TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Martina Adiels Balk/Rolf Johansson 2016-12-05 SFN 2016/0919 0480 450574/ 0480-450606 Servicenämnden Kontrollmoment internkontroll 2017 Förslag till beslut Servicenämnden antar förvaltningens Intern kontrollplan 2017 kontrollmoment. Bakgrund Under 2016 infördes nya riktlinjer för intern kontroll i Kalmar kommun. Tidigare utfördes den interna kontrollen endast ur ett ekonomiskt riskperspektiv men i det nya arbetssättet ska huvud- och stödprocesser inom verksamheten analyseras. Utifrån serviceförvaltningens riskinventering Intern kontrollplan 2017 identifierade risker hos serviceförvaltningen så har kontrollmoment tagits fram för risker med risktal nio eller större alternativt med en konsekvens på fyra. Detta enligt det kommunövergripande dokumentet Riktlinjer för intern kontroll. Martina Adiels Balk Kvalitets- och miljösamordnare Rolf Johansson Ekonom Bilagor Intern kontrollplan 2017 Kontrollmoment Riktlinjer för intern kontroll Serviceförvaltningen Administration Adress, Besök Tel 0480-45 00 00 vx Fax 480-450520 martina.adiels-balk@kalmar.se
1 Fastställa mål och fördela resurser Risk för att verksamheten inte jobbar mot fastställda mål och att resurser inte fördelas optimalt. Intern kontrollplan 2017 - kontrollmoment Verksamhetsrisk Benny Wennberg Det finns risk för att verksamheten inte jobbar mot fastställda mål och att resurser inte fördelas optimalt. Detta kan bero på flera olika anledningar t ex att målen inte är kända hos medarbetarna, att det finns oklarheter i organisationen, att rutiner inte fungerar med mera. Det finns risk för att mål, uppdrag och beslut som inte finns med i verksamhetsplanen utan i andra handlingsplaner, strategier och program inte följs upp. Process Risk Kategori Ansvarig Beskrivning Sannolikhet Riskvärde Kontroll moment Kommentar 3 3 9 Ja Utifrån kommunfullmäktigesmål formuleras mål för servicenämnden. Dessa bryts sedan ner i de verksamheter där målet kan påverkas. Tertialuppfölningar av mål och uppdrag redovisas för nämnd, ledningsgrupp, samverkan och på arbetsplatsträffar. Budgettilldelningen ses över inför ny budget. Kontrollmoment: Avstämning mål/budget tertialvis så att vi har resurser för att nå satta mål alternativt göra prioriteringar utifrån ekonomiska förutsättningar. 2 Fastställa mål och fördela resurser Risk felbedömning omvärldsrisker Omvärldsrisk Benny Wennberg Risk för felbedömning av risker i omvärlden. Risk för att förvaltningens tjänstemän blir överhopade med information och gör felbedömningar. Risk för att oväntade händelser inträffar som påverkar verksamheten och ekonomin. Risk att felaktiga prognoser leder till felaktiga satsningar/indragningar. 3 3 9 Ja en om kommunen skulle göra felbedömningar av omvärlden skulle kunna leda till allvarlig skada och påverkan för verksamheten. Kontrollmoment: Om signaler på att en allvarlig situation skulle dyka upp görs alltid en avstämning med presidie, detta så att verksamheten leds i rätt riktning.viktigt med tillförlitliga prognoser och planeringsdirektiv. Info läggs till när hypergene fungerar. 3 Fastställa mål och fördela resurser Risk att resurser är otillräckliga. Verksamhetsrisk Benny Wennberg Risk att resurser är otillräckligna för att utföra förvaltningens uppdrag samt att förvaltningen inte kan möta upp framtida krav. 2 4 8 Ja Budgetuppföljning och prognos genomförs och presentaras för nämnd månadsvis för kontinuerlig uppföljning. Framtida krav måste finns med som ett fokus i planeringsarbetet. Kontinuerliga avstämningar görs med KLK. Kontrollmoment: Inga ytterligare kontrollmoment. 8 Organisera, leda och följa upp verksamheten Risk för dubbelarbete alternativt att uppgifter inte blir utförda Verksamhetsrisk Benny Wennberg Risk för dubbelarbete mellan enheter och mellan förvaltningar alternativt att uppgifterna inte blir utförda. Om inte ansvarsfördelningen är tillräckligt tydlig när kommunen fördelar uppdrag och projekt finns det risk för att flera enheter/förvaltningar arbeta med samma saker varvid dubbelarbete kan uppstå. Resurser tas då i anspråk som skulle kunna användas till annat. 4 3 12 Ja Risken bedöms som störst mellan förvaltningar. När två förvaltningar är inblandade finns risk att beslut dröjer och att dubbelarbete sker. Till exempel kan lekpark som inte längre uppfyller krav bli kvar i samma skick eftersom beslut saknas. Nya reglementen och en ansvarsfördelning mellan SF/SBK tas fram. K Kontrollmoment: Följ upp nya reglementet och dess tillämpning. Avstämning med verksamheterna, per tertial. 9 Bedriva samhällsskydd och säkerhetsarbete Risk för bristande kunskap om Verksamhetsrisk Gunilla Svensson Risk för bristande kunskap om ansvarsfördelning ansvarsfördelning av brandskydd. brandskydd mellan hyresgäst och förvaltningen. 3 3 9 Ja Gränsdragningslista med ansvarsfördelning brandskydd är framtagen och driftad hösten 2016. Denna lista ska fyllas i tillsammans hyresgäst/fastighetsförvaltare för alla nya och uppdaterade avtal. Kontrollmoment: 1 stickprov på nya/uppdaterade hyresavtal per tertial att gränsdragningslista har tagits fram tillsammans med hyresgästen. 11 Bedriva samhällsskydd och säkerhetsarbete 18 Värna om miljö och hälsa Risk att det finns brister i egenkontroll Risk för brand i serverhall Verksamhetsrisk Robert Carlsson Risk för brand i serverhall 1 4 4 Ja Ny serverhall byggs i den nya brandstationen. Dess utformning är enligt MSBs krav. Kontrollmoment: Inga ytterligare kontrollmoment. Legala risker Tomas Lexinger (Martina Adiels Balk kontrollmoment) Risk att kontrollpunkter i egenkontrollprogram för inte följs. 3 3 9 Ja Inom kostverksamheten är risken lägre då tydliga rutiner finns samt inspektioner från SBK görs. Öka kunskap och efterlevnad av kontrollprogram inom produktionsverksamheten. Kontrollmoment: Uppföljning av relevanta checklistor inom egenkontrollen. 1 Martina Adiels Balk/Rolf Johansson
27 Hantera ekonomi Risk i hantering av attest och firmatecknare Risk i finansiell rapportering Sara Andersson Det finns risk att attest sker i strid mot reglementet för verifikationer avseende jävs- och integritets reglerna. Det finns risk att utbetalningar attesteras av fel person på grund av att attestförteckningarna inte är uppdaterade och kommunicerade med systemförvaltarna för ekonomisystem och verksamhetssystem. Det finns en risk att kontrakt/avtal skrivs på av andra än firmatecknare för Kalmar kommun. Detta kan leda till förtroendeskada och ekonomisk skada för kommunen i form av skadestånd/vite från kunder, leverantörer eller andra myndigheter. 3 3 9 Ja en av om det inträffar bedöms som stor då skadan kan bli allvarlig eller har stor påverkan på verksamheten. Dels kan SF betala fakturor som de inte ska betala eller teckna avtal till felaktigt pris eller andra oförmånliga villkor om fel person beslutar om detta. Detta leder både till förtroendeskada om det skulle komma fram i media eller bland medarbetarna men också ekonomisk skada i form av skadestånd/vite från kunder, leverantörer eller andra myndigheter. Kontrollmoment: Avstämning av 5 fakturor/enhet per tertial. 28 Hantera ekonomi Risk för brister i hantering av leverantörsfakturor Risk i finansiell rapportering Sara Andersson Risk föreligger att kostnader inte redovisas enligt kommunbas13. Risk för att representation, kurser, och resor inte har korrekt dokumentation avseende syfte och deltagande. Risk att leverantörsfakturor inte betalas i tid. Fungerar inte hanteringen korrekt kan detta leda till ökade kostnader för kommunen i form av räntor och påminnelsekostnader, leverantörernas förtroende för kommunen skadas, ej tillförlitlig redovisning kan leda till att beslut fattas på felaktiga grunder. 4 3 12 Ja Sannolikheten att det brister i hanteringen av leverantörsfakturor bedöms till en 4 då detta kan hända varje vecka. en om det blir fel bedöms till en 3:a då skadan kan bli allvarlig och den kan ha stor påverkan på verksamheten. Om inte hanteringen fungerar kan detta leda till ökade kostnader i form av påminnelseavgifter och räntor, leverantörernas förtroende för kommunen skadas och beslut kan fattas på felaktiga grunder. Kontrollmoment: Uppföljning av förfallna fakturor månadsvis samt avstämning av 5 fakturor/enhet per tertial för representation, kurser och resor. 39 Leverera IT-stöd Risk att det finns oklarheter i befogenheter och ansvar 41 Leverera IT-stöd Risk oklarhet kring IT leveransens tillgänglighet 44 Rekrytera, utveckla och avveckla personal 48 Stödja och utveckla den demokratiska processen/hantera ärenden och dokument Risk att förvaltningen inte kan säkerställa kompetensförsörjningen inom sina verksamhetsområden It-risk Robert Carlsson Risk att det finns oklarheter i befogenheter och ansvar gällande IT-system. Systemförvaltning av IT-system ligger i vissa fall ute på enheterna som använder/har köpt in systemen. Oklarheter kan då uppstå vilka befogenheter systemförvaltaren respektive kommunens IT-avdelning har och vem som är ansvarig för vad. It-risk Robert Carlsson Information saknas om vilka system som behöver prioriteras vilket kan leda till en felaktig prioritering. Information om vad verksamheten förväntar sig av ett system saknas. Verksamhetsrisk Benny Wennberg (Martina Adiels Balk kontrollmoment) Risk att förvaltningen inte kan säkerställa kompetensförsörjningen inom samtliga områden då det kan vara svårt att rekrytera rätt kompetens. Risk - PUL Legala risker Benny Wennberg Risk att PUL inte följs. (Ersätts av nya dataskyddsförordningen under 2018) 50 Tillhandahålla lokaler Risker lokalbehovs hantering Verksamhetsrisk Gunilla Svensson Att funktion för att lösa verksamhetens lokalbehov inte är samlat hos fastighet kan leda till att samordningsvinster uteblir. 3 3 9 Ja Systemförvaltarmodell och ny informationssäkerhetspolicy. Kontrollmoment: Granska att systemförvaltarmodell och ny informationssäkerhetspolicy tagits fram under 2017. 3 3 9 Ja Prioriteringslista måste tas fram av förvaltningarna. Därför kan SF inte styra över risken. Kontrollmoment: Avstämning vid årsrapport. 3 3 9 Ja Vara attraktiv arbetsgivare. Kontrollmoment: Uppföljning av genomförda avgångssamtal. Tertial 1 för de senaste 12 månaderna. (Avidentifierade) 3 4 12 Ja Utbilda i nya dataskyddsförordningen. Kontrollmoment: Uppföljning av utförd utbildning. 3 3 9 Ja Reglementet ska följas. Kontrollmoment: Avstämning vid årsrapport. 56 Tillhandahålla varor och tjänster Risk att inköp inte sker enligt avtal Legal risk Maria Kleveborn (Martina Adiels Balk kontrollmoment) Det finns risk för att inköp inte sker enligt de avtal som kommunen tecknat. Samtliga avtal finns inte samlade i systemstöd och vilka avtal som tecknats kanske inte är känt av de som gör inköp. Det finns också risk för att tecknade avtal inte sägs upp i tid\, omförhandlas eller förlängs då de återfinns på olika ställen och inte är samlade i systemstöd. 4 3 12 Ja Avtalstrohet Kontrollmoment: Tertialvis avstämning leverantörer via fakturor. Stickprov 2 verksamheter. 2 Martina Adiels Balk/Rolf Johansson
KOMMUNGEMENSAM VERKSAMHETSHANDBOK Fastställt av Dokumentansvarig Datum Kommundirektör Annette Andersson Redovisningschef Anna Johansson 2016-02-25 1 (4) Riktlinjer för intern kontroll Intern kontroll definieras som en process, där såväl den politiska ledningen som övrig personal samverkar. Processen ska vara utformad så att kommunen med rimlig grad av säkerhet kan göra en avvägning mellan kontrollkostnad och kontrollnytta. Risker, det vill säga osäkerhet i kommunens framtida verksamhet och ekonomiska resultat ska lyftas upp och bedömas. Vid bedömning av kontrollnytta ska inte endast ekonomiska faktorer vägas in, utan även vikten av att upprätthålla förtroendet för kommunens verksamhet hos olika intressenter. En god intern kontroll ska tillse att: Kommunen har en ändamålsenlig och kostnadseffektiv verksamhet vilket bland annat innebär att ha kontroll över ekonomi, prestationer och kvalité samt att säkerhetsställa att fattade beslut verkställs och följs upp i förhållande till kommunens mål. Kommunen har tillförlitlig finansiell rapportering och information om kommunens verksamheter vilket innebär att nämnder och verksamhetsansvariga ska ha tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av kommunens prestationer avseende kvantitet och kvalitet samt övrig relevant information om kommunens verksamhet och resursandvändning. Kommunen har efterlevnad av tillämpliga lagar, förordningar samt interna regelverk samt ingångna avtal med olika parter. Riskanalys Kalmar kommun hanterar olika risker och för att hantera dessa ska nämnder systematiskt arbeta med riskanalyser. Ett systematiskt arbetssätt med riskanalyser ska öka riskmedvetenheten i kommunens verksamheter. Nämnden ska som grund för sin styrning anta en riskanalys och därtill ansvara för att årligen utvärdera den. Om nämndens verksamhet eller andra omständigheter utvecklas så att riskbilden förändras ska en ny riskanalys genomföras. Riskanalys är en självskattning och för att få ett så rättvisande resultat som möjligt är det en fördel om fler kompetenser samverkar. Riskanalysen innehåller fem riskkategorier. Med utgångspunkt från nedanstående riskkategorier ska nämnderna göra en riskanalys. Risker kan inte alltid förhindras men det måste finnas en rimlig beredskap för hur de ska hanteras. Ekonomi Övrigt
2 (4) Kalmar kommuns riskkategorier Omvärldsrisk Omvärldsrisker kan utgöras av större händelser som kan påverka nämndens verksamhet och mål. Verksamhetsrisker Verksamhetsriskerna är de risker som är kopplade till nämndernas mål, det vill säga vilka risker kan förhindra att nämnden når målen. Det är även viktigt att beakta de risker som finns att verksamheten inte bedrivs på ett effektivt sätt. Legala risker Legala risker utgörs av riskerna om nämnden inte följer gällande lagstiftning eller gällande regler i övrigt. Om nämnden inte efterlever gällande lagar och regler kan det få ekonomiska konsekvenser eller leda till att förtroendet skadas. IT-risk Brister i verksamhetens informationssystem och hantering kan få oönskade effekter och det är viktigt att definiera de system som har en avgörande betydelse för verksamheten. Risker i rapportering Risken för att räkenskaperna inte är rättvisande eller tillförlitliga i övrigt är en redovisningsrisk, alternativt bortfall av övrig relevant information vilket kan leda till att beslut fattas på felaktiga grunder. Metod för att utföra riskanalys Identifiera riskerna Identifiera de händelser/situationer som kan få konsekvenser för verksamheten utifrån respektive riskkategori. Fyll i händelser och skada/påverkan på blanketten riskanalys. Bedöm riskerna Bedöm sannolikheten för att skada/påverkan inträffar samt konsekvensen om skada/påverkan inträffar. Sannolikheten ska sedan multipliceras med konsekvensen som ger ett risktal. Sannolikhet Frågeställning: Hur stor är sannolikheten för att skada/påverkan inträffar? 1 poäng Mycket liten Kan hända med minst 10 års mellanrum 2 poäng Liten Kan hända med några års mellanrum 3 poäng Stor Kan hända några gånger om året 4 poäng Mycket stor Kan hända varje vecka
3 (4) Frågeställning: Vad är konsekvensen om skada/påverkan inträffar? 1 poäng Mycket liten Mindre skada eller påverkan 2 poäng Liten Begränsad skada eller påverkan 3 poäng Stor Allvarlig skada eller påverkan 4 poäng Mycket stor Mycket allvarlig skada eller påverkan Beslut om åtgärder Om risktalet blir 9 poäng eller högre eller om konsekvensen bedöms som 4 poäng ska åtgärd alltid anges på blanketten för riskanalys. Åtgärder för övriga risker noteras om det bedöms vara nödvändigt. Risktal 1-4 Grönt 5-8 Gult 9-16 Rött Intern kontrollplan Som ett resultat av genomförd riskanalys ska nämnden upprätta en intern kontrollplan och i planen anges de metoder och aktiviteter som ska syfta till att upptäcka samt undvika oavsiktliga eller avsiktliga fel i nämndens verksamheter Den interna kontrollplanen ska innehålla: Kontrollområde (Ex. 5.1 Brister i redovisningen) Kontrollmoment (Ex. Kontroll av redovisning avseende representation) Metod (Ex. stickprov på baskonto 71XXX och 644XX) Kontrollansvarig (Ex. nämndens ekonom) Frekvens av kontroller (Varje månad) Uppföljning av intern kontroll Nämnden följer upp den interna kontrollen löpande och ska årligen rapportera till kommunsstyrelsen. Rapporten ska följa upp antagen intern kontrollplan, utfallet per riskkategori och eventuellt vidtagna åtgärder. Rapporten ska också vid behov innehålla förslag på förbättringar. Definitioner Resultat av en olycka. Beskriver skador uttryckt i kvalitativa eller kvantitativa termer. Olycka En plötsligt negativ händelse som inträffar utan avsikt från de inblandade Risk Med risk avses sannolikheten för att en händelse ska inträffa samt de konsekvenser som följer av händelsen. Sannolikhet är ett mått på hur ofta eller hur troligt det är att en viss händelse inträffar. Risk blir produkten av både sanno-
4 (4) likheten och konsekvensen (Risk=Sannolikhet * ). En stor risk kan vara en händelse som inte inträffar särskilt ofta men har en stor konsekvens, till exempel en kärnkraftsolycka. En stor risk kan även vara en händelse som inte ger några katastrofala konsekvenser men som inträffar relativt ofta. Risk och sårbarhetsanalys Risk och sårbarhetsanalys är en process där risker, hot och sårbarheter identifieras och analyseras utifrån dess sannolikhet och konsekvens. Sannolikhet Ett mått på möjligheten att en viss händelse inträffar. Incident Händelse som äventyrar eller kunnat äventyra säkerheten i ett system, en verksamhet eller rutin, oavsiktligt eller avsiktligt åsidosättande av säkerhetsreglerna. Tillbud Ett tillbud är en händelse som kan ge eller skulle kunna ge upphov till skada, sjukdom, eller annan skadlig inverkan. Observera att även händelser av psykisk art kan vara tillbud till exempel hot eller trakasserier. Mått på följderna av en skadehändelse, uttryckt i kvalitativa och kvantitativa termer. Risk Produkten av sannolikheten för att ett hot realiseras och därmed uppkommande skadekostnad. Riskanalys Process som identifierar säkerhetsrisker och bestämmer dess betydelse. Riskhantering Det övergripande arbetet med att skydda en verksamhets resurser och inkomstmöjligheter mot skador och förluster. Riskidentifiering Innebär en kartläggning av företagets riskmiljö och ger svar på frågan: Vilka risker har vi? Identifierade risker kan antingen accepteras eller åtgärdas. Hot Möjlig händelse som ger negativa konsekvenser för verksamheten.