur sannolikt det är att något ska inträffa. Det kan finnas incident- eller avvikelserapporter från verksamheten som tyder på att en viss företeelse är särskilt sannolik. Motsvarande kunskapsunderlag från andra myndigheter med liknande verksamhet kan också vara till hjälp.
Hur ser personalen på riskerna? Även personalens syn på riskerna kan ligga till grund för att bedöma sannolikheten. Den eller de som håller i analysen bör samtidigt ta hänsyn till att personalen kan ta för lätt på riskerna.
Är någon risk så liten att vi kan acceptera den utan åtgärder? Det går inte att bedriva offentlig verksamhet helt utan risk för korruption. Därför handlar det värderande momentet också om att bedöma och avgöra om de identifierade riskerna i själva verket är så pass små att de inte kräver någon vidare hantering.

Rangordna risker utifrån skada och sannolikhet

I riskanalysmodeller ingår vanligen ett värderande momentet som går ut på att bedöma hur sannolikt det är att en viss händelse inträffar och sedan uppskatta hur stor skada denna skulle göra om den inträffade. Syftet med att värdera riskerna är att få underlag för att kunna prioritera i den vidare hanteringen.

Även när det gäller analyser av korruptionsrisker kan den som genomför analysen ha hjälp av att resonera i termer av skada och sannolikhet. Ett sätt att värdera riskerna är därmed att utgå ifrån följande frågor:

Hur sannolikt är det att den risk som vi har identifierat inträffar?
Hur stor skada gör det om risken inträffar?

I många fall behöver den eller de som genomför analysen vara beredda på att göra avvägningar, utifrån underlag som ger begränsad information. Ofta krävs bedömningar utifrån kvalitativa underlag och att många perspektiv vägs in i bedömningen.

Genom att väga sannolikheten för hur pass allvarlig en viss händelse skulle vara kan myndighet skapa en prioriteringsordning för de identifierade riskerna. Myndigheten kan sedan avgöra hur riskerna behöver hanteras och hur pass omfattande åtgärder som behöver genomföras beroende på hur pass allvarliga risker det rör sig om och om myndigheten redan hanterar och stävjar riskerna på något sätt.

Skadorna är svåra att bedöma, men vissa företeelser är mer allvarliga än andra

Det är ofta inte särskilt framkomligt att uppskatta vilka kostnader en viss korruptionsrisk skulle medföra om den skulle inträffa. Det går i och för sig att föra teoretiska resonemang om hur en viss risk skulle påverka verksamhetens resultat. Men korruptionens skadeverkningar handlar inte enbart om att en korrupt verksamhet är mindre effektiv utan också om att korruptionen urholkar förtroendet för förvaltningen. Därför är det svårt att vilken skada en viss risk skulle föra med sig.

Däremot går det att utgå ifrån att vissa korrupta handlingar är mer allvarliga än andra. Ett mutbrott är till exempel mer allvarligt än att någon av misstag inte anmäler jäv i ett visst ärende. Men samtidigt är det viktigt att inte bortse ifrån att sådant som är mindre allvarligt kan orsaka stora skador på myndighetens förtroende, även om det till exempel inte är brottsligt ur ett straffrättsligt perspektiv.

Olika aspekter bör vägas samman för att bedöma hur sannolik en risk är

Det är svårt att bedöma sannolikheten för en viss korruptionsrisk. Svårigheterna har bland annat att göra med att det ofta rör sig om relativt sällsynta händelser. Dessutom sker korrupta handlingar ofta i det dolda, vilket sammantaget leder till att myndigheten egentligen har för lite information och kunskap för att med säkerhet bedöma sannolikheten. Trots detta går det ändå att göra en kvalificerad bedömning, utifrån befintliga kunskaper.

I många fall handlar det om att göra en sammanvägd bedömning, och då ta hänsyn till vilka skyddsmekanismer som redan finns på plats och annan information som kan finnas till hands. Följande aspekter går då att väga in:

Om de identifierade riskerna redan hanteras av hur verksamheten är organiserad
Om de identifierade riskerna dämpas av redan genomförda åtgärder, som till exempel utbildningar och kontroller
Verksamhetsstatistik, till exempel incidentrapporter
Kunskap inhämtad från personalen.

Hur hanterar vi riskerna?

Bild på samma flödesschema som i figur 1. Steget "Hantera och åtgärda" är markerat.

Hur väljer vi rätt åtgärder? Myndigheten behöver anpassa åtgärderna utifrån varje risk. Ibland kan det till exempel vara lämpligt med åtgärder för att stärka kontrollmiljön. I andra fall kan det vara bättre att höja de anställdas kunskap om vad det innebär att vara anställd i staten. Ibland kan det vara lämpligt att kombinera olika typer av åtgäder.
Hur hanterar vi risker som vi accepterar utan åtgärder? Det kan vara lämpligt att dokumentera alla risker som har identifierats, även sådana som för tillfället går att acceptera. Detta beror på att myndigheten kan behöva ändra sin bedömning av risknivån i framtiden.
Behöver vi upprätta en åtgärdsplan? Beroende på hur många och hur omfattande risker som myndigheten har identifierat och bedömt som oacceptabla kan myndigheten behöva upprätta en åtgärdsplan. Planen ger struktur åt det vidare arbete och kan göra det lättare att följa upp arbetet med att hantera risker.

Åtgärder kan vara av olika slag

Det finns inget universalrecept mot korruption som passar alla verksamheter. Riskerna för korruption kan vara mycket olika, korruption kan uppstå som ett resultat av samverkande riskfaktorer, och det finns många tänkbara åtgärder. Åtgärderna kan handla om följande:

Stärka den interna kontrollmiljön. En myndighet kan använda sig av olika former av kontroller eller kontrollsystem för att minska de anställdas möjligheter att begå fel.
Tydliggöra ansvarsförhållanden. En tydlig organisation som har en tydlig fördelning av ansvar för frågor om korruption gör det lättare för anställda att få svar på frågor eller råd i svåra situationer.
Genomföra insatser för att höja kunskaper. De anställdas kunskaper om regler samt om vad korruption är minskar riskerna för att anställda begår omedvetna fel. Sådana kunskaper kan också öka möjligheterna att upptäcka fel som begås av andra.
Stärka hur ledning och personal förhåller sig till värdegrunden. Om myndighetens ledning och personal har förhållningssätt som är väl förankrade i den statliga värdegrunden så minskar riskerna för korruption.
Inrätta rutiner för hantering av misstankar. Myndigheten kan upprätta rutiner för hur myndigheten hanterar misstankar om korruption. Det ger förutsättningar för en ändamålsenlig och rättssäker hantering av sådana misstankar. Rutiner av dessa slag kan också öka anställdas benägenhet att slå larm.
Samverka med och lär av andra. Ett effektivt sätt att utveckla arbetet mot korruption är att ta vara på de kunskaper och erfarenheter av praktiskt förebyggande arbete som finns på andra håll i förvaltningen.

Analysen av riskerna avgör vilka åtgärder som är lämpliga

Det är den eller de som håller samman arbetet med riskanalysen som behöver bedöma vilken typ av åtgärder som är nödvändiga, mot bakgrund av just de riskerna som har identifierats och hur dessa risker har värderats.

Det är möjligt att enskilda risker gör det lämpligt att genomföra åtgärder av olika slag, som en kombination av åtgärder för att stärka kontrollmiljön och åtgärder för att höja kunskaper. Men det är också tänkbart att en viss risk går att hantera med en specifik åtgärd.

Myndigheten bör genomföra åtgärder tills den kvarvarande risken går att acceptera. Det går sällan att genomföra åtgärder i en sådan utsträckning att en risk försvinner helt. Myndigheten behöver på egen hand bedöma när åtgärderna räcker.

Det finns stöd i arbetet:

I åtgärdsarbetet går det ofta att finna stöd hos andra myndigheter. Både Upphandlingsmyndigheten och Konkurrensverket tillhandahåller kunskap om risker inom upphandling. Exempelvis har Upphandlingsmyndigheten stöd kring hur man kan förebygga korruption i upphandlingsprocessen på webbplatsen www.upphandlingsmyndigheten.se/forebygg-korruption.

Brottsförebyggande rådet har tidigare tagit fram en lista över olika korruptionsrisker och hur dessa går att hantera.^[20] Listan kan fungera som inspiration i åtgärdsarbetet.

När det gäller arbete med förhållningssätt och andra insatser som handlar om att stärka kunskapen om den statliga värdegrunden tillhandahåller Statskontoret material på webbplatsen www.forvaltningskultur.se. På samma webbplats finns också andra skrifter som kan vara användbara i hela arbetet med att analysera och hantera korruptionsrisker. Två exempel är en skrift och jäv och en skrift om kulturens betydelse för korruptionsrisker.^[21]

Analysen kan också leda till att risker accepteras utan åtgärd

Om analysen visar att de identifierade riskerna i själva verket är mycket små så kan det leda till att myndigheten accepterar riskerna utan någon åtgärd. Det kan till exempel bero på att myndigheten bedömer att redan genomförda åtgärder är tillräckliga.

Myndigheten kan efter en tid behöva revidera bedömningen av risker som har accepterats utan åtgärd. En ny bedömning kan då leda till att det blir aktuellt att genomföra en åtgärd. Sådana risker kan myndigheten därför behöva bevaka.

Åtgärdsarbetet bör sammanfattas, exempelvis i en åtgärdsplan

Ofta är det lämpligt att sammanfatta åtgärdsarbetet och det kan myndigheten göra genom att upprätta en åtgärdsplan. I åtgärdsplanen kan myndigheten motivera vilka åtgärder som myndigheten genomför eller planerar att genomföra för att minska de identifierade riskerna. Planen kan också visa när i tiden som myndigheten kommer att genomföra åtgärden och om myndigheten planerar att följa upp åtgärden.

När den eller de som håller i arbetet sammanfattar åtgärdsarbetet kan det också vara bra att upprätta någon form av förteckning över de risker som myndigheten har accepterat utan åtgärd. Där kan det också framgå varför myndigheten har valt att acceptera den identifierade risken utan att genomföra någon åtgärd.

Hur tar vi arbetet vidare?

Bild på samma flödesschema som i figur 1. Det sista steget "Följ upp" är markerat.

Hur ser vi till att arbetet går att följa upp på ett lämpligt sätt? Om myndigheten fattar beslut om särskilda åtgärder är det bra att följa upp både att de genomförs och att de ger önskvärt resultat.
Hur kan vi se till att arbetet sker kontinuerligt? Myndigheten bör se till att den i framtiden kommer att kunna uppmärksamma om den behöver genomföra en ny eller uppdatera en befintlig analys. Myndigheten behöver också se till att den kan genomföra en sådan analys. Delar av det arbetet kan gå att integrera i befintliga processer. Hur detta görs på bästa sätt behöver varje myndighet avgöra. Det är alltid bra att upprätta en plan för arbetet på sikt, oavsett hur ofta myndigheten bedömer att det bör utföras. Det är lämpligt att en utpekad funktion får ansvar för att belysa eventuella behov i framtiden, till exempel när myndighetens verksamhet förändras på något väsentligt sätt.
Vad kan vi göra för att underlätta framtida analyser? I framtiden kan det vara bra att kunna utgå från en tidigare analys av verksamheten. Därför är det lämpligt att myndigheten dokumenterar den genomförda analysen och hur myndigheten hanterar riskerna. Myndigheten kan också överväga att införa någon form av incidentrapportering för att få underlag till framtida analyser. Exemeplvis kan det gå att samla in data om hur utsatt personalen är för påverkansförsök.

Dokumentera arbetet och följ upp

En viktig del i att skapa förutsättningar för ett långsiktigt och medvetet arbete mot korruption är att dokumentera det genomförda arbetet på ett lämpligt sätt. Det är bra om hela den genomförda processen finns dokumenterad, det vill säga både arbetet med att analysera och hantera riskerna. En åtgärdsplan av det slag som vi tar upp i kapitel 5 kan vara en del av eller själva grunden för dokumentationen.

Tidigare genomförda och dokumenterade analyser går att använda som avstamp för att uppdatera analyser i framtiden. Även de genomförda åtgärderna bör myndigheten dokumentera för framtiden. Om åtgärderna finns beskrivna så har myndigheten bättre förutsättningar för framtida uppföljningar. Det ger också förutsättningar för att justera eller komplettera åtgärderna om det behövs.

Det är också lämpligt att dokumentera vilka risker som myndigheten har bedömt är så små att de inte kräver någon åtgärd, och vad som ligger till grund för den bedömningen. På det sättet kan framtida ledning och personal få en fullständig bild av vad som tidigare har gjorts och vad som inte har gjorts för att hantera specifika risker.

Varje myndighet behöver anpassa arbetet med att följa upp de genomförda åtgärderna till den specifika situationen. Olika former av uppföljning lämpar sig olika väl för olika typer av åtgärder. Om myndigheten inrättar någon form av kontroller kan det givetvis vara lämpligt att följa upp incidenter och eventuella avvikelser. Om myndigheten genomför kunskapshöjande insatser kan det vara lämpligt med andra typer av uppföljningar för att få en bild av hur kunskapsnivån förbättras. Det kan göras i enskilda samtal, vid arbetsplatsträffar eller som en del av en medarbetarundersökning.

Se till att en ny eller uppdaterad analys görs när det behövs

En myndighet bör ha rutiner och en ansvarsfördelning som säkerställer att myndigheten märker när de behöver göra nya analyser eller uppdatera befintliga analyser.

Ett sätt att se till att arbetet sker kontinuerligt är att en utpekad funktion får ansvar för att analysera korruptionsrisker vid behov. Vilken funktion som får ansvar för detta kan variera från myndighet till myndighet.

Ledningen kan se till att myndigheten tar fram kriterier för vad som gör det lämpligt att göra en ny eller uppdatera en befintlig analys av korruptionsriskerna. Om en utpekad funktion får ansvar för att uppmärksamma de framtida behoven av en analys så kan kriterierna vara ett stöd för funktionen.

Arbetet går att integrera i befintliga processer

Analysen av korruptionsrisker kan integreras i befintliga processer. Det ligger i linje med Ekonomistyrningsverkets allmänna råd till 2 § förordningen om intern styrning och kontroll. Enligt Ekonomistyrningsverket bör en myndighet integrera processen för intern styrning och kontroll med övrig styrning av verksamheten, i den utsträckning som myndigheten bedömer att det är lämpligt.^[22]

För vissa myndigheter kan arbetet med korruptionsrisker gränsa till arbetet med andra risker som redan är integrerade delar av myndighetens processer. Då kan det finnas fördelar med att analysera och hantera korruptionsrisker i anslutning till dessa. Det kan till exempel gälla analyser av risker för otillåten påverkan, inklusive risker för hot och våld.

Statskontoret anser att myndigheterna kan integrera såväl analys- som åtgärdsarbete och uppföljningar i övrig styrning av verksamheten. Det finns dock en risk att frågor om korruption hamnar i skuggan av många andra frågor som myndigheten arbetar med och som är en del av dessa processer. Statskontoret anser därför att det är viktigt att det korruptionsförebyggande arbetet och analyser av korruptionsrisker uppmärksammas särskilt vid något tillfälle, oavsett om det utgör en integrerad del av befintliga processer eller om det görs avskilt. Det är särskilt viktigt om myndigheten aldrig tidigare har gjort en analys av det här slaget.

Arbetet mot korruption är en kontinuerlig uppgift för att myndighetsledningen ska uppfylla sitt ansvar enligt 3 § myndighetsförordningen. Det är myndigheterna själva som har bäst förutsättningar att avgöra vilka befintliga processer som de ska integrera analys och hantering av korruptionsrisker i. Precis som vi konstaterar i kapitel 2 så finns det ingen generell modell som passar alla, utan arbetet med att analysera korruptionsrisker bör liksom intern styrning och kontroll i allmänhet anpassas till verksamheten. Varje myndighet utformar sitt eget arbete med att analysera och hantera risker och varje myndighet avgör också vilka processer som krävs för att analysera korruptionsriskerna i lämplig utsträckning.

Bilaga

Regeringsuppdraget

$Bild på regeringsuppdraget.$

Bild på regeringsuppdraget.

Fotnoter

3 § myndighetsförordningen (2007:515). ↑
Se till exempel: Statskontoret. (2015:23). Myndigheternas arbete för att förebygga och upptäcka korruption; Riksrevisionen. (2013:2). Statliga myndigheters skydd mot korruption. ↑
Finansdepartementet. (2020). Ett utvecklat arbete mot korruption i den offentliga förvaltningen. Handlingsplan mot korruption 2021–2023, s. 3–4. ↑
Regeringsbeslut 2020-12-10. Uppdrag att främja arbetet mot korruption i den offentliga förvaltningen. ↑
Statskontoret. (2020:101). Myndigheternas korruptionsrisker. En studie av hur ett konkret stöd i riskarbetet kan utformas. PM. Dnr 2020/11-6. ↑
1 kap. 9 § regeringsformen, 5 § förvaltningslagen (2017:900). ↑
3 § myndighetsförordningen (2007:515). ↑
4 § 4 p. ibid. ↑
SOU 2004:23. Från verksförordning till myndighetsförordning, s. 142. ↑
Förordningen om intern styrning och kontroll gäller för myndigheterna med krav på internrevision: www.esv.se/statlig-styrning/intern-styrning-och-kontroll/internrevision/internrevisionsmyndigheter/ (Hämtad 2022-03-08). ↑
Riskhanteringsstöd – riskanalys och riskhantering för myndigheter - Kammarkollegiet (Hämtad 2022-03-07). ↑
Riksrevisionen. (2013:2) Statliga myndigheters skydd mot korruption, s. 20. ↑
Totalförsvarets forskningsinstitut. (2011). FOI:s Modell för Risk- och sårbarhetsanalys (FORSA). Handbok, s. 34. ↑
Ibid. ↑
Brottsförebyggande rådet. (2014:4). Korruption i Myndighetssverige. Otillåten påverkan mot insider. ↑
Brottsförebyggande rådet. (2016:13). Otillåten påverkan mot myndighetspersoner. ↑
Greco. (2018). Evaluation Report Sweden. ↑
Statskontoret. (2018). En kultur mot korruption, s. 11. ↑
Brottsförebyggande rådet. (2017). Att förebygga och hantera påverkansförsök. En handbok, s. 24–26. ↑
Brottsförebyggande rådet. (2013:15). Den anmälda korruptionen. Struktur, riskfaktorer och motåtgärder, s. 73–74. ↑
Statskontoret. (2020). Jäv i offentlig tjänst; Statskontoret. (2018). En kultur mot korruption. ↑
Ekonomistyrningsverkets allmänna råd till 2 § i förordningen om intern styrning och kontroll. ↑

Namn	Tid	Syfte
ASP.NET_SessionId	Session	Denna ställs in av ASP.NET ramverket och identifierar unikt användarsessionen på servern. Den används av ramverket för att skicka information mellan serverförfrågningar.
ARRAffinitySameSite	Session	Denna cookie används för att skydda användaren mot förfalskning på begäran över fler webbplatser.(XSRF) Den används endast av Episerver CMS.
ARRAffinity	Session	Denna Cookie används av Microsoft Azure för att avgöra hur trafik dirigeras till underliggande webbapplikationer.
ai_session	Session	Denna cookie är associerad med Microsoft Application Insights-programvaran, som samlar in statistisk användning och telemetriinformation för appar som bygger på Azure-molnplattformen. Detta är en unik anonym cookie för sessionidentifierare. Huvudsyftet med denna cookie är: prestanda
ai_user	Varaktig 1 år	Denna cookie är associerad med Microsoft Application Insights-programvaran, som samlar in statistisk användning och telemetriinformation för appar som bygger på Azure-molnplattformen. Detta är en unik cookie för användaridentifierare som gör det möjligt att räkna antalet användare som har åtkomst till applikationen över tid. Huvudsyftet med denna cookie är: Prestanda
AcceptCookies	Varaktig 1 år	Denna cookie används för att identifiera besökarens val i samtycket för kakor. Den lagrar ingen personlig eller unik information.

Namn	Tid	Syfte
_pk_id.*	Varaktig 12 månader	Tredjepartskaka som sätts av Matomo för att vi ska kunna spåra vad just du tycker har varit intessant på vår webbplats. Ingen persondata eller ip-adress sparas.
_pk_ses.*	Session	Tredjepartskaka som sätts av Matomo för att spåra det du har använt vår webbplats till i den pågående sessionen. Ingen persondata eller ip-adress sparar.
_pk_ref.*	Varaktig 6 månader	Tredjepartskaka som sätts av Matomo för att se hur du använt våra tjänster och vilket innehåll som varit intressant. Ingen persondata eller ip-adress sparar.