TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Martina Adiels Balk SFN 2017/

TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Martina Adiels Balk 2017-10-10 SFN 2017/0286 0480-450574 Servicenämnden Intern kontroll 2018 Förslag till beslut Servicenämnden antar förvaltningens Intern kontrollplan 2018 identifierade risker hos serviceförvaltningen med bedömda risktal och kontrollmoment. Bakgrund Under 2016 infördes nya riktlinjer för intern kontroll i Kalmar kommun. Med det nya arbetssättet ska huvud- och stödprocesser inom verksamheten analyseras och nedanstående risker tas i beaktande: Omvärldsrisk Verksamhetsrisk Legal risk IT-risk Risk i rapportering Serviceförvaltningen har gjort en uppdaterad riskinventering i samtliga förvaltningens verksamheter, se bilaga Intern kontrollplan 2018 identifierade risker hos serviceförvaltningen med bedömda risktal och kontrollmoment med avseense på Kalmar kommuns huvudprocesser. Stödprocessernas risker har bedömts kommunövergripande och sedan delats ner till förvaltningarna för notering av kontrollmoment. Kontrollmoment ska tas fram för risker med risktal på nio eller större, alternativt med en konsekvens på fyra. Förvaltningschef Martina Adiels Balk Vik Administrativ chef Bilagor Intern kontrollplan 2018 identifierade risker hos serviceförvaltningen med bedömda risktal och kontrollmoment Riktlinjer för internkontroll Serviceförvaltningen Administration Tel 0480-45 00 00 vx martina.adiels-balk@kalmar.se

Intern kontrollplan 2018 - identifierade risker hos serviceförvaltningen med bedömda risktal och kontrollmoment Process Delproess Risk Ansvarig Beskrivning av risk Sannolikhet Konsekvens Riskvärde Kontroll moment Kommentar Huvudproceccer 1 Fastställa mål och fördela resurser Hantera mål och uppdrag Risk för att verksamheten inte jobbar mot fastställda mål och att resurser inte fördelas optimalt. Det finns risk för att verksamheten inte jobbar mot fastställda mål och att resurser inte fördelas optimalt. Detta kan bero på flera olika anledningar t ex att målen inte är kända hos medarbetarna, att det finns oklarheter i organisationen, att rutiner inte fungerar med mera. Det finns risk för att mål, uppdrag och beslut som inte finns med i verksamhetsplanen utan i andra handlingsplaner, strategier och program inte följs upp. 3 3 9 Ja Utifrån kommunfullmäktigesmål formuleras mål för servicenämnden. Dessa bryts sedan ner i de verksamheter där målet kan påverkas. Tertialuppfölningar av mål och uppdrag redovisas för nämnd, ledningsgrupp, samverkan och på arbetsplatsträffar. Budgettilldelningen ses över inför ny budget. Kontrollmoment: Avstämning mål/budget tertialvis så att resurser för att nå satta mål finns alternativt görs prioriteringar utifrån ekonomiska förutsättningar. 2 Fastställa mål och fördela resurser Ta fram strategier och underlag genom omvärldsbevakning Risk felbedömning omvärldsrisker Risk för avsaknad av omvärldsanalys och felbedömning av omvärldsrisker. 2 3 6 Konsekvensen om kommunen skulle göra felbedömningar av omvärlden skulle kunna leda till skada och påverkan för verksamheten. Risken bedöms som relativt låg då verksamheterna omvärldsbevakar via branschorgan och liknande. Kontinuerlig information kommer från kommunledningskontoret. 3 Fastställa mål och fördela resurser Ta fram budget och följa upp den Risk att resurser är otillräckliga. Risk att resurser är otillräckliga för att utföra förvaltningens uppdrag samt att förvaltningen inte kan möta upp framtida krav. 2 4 8 Ja Sannolikheten bedöms som liten då budgetuppföljning och prognos genomförs och presenteras för nämnd månadsvis för kontinuerlig uppföljning. Kontinuerliga avstämningar görs även med KLK. Kontrollmoment: Avstämning mål/budget tertialvis så att resurser för att nå satta mål finns alternativt görs prioriteringar utifrån ekonomiska förutsättningar. 4 Organisera, leda och följa Leda och fördela arbetet Risk för otydliga/ej kända arbetsoch uppdragsbeskrivningar Risk för att arbets- och uppdragsbeskrivningar samt arbetsuppgifter inte är kända av medarbetarna eller är otydligt utformade. Detta kan leda till att medarbetare arbetar med fel saker eller inte vet hur de ska prioritera bland arbetsuppgifterna. 3 2 6 Risken bedöms som låg då internrevision av rutiner och processer genomförs årligen för att få uppföljning om dess efterlevnad. Avvikelser sätts och åtgärdas i de fall där avsteg finns. Medarbetarsamtal hålls. 5 Organisera, leda och följa Bevaka och informera om lagar och förordningar Risk för att verksamheten inte hinner anpassas vid lagändring Det finns risk för att verksamheten inte hinner anpassas vid en eventuell lagändring. Den kommunala verksamheten tenderar att bli mer och mer detaljstyrd via lagar och regler. 2 3 6 Risken bedöms som låg då respektive chef prenumererar på uppdateringar i den lagstifning som är speciell för verksamheten. kvalitets- och miljösamordnare bevakar miljölagstiftning via KLK och WSP. 6 Organisera, leda och följa Följa Risk för bristande beslutsunderlag Risk för att de beslutsunderlag som förmedlas till politikerna är bristfälliga, vilket skulle kunna leda till att felaktiga beslut fattas eller att beslut fattas på felaktiga grunder. Brister kan föreligga vid målrapportering eller att informationen inte presenteras på ett optimalt sätt. Det kan också finnas risk för att felaktig information hämtas från system som inte har uppdaterats korrekt. 2 2 4 Risken bedöms som liten då beslutsunderlag granskas av berörda innan de förmedlas vidare för att felaktigheter ska kunna identifieras. Rimlighetsbedömning görs vid inhämtling av systeminformation. 7 Organisera, leda och följa Stödja, styra, samordna genom verksamhetsledningssystem Risk för att arbetsuppgifter/uppdrag inte blir utförda eller görs på ett felaktigt sätt Risk för att arbetsuppgifter inte blir utförda eller görs på ett felaktigt sätt. Detta kan bero på den aktuella arbetsinstruktionen, att rutiner saknas, inte är kända eller inte följs av andra anledningar. En annan orsak kan vara att arbetsuppgiften utförs sällan av medarbetaren eller att arbetsuppgiften kräver särskild kompetens. 3 2 6 Risken bedöms som låg då internrevision av rutiner och processer genomförs årligen för att få uppföljning om dess efterlevnad. Avvikelser dokumenteras och åtgärdas i de fall där avsteg finns. Avsaknad av rutiner för moment som behöver styras identifieras. 8 Organisera, leda och följa Leda och fördela arbetet Risk för dubbelarbete alternativt att uppgifter inte blir utförda Risk för dubbelarbete mellan enheter och mellan förvaltningar alternativt att uppgifterna inte blir utförda. Om inte ansvarsfördelningen är tillräckligt tydlig när kommunen fördelar uppdrag och projekt finns det risk för att flera enheter/förvaltningar arbeta med samma saker varvid dubbelarbete kan uppstå. Resurser tas då i anspråk som skulle kunna användas till annat. 2 3 6 Risken bedöms som störst mellan förvaltningar. När två förvaltningar är inblandade finns risk att beslut dröjer och att dubbelarbete sker. Dock så har nya reglementen tagits fram och driftats vilket bör göra sannolikheten låg. 9 Bedriva samhällsskydd och säkerhetsarbete Förebyggande brandskydd Risk för bristande kunskap om ansvarsfördelning av brandskydd. Gunilla Svensson Risk för bristande kunskap om ansvarsfördelning brandskydd mellan hyresgäst och förvaltningen. 2 3 6 Risken bedöms som låg då gränsdragningslista med ansvarsfördelning brandskydd är framtagen implementerad. Denna lista fylls i tillsammans hyresgäst/fastighetsförvaltare för alla nya och uppdaterade avtal. 10 Bedriva samhällsskydd och säkerhetsarbete Förebyggande brandskydd Risk att brandskyddsronder inte utförs enligt rutin. Risk att brandskyddsronder inte utförs tertialvis enligt rutin och att då inte avvikelser upptäcks, åtgärdas och förebyggs. 2 3 6 Brandskyddsamordnare skickar ut påminnelser om de ronder som ska utföras. Följs upp genom intern/extern ISO revision, samt vid årlig rapprtering till KLK. 11 Förvalta och utvecka det fysisk samhället Genomföra (exploatering och) investeringar Risk driftskostnad Risk att driftskostnad inte tas i beaktande vid nya projekt. Life cycle cost (LCC) tänk saknas. 2 3 6 Sannolikheten bedöm som låg då frågan numera finns med i underlaget "Anmäla behov av investering inför beslut i kommunfullmäktige - blankett" samt att möte har införts tillsammans med SBK. Kontinueriga möten hålls med SBK där förvaltningschef och produktionschef deltar. 12 Förvalta och utvecka det fysisk samhället 13 Förvalta och utvecka det fysisk samhället 14 Förvalta och utvecka det fysisk samhället 16 Svara för vård, omsorg och sociala Förvalta (och utveckla) allmän platsmark Förvalta (och utveckla) kommunal mark Hantera bidrag till enskilda vägar Tillhandahålla olycksfallsförsäkring Risk ansvarsfördelning Risk för otydlighet i ansvarsfördelning. 2 3 6 Sannolikheten bedöm som låg då reglemente finns. Risk ansvarsfördelning Risk för otydlighet i ansvarsfördelning. 2 3 6 Sannolikheten bedöm som låg då reglemente finns. Risk driftsbehov och ansvar Tomas Lexinger Risk för ökat driftsbehov samt att samfälligheter inte vill ansvara. 2 3 6 Sannolikheten bedöm som låg då process för av enskilda vägar och bidrag finns. Risk i upphandling av olycksfallsförsäkringar Maria Kleveborn Risk att upphandling av olycksfallsförsäkring blir överprövad. 1 3 3 Sannolikheten bedöm som låg. Då görs otillåten direktupphandling för att säkerställa att försäkring finns. 17 Värna om miljö och hälsa Hantera frågor om naturvård Risk att det finns brister i egenkontroll Tomas Lexinger Risk att kontrollpunkter i egenkontrollprogram för inte följs. 3 3 9 Ja Inom kostverksamheten är risken lägre då tydliga rutiner finns samt inspektioner från SBK görs. Öka kunskap och efterlevnad av kontrollprogram inom produktionsverksamheten. Kontrollmoment: Uppföljning av relevanta checklistor inom egenkontrollen. (Produktion) 1

18 Värna om miljö och hälsa Hantera frågor om naturvård Risk för ammoniakutsläpp ishallar Gunilla Svensson Risk för ammonikautsläpp från ishallens kylanläggning. 2 2 4 Risken bedöms som låg då rutin för besiktning och daglig kontroll finns. Larm finns. 19 Värna om miljö och hälsa Risk olycka på utegym Tomas Lexinger Utegym - olycka på grund av undermålig utrustning 2 2 4 Risken bedöm som låg då årliga besikningar genomförs vilket minskar risken för olycka. 20 Värna om miljö och hälsa Bidra till säker livsmedels 21 Värna om miljö och hälsa Bidra till säker livsmedels 22 Värna om miljö och hälsa Bidra till säker livsmedels Risk skada pga ej korrekt tilllagad kost Björn Hedbäck Risk att person skadas till följd av felaktig kost. 3 2 6 Risken bedöm som låg då egenkontrollprogram och rutiner finns för att säkerställa de parametrar som kan leda till att dessa typer av problem uppstår. Regelbundna kontroller av miljö och hälsa på SBK. Risk specialkost Björn Hedbäck Risk att person med behov av specialkost får fel kost. 3 2 6 Skola/omsorg informerar kostverksamheten om behov av specialkost. Rutiner finns sedan framtagna för att säkerställa att felaktig kost inte serveras till de personer som är i behov av specialkost. Risk allergier Björn Hedbäck Risk att icke godkända kemikalier används. 2 2 4 Risken bedöm som låg då kemikalier som får användas av verksamheten återfinns på kemikalielista och tas från centralförrådets sortiment. 23 Värna om miljö och hälsa Bidra till säker livsmedels Risk smittspridning Björn Hedbäck Risk att icke tillräckligt effektiva kemikalier används vilket kan leda till smittspridning. 2 2 4 Kemikalier som får användas av verksamheten återfinns på kemikalielista och tas från centralförrådets sortiment, därför bedöm risken som låg. 24 Värna om miljö och hälsa Hantera avfall Risk farligt avfall Risk att farligt avfall inte hanteras korrekt 2 3 6 Rutiner för av avfall finns och är kommunicerade i verksamheten. Externa och interna ISO revisioner genomförs årligen. Verksamheter där det uppstår mycket farligt avfall har egna verksamhetsspecifika rutiner samt avtal för med Stena för omhändertagande. 25 Värna om miljö och hälsa Ta emot felanmälan Risk hanterad felanmälan Gunilla Svensson/ Tomas Lexinger 26 Stödproceccer 27 Hantera ekonomi Hantera redovisning och övrig ekonomiadministration 28 Hantera ekonomi Hantera redovisning och övrig ekonomiadministration Risk att uppdaterade interna/externa hyror inte används vid fakturering. Risk- Fakturabetalning i byggprojekt 29 Hantera ekonomi Risk - Brister i av attest och firmatecknare Risk för ej hanterad/felaktigt hanterad felanmälan 2 2 4 Felanmälningar hanteras enligt rutin i streamflow vilket gör att risken bedöms som låg. Gunilla Svensson Risk i reglering av hyreskontrakt 2 3 6 Risken bedöms som låg då kontroll sker av att bevakningsrutinern fungerar. Gunilla Svensson Patrik Ohlsson Risk att betalning inte sker enligt arbetsplan, mot utfört arbete och enligt betalningsplan där sådan finns upprättad. Det finns risk att attest sker i strid mot reglementet för verifikationer avseende jävs- och integritetsreglerna. Det finns risk att utbetalningar attesteras av fel person på grund av att attestförteckningarna inte är uppdaterade och kommunicerade med systemförvaltarna för ekonomisystem och verksamhetssystem. Det finns en risk att kontrakt/avtal skrivs på av andra än firmatecknare för Kalmar kommun. Detta kan leda till förtroendeskada och ekonomisk skada för kommunen i form av skadestånd/vite från kunder, leverantörer eller andra myndigheter. 2 2 4 Risken bedöms som låg då kontroll sker av att betalningsrutinen följs. 3 3 9 Ja Sannolikheten att detta sker bedöms som stor då det är många personer som hanterar verifikationer, fakturor och avtal. Konsekvensen om detta inträffar bedöms som allvarlig då detta kan leda till förtroendeskada eller ekonomisk skada för kommunen. Kontrollmoment: Avstämning av 5 fakturor/enhet per tertial. 30 Hantera ekonomi Risk - Brister i av leverantörsfakturor Patrik Ohlsson Risk föreligger att kostnader inte redovisas enligt kommunbas13 och för att representation, kurser, och resor inte har korrekt dokumentation avseende syfte och deltagande. Det finns också risk att leverantörsfakturor inte betalas i tid. 4 3 12 Ja Sannolikheten att detta inträffar bedöms som mycket stor då av leverantörsfakturor sker av ett stort antal personer och flertalet av dessa har inte detta som sin huvudsakliga arbetsuppgift. Konsekvensen om detta inträffar bedöms bli allvarlig då detta kan leda till ökade kostnader för kommunen i form av räntor och påminnelseavgifter samt att redovisningen inte är tillförlitlig vilket kan leda till att beslut fattas på felaktiga grunder. Kontrollmoment: Uppföljning av förfallna fakturor månadsvis samt avstämning av 5 fakturor/enhet per tertial för representation, kurser och resor. 31 Hantera ekonomi Risk - Brister i redovisningen Patrik Ohlsson Det finns risk för att redovisningen och underlagen till denna brister. Främst avser detta bokföringsorder. Det finns också risk för brister i rättelser som inte kan härledas samt balanskonton som inte avstäms regelbundet. 3 3 9 Ja Sannolikheten att detta skulle inträffa bedöms som stor då rättelse av fel och löpande redovisning sköts av ett flertal personer. Sannolikheten att dokumentationen brister bedöms också som stor utifrån tidigare genomförda kontroller. Konsekvensen om detta inträffar bedöms som allvarlig då detta kan leda till att beslut fattas på felaktiga grunder samt att kommunen bryter mot gällande lagstiftning. Kontrollmoment: Avstämning av balanskonto görs tertialvis för förrådet. 32 Hantera ekonomi Risk - Brister i av kundfakturering Patrik Ohlsson Det finns risk för att fakturering inte sker i rätt tid eller inte alls och att debiterade avgifter inte följer beslutade taxor eller avtal. Detta kan leda till ökad administration när rättelser måste ställas ut och förtroende för kommunen kan skadas. Det kan också innebära förlorade intäkter. 3 3 9 Ja Sannolikheten att det finns brister i en av kundfakturering bedöms som stor då det kan hända några gånger om året. Den största delen av faktureringen sker i försystem utifrån förbrukning och här är sannolikenheten mindre om gällande rutiner följs. Sannolikheten att detta skulle inträffa är störst vad gäller ströfakturering där inget försystem initierar fakturering utan den initieras av en tjänsteperson. Konsekvensen bedöms bli allvarlig eller få stor påverkan på verksamheten om vi inte fakturerar i rätt tid eller till fel belopp eller glömmer att fakturerar helt. Felaktig fakturering leder till ökad administration om vi måste göra kreditar och att förtroende för kommunen skadas. Vi kan också förlora intäkter p g a detta vilket kan påverka verksamheten. Kontrollmoment: Tertialvis kontroll på verksamheterna att fakturor skickats ut. 33 Hantera ärenden och dokument Risk för att diarieföring och gallring inte sker enligt gällande lagstiftning Martina Adiels Balk Det finns risk för att diarieföring, arkivering, bevarande och gallring inte sker enligt gällande lagstiftning och våra antagna dokumentsplaner. Lagstiftningen är komplex och gråzoner finns. Osäkerhet kan finnas avseende dokumentsplaner och lagstiftningens krav på registrering av allmänna handlingar. 3 3 9 Ja Sannolikheten att kommunen skulle bryta mot lagstiftningen bedöms som stor då osäkerhet finns hos personalen om vad som ska diarieföras och inte samt vad som ska gallaras och inte. Utbildning och information sker till personal varmed sannolikheten bedöms som lägre än tidigare år. Konsekvensen om kommunen bryter mot lagen bedöms som stor och kan leda till allvarlig förtroendeskada för kommunen. Det är också allvarligt om dokument som ska diarieföras/bevaras inte återfinns. Kontrollmoment: Sticksprovkontroll att dokumentsplanen följs hos enheterna en gång under året. 2

34 Informera och kommunicera Risk för att informationen inte når fram eller inte tas emot Karin Holmåker Det finns risk för att informationen som kommunen vill kommunicera inte når fram eller inte tas emot då det finns flera olika informationskanaler. Risken ökar också i och med att informationsflödet är högt i samhället och det kan vara fel tid att informera, fel informationskanal eller missar målgruppen av annan anledning. Det finns också risk för att kommunikationen inte sker på det mest kostnadseffektiva sättet. 3 3 9 Ja Sannolikheten att detta skulle inträffa bedöms som stor då informationsflödet är högt i samhället och informationskanalerna är många. Konsekvensen om detta skulle inträffa bedöms som allvarlig då påverkan på verksamheten kan bli stor beroende på vad som informeras om. Kontrollmoment: Kommunikationsenheten ska förstärka och förtydliga kommunikationsprocessen samt förtydliga kommunikatörens roll ute i verksamheterna. Kommunikationsprocessen innefattar föranalys; målgruppsanalyser och kanalval, genomförande samt förstärkning av uppföljningen där vi mäter det vi kan. Kommunikationsenheten väljer ut stickprov av projekt där det kontrolleras när en kommunikatör kommer in i processen och vilka konsekvenser det har gett, det vill säga om kommunikationsenheten har fått möjlighet att göra sitt jobb. Uppföljning årsvis. Vid tre kommunikationställfällen under året ska det utvärderas att informationen nått fram. 35 Leverera IT-stöd Risk att det finns oklarheter i befogenheter och ansvar Robert Carlsson Risk för oklarheter i befogenheter och ansvar gällande IT-system. Systemförvaltning av IT-system ligger i vissa fall ute på enheterna som använder/har köpt in systemen. Oklarheter kan då uppstå vilka befogenheter systemförvaltaren respektive kommunens IT-avdelning har och vem som är ansvarig för vad. 3 3 9 Ja Sannolikheten att detta skulle inträffa bedöms som stor då påtalande har gjorts vid ett flertal verksamheter under riskanalysens genomförande. Det saknas en systemförvaltarmodell och de nyligen framtagna dokumenten inom informationssäkerhet behöver implementeras. Konsekvensen om detta inte fungerar bedöms som allvarlig då verksamhetens effektivitet påverkas. Kontrollmoment: Systemförvaltarmodell under framtagande. Uppföljning av arbetet med denna samt informationssäkerheten vid intenrevision. 36 Leverera IT-stöd Risk - Felaktiga behörigheter i system Robert Carlsson Felaktig behörighet i IT-system riskerar att leda till sekretessbrott och andra överträdelser av befogenheter. 3 3 9 Ja Sannolikheten att detta ska inträffa bedöms som stor. Behörigheter sätts idag helt utan automatik vilket borgar för misstag vid behörighettilldelning samt att förändringar inte hanteras enligt gällande rutiner. Detta innebär i sin tur att felaktiga behörigheter kan finnas utan möjlighet till uppföljning. Det är också svårt att följa upp att behörigheter rensas när medarbetare slutar eller byter tjänst. Konsekvensen bedöms som allvarlig då det kan leda till lagbrott och överträdelser av befogenheter. Kontrollmoment: Kontroll av behörighet följs upp i samband med internrevision. 37 Rekrytera, utveckla och avveckla personal Arbeta med systematiskt arbetsmiljöarbete Risk att tillbud och olyckor inte rapporteras Jenny Daunéus Risk att tillbud och olyckor inte rapporteras 3 2 6 Regelbunden information vid samverkansmöten om vikten att rapportera tillbud och olyckor gör att riskern bedöms som låg. 38 Rekrytera, utveckla och avveckla personal Risk - Hantera lön Jenny Daunéus Personalkostnader utgör den andelsmässigt största delen av kommunens kostnader, cirka 80% Processer från anställning till utbetald lön innefattar flera steg beroende av den mänskliga faktorn. I de fall processerna inte följs eller blivit föråldrade kan detta generera fel vid löneutbetalningar eller få stor påverkan för den anställde eller arbetsgivaren. Det finns risk att frånvaro såsom sjukfrånvaro, semester och föräldraledighet inte rapporteras som det ska. Det finns också risk att redovisningen av lönen blir fel 3 3 9 Ja Sannolikheten att löneen skulle bli felaktig bedöms som stor då många moment kräver handpåläggning och det finns då risk för fel beroende av den mänskliga faktorn. Konsekvensen bedöms bli allvarlig då detta kan påverka kommunens förtroende samt i vissa fall den anställdes ekonomi. En felaktig kan leda till att fel lön utbetalas och att beslut fattas på felaktiga grunder om redovisningen av lönen hanterats fel. Kontrollmoment: Serviceförvaltningens del i detta kontrolleras i samband med internrevision. 39 Rekrytera, utveckla och avveckla personal Risk för att kommunen inte kan säkerhetsställa personalförsörjningen med rätt kompetens Jenny Daunéus Det finns risk att kommunen inte kan rekrytera personal eller behålla personal med rätt kompetens. Många yrkesgrupper är starkt eftertraktade på arbetsmarknaden och konkurrensen från andra organisationer är hög. Kommunen måste tillse att vara en attraktiv arbetsgivare samt att kommunens verksamheter är i ständig förändring med nya lagstadgade krav. Kommunen måste kontrollera att kompetensutveckling av personalen sker i den utsträckning som behövs för att klara yrkesrollen som annars kan leda till ökade avvikelser, lägre effektivitet och övriga kvalitetsbrister. 3 3 9 Ja Sannolikheten bedöms som stor eftersom kraven på våra verksamheter förändras ofta och behov av personal med uppstår nästan varje dag i en kommun. Konsekvensen om vi inte klarar av att säkerställa personalförsörjningen bedöms ha en allvarlig påverkan på verksamheten då avsaknad av personal med rätt kompetens kan betyda att kommunens mål inte nås. Kontrollmoment: Behov av kompetensförsörjning följs upp tertialvis i ledningsgrupp. 40 Rekrytera, utveckla och avveckla personal Risk för att kraven i det systematiska arbetsmiljöarbetet inte uppfylls Jenny Daunéus Det finns risk för att kraven i det systematiska arbetsmiljöarbetet inte uppfylls. Enligt arbetsmiljölagen är arbetsgivaren huvudansvarig för arbetsmiljön och arbetsförhållanden på arbetsplatsen. Arbetsmiljön gäller både fysiska som psykosociala förhållanden. En god arbetsmiljö ger engagerade medarbetare som bidrar till verksamhetens kvalitet, resultat och mål 3 3 9 Ja Sannolikheten att kommunen som organisation inte kan uppfylla kraven i det systematiska arbetsmiljöarbetet i sin helhet bedöms som stor då kommunen har en omfattande verksamhet med flera olika arbetsställen och mycket personal. Konsekvensen om kraven i det systematiska arbetsmiljöarbetet inte uppfylls bedöms ha allvarlig påverkan på verksamheten i form av minskad trivsel, ökad sjukfrånvaro, högre personalomsättning samt ökad risk för tillbud och arbetsskador. Detta kan leda till bristande måluppfyllelse, minskad kvalitet och sämre resultat i kommunens verksamheter. Kontrollmoment: Årlig utvärdering av SAM enkät samt genomförande av SAM årshjul. 41 Tillhandahålla lokaler Planera underhåll av fastigheter Risk för dolda fel Gunilla Svensson Risk för dolda fel i byggkonstruktion. Kan visa sig plötsligt efter lång tid och kräva omedelbar åtgärd. Detta påverkar i sin tur övrigt planerat underhåll. 2 3 6 Risken bedöms som låg då rutiner finns för vid upptäkt av dolda fel. 42 Tillhandahålla lokaler Hantera uppdrag på fastighetsservice Risk varierande fabrikatsflora Gunilla Svensson LOU gör att leverantörer varierar per projekt. Varje leverantör använder sina fabrikat. Detta göra att fastighetsservice ständigt måste hålla kompetens och reservdelslager för många fabrikat. 3 2 6 Risken bedöms som låg då rutiner finns för att hantera fabrikatsfloran. 43 Tillhandahålla lokaler Hantera uppdrag på fastighetsservice 44 Tillhandahålla lokaler Överlämna entreprenad till fastighetsservice Risk avsaknad av larm Gunilla Svensson Att larm inte finns på fastighet kan leda till skada på egendom och person 3 2 6 Risken bedöms som låg då rutiner finns för att identifiera behov av larm på fastigheter. Risk vid överlämning av byggrojekt till drift Gunilla Svensson Risk att bristande överlämning från bygg till drift leder till felaktiga grunder för garantitider och besiktningar 3 2 6 Risken bedöms som låg då rutiner för överlämning finns. 3

45 Tillhandahålla varor och Risk att inköp inte sker enligt avtal Jens Fransson/ Sara Andersson Det finns risk för att inköp inte sker enligt de avtal som kommunen tecknat. Samtliga avtal finns inte samlade i systemstöd och vilka avtal som tecknats kanske inte är känt av de som gör inköp. Det finns också risk för att tecknade avtal inte sägs upp i tid, omförhandlas eller förlängs då de återfinns på olika ställen och inte är samlade i systemstöd. 4 3 12 Ja Sannolikheten att avtal inte följs, sägs upp i tid eller förlängs bedöms som mycket stor då inköp sköts av flera olika personer på förvaltningen och därmed ökar risken att avtalen inte är kända. I riskanalysen har också framkommit att samtliga avtal inte finns samlade i systemstöd vilket ökar sannolikheten för brister i en (mänskliga faktorn). Konsekvensen om kommunen inte följer avtal, säger upp dem i tid eller förlänger dem bedöms ha stor påverkan på verksamheten och kan leda till förtroendeskada och ekonomisk skada. Kontrollmoment: Kontroll av fem fakturor per verksamhet för uppföljning av avtalstrohet per tertial. Uppföljning halvårsvis av antal fakturor icke avtalsleveranstörer som förvaltningen handlat från. 46 Tillhandahålla varor och Risk för att direktupphandling inte sker Det finns risk för att direktupphandling inte görs enligt gällande lagkrav. Lagens krav är inte kända hos alla som gör inköp. Det finns också risk att de direktupphandlingar som görs inte redovisas till upphandlingsenheten. 3 3 9 Ja Sannolikheten att reglerna för direktupphandling inte följs bedöms som stor då det är många personer som gör inköp och kunskapen om gällande lagstiftning varierar. Sannolikheten att genomförd direktupphandling inte redovisas till upphandlingsenheten bedöms också som stor då dessa rutiner inte är kända i verksamheten samt på grund av den mänskliga faktorn. Konsekvensen om direktupphandling inte sker eller redovisas bedöms som allvarlig då detta kan leda till ekonomiska skada för kommunen samt förtroendeskada. Kontrollmoment: Följs upp via intern revision. 47 Tillhandahålla varor och Risk för mutor, jäv och oegentligheter Kalmar kommun har antagit riktlinjer mot mutor och jäv samt tillhörande handlingsplan som en del i ett aktivt förebyggande arbete. Det finns risk för att dessa inte följs. För att ytterligare förebygga oegentligheter skall varje nämnd bedöma risken för mutor, jäv och oegentligheter inom sin verksamhet. Ett aktivt, förebyggande arbete mot korruption i kommunal verksamhet skyddar medborgarna mot slöseri och ineffektivitet. Medborgarnas förtroende för kommunen fordrar att de anställda och förtroendevalda inte påverkas av ovidkommande önskemål, mutbrott, favorisering av en enskild leverantör eller ovidkommande hänsyn i tjänsteutövningen 3 3 9 Ja Sannolikheten för att detta skulle inträffa bedöms som stor då kommunen har en omfattande verksamhet, hanterar många inköp och har många anställda. Konsekvensen anses bli allvarlig eftersom det skulle innebära enorma förluster i såväl kapital som anseende om detta skulle inträffa. Det är lätt att skada förtroendet för en verksamhet men mödosamt och tidsödande att bygga upp igen. Kontrollmoment: Följs upp via intern revision. 48 Tillhandahålla varor och 49 Tillhandahålla varor och Arbeta med inköp och upphandling Risk att upphandling överklagas Maria Kleveborn Många av kommunens upphanfdlingar överklagas. 3 2 6 Under perioden tills nytt avtal fastställs så används föregående avta. Därför bedöms risken som låg. Utföra transporter Risk i transporter Björn Hedbäck Risk att transporter sker utanför gällande lagstiftning. 2 2 4 Risken bedöms som låg då transportchef och chaufförer har adekvat utbildning som uppdateras kontinuerligt för att säkerställa att lagkrav följs. 50 Tillhandahålla varor och Underhålla, reparera och besiktiga fordon Risk för icke trafikvärdiga fordon Björn Hedbäck Risk att inte trafikvärdiga fordon släpps ut till förvaltningarna. 2 3 6 Risken bedöms som låg då verkstad gör kontinuerlig service på kommunens fordon som ingår i leasingflottan. 4

KOMMUNGEMENSAM VERKSAMHETSHANDBOK Fastställt av Dokumentansvarig Datum Kommunstyrelsen Redovisningschef Anna Johansson 2017-05-02 1 (4) Riktlinjer för intern kontroll Intern kontroll definieras som en process, där såväl den politiska ledningen, nämnderna och personal samverkar. Processen ska vara utformad så att kommunen med rimlig grad av säkerhet kan göra en avvägning mellan kontrollkostnad och kontrollnytta. Risker, det vill säga osäkerhet i kommunens framtida verksamhet och ekonomiska resultat ska lyftas upp och bedömas. Vid bedömning av kontrollnytta ska inte endast ekonomiska faktorer vägas in, utan även vikten av att upprätthålla förtroendet för kommunens verksamhet hos olika intressenter. En god intern kontroll ska tillse att: Kommunen har en ändamålsenlig och kostnadseffektiv verksamhet vilket bland annat innebär att ha kontroll över ekonomi, prestationer och kvalité samt att säkerhetsställa att fattade beslut verkställs och följs upp i förhållande till kommunens mål. Kommunen har tillförlitlig finansiell rapportering och information om kommunens verksamheter vilket innebär att nämnder och verksamhetsansvariga ska ha tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av kommunens prestationer avseende kvantitet och kvalitet samt övrig relevant information om kommunens verksamhet och resursandvändning. Kommunen har efterlevnad av tillämpliga lagar, förordningar samt interna regelverk samt ingångna avtal med olika parter. Riskanalys Kalmar kommun hanterar olika risker och för att hantera dessa ska nämnder systematiskt arbeta med riskanalyser. Ett systematiskt arbetssätt med riskanalyser ska öka riskmedvetenheten i kommunens verksamheter. Nämnden ska som grund för sin styrning anta en riskanalys och därtill ansvara för att årligen utvärdera den. Om nämndens verksamhet eller andra omständigheter utvecklas så att riskbilden förändras ska en ny riskanalys genomföras. Riskanalys är en självskattning och för att få ett så rättvisande resultat som möjligt är det en fördel om fler kompetenser samverkar. Riskanalysen innehåller fem riskkategorier. Med utgångspunkt från nedanstående riskkategorier ska nämnderna göra en riskanalys. Risker kan inte alltid förhindras men det måste finnas en rimlig beredskap för hur de ska hanteras. Ekonomi Övrigt

2 (4) Stödprocessen skall hanteras i processgrupper med sakkunniga från varje förvaltning, sammankallande för gruppen är kommunledningskontoret. Risker som identifieras och bedöms i processgruppen blir obligatoriska risker för samtliga nämnder. Till varje risk kopplas en eller flera kontrollmoment som säkerhetsställer att kontroller utförs och dokumenteras i tillräcklig omfattning inom varje nämnd. Vid behov kan nämnderna komplettera med ytterligare specifika risker/kontrollmoment utöver de risker/ kontrollmoment som identifierats i processgruppen. Kalmar kommuns riskkategorier Omvärldsrisk Omvärldsrisker kan utgöras av större händelser som kan påverka nämndens verksamhet och mål. Verksamhetsrisker Verksamhetsriskerna är de risker som är kopplade till nämndernas mål, det vill säga vilka risker kan förhindra att nämnden når målen. Det är även viktigt att beakta de risker som finns att verksamheten inte bedrivs på ett effektivt sätt. Legala risker Legala risker utgörs av riskerna om nämnden inte följer gällande lagstiftning eller gällande regler i övrigt. Om nämnden inte efterlever gällande lagar och regler kan det få ekonomiska konsekvenser eller leda till att förtroendet skadas. IT-risk Brister i verksamhetens informationssystem och kan få oönskade effekter och det är viktigt att definiera de system som har en avgörande betydelse för verksamheten. Risker i rapportering Risken för att räkenskaperna inte är rättvisande eller tillförlitliga i övrigt är en redovisningsrisk, alternativt bortfall av övrig relevant information vilket kan leda till att beslut fattas på felaktiga grunder. Kalmar kommuns huvudprocesskarta Ledningsprocesser Fastställa mål och fördela resurser, organisera, leda och följa upp verksamhet. Huvudprocesser Allmänt främja Kalmars näringsliv, bedriva samhällsskydd och säkerhetsarbete, bidra till individers utveckling och lärande, främja ett rikt kultur och fritidsliv, förvalta och utveckla det fysiska samhället, ansvara för vård, omsorg och sociala, värna om miljö och hälsa. Stödprocesser Hantera ekonomi, hantera ärende och dokument, informera och kommunicera, leverera IT-Stöd, rekrytera, utveckla och avveckla personal, stödja och utveckla den demokratiska processen, tillhandahålla lokaler, tillhandahålla varor och.

3 (4) Metod för att utföra riskanalys A. Identifiera riskerna Identifiera de händelser/situationer som kan få konsekvenser för verksamheten utifrån respektive process och riskkategori. Fyll i händelser och skada/påverkan i Kalmar kommuns systemstöd för intern kontroll, Hypergene. B. Bedöm riskerna Bedöm sannolikheten för att skada/påverkan inträffar samt konsekvensen om skada/påverkan inträffar. Sannolikheten ska sedan multipliceras med konsekvensen som ger ett riskvärde. Sannolikhet Frågeställning: Hur stor är sannolikheten för att skada/påverkan inträffar? 1 poäng Mycket liten Kan hända med minst 10 års mellanrum 2 poäng Liten Kan hända med några års mellanrum 3 poäng Stor Kan hända några gånger om året 4 poäng Mycket stor Kan hända varje vecka Konsekvens Frågeställning: Vad är konsekvensen om skada/påverkan inträffar? 1 poäng Mycket liten Mindre skada eller påverkan 2 poäng Liten Begränsad skada eller påverkan 3 poäng Stor Allvarlig skada eller påverkan 4 poäng Mycket stor Mycket allvarlig skada eller påverkan Beslut om åtgärder Om riskvärdet blir 9 poäng eller högre eller om konsekvensen bedöms som 4:a, ska kontrollmoment alltid anges och i de fall risken redan inträffat vid riskanalysen skall en aktivitet för att åtgärda risken anges. Riskvärderingen ska utgå från varje process och varje riskkategori var för sig och inte ställas mot varandra vid värdering av konsekvens.

4 (4) C. Intern kontrollplan Som ett resultat av genomförd riskanalys ska nämnden upprätta en intern kontrollplan och i planen anges de kontrollmoment och aktiviteter som ska syfta till att upptäcka samt undvika oavsiktliga eller avsiktliga fel i nämndens verksamheter Den interna kontrollplanen med tillhörande riskanalys ska innehålla: Risk med beskrivning och riskvärdering (Exempel risk för att arbetsuppgifter inte blir utförda eller görs på ett felaktigt sätt). Riskkategori (Exempel verksamhetsrisk). Ansvarig (Exempel Erik Karlsson). Riskvärde med sannolikhat och konsekvens angivna (Exempel riskvärde 9, sannolikhet 3, konsekvens 3) samt motivering till angivna värden. Kontrollmoment/Titel (Exempel dokumentation av arbetsuppgifter). Beskrivning/Metod/Frekvens (Exempel enhetscheferna ansvarar för att väsentliga arbetsuppgifter dokumenteras och instruktioner upprättas. Genomgång och aktualitetskontroll samtliga befintliga rutiner. D. Uppföljning av intern kontroll All rapportering och rapportuppföljning ska ske med hjälp av Kalmar kommuns systemstöd för intern kontroll samt i enlighet med framtagen instruktioner i verksamhetshandboken; Hypergene - registrering och uppföljning av intern kontroll, riskanalys. Nämnden följer upp den interna kontrollen löpande I samband med upprättande av nämnds årsrapport för det gångna året biläggs rapporten Internkontroll uppföljning processer Kommunsstyrelsen får senast i maj en uppföljning av kommunledningskontoret med en samlad bedömning av nämndernas arbete med intern kontroll i de olika processerna. Rapporten ska också vid behov innehålla förslag på förbättringar.