STADSREVISIONEN www.stockholm.se/revision Nr 6 Februari 2011 DNR 366-09/2011 Granskningspromemoria 2010 AB STOKAB
Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder och bolagsstyrelser. Stadsrevisionen i Stockholm granskar nämnders och styrelsers ansvarstagande för att genomföra verksamheten enligt fullmäktiges uppdrag. Stadsrevisionen omfattar både de förtroendevalda revisorerna och revisionskontoret. I årsrapporter för nämnder och granskningspromemorior för styrelser sammanfattar Stadsrevisionen det gångna årets synpunkter på verksamheten. Särskilda granskningar som sker under året publiceras löpande som revisionsrapporter och i vissa fall som promemorior. Publikationerna finns på Stadsrevisionens hemsida. De kan också beställas från revisionskontoret. STADSREVISIONEN Revisionskontoret www.stockholm.se/revision Besöksadress: Hantverkargatan 3 A, 1 tr Postadress: 105 35 Stockholm Telefon: 08-508 29 000 Fax: 08-508 29 399
STADSREVISIONEN INNEHÅLL Sid 1 Redogörelse för granskningens planering och genomförande... 1 2 Redogörelse för granskningsresultatet... 1 2.1 Särskild granskning... 1 2.1.1 Förtroendekänsliga områden... 1 2.1.2 Tillämpning av offentlighetsprincipen... 2 2.1.3 Informationssäkerhet... 5 2.2 Basgranskning... 6 2.2.1 Bolagets arbete med internkontroll... 6 2.2.2 Bolagets ekonomiska prognoser... 6 2.2.3 Uppföljning av ägarnas direktiv och uppdrag... 8
STADSREVISIONEN 1(8) 1 Redogörelse för granskningens planering och genomförande Årets granskningsinsats har planerats tillsammans med samtliga lekmannarevisorer vid ett planeringsmöte den 18 maj 2010. Vid planeringsmöte den 31 maj 2010 avseende Stokab informerade lekmannarevisorn om det granskningsuppdrag han givit revisionskontoret. Den auktoriserade revisorn presenterade sin Granskningsplanerings-PM. I övrigt har informationsutbyte skett mellan samtliga involverade i revisions- och granskningsarbetet. Resultatet av granskningen av intern kontroll och delårsbokslutet per 2010-08-31 rapporterades vid ett gemensamt avstämningsmöte den 7 oktober 2010, där bolagets VD och ekonomichef deltog. Även en representant från Stockholms Stadshus AB närvarade vid mötet. Under granskningsåret har revisionskontoret sammanträffat med representanter från bolaget i samband med information och avstämning av genomförda granskningar. Slutrevisionsmöte med bolagsledningen äger rum den 15 februari 2011. Granskningspromemorian har faktakontrollerats av bolaget. 2 Redogörelse för granskningsresultatet 2.1 Särskild granskning 2.1.1 Förtroendekänsliga områden Stokab har gett en revisionsbyrå i uppdrag att granska bolagets rutiner för representation, resor, kurser och konferenser mm. Byrån har under hösten 2010 genomfört en omfattande verifierande granskning för perioden 2008-2010. Revisionskontoret hade planerat motsvarande granskning för verksamhetsåret 2010. Efter att ha tagit del av granskningsresultatet beslutade revisionskontoret att inte genomföra planerad granskning. Nedan redovisas i korthet vad som framkom vid revisionsbyråns granskning. Granskningen visade att det på ett antal verifikationer avseende representation saknas uppgift om ändamål och deltagare. Vid utbildnings- och konferensresor förekom i många fall att kurs- eller konferensprogram inte var fogat till verifikationen. Även på vissa reseräkningar saknades syfte och relevanta underlag. Vid granskningen noterades inte några verksamhetsfrämmande poster eller på annat sätt höga representationskostnader.
STADSREVISIONEN 2(8) Revisionskontoret har granskat de förtroendekänsliga områdena mutor och bisysslor då dessa områden inte ingick i revisionsbyråns granskningsuppdrag. Bolaget har antagit stadens riktlinjer för mutor och representation. Riktlinjerna är tillgängliga för samtliga anställda på bolagets intranät. Bolaget har inom området mutor genomfört egenkontroller. Under 2009 kontrollerades inköps- och varumottagningsrutinen. Ett antal inköp kontrollerades där inköpsordern stämdes av mot avtal, varumottagning och leverantörsfaktura. Bolaget har dokumenterade rutiner för hantering av bisysslor. VD godkänner respektive medarbetares eventuella bisyssla. Därtill genomförs årliga uppföljningar. Bolaget har påbörjat ett arbete med att vidta åtgärder för att stärka den interna kontrollen. Bland annat ska riktlinjerna göras tydligare. Personalen kommer att informeras om vikten av att deltagare och ändamål noteras på fakturan samt att program och andra relevanta underlag fogas till verifikationen. Det har samtidigt påbörjats ett arbete med att upprätta instruktioner över vilka krav som ska ställas på underlagen till en faktura, ett utlägg eller en reseräkning innan utbetalning görs. Enligt den tidplan bolaget har fastställt ska åtgärderna vara genomförda senast under februari månad 2011. Bolaget bedöms ha förutsättningar för en tillräcklig kontroll inom områdena mutor och bisysslor. 2.1.2 Tillämpning av offentlighetsprincipen Offentlighetsprincipen är viktig för rättssäkerhet, effektivitet och demokrati. För att garantera insyn i myndigheternas arbete har principen om handlingsoffentlighet skrivits in i en av grundlagarna, tryckfrihetsförordningen. Revisionskontoret har granskat Stokabs tillämpning av offentlighetsprincipen vad gäller handlingsoffentlighet. Syftet med granskningen är att bedöma om bolaget hanterar allmänna handlingar enligt lagar, regler och riktlinjer för att leva upp till offentlighetsprincipen.
STADSREVISIONEN 3(8) 2.1.2.1 Regler och riktlinjer Bolaget har ett stort antal styrande och stödjande dokument som till exempel arkivbeskrivning, arkivförteckning, dokumenthanteringsplan och en rutinbeskrivning för diarieföring. Dessa dokument täcker in de områden som är väsentliga för registrering, sekretess samt utlämnande av allmän handling. Revisionskontoret bedömer att bolaget har tydliga regler och riktlinjer för hantering av allmänna handlingar. 2.1.2.2 Personalens förutsättningar att hantera allmänna handlingar De anställda har fått internutbildning och nyanställda får information av registratorn om vilka offentlighetsregler bolaget omfattas av. Det förekommer även att information lämnas på personalmöten. Bolagets styrande dokument finns tillgängliga på intranätet. Av bolagets delegationsordning framgår vem som fattar beslut om utlämnande av allmän handling samt vilka av bolagets tjänstemän som beslutar om att inte lämna ut en allmän handling. Lämnad information och tillgängligheten till gällande styrdokument har givit bolagets anställda förutsättningar att förstå och kunna tillämpa offentlighetsprincipen. 2.1.2.3 Efterlevnad av lagar och riktlinjer Bolaget har central postöppning. Inkommande handlingar som ska diarieföras läggs i registratorns postfack. Handläggarna ansvarar för att de ärenden som inkommit via e-post lämnas till registrator för diarieföring. I bolagets diarium återfinns i huvudsak nyttjanderättsavtal till Stokabs nät, upphandlingsunderlag, leverantörsavtal etc. Beställningar från bolagets kunder eller andra löpande kundkontakter registreras i bolagets kundhanteringssystem CRM.
STADSREVISIONEN 4(8) I bolagets diarieföringssystem finns en funktion för bevakning av öppna ärenden. Bevakningsfunktionen används inte då bolaget inte tillämpar rutinen att stänga ärenden. I diariehanteringssystemet är stort sätt samtliga ärenden öppna. För bevakning av att remisser och svar på frågor från allmänheten besvaras lägger registratorn in ett bevakningsdatum i systemet i samband med att ärendet registreras. För övriga ärenden anges inte något bevakningsdatum. Har inte något svar på remissen eller den ställda frågan lämnats till diariet skickar registratorn en påminnelse till ansvarig handläggare. Revisionskontoret har genomfört en stickprovsgranskning där ett slumpmässigt antal ärenden i diariesystemet valts ut för att jämföras med akten i dess fysiska form. Granskningen visar att de allmänna handlingar som diarieförts har, med något undantag, hanterats på ett tillfredsställande sätt och att lagar och regler i allt väsentligt följs. Den avvikelse vi kunde notera var att ett skaderegleringsärende på ett av bolagets fordon inte var fullständigt i diariet. Varken i den fysiska akten eller i diariesystemet framgick om skadan var reglerad eller ej. För detta ärende hade det inte registrerats något bevakningsdatum. Enligt revisionskontorets bedömning har bolaget i allt väsentligt tillfredsställande diariehanteringsrutiner. Revisionskontoret rekommenderar bolaget att utnyttja diarehanteringssystemets funktion att avsluta ärenden. Härigenom blir det möjligt att med jämna mellanrum ta ut så kallade balanslistor ur systemet där det framgår vilka ärenden som inte är färdighanterade. Genom att införa denna rutin får bolaget en bättre bevakning på utestående ärenden och därmed en bättre intern kontroll i bolagets diariehantering. Med en sådan rutin skulle det ha uppmärksammats att skadehanteringsärendet ovan inte var fullständigt. Revisionskontorets sammanfattande bedömning Revisionskontoret bedömer att bolaget i allt väsentligt har ändamålsenliga regler och riktlinjer för hantering av allmänna handlingar. De allmänna handlingar som passerar registraturet bedöms hanteras på ett tillfredsställande sätt och lagar och regler följs i allt väsentligt. För att stärka den interna rutinen ytterligare rekommenderas bolaget att utnyttja funktionen att avsluta ärenden diarehanteringssystemet och ta ut balanslistor för bevakning av öppna ärenden.
STADSREVISIONEN 5(8) 2.1.3 Informationssäkerhet Revisionskontorets informationssäkerhetsgranskning har avgränsats till bolagets behörighetskontrollsystem. I granskningen har ingått att granska bolagets rutiner för tilldelning och borttag av IT-behörigheter. Det har även genomförts en stickprovskontroll av att tilldelade behörigheter har skett i enlighet med kommunfullmäktiges informationssäkerhetsregler. Det har även skett en stickprovskontroll av att de användare som har åtkomst till Stokabs administrativa nät är anställda vid bolaget. Bolaget har antagit kommunfullmäktiges regler för informationssäkerhet. Bolagets behörighetsrutiner följer fullmäktiges regelverk. Tilldelning av behörighet till bolagets IT-system beslutas skriftligt av behörig tjänsteman på behörighetsblankett. Inhyrda konsulter som erhåller åtkomst till bolagets administrativa nät ska även skriva under en sekretessförbindelse. Konsulternas behörigheter ska dessutom tidsbegränsas och endast gälla under den tid konsultavtalet löper. Behörighetsblanketterna skickas till IT-avdelningen som lägger upp användaren i IT-systemet och anger för vilken period behörigheten ska gälla. Revisionskontorets stickprovskontroll visar att användarnas behörigheter har beslutats skriftligt av behörig tjänsteman. Granskningen visar också att konsulterna har skrivit under sekretessförbindelser och att deras behörigheter är tidsbegränsade. Revisionskontoret kunde för några konsulter notera en avvikelse mellan den giltighetstid som var angiven på behörighetsblanketten och vad som var registrerat i systemet. Detta förklarades av att konsultavtalet hade förlängts. Några behörighetsblanketter hade dock inte upprättats för den förlängda giltighetstiden. I stället var detta dokumenterat på en lista där konsulternas namn var förtecknade. Listan var inte undertecknad av behörig beslutsfattare. Vid granskningen genomfördes även en stickprovskontroll av att de personer som har åtkomst till bolagets IT-system också är anställda vid Stokab. I urvalet ingick ett 30-tal användare och med hjälp av personalavdelningen kunde det konstateras att samtliga var anställda vid bolaget. Revisionskontorets granskning visar att rutinen för tilldelning och borttag av behörigheter sker på ett tillfredsställande sätt. Den interna kontrollen i rutinen skulle förstärkas ytterligare om blanketter används även när konsulters behörigheter för-
STADSREVISIONEN 6(8) längs. I vart fall ska de förteckningar som tas fram som beslutsunderlag vid förlängning av behörigheter undertecknas av behörig beslutsfattare. 2.2 Basgranskning 2.2.1 Bolagets arbete med internkontroll Bolaget har för 2010 antagit en risk- och väsentlighetsanalys samt en internkontrollplan. Risk- och väsentlighetsanalysen har främst fokus på risker som kan hota att bolaget inte uppnår sina mål. Det finns ingen tydlig koppling mellan internkontrollplanen och upprättad risk- och väsentlighetsanalys. De granskningsområden som återfinns i internkontrollplanen baseras även på andra riskanalyser, resultatet av genomförda revisioner av den auktoriserade revisorn och av revisionskontoret samt på uppföljning av bolagets tidigare genomförda kontroller. Samtliga kontroller enligt internkontrollplanen är genomförda eller arbete pågår med att genomföra dem. De granskningsmoment som ingår i planen är bland annat kontroll av personalens bisysslor mot Bolagsverkets register, kontroll av användarbehörigheter i ekonomisystemet Agresso, bolagets rutiner för hantering av felanmälningar samt några ytterligare områden. Resultatet av genomförda granskningar rapporteras för styrelsen i november i samband med att nästa års internkontrollplan presenteras. Bolaget arbetar aktivt med att granska och stärka den interna kontrollen i sina processer. De områden bolaget har valt att granska är väsentliga. Eftersom det saknas en tydlig koppling mellan risk- och väsentlighetsanalys och internkontrollplanen bör även de övriga analyserna som ligger till grund för internkontrollplanens utformning redovisas för styrelsen. 2.2.2 Bolagets ekonomiska prognoser Revisionskontoret har granskat tertialrapporter och bokslut med inriktning på bolagets prognoser och resultat efter finansnetto. Det resultatkrav kommunfullmäktige har fastställt för koncernen (moderbolaget och dotterbolaget S:t Erik Kommu-
STADSREVISIONEN 7(8) nikation AB) uppgick till 153 mnkr. Av nedanstående tabeller framgår budgeten för 2010, bolagets lämnade ekonomiska prognoser samt resultat och investeringar. Resultat efter finansnetto 2010 (mnkr) Kf:s krav Bolagets budget och S-hus budget Prognos T1 Prognos T2 153 153 159 162 168 Bokslut Bolaget redovisar ett positivt resultat på 168 mnkr, vilket är 15 mnkr bättre än budget. Bolaget har jämfört med föregående år både högre intäkter och verksamhetskostnader. Intäktsökningen förklaras av ökad försäljning av nättjänster. Kostnadsökningen beror på nätutbyggnaden. En ytterligare förklaring till det positiva resultatet förklaras av lägre räntekostnader än beräknat beroende på lägre upplåningsbehov och räntenivåer. Bolaget har i de två tertialrapporterna skrivit upp sina vinstprognoser. Den positiva resultatutvecklingen blev något bättre än förväntat under årets sista månader. Intäkterna och kostnaderna blev drygt en procent högre i bokslutet jämfört med vad som prognostiserades i tertial 2. Revisionskontorets bedömning och kommentarer Revisionskontoret kan konstatera att bolaget har överträffat kommunfullmäktiges resultatkrav. Tillförlitligheten i lämnade ekonomiska prognoser har under året varit hög. Investeringar (mnkr) Bolagets Prognos Prognos Bokslut budget T1 T2 363 363 363 361 Bolagets bredbandsutbyggnad är den enskilt största investeringsposten. Utbyggnaden fortgår enligt plan. Redovisad avvikelse mot budget är marginell. Revisionskontorets bedömning och kommentarer Tillförlitligheten i lämnade prognoser har under året varit hög.
STADSREVISIONEN 8(8) 2.2.3 Uppföljning av ägarnas direktiv och uppdrag Enligt kommunfullmäktiges och koncernstyrelsens budget för år 2010 har bolaget för perioden 2010-2012 bland annat fått följande ägardirektiv. Utveckla fibernätet avseende funktion och säkerhet för att kunna möta kundernas krav på kvalitet, service och säkerhet samt tillgång till externa tjänster. Fortsätta arbetet med att minska administrativa och indirekta produktionskostnader. Nyttja kanalisation till en snabb utbyggnad, till marknadsmässiga villkor, av fiberinfrastruktur till hushåll och företag i enlighet med tidigare fattade beslut. Att följa upp de kommungemensamma indikatorer kommunfullmäktige har antagit. Revisionskontorets bedömning och kommentarer Bolaget arbetar aktivt med att genomföra ägarens direktiv och uppdrag. Nätsäkerheten är prioriterad och följs årligen upp inom ramen för bolagets säkerhetsprogram. Andelen administrativa kostnader är lägre jämfört med föregående år. Utbyggnaden av nätet fortgår enligt plan. Kommunfullmäktiges indikatorer följs upp och redovisas för styrelsen i samband med tertialrapporteringen och i bokslutet. Stefan Rydberg Enhetschef Mats Bergqvist Certifierad kommunal revisor