TJÄNSTESKRIVELSE Datum Diarienummer 2018-01-30 RS180048 Regionkontoret Styrning och stöd Staffan Johansson Kanslichef Regionstyrelsen Riskanalys och intern kontrollplan 2018 Förslag till beslut Arbetsutskottets förslag till regionstyrelsen Regionstyrelsen beslutar att anta förslag till internkontrollplan för regionstyrelsens verksamhetsområde 2018. Sammanfattning Regionkontoret har genomfört en riskanalys inom de verksamheter som ligger under regionstyrelsens ansvarsområde som ska ligga till grund för regionstyrelsens interna kontrollplan 2018. Ett förslag till internkontrollplan har utarbetats, vilket i stora drag bygger på föregående års interna kontrollplan kompletterat med ett antal risker som har fått ett högt risktal i samband med riskanalysen. Ekonomiska er av beslutet Inga ekonomiska er med anledning av beslutet. Regionkontoret Jörgen Preuss Tf. regiondirektör Bilaga: Riskanalys Förslag till intern kontrollplan 2018
Beslutet ska skickas till Ingen expediering
Riskanalys - 2018 (Regionkontoret) Områden Risk Väsentlighet/ Ekonomi Felaktig projektredovisning.. Utbildning. Rutinerna kring leveransgodkännande och beslutsattestant. Attesterar sådant som inte ska attesteras. Kontrollerar inte innehållet i fakturan. Kravhanteringsrutiner Moms- och skattedeklarationgenomförs inte utifrån gällande lagstiftning. Risk för fel i rapportering av till externa parter. (SCB etc) Avtalstrohet mot upphandlade avtal är låg. Fastlagda riktlinjer vad gäller direktupphandling följs inte. Rättvisande redovisning Beslutsattestant gör ingen kontroll över att fakturor på varor/tjänster har levererats. Stöldbegärliga småinventarier (RSAU - avvakta, ny riskanalys ska göras) Stöldbegärlig egendom registreras ej systematiskt Rutiner kring leverantörsfakturor. Korrekt momsavdrag och information.. Bristande kontroll av fakturahanteringsprocessen. Lider ekonomisk skada. Bryter mot likställighetsprincipen. Betala straffavgifter. Risk för brott mot upphandlingsregler. Alla direktupphandlingar över 100 000 kr ska dokumenteras och diarieförs genom direktupphandlingsmodulen. Svårt att utkräva ansvar. Felaktiga beslutsunderlag. Prognoserna grundas på fel underlag. - felaktig redovisning Uppföljning och kontroll av processtegen. Göra attestordningen känd. Uppföljning och kontroll av kravhanteringsrutinerna Dokumentera och ta fram enhetliga rutiner Klarlägg ansvar och rutiner. Uppföljning av genomförda avtal Följ upp dokumetation genom stickprov. Utbildning i upphandling. Information vid introduktion. Säkerställa och följa upp sammanhängande uppföljningsrutin. Klarlägga rutiner och ansvar Registrering av inventarier på ett strukturerat sätt. Årlig inventering. Respektive nämnds ansvar att fastställa nämndspecifikt krav på innehåll. Registering av inventarier på ett strukturerat sätt. Årlig inventering. Respektive nämnds ansvar är att fastställa nämndspecifika krav på innehåll. Utbildning av leveransgodkännare. är förvaltningarnas ansvar. Kontanthantering. ekonomisk skada avstämning attesteras av två personer Redovisningsprinciper. Felaktiga interimsbokningar redovisningsprinciper. Anläggningsprocess. Felaktiga rutiner aktiviering. Redovisningsprinciper. Bristande kontoavstämningar Bristande underlag till balanskontoavstämningar Felaktig betalning /fakturering av regionvård Felaktig redovisning Felaktig redovisning Felaktig redovisning vid interimsbokningar ska underlag/beräkning bifogas till verifikation i Agresso. informera om resultatet. Konkreta frågeställningar till regionfastigheter ang. resultatet. Upprepning av kontrollmoment. Klarlägg risker och rutiner Medel (2) Försumbar (1) 2 Medel (2) Försumbar (1) 2 Medel (2) Försumbar (1) 2 Osannolik (1) Försumbar (1) 1 Ofullständig dokumentation stickprovskontroller Hög (3) Försumbar (1) 3 ekonomisk skada Klarlägga risker och rutiner. Göra Stickprov. Relevant för DN RGS, DN HS och DN PS, dvs. de verksamheter som Hög (3) Kännbar (2) sida 1 av 4 (2018-01-24)
Områden Risk Väsentlighet/ IT-system/ informationssäkerhet Organisation/styrning/ ledning Risk för felaktiga beslut pga bristande/avsaknad av kalkyl Risk för att placeringar faller utanför fastställd finanspolicy Driftstopp eller informationsläckage i kritiska ekonomi, HR eller administrativa stödsystem. IT-stödet för planering och uppföljning möter inte upp till förväntan i åtgärdsarbetet felaktiga beslut - ekonomisk skada remitterar till regionvård eller hanterar transaktioner kring regionvård. mallar, dokumentation och rutiner ekonomisk skada uppföljning Medel (2) Allvarlig (3) 6 Avvakta Ekonomisk. Felaktiga beslutsunderlag och bristfällig styrning till övriga förvaltningar. Kraftigt ökad arbetsbelastning för att kompensera. Bristande kvalitet i verksamhetsstyrningen Brister i informationskvalitet Felaktiga beslutsunderlag kan orsaka ekonomisk skada men också ge felaktiga planeringsunderlag. Det finns brister i kommunikationen mellan olika IT-system. (NY 2017) Informationsöverföring till obehörig i stödsystem (exv. Platina) NY 2017 Beslutade processer, inkl planeringsprocess ändras pga av ändrade förutsättningar under pågående process. (RSAU - Obehöriga tar del av handlingar som inte tillhör deras ärenden och tillgång till sekretsslagda handlingar. Om förutsättningarna ändras kan det innebära merarbete, Denna typ av händelse påverkar ekonomi, arbetsinsats samt antalet tjänster som krävs. utarbeta handlingsplan för riskanalys informationssäkerhet/it säkerhet. Säkerställa ändamålsenlig servicenivå för respektive system. säkra god framförhållning i samtliga aktiviteter Underhållsbeskrivningar upprättas fortlöpande kontinuerliga stickprovskontroller Noggrann processplanering samt att man håller fast vid bestämd planering. Hög (3) Allvarlig (3) 9 Hantera Medel (2) Allvarlig (3) 6 Avvakta Medel (2) Allvarlig (3) 6 Felaktigt kunskapsunderlag. (RSAU - Processer för ett rättsäkert handläggande. Arbetsmiljöproblematik. Felaktigt beslutsunderlag. Utbildning. Processerna är tungarbetade. Måste arbeta mer med strukturfrågor. Komplexa och gränslösa uppdrag på såväl individsom på organisationsnivå. Svårighet att hantera förändringar i politisk organisation och förvaltningsorganisation bristande känndedom och efterlevnad av Ledningssystemet Följsamhet mot avtal med privata vårdgivare (RSAU - riskanalys ska göras även 2018) Underlag för produktionsoch kapacitetsplanering går inte att följa upp (RSAU - Oklart hur beslutsvägar ser ut och det pratas mycket person istället för funktion. Stor påverkan på medarbetares och chefers bidrag in i strategiskt tänkande. Skapa otydlighet/osäkerhet i ärendeprocessen. Ledningssystemet används inte som en styrning av verksamheten Ekonomiskskada och hotad patientsäkerhet om inte ingångna avtal följs Se över organisationen och eventuellt genomföra förändringar. Detta är en lednings- och styrningsfråga. Ta fram rutiner, checklistor, kommunikationsprocess odyl. i samband med organisationsförändringar Strukturerad uppbyggnad av ledningssystemet Efterlevnad av avtalade takpris LOU etc. Rutiner utarbetas för kontroll Hög (3) Kännbar (2) sida 2 av 4 (2018-01-24)
Områden Risk Väsentlighet/ Bristfällig samverkan mellan verksamheter inom Regionkontoret Orsakar problem när det gäller verksamhetens planering och skapar ställtider i beslutsfattandet Beredningsprocesserna ska Lean-orienteras Risk för fel i rapportering av till externa parter. (SCB etc) Klarlägg ansvar och rutiner. Fattade beslut verkställs ej (Ny 2017) Noggrannare uppföljning av verkställighet Antagna delegationer följs inte och återrapporteras inte av delegat (Ny 2017) Beslut äger inte giltighet eftersom de inte anmälts. Noggrannare uppföljning av att delegationsordning följs och att kontinuerlig återrapportering sker Hög (3) Kännbar (2) 6 Personal, kompetensförsörjning, arbetsmiljö Nyckelpersoner försvinner med kort varsel/oplanerat från organisationen. Då vissa uppgifter utförs av enbart en medarbetare blir detta väldigt sårbart. Stora projekt kan bli försenade. Sträva efter att skapa en organisation som är byggd på funktioner och inte på person. Använda personalresurser mer flexibelt. Problem i lokalförsörjningen Arbetsmiljö om man måste sitta fler i ett rum som enbart är anpassat för en. Tar tid att leta efter lokaler. hantera uppsägningstider korrekt. Införskaffa fler lokaler och arbetsrum. Hög (3) Försumbar (1) 3 kommunikation och information Säkerhet/ Hot och våld Sjukfrånvaro/semester (RSAU - avvakta, dvs ny riskanalys Tjänstledigheter Risk för fel i rapportering av till externa parter. (SCB etc) Beslutad rutin för hantering av bisyssla följs inte. (Ny 2017) funktionalitet i personalsystemet (Personec) (Ny 2017) Kommunicerar via mail både internt och extern. Inflödet till den enskilde är väldigt omfattande. Information kommer in och hanteras inte i linjen. Anledningen till detta är att det är oklart var ansvaret ligger. Förvaltningslednings och regionövergripande normerande beslut når inte ut i organisationen (Ny 2017) Bristande säkerhet när det gäller lokaler som disponeras av förvaltningen Tvingas resa för att hitta ledig lokal vilket kan innebära stress. Högre belastning på övriga medarbetare För flexibelt beviljande av tjänstledigheter. Svårare att rekrytera till ett vikariat än till tillsvidareanställning. Medarbetares arbetsbelastning kan bli för hög vid bisyssla. Arbetshindrande och konkurerande bisyssla kan förekomma. Vårt arbetsgivarvarumärke kan skadas. Det finns risk att information faller bort i ett stort informationsflöde.. Uppgifter faller mellan stolarna. Information missas. Skalskyddet i lokalerna är inte optimalt anpassat efter eventuella risker. Hotbild mot förtroendevalda måste beaktas i säkerhetsanalyser. Avsaknaden av besökssystem gör också att det är svårt att få grepp om vilka som befinner sig i RK:s lokaler exv. vid brand. Ta fram rutiner för hur man säkerställer verksamhet vid plötslig frånvaro och semester. Tydligare information till chefer om vilka regler som gäller. Klarlägg ansvar och rutiner. Att varje chef följer rutionen och vid utvecklingssamtal frågar om ev bisysslor och rapporterar in det i komeptensportalen. Inför ansvarig handläggare för respektive område. Genomföra framtagen handlingsplan Hantera Medel (2) Allvarlig (3) 6 Avvakta sida 3 av 4 (2018-01-24)
Områden Risk Väsentlighet/ Personal eller politiker hotas Osäker arbetsmiljö. Lägg in detta i utbildningen för politiker. Utbilda medarbetare. Extraordinära händelser Föreslagna åtgärder i Riskoch sårbarhetsanalysen genomförs inte (RSAU - Sannolikhet och hanteringsförmågan kring extraordinära händelser förbättras inte. Inkludera risk- och sårbarhetsanalysen och handlingsprogram i planeringsprocessen så att prioriterade åtgärder blir en del av budget- och verksamhetsplanering Brister i kriskommunikation Information inom och utanför RH blir inte korrekt och informationsmottagare får inte del av nödvändig information. Fördjupade studier behövs för att ge underlag för åtgärder Medel (2) Allvarlig (3) 6 Avvakta Miljö Verksamhetens genomförande/ kvalitet Ägarstyrning av hel och delägda dotterbolag Ägarstyrningen av bolagen är otydlig. (RSAU -. Felaktiga eller motstridiga beslut. Kontinuerlig uppföljning av ägardirektiv Mer samarbete. Osannolik (1) Allvarlig (3) 3 Nationella satsningar Komplex struktur. Flera aktörer är inblandade med varierande ekonomiskt ansvar. Bristfällig samverkan inom regionkontoret (RSAU - Förlorar ekonomiska medel pga att man missar. Medborgaren påverkas genom att vården inte förbättras som det är tänkt. Ryckighet för driftsverksamheten. Säkerställ att det finns ekonomisk funktion kopplad till de nationella satsningarna. Utvärdera den regionala stödstrukturen. Säkerställ att organisationen matchar nationella satsningar inom den regionala stödstrukturen samt övriga nationella satsningar. Får inte del av nationella satsningar pga. 2 regionsjukvårdsområden (RSAU - avvakta, dvs ny riskanalys Förlorar ekonomiska medel och invånarna påverkas av att nationell kunskapsstyrning inte implementeras. Säkerställa och bygga upp kommunikationsvägar till syd och väst. Andra åtgärder se ovan. sida 4 av 4 (2018-01-24)
Internkontrollplan - 2018 (Regionkontoret) Områden Risk Väsentlighet/ Risktal Beslut Ekonomi ITsystem/informationssäkerhet Organisation/styrning/ledning Personal, kompetensförsörjning, arbetsmiljö kommunikation och information Säkerhet/ Hot och våld Extraordinära händelser Risk för fel i rapportering av till externa parter. (SCB etc) Rutiner kring leverantörsfakturor. Korrekt momsavdrag och information. Felaktig betalning /fakturering av regionvård Driftstopp eller informationsläckage i kritiska ekonomi, HR eller administrativa stödsystem. bristande känndedom och efterlevnad av Ledningssystemet Följsamhet mot avtal med privata vårdgivare (RSAU - riskanalys ska göras även 2018) Risk för fel i rapportering av till externa parter. (SCB etc) Risk för fel i rapportering av till externa parter. (SCB etc) Förvaltningslednings och regionövergripande normerande beslut når inte ut i organisationen (Ny 2017) Personal eller politiker hotas Föreslagna åtgärder i Risk- och sårbarhetsanalysen genomförs inte (RSAU - avvakta, dvs ny riskanalys - felaktig redovisning ekonomisk skada Ekonomisk. Felaktiga beslutsunderlag och bristfällig styrning till övriga förvaltningar. Kraftigt ökad arbetsbelastning för att kompensera. Ledningssystemet används inte som en styrning av verksamheten Ekonomiskskada och hotad patientsäkerhet om inte ingångna avtal följs 9 Hantera 4 Hantera Osäker arbetsmiljö. Sannolikhet och hanteringsförmågan kring extraordinära händelser förbättras inte.