Uppföljning av intern kontroll 2017 Fas: Intern kontroll 2017 Rapportperiod: 2017 Organisation: Servicenämnd Fastställa mål och fördela resurser Risk att resurser är otillräckliga. Risk att resurser är otillräckliga för att utföra förvaltningens uppdrag samt att förvaltningen inte kan möta upp framtida krav. Verksamhetsrisk Benny Wennberg 8 2 4 Budgetuppföljning och prognos genomförs och presentaras för nämnd månadsvis för kontinuerlig uppföljning. Framtida krav måste finnas med som ett fokus i planeringsarbetet. Kontinuerliga avstämningar görs med KLK. Inga ytterligare kontrollmått. Kontrollmoment - Avstämningar Budgetuppföljning och prognos genomförs och presentaras för nämnd månadsvis för kontinuerlig uppföljning. Framtida krav måste finnas med som ett fokus i planerings-arbetet. Kontinuerliga avstämningar görs med kommunledningskontoret. Tertial 3: Serviceförvaltningen prognos visar i november på ett resultat på ca + 1 MSEK. Delar av de uppsatta målen kommer inte att nås under 2017. Risk för att verksamheten inte jobbar mot fastställda mål och att resurser inte fördelas optimalt. Det finns risk för att verksamheten inte jobbar mot fastställda mål och att resurser inte fördelas optimalt. Detta kan bero på flera olika anledningar t ex att målen inte är kända hos medarbetarna, att det finns oklarheter i organisationen, att rutiner inte fungerar med mera. Det finns risk för att mål, uppdrag och beslut som inte finns med i verksamhetsplanen utan i andra handlingsplaner, strategier och program inte följs upp. Verksamhetsrisk Benny Wennberg 9 3 3 Utifrån kommunfullmäktiges mål formuleras mål för servicenämnden. Dessa bryts sedan ner i de verksamheter där målet kan påverkas. Tertialuppfölningar av mål och uppdrag redovisas för nämnd, ledningsgrupp, samverkan och på arbetsplatsträffar. 2017-12-12 08:59 1
Budgettilldelningen ses över inför ny budget. Avstämning mål/budget Avstämning mål/budget tertialvis så att vi har resurser för att nå satta mål alternativt göra prioriteringar utifrån ekonomiska förutsättningar. Tertial 3: Serviceförvaltningen prognos visar i november på ett resultat på ca + 1 MSEK. Målen för 2017 följs upp och analyseras i samband med framtagande av årsrapport under början av 2018. Risk felbedömning omvärldsrisker Risk för felbedömning av risker i omvärlden. Risk för att förvaltningens tjänstemän blir överhopade med information och gör felbedömningar. Risk för att oväntade händelser inträffar som påverkar verksamheten och ekonomin. Risk att felaktiga prognoser leder till felaktiga satsningar/indragningar. Omvärldsrisk Benny Wennberg 9 3 3 Konsekvensen om kommunen skulle göra felbedömningar av omvärlden skulle kunna leda till allvarlig skada och påverkan för verksamheten. Avstämning presidie Om signaler på att en allvarlig situation skulle dyka upp görs alltid en avstämning med presidie, detta så att verksamheten leds i rätt riktning. Viktigt med tillförlitliga prognoser och planeringsdirektiv. Ingen allvarlig situation enligt kontrollmomentet har identifierats under 2017. Organisera, leda och följa upp verksamheten Risk för dubbelarbete alternativt att uppgifter inte blir utförda Risk för dubbelarbete mellan enheter och mellan förvaltningar alternativt att uppgifterna inte blir utförda. Om inte ansvarsfördelningen är tillräckligt tydlig när kommunen fördelar uppdrag och projekt finns det risk för att flera enheter/förvaltningar arbeta med samma saker varvid dubbelarbete kan uppstå. Resurser tas då i anspråk som skulle kunna användas till annat. Verksamhetsrisk Benny Wennberg 12 4 3 2017-12-12 08:59 2
Risken bedöms som störst mellan förvaltningar. När två förvaltningar är inblandade finns risk att beslut dröjer och att dubbelarbete sker. Till exempel kan lekpark som inte längre uppfyller krav bli kvar i samma skick eftersom beslut saknas. Nya reglementen och en ansvarsfördelning mellan serviceförvaltningen och samhällsbyggnadskontoret tas fram. Uppföljning reglemente Följ upp nya reglementet och dess tillämpning. Avstämning med verksamheterna, per tertial. Gränsdragningslista mellan serviceförvaltningen och samhällsbyggnadskontoret är framtagen och beslutad. Förvaltnings- och produktionschef deltar ibland på ledningsmöten hos samhällsbyggnadskontoret. Trots gränsdragningslista så finns det fortfarande otydlighet i ansvarsfördelning. Bedriva samhällsskydd och säkerhetsarbete Risk för bristande kunskap om ansvarsfördelning av brandskydd Risk för bristande kunskap om ansvarsfördelning brandskydd mellan hyresgäst och förvaltningen. Verksamhetsrisk Gunilla Svensson 9 3 3 Gränsdragningslista med ansvarsfördelning brandskydd är framtagen och började användas hösten 2016. Denna lista ska fyllas i tillsammans hyresgäst/fastighetsförvaltare för alla nya och uppdaterade avtal. Kontroll gränsdragningslista Ett stickprov på nya/uppdaterade hyresavtal per tertial att gränsdragningslista har tagits fram tillsammans med hyresgästen. Gränsdragningslistan används vid nya/uppdaterade avtal under 2017. Risk för brand i serverhall Risk för brand i serverhall Verksamhetsrisk Robert Carlsson 4 1 4 Ny serverhall byggs i den nya brandstationen. Dess utformning är enligt myndighetens för samhällsskydd och beredskaps (MSB) krav. 2017-12-12 08:59 3
Slutbesiktning Byggnad inryms i brandstation byggd enligt MSB krav vilket kontrolleras vid slutbesiktning. Slutbesiktning har skett och hallen har godkänts enligt MSB krav. (Dock är inte hallen certifierad, och en diskussion pågår om detta ska göras.) Värna om miljö och hälsa Risk att det finns brister i egenkontroll Risk att kontrollpunkter i egenkontrollprogram för inte följs. Legal risk Tomas Lexinger 9 3 3 Öka kunskap och efterlevnad av kontrollprogram inom produktionsverksamheten. Checklistor Uppföljning av relevanta checklistor inom egenkontrollen. Ingen rapportering gjord vid uppföljningstillfället. Hantera ekonomi Ej påbörjad Inget angivet Risk i hantering av attest och firmatecknare Det finns risk att attest sker i strid mot reglementet för verifikationer avseende jävs- och integritets regler. Det finns risk att utbetalningar attesteras av fel person på grund av att attestförteckningarna inte är uppdaterade och kommunicerade med systemförvaltarna för ekonomisystem och verksamhetssystem. Det finns en risk att kontrakt/avtal skrivs på av andra än firmatecknare för Kalmar kommun. Detta kan leda till förtroendeskada och ekonomisk skada för kommunen i form av skadestånd/vite från kunder, leverantörer eller andra myndigheter. Risk i finansiell rapportering Sara Andersson 9 3 3 Konsekvensen av om det inträffar bedöms som stor då skadan kan bli allvarlig eller har stor påverkan på verksamheten. Dels kan serviceförvaltningen betala fakturor som de inte ska betala eller teckna avtal till felaktigt pris eller andra oförmånliga villkor om fel person beslutar om detta. Detta leder både till förtroendeskada om det skulle komma fram i media eller bland medarbetarna men också ekonomisk skada i form av skadestånd/vite från kunder, leverantörer eller andra myndigheter. 2017-12-12 08:59 4
Avstämning Avstämning av 5 fakturor/enhet per tertial. I de stickprov som gjordes tredje tertialet framkom attest av egna fakturor på tre fakturor. Fakturorna gällde representationskostnader. Återkoppling har skett till berörda och även till övriga i ledningsgruppen för kännedom då detta kan vara ett förvaltningsövergripande problem. Risk för brister i hantering av leverantörsfakturor Risk föreligger att kostnader inte redovisas enligt kommunbas13. Risk för att representation, kurser, och resor inte har korrekt dokumentation avseende syfte och deltagande. Risk att leverantörsfakturor inte betalas i tid. Fungerar inte hanteringen korrekt kan detta leda till ökade kostnader för kommunen i form av räntor och påminnelsekostnader, leverantörernas förtroende för kommunen skadas, ej tillförlitlig redovisning kan leda till att beslut fattas på felaktiga grunder. Risk i finansiell rapportering Sara Andersson 12 4 3 Sannolikheten att det brister i hanteringen av leverantörsfakturor bedöms till 4 då detta kan hända varje vecka. Konsekvensen om det blir fel bedöms till 3 då skadan kan bli allvarlig och den kan ha stor påverkan på verksamheten. Om inte hanteringen fungerar kan detta leda till ökade kostnader i form av påminnelseavgifter och räntor, leverantörernas förtroende för kommunen skadas och beslut kan fattas på felaktiga grunder. Uppföljning fakturor Kontrollmoment: Uppföljning av förfallna fakturor månadsvis samt avstämning av 5 fakturor/enhet per tertial för representation, kurser och resor. Vid de stickprov som gjordes på tredje tertialet återfanns tio fakturor för representations-, rese- och kurskostnader där syfte och/eller deltagare ej angivits. Förfallna fakturor har följts upp varje vecka och utskick har då gjorts till berörda. I genomsnitt ligger totala förfallna fakturor på cirka 20 stycken varav majoriteten tillhör verksamhet fastighet. Leverera IT-stöd Risk att det finns oklarheter i befogenheter och ansvar Risk för oklarheter i befogenheter och ansvar gällande IT-system. Systemförvaltning av IT-system ligger i vissa fall ute på enheterna som använder/har köpt in systemen. Oklarheter kan då uppstå vilka befogenheter systemförvaltaren respektive kommunens IT-avdelning har och vem som är ansvarig för vad. 2017-12-12 08:59 5
IT-risk Robert Carlsson 9 3 3 Det behövs en systemförvaltarmodell och ny informationssäkerhetspolicy. Granskning Granska att systemförvaltarmodell och ny informationssäkerhetspolicy tagits fram under 2017. Informationssäkerhetspolicy fastställdes i kommunfullmäktige i maj. Arbetet med systemförvaltarmodell är pågående, remissdokument är framtaget som representanter för de olika förvaltningarna har lämnat synpunkter på. Arbetet fortsätter under 2018. Risk oklarhet kring IT leveransens tillgänglighet Information saknas om vilka system som behöver prioriteras vilket kan leda till en felaktig prioritering. Information om vad verksamheten förväntar sig av ett system saknas. IT-risk Robert Carlsson 9 3 3 Prioriteringslista måste tas fram av förvaltningarna. Prioriteringslista Avstämning i årsrapport att prioriteringslista tagits fram. Prioriteringslistan är ännu inte framtagen. Den kommer att bli en del av systemförvaltningen på central nivå. Brist på prioriteringslistor har även lyfts till kommunens säkerhetssamordnare. Rekrytera, utveckla och avveckla personal Risk att förvaltningen inte kan säkerställa kompetensförsörjningen Risk att förvaltningen inte kan säkerställa kompetensförsörjningen inom samtliga områden då det kan vara svårt att rekrytera rätt kompetens. Verksamhetsrisk Benny Wennberg 9 3 3 Viktigt att vara attraktiv arbetsgivare. 2017-12-12 08:59 6
Uppföljning av genomförda avgångssamtal. Tertial 1 för de senaste 12 månaderna. (Avidentifierade) Inget angivet Resultatet av samtliga avgångssamtal samlas hos personalenhetens chef på kommunledningskontoret. Här genomförs sedan en analys och uppföljning av dessa samtal. På grund av ovanstående så kommer inte serviceförvaltningen att genomföra detta kontrollmoment då det blir dubbel hantering. Stödja och utveckla den demokratiska processen Risk - PUL (Personuppgiftslagen) Risk att PUL inte följs. (Ersätts av nya dataskyddsförordningen under 2018) Legal risk Benny Wennberg 12 3 4 Utbildning i nya dataskyddsförordningen. Uppföljning av utförd utbildning. Uppföljning av utförd utbildning i dataskyddsförordningen. Utbildning påbörjad under hösten 2017. Några verksamheter kör utbildningen via mejl till medarbetarna men de flesta har valt att gå igenom utbildningens olika delar vid APT. Tillhandahålla lokaler Risk för orationell hantering av lokaler Att funktionen för att lösa verksamhetens lokalbehov inte är samlat hos fastighet kan leda till att samordningsvinster uteblir. Verksamhetsrisk Gunilla Svensson 9 3 3 Kontroll reglementet Kontroll att reglementet följs vilket stäms av i årsrapport. Förvaltningen kan konstatera att extern inhyrning görs utan att fastighetsförvaltningen konsulteras i tidigt skede. Tillhandahålla varor och tjänster Risk att inköp inte sker enligt avtal. Det finns risk för att inköp inte sker enligt de avtal som kommunen tecknat. Samtliga avtal finns inte samlade i systemstöd och vilka avtal som tecknats kanske inte är känt av de som gör inköp. Det finns 2017-12-12 08:59 7
också risk för att tecknade avtal inte sägs upp i tid, omförhandlas eller förlängs då de återfinns på olika ställen och inte är samlade i systemstöd. Legal risk Maria Kleveborn 12 4 3 Kontroll via fakturor Kontrollmoment: Tertialvis avstämning leverantörer via fakturor. Stickprov 2 verksamheter. Vid stickproven gjorda av upphandlingsenheten på tredje tertialets fakturor framkom 20 fakturor där förvaltningen brister i avtalstrohet. Återkoppling har skett till berörda och även till övriga i ledningsgruppen för kännedom då detta kan vara ett förvaltningsövergripande problem. 2017-12-12 08:59 8