Kommunstyrelsen 2018-01-05 Konsult och uppdrag Kommunledningskontoret KSKF/2017:583 Lena Lundberg 016-710 2821 1 (1) Kommunstyrelsen Internkontrollplan 2018 för kommunstyrelsen Förslag till beslut Internkontrollplanerna för 2018 avseende kommunledningskontoret och konsult och uppdrag godkänns. Ärendebeskrivning Bilagt finns förslag till internkontrollplaner 2018 för kommunledningskontoret och konsult och uppdrag. Kommunledningskontoret och konsult och uppdrag kommer från och med verksamhetsåret 2018 att successivt implementera den nya Riktlinje för intern styrning och kontroll som beslutades av kommunfullmäktige 21 september 2017. Kommunledningskontoret Konsult och uppdrag Pär Eriksson Kommundirektör Jörgen Axelsson Förvaltningschef Bilaga 1: Internkontrollplan 2018 kommunledningskontoret Bilaga 2: Internkontrollplan 2018 konsult och uppdrag Beslutet skickas till: Kommunstyrelsen, kommunledningskontoret, ledningsstaben Kommunstyrelsen, konsult och uppdrag, förvaltningsledning Eskilstuna den stolta Fristaden
Kommunledningskontoret 1 (7) 2018-01-05 Bilaga 1 Internkontrollplan 2018 Kommunledningskontoret
Innehåll 2 (7) 1 Framtagning av internkontrollplan...3 2 Internkontrollplan...3 2.1 Kommunövergripande kontrollområden...3 2.1.1 F1 Kontroll av att personuppgiftsansvariga (nämnder och bolagsstyrelser) har säkerställt hanteringen av personuppgifter inom sitt ansvarsområde enligt den nya dataskyddsförordningen...3 2.1.2 F2 Kontroll av it- och informationssäkerhet i samband med anskaffning/upphandling och uppdrag till externa leverantörer...3 2.1.3 F3 Kontroll av hanteringen av statliga bidrag...4 2.1.4 F4 Kontroll av otillbörlig påverkan, mutor och jävssituationer...4 2.2 Kommunledningskontorets kontrollområden...5 2.2.1 Kontroll av efterlevnad av Attestreglemente och Tillämpningsanvisningar till attestreglemente - Ekonomi...5 2.2.2 Uppföljning av momshantering - Ekonomi...5 2.2.3 Uppföljning av internkontrollmoment gällande kontinuitetsplaner vid IT-avbrott - IT...6 3 Bedömning utifrån sannolikhet och konsekvens...7
1 Framtagning av internkontrollplan I internkontrollplanen för 2018 ingår fyra kontrollmoment som fastställts av kommunfullmäktige, F1-F4. Kommunledningskontoret kommer att utföra momenten efterhand som kompletterande anvisningar tas fram för kommunens förvaltningar. Tre kontrollmoment har tagits fram av kommunledningskontoret. Kommunledningskontoret kommer att fortsätta arbeta tillsammans med Konsult och uppdrag när det gäller kontroller i enlighet med Attestreglemente och Tillämpningsanvisningar till attestreglemente. 3 (7) Den 21 september 2017 fattade kommunfullmäktige beslut om en ny Riktlinje för intern styrning och kontroll. Den interna styrningen och kontrollen blir därmed en mer integrerad del i styrsystemets verksamhetsplanering, uppföljning och förbättringsarbete. Kommunledningskontoret kommer från och med 2018 att successivt implementera den nya riktlinjen och tillhörande anvisningar. 2 Internkontrollplan 2.1 Kommunövergripande kontrollområden 2.1.1 F1 Kontroll av att personuppgiftsansvariga (nämnder och bolagsstyrelser) har säkerställt hanteringen av personuppgifter inom sitt ansvarsområde enligt den nya dataskyddsförordningen Kontrollmoment enligt fullmäktigebeslut Dataskyddsförordningen ersätter personuppgiftslagen och innebär att nämnder och bolagsstyrelser behöver se över befintliga arbetssätt och rutiner utifrån den nya förordningen. Kontrollen genomförs i november-december 2018 för att ge respektive nämnd och bolagsstyrelse möjlighet att arbeta in arbetssätt och rutiner. Kontrollen följer upp säkerställandet av hanteringen av personuppgifter. Ansvaret för att hålla ihop arbetet med kontrollmomentet är kommunstrateg informationssäkerhet på kommunledningskontoret. 2.1.2 F2 Kontroll av it- och informationssäkerhet i samband med anskaffning/upphandling och uppdrag till externa leverantörer Kontrollmoment enligt fullmäktigebeslut I samband med att vi anskaffar/upphandlar nya system eller ger uppdrag till externa leverantörer behöver vi säkerställa att anskaffnings- och upphandlingskraven kring säkerhet tillämpas och att vi följer rutinen så att konsultationer görs med it och informationsansvariga för att vi inte riskerar att lämna ut känslig information ur och om våra system. Kontrollen genomförs i november-december 2018 och följer upp tillämpningen av beslutade anskaffnings- och upphandlingskrav och rutiner.
Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunstrateg it och information på kommunledningskontoret. 4 (7) 2.1.3 F3 Kontroll av hanteringen av statliga bidrag Kontrollmoment enligt fullmäktigebeslut Under 2017 reviderar och beslutar respektive nämnd och bolagsstyrelse om enhetligare arbetssätt och rutiner för att hantera statliga bidrag. Det innefattar att respektive verksamhetsområde har kunskap om vilka bidrag som är möjliga att söka, säkrar att ansökan genomförs samt att redovisningen av ansökta medel sker enligt formella krav. Kontrollen genomförs i november december 2018 för att ge respektive nämnd och bolagsstyrelse möjlighet att arbeta in arbetssätt och rutiner. Kontrollen följer upp tillämpningen av beslutad arbetsprocess och rutiner. Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunstrateg ekonomi på kommunledningskontoret. 2.1.4 F4 Kontroll av otillbörlig påverkan, mutor och jävssituationer Kontrollmoment enligt fullmäktigebeslut 2012 beslutades Riktlinjer mot korruption, mutor och jäv. Redan 2013 gjordes den första interna kontrollen inom riskområdet. Även 2017 har en kontroll genomförts som visar att 75 % ha kunskap om riktlinjen, men 36 % känner till att det finns rutiner för att lokalt förhindra och förebygga uppkomsten av korruption, mutor och jäv. Resultatet kom nyligen och någon fördjupad analys är ännu inte genomförd. Detta resultat samt att riskområdet lyfts upp av processerna som angeläget gör att vi återigen föreslår riskområdet som ett internkontrollmoment. Kontrollerna föreslås ske i form av stickprov av en oberoende externt upphandlad konsult. Var och hur stickprover ska genomföras är inte fastslaget, men kan gälla exempelvis enkla upphandlingar, inköp, myndighetsbeslut (bygglov, förskoleplats, vård- och omsorgsboende, utskänkningstillstånd, föreningsbidrag, försörjningsstöd), etableringar, byggnationer och rekryteringar. Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunstrateg samt jurist på kommunledningskontoret. Anvisningar för genomförandet av kontrollmomenten utarbetas under våren 2018 och går ut till respektive nämnd och bolagsstyrelse via internkontrollsamordnarna.
2.2 Kommunledningskontorets kontrollområden 5 (7) 2.2.1 Kontroll av efterlevnad av Attestreglemente och Tillämpningsanvisningar till attestreglemente - Ekonomi Kontrollmoment Varje förvaltning ansvarar för att löpande följa upp tillämpningen av reglementet och anvisningarna. Detta görs årligen i samband med uppföljningen av internkontrollplanerna. Kontrollmetod Ett granskningsprogram kommer att tas fram tillsammans med Konsult och uppdrag. Uppföljningspunkter från granskning 2017 beaktas och bedömning görs om ytterligare punkter behöver tillkomma. Kontrollgenomförare För att säkerställa att kraven på ansvarsfördelning, kompetens, integritet och jäv beaktas fullt ut kommer kontrollen att utföras av Konsult och uppdrag. Motivering till riskvärde Avvikelser kan innebära att ekonomiska transaktioner attesteras på ett felaktigt sätt. Riskvärde 6 (Sannolikhet: Mindre sannolik, Konsekvens: Kännbar) Rapportmottagare Administrativ chef på kommunledningskontoret 2.2.2 Uppföljning av momshantering - Ekonomi Kontrollmoment Utifrån den checklista som togs fram 2017 räta ut de mindre frågetecken kring momshanteringen som kvarstår. Kontrollmetod Utifrån den checklista som togs fram 2017 räta ut de frågetecken kring momshanteringen som kvarstår. Eventuellt vidta åtgärder och säkerställa korrekt hantering framöver. Kontrollgenomförare Medarbetare inom ledningsstaben, ekonomi, kommer att arbeta med frågan. Riskvärde 4 (Sannolikhet: Mindre sannolik, Konsekvens: Lindrig)
Motivering till riskvärde Avvikelser från att följa lagstiftning och praxis för medvärdesskatt kan medföra påföljder för kommunen. Rapportmottagare Administrativ chef på kommunledningskontoret 2.2.3 Uppföljning av internkontrollmoment gällande kontinuitetsplaner vid IT-avbrott - IT Kontrollmoment Varje förvaltning ska ha en kontinuitetsplan för att säkerställa hantering vid kortare eller längre IT-avbrott. Kommunledningskontoret behöver säkerställa att en sådan finns som fyller kraven. Kontrollmetod Ansvarig medarbetare ser till att en kontinuitetsplan vid IT-avbrott tas fram. Sedan stäms denna av mot centralt ställda krav på vad en sådan plan ska innehålla. Kontrollgenomförare En ansvarig på kommunledningskontoret kommer att utses. Motivering till riskvärde Samhällsviktig verksamhet måste kunna utföras även vid eventuellt IT-avbrott. Riskvärde 4 (Sannolikhet: Mindre, Konsekvens: Lindrig) Rapportmottagare Administrativ chef på kommunledningskontoret 6 (7)
3 Bedömning utifrån sannolikhet och konsekvens 7 (7) En kvalitativ skala utgörs av omdömen på x-axeln - sannolikhet: Osannolik (1) praktisk taget obefintlig risk att fel uppstår Mindre sannolik (2) mycket liten risk att fel uppstår Möjlig (3) det finns en möjlig risk att fel uppstår Sannolik (4) det är mycket troligt att fel uppstår En kvalitativ bedömning på y-axeln - konsekvens: Försumbar (1) konsekvensen av ett fel är obetydlig för brukare, medborgare, besökare, kommunen och/eller övriga intressenter Lindrig (2) konsekvensen av ett fel är liten för brukare, medborgare, besökare, kommunen och/eller övriga intressenter Kännbar (3) konsekvensen av ett fel uppfattas som besvarande för brukare, medborgare, besökare, kommunen och/eller övriga intressenter Allvarlig (4) konsekvensen av ett fel är så stor att felet inte får uppstå Y- x-axel
2018-01-05 Bilaga 2 Internkontrollplan 2018 Konsult och uppdrag 6. Kvalitet HUVUDPROCESS Tillgodose behovet av säkerhet RISK Risken är att känslig information lämnas ut ur våra system vilket kan leda till skada för individer. I samband med att vi anskaffar/upphandlar nya system eller ger uppdrag till externa leverantörer behöver vi säkerställa att anskaffnings- och upphandlingskraven kring säkerhet tillämpas och att vi följer rutinen så att konsultationer görs med it och informationsansvariga så att vi inte riskerar att lämna ut känslig information ur och om våra system. Riskvärde Sannolikhet Konsekvens Kommentar: 2 3 Sannolikheten har vi värderat till en 2 utifrån att vi har riktlinjer för anskaffning av system. Det pågår även framtagning av riktlinjer för informationssäkerhet. Konsekvens har vi värderat till en 3 därför att det finns system som innehåller känslig information så att om detta händer får det en allvarlig konsekvens. KONTROLLMOMENT Kontroll av it- och informationssäkerhet i samband med anskaffning/upphandling och uppdrag till externa leverantörer. Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunsstrateg it och informationssäkerhet på kommunledningskontoret. Frekvens Kontrollen genomförs i november-december 2018 och följer upp tillämpningen av beslutade anskaffnings- och upphandlingskrav och rutiner. Metod Metod kommer att utarbetas av ansvariga. Risken är att organisationen inte har anpassat sina arbetssätt och rutiner utifrån den nya dataskyddsförordningen. Dataskyddsförordningen ersätter personuppgiftslagen och innebär att nämnder och bolagsstyrelser får nya och större krav. Det medför att organisationen behöver se över och säkra arbetssätt och rutiner utifrån den nya förordningen. Riskvärde Sannolikhet Konsekvens Kommentar: 3 3 Sannolikheten har vi värderat till 3 därför att de rutiner som finns inte är anpassade till den nya dataskyddsförordningen i alla avseenden. 1
2018-01-05 Bilaga 2 Konsekvensen har vi värderat till 3 utifrån ett ekonomiskt perspektiv. KONTROLLMOMENT Kontroll av att personuppgiftsansvariga (nämnder och bolagsstyrelser) har säkerställt hanteringen av personuppgifter inom sitt ansvarsområde enligt den nya dataskyddsförordningen. Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunstrateg informationssäkerhet på kommunledningskontoret. Frekvens Kontrollen genomförs i november-december 2018 för att ge respektive nämnd och bolagsstyrelse möjlighet att arbeta in arbetssätt och rutiner. Kontrollen följer upp säkerställandet av hanteringen av personuppgifter. Metod Metod kommer att utarbetas av ansvariga. Kvalitetsutveckling RISK Risk för otillbörlig påverkan, mutor och jävssituationer inträffar i samband med exempelvis "enkla" upphandlingar, inköp, myndighetsbeslut, etableringar, byggnationer och rekryteringar. Detta kan leda till minskat förtroende för kommunen samt ekonomiska förluster. 2012 beslutades Riktlinjer mot korruption, mutor och jäv. Redan 2013 gjordes den första interna kontrollen inom riskområdet. Även 2017 har en kontroll genomförts som visar att 75 % ha kunskap om riktlinjen, men 36 % känner till att det finns rutiner för att lokalt förhindra och förebygga uppkomsten av korruption, mutor och jäv. Resultatet kom nyligen och någon fördjupad analys är ännu inte genomförd. Detta resultat samt att riskområdet lyfts upp av processerna som angeläget gör att vi återigen föreslår riskområdet som ett internkontrollmoment. Kontrollerna föreslås ske i form av stickprov av en oberoende externt upphandlad konsult. Var och hur stickprover ska genomföras är inte fastslaget, men kan gälla exempelvis "enkla" upphandlingar, inköp, myndighetsbeslut (bygglov, förskoleplats, vård- och omsorgsboende, utskänkningstillstånd, föreningsbidrag, försörjningsstöd), etableringar, byggnationer och rekryteringar. Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunstrateg ekonomi samt jurist på kommunledningskontoret. Riskvärde Sannolikhet Konsekvens Kommentar: 2 3 Sannolikheten har vi värderat till en 2 därför att vi under tre års tid informerat medarbetare om gällande riktlinje. Konsekvens har vi värderat till en 3 därför att om detta händer får det en allvarlig konsekvens. 2
2018-01-05 Bilaga 2 KONTROLLMOMENT Kontroll av otillbörlig påverkan, mutor och jävssituationer. Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunstrateg kvalitet/ekonomi samt jurist på kommunledningskontoret. Frekvens Anvisningar för genomförandet av kontrollmomenten utarbetas under våren 2018 och går ut till respektive nämnd och bolagsstyrelse via internkontrollsamordnarna. Metod Stickprov utarbetas av ansvariga. 8. Stabil ekonomi HUVUDPROCESS Tillgodose behovet av ekonomi och redovisning RISK Risk att ansökan uteblir eller att det inte finns kunskap om att söka bidrag. Det kan leda till att kommunens medborgare inte får del av de tjänster som dessa medel avser. Under 2017 reviderar och beslutar respektive nämnd och bolagsstyrelse om enhetligare arbetssätt och rutiner för att hantera statliga bidrag. Det innefattar att respektive verksamhetsområde har kunskap om vilka bidrag som är möjliga att söka, säkrar att ansökan genomförs samt att redovisningen av ansökta medel sker enligt formella krav. Riskvärde Sannolikhet Konsekvens Kommentar: 1 2 Sannlikheten har vi värderat till en 1 därför att förvaltningen endast har ett fåtal bidrag att söka och där har vi bra rutiner att följa. Konsekvensen har vi värderat till en 2 utifrån ekonomiskt perspektiv. KONTROLLMOMENT Kontroll av hanteringen av statliga bidrag. Ansvarig för att hålla ihop arbetet med kontrollmomentet är kommunsstrateg ekonomi på kommunledningskontoret. Frekvens Kontrollen genomförs i november-december 2018 för att ge respektive nämnd och bolagsstyrelse möjlighet att arbeta in arbetssätt och rutiner. Kontrollen följer upp tillämpningen av beslutad arbetsprocess och rutiner. Metod Metod kommer att utarbetas av ansvariga. Kontroll av attestreglemente Kontroll av attestreglemente genomförs utifrån de centrala kraven på internkontroll enligt reglemente och anvisningar. Riskvärde Sannolikhet Konsekvens 2 3 3
2018-01-05 Bilaga 2 Kommentar: Sannolikheten har vi värderat 2 för att vi anser att vi effektiva rutiner på plats. Konsekvensen är värderat till 3 möjlig ekonomisk konsekvens och förtroenderisk. KONTROLLMOMENT Stickprovskontroll av rutiner inom attestreglementen KLK kontrollerar KoU efter gemensam dialog. Rapporterar till ansvarig som i sin tur rapporterar till förvaltningschef. Frekvens En gång i oktober månad. Metod Stickprov enligt plan. 4