Intern kontrollplan 2019

TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Marcus Kindahl 2018-10-16 SFN 2018/0315 0480-450518 Servicenämnden Intern kontrollplan 2019 Förslag till beslut Servicenämnden antar förvaltningens Intern kontrollplan 2019 identifierade risker hos Serviceförvaltningen med bedömda risktal och kontrollmoment Bakgrund Servicenämnden ska enligt kommunens reglemente för intern kontroll inom sitt område organisera, dokumentera samt anta regler och anvisningar i syfte att åstadkomma god intern kontroll. Syftet med internkontrollen är att bedöma risker som kan påverka verksamheten samt verksamhetens ekonomiska resultat. Upprättande av intern kontrollplan görs i enlighet med kommunens gemensamma reglemente och riktlinjer för internkontroll. Enlig riktlinjerna ska kontrollmoment tas fram för risker med risktal på nio eller större, alternativt med en konsekvens på fyra. Martina Adiels Balk Administrativ chef Bilagor Intern kontrollplan underlag 2019 Reglemente för internkontroll Riktlinjer för internkontroll Serviceförvaltningen Adress Box 611, 391 26 Kalmar Besök Södra Långgatan 39

Intern kontrollplan 2019 - identifierade risker hos serviceförvaltningen med bedömda risktal och kontrollmoment Beskrivning av risk Sannolikhet Konsekvens Riskvärde Kommentar 1 Det finns risk för att verksamheten inte jobbar mot fastställda mål och att resurser inte fördelas optimalt. Detta kan bero på flera olika anledningar t ex att målen inte är kända hos medarbetarna, att det finns oklarheter i organisationen, att rutiner inte fungerar med mera. Det finns risk för att mål, uppdrag och beslut som inte finns med i verksamhetsplanen utan i andra handlingsplaner, strategier och program inte följs upp. 2 Risk för avsaknad av omvärldsanalys och felbedömning av omvärldsrisker. 3 3 9 Utifrån kommunfullmäktigesmål formuleras mål för servicenämnden. Dessa bryts sedan ner i de verksamheter där målet kan påverkas. Tertialuppföljningar av mål och uppdrag redovisas för nämnd, ledningsgrupp, samverkan och på arbetsplatsträffar. Budgettilldelningen ses över inför ny budget. Kontrollmoment: Årlig intern och extern revision av våra rutiner och processer ska genomföras. Avstämning mål/budget tertialvis så att resurser för att nå satta mål finns alternativt görs prioriteringar utifrån ekonomiska förutsättningar. 2 3 6 Konsekvensen om kommunen skulle göra felbedömningar av omvärlden skulle kunna leda till skada och påverkan för verksamheten. Risken bedöms som relativt låg då verksamheterna omvärldsbevakar via branschorgan och liknande. Kontinuerlig information kommer från kommunledningskontoret. 3 Risk att resurser är otillräckliga för att utföra förvaltningens uppdrag samt att förvaltningen inte kan möta upp framtida krav. 4 Risk att felaktig statistik tas fram som leder till felaktiga beslut. 2 3 6 Sannolikheten bedöms som liten då budgetuppföljning och prognos genomförs och presenteras för nämnd månadsvis för kontinuerlig uppföljning. Kontinuerliga avstämningar görs även med kommunledningskontoret. De centrala uppdragen har ökat och skapat en större belastning på den befintliga organisationen då de hanteras inom befintlig budget. 2 3 6 Sannolikheten bedöms som låg då vår statistik framförallt hämtas från befintliga system. Revision av våra rutiner genomförs årligen. Konsekvensen om statistik är felaktig kan dock bli stor. 1

5 Risk för att arbets- och uppdragsbeskrivningar samt arbetsuppgifter inte är kända av medarbetarna eller är otydligt utformade. Detta kan leda till att medarbetare arbetar med fel saker eller inte vet hur de ska prioritera bland arbetsuppgifterna. 6 Det finns risk för att verksamheten inte hinner anpassas vid en eventuell lagändring. Den kommunala verksamheten tenderar att bli mer och mer detaljstyrd via lagar och regler. 7 Risk för att de beslutsunderlag som förmedlas till politikerna är bristfälliga, vilket skulle kunna leda till att felaktiga beslut fattas eller att beslut fattas på felaktiga grunder. Brister kan föreligga vid målrapportering eller att informationen inte presenteras på ett optimalt sätt. Det kan också finnas risk för att felaktig information hämtas från system som inte har uppdaterats korrekt. 8 Risk för att arbetsuppgifter inte blir utförda eller görs på ett felaktigt sätt. Detta kan bero på den aktuella arbetsinstruktionen, att rutiner saknas, inte är kända eller inte följs av andra anledningar. En annan orsak kan vara att arbetsuppgiften utförs sällan av medarbetaren eller att arbetsuppgiften kräver särskild kompetens. 9 Risk för dubbelarbete mellan enheter och mellan förvaltningar alternativt att uppgifterna inte blir utförda. Om inte ansvarsfördelningen är tillräckligt tydlig när kommunen fördelar uppdrag och projekt finns det risk för att flera enheter/förvaltningar arbeta med samma saker varvid dubbelarbete kan uppstå. Resurser tas då i anspråk som skulle kunna användas till annat. 3 2 6 Risken bedöms som låg då internrevision av rutiner och processer genomförs årligen för att få uppföljning om dess efterlevnad. Avvikelser sätts och åtgärdas i de fall där avsteg finns. Medarbetarsamtal hålls. 2 3 6 Risken bedöms som låg då respektive chef prenumererar på uppdateringar i den lagstiftning som är speciell för verksamheten. Kommunövergripande kvalitets- och miljösamordnare bevakar miljölagstiftning via kommunledningskontoret och WSP. 2 2 4 Risken bedöms som liten då beslutsunderlag granskas av berörda innan de förmedlas vidare för att felaktigheter ska kunna identifieras. Rimlighetsbedömning görs vid inhämtning av systeminformation. 3 2 6 Risken bedöms som låg då internrevision av rutiner och processer genomförs årligen för att få uppföljning om dess efterlevnad. Avvikelser dokumenteras och åtgärdas i de fall där avsteg finns. Avsaknad av rutiner för moment som behöver styras identifieras. 2 3 6 Risken bedöms som störst mellan förvaltningar. När två förvaltningar är inblandade finns risk att beslut dröjer och att dubbelarbete sker. Dock så har nya reglementen tagits fram och driftats vilket bör göra sannolikheten låg. 2

10 Risk för bristande kunskap om ansvarsfördelning brandskydd mellan hyresgäst och förvaltningen. 2 3 6 Risken bedöms som låg då gränsdragningslista med ansvarsfördelning brandskydd är framtagen implementerad. Denna lista fylls i tillsammans hyresgäst/fastighetsförvaltare för alla nya och uppdaterade avtal. 11 Risk att brandskyddsronder inte utförs tertialvis enligt rutin och att då inte avvikelser upptäcks, åtgärdas och förebyggs. 12 Risk att driftskostnad inte tas i beaktande vid nya projekt. Life cycle cost (LCC) tänk saknas. 2 3 6 Brandskyddsamordnare skickar ut påminnelser om de ronder som ska utföras. Följs upp genom intern/extern ISO revision, samt vid årlig rapportering till kommunledningskontoret. 2 3 6 Sannolikheten bedöm som låg då frågan numera finns med i underlaget "Anmäla behov av investering inför beslut i kommunfullmäktige - blankett" samt att möte har införts tillsammans med samhällsbyggnadskontoret. Kontinuerliga möten hålls med samhällsbyggnadskontoret där förvaltningschef och produktionschef deltar. 13 Risk för otydlighet i ansvarsfördelning när det gäller att förvalta och utveckla kommunal mark och allmän platsmark. 2 3 6 Sannolikheten bedöm som låg då reglemente finns. 14 Risk för ökat driftsbehov samt att samfälligheter inte vill ansvara för enskilda vägar. 2 3 6 Sannolikheten bedöm som låg då process för hantering av enskilda vägar och bidrag finns. 15 Risk att kontrollpunkter i egenkontrollprogram för inte följs. 2 3 6 Sannolikheten bedöm som låg då rutiner och checklistor för egenkontroll används både hos kost och produktion (som är de verksamheter som omfattas av egenkontroll). Dessa följs upp vid externa och interna revisioner. 16 Risk för ammonikutsläpp från ishallens kylanläggning. 2 2 4 Risken bedöms som låg då rutin för besiktning och daglig kontroll finns. Larm finns. 17 Utegym - olycka på grund av undermålig utrustning 2 2 4 Risken bedöm som låg då årliga besiktningar genomförs vilket minskar risken för olycka. 18 Risk att person skadas till följd av felaktig kosthantering. 3 2 6 Risken bedöm som låg då egenkontrollprogram och rutiner finns för att säkerställa de parametrar som kan leda till att dessa typer av problem uppstår. Regelbundna kontroller av miljö och hälsa på samhällsbyggnadskontoret. 3

19 Risk att person med behov av specialkost får fel kost. 3 2 6 Skola/omsorg informerar kostverksamheten om behov av specialkost. Rutiner finns sedan framtagna för att säkerställa att felaktig kost inte serveras till de personer som är i behov av specialkost. 20 Risk att icke godkända kemikalier används hos kost och lokalvård. 21 Risk att icke tillräckligt effektiva kemikalier används vilket kan leda till smittspridning. 2 2 4 Risken bedöm som låg då kemikalier som får användas av verksamheten återfinns på kemikalielista och tas från centralförrådets sortiment. 2 2 4 Kemikalier som får användas av verksamheten återfinns på kemikalielista och tas från centralförrådets sortiment, därför bedöm risken som låg. 22 Risk att farligt avfall inte hanteras korrekt 2 3 6 Rutiner för hantering av avfall finns och är kommunicerade i verksamheten. Externa och interna ISO revisioner genomförs årligen. Verksamheter där det uppstår mycket farligt avfall har egna verksamhetsspecifika rutiner samt avtal för med Stena för omhändertagande. 23 Risk för ej hanterad/felaktigt hanterad felanmälan 2 2 4 Felanmälningar hanteras enligt rutin i streamflow vilket gör att risken bedöms som låg. 24 Risk i reglering av hyreskontrakt 2 3 6 Risken bedöms som låg då kontroll sker av att bevakningsrutinerna fungerar. 25 Risk att betalning inte sker enligt arbetsplan, mot utfört arbete och enligt betalningsplan där sådan finns upprättad. 2 2 4 Risken bedöms som låg då kontroll sker av att betalningsrutinen följs. 26 Det finns risk att attest sker i strid mot reglementet för verifikationer avseende jävs- och integritetsreglerna. Det finns risk att utbetalningar attesteras av fel person på grund av att attestförteckningarna inte är uppdaterade och kommunicerade med systemförvaltarna för ekonomisystem och verksamhetssystem. Det finns en risk att kontrakt/avtal skrivs på av andra än firmatecknare för Kalmar kommun. Detta kan leda till förtroendeskada och ekonomisk skada för kommunen i form av skadestånd/vite från kunder, leverantörer eller andra myndigheter. 3 3 9 Sannolikheten att detta sker bedöms som stor då det är många personer som hanterar verifikationer, fakturor och avtal. Konsekvensen om detta inträffar bedöms som allvarlig då detta kan leda till förtroendeskada eller ekonomisk skada för kommunen. Kontrollmoment: Avstämning av 5 fakturor/enhet per tertial. 4

27 Risk föreligger att kostnader inte redovisas enligt kommunbas13 och för att representation, kurser, och resor inte har korrekt dokumentation avseende syfte och deltagande. Det finns också risk att leverantörsfakturor inte betalas i tid. 4 3 12 Sannolikheten att detta inträffar bedöms som mycket stor då hantering av leverantörsfakturor sker av ett stort antal personer och flertalet av dessa har inte detta som sin huvudsakliga arbetsuppgift. Konsekvensen om detta inträffar bedöms bli allvarlig då detta kan leda till ökade kostnader för kommunen i form av räntor och påminnelseavgifter samt att redovisningen inte är tillförlitlig vilket kan leda till att beslut fattas på felaktiga grunder. Kontrollmoment: Uppföljning av förfallna fakturor månadsvis samt avstämning av 5 fakturor/enhet per tertial för representation, kurser och resor. 28 Det finns risk för att redovisningen och underlagen till denna brister. Främst avser detta bokföringsorder. Det finns också risk för brister i rättelser som inte kan härledas samt balanskonton som inte avstäms regelbundet. 29 Det finns risk för att fakturering inte sker i rätt tid eller inte alls och att debiterade avgifter inte följer beslutade taxor eller avtal. Detta kan leda till ökad administration när rättelser måste ställas ut och förtroende för kommunen kan skadas. Det kan också innebära förlorade intäkter. 3 3 9 Sannolikheten att detta skulle inträffa bedöms som stor då rättelse av fel och löpande redovisning sköts av ett flertal personer. Sannolikheten att dokumentationen brister bedöms också som stor utifrån tidigare genomförda kontroller. Konsekvensen om detta inträffar bedöms som allvarlig då detta kan leda till att beslut fattas på felaktiga grunder samt att kommunen bryter mot gällande lagstiftning. Kontrollmoment: Avstämning av balanskonto görs tertialvis för förrådet. 3 3 9 Sannolikheten att det finns brister i hanteringen av kundfakturering bedöms som stor då det kan hända några gånger om året. Den största delen av faktureringen sker i försystem utifrån förbrukning och här är sannolikenheten mindre om gällande rutiner följs. Sannolikheten att detta skulle inträffa är störst vad gäller ströfakturering där inget försystem initierar fakturering utan den initieras av en tjänsteperson. Konsekvensen bedöms bli allvarlig eller få stor påverkan på verksamheten om vi inte fakturerar i rätt tid eller till fel belopp eller glömmer att fakturerar helt. Felaktig fakturering leder till ökad administration om vi måste göra kreditar och att förtroende för kommunen skadas. Vi kan också förlora intäkter p g a detta vilket kan påverka verksamheten. Kontrollmoment: Tertialvis kontroll på verksamheterna att fakturor skickats ut. 5

30 Det finns risk för att diarieföring, arkivering, bevarande och gallring inte sker enligt gällande lagstiftning och våra antagna dokumenthanteringsplaner. Lagstiftningen är komplex och gråzoner finns. Osäkerhet kan finnas avseende dokumenthanteringsplaner och lagstiftningens krav på registrering av allmänna handlingar. 31 Det finns risk för att informationen som kommunen vill kommunicera inte når fram eller inte tas emot då det finns flera olika informationskanaler. Risken ökar också i och med att informationsflödet är högt i samhället och det kan vara fel tid att informera, fel informationskanal eller missar målgruppen av annan anledning. Det finns också risk för att kommunikationen inte sker på det mest kostnadseffektiva sättet. 3 3 9 Sannolikheten att kommunen skulle bryta mot lagstiftningen bedöms som stor då osäkerhet finns hos personalen om vad som ska diarieföras och inte samt vad som ska gallaras och inte. Utbildning och information sker till personal varmed sannolikheten bedöms som lägre än tidigare år. Konsekvensen om kommunen bryter mot lagen bedöms som stor och kan leda till allvarlig förtroendeskada för kommunen. Det är också allvarligt om dokument som ska diarieföras/bevaras inte återfinns. Kontrollmoment: Sticksprovkontroll att dokumenthanteringsplanen följs hos enheterna i samband med intern revision. 3 3 9 Sannolikheten att detta skulle inträffa bedöms som stor då informationsflödet är högt i samhället och informationskanalerna är många. Konsekvensen om detta skulle inträffa bedöms som allvarlig då påverkan på verksamheten kan bli stor beroende på vad som informeras om. Kontrollmoment: Granskas vid intern revision. 32 Felaktig behörighet i IT-system riskerar att leda till sekretessbrott och andra överträdelser av befogenheter. 3 3 9 Sannolikheten att detta ska inträffa bedöms som stor. Behörigheter sätts idag helt utan automatik vilket borgar för misstag vid behörighettilldelning samt att förändringar inte hanteras enligt gällande rutiner. Detta innebär i sin tur att felaktiga behörigheter kan finnas utan möjlighet till uppföljning. Det är också svårt att följa upp att behörigheter rensas när medarbetare slutar eller byter tjänst. Konsekvensen bedöms som allvarlig då det kan leda till lagbrott och överträdelser av befogenheter. Kontrollmoment: Kontroll av behörighet följs upp i samband med internrevision. 33 Risk att tillbud och olyckor inte rapporteras 3 2 6 Regelbunden information vid samverkansmöten om vikten att rapportera tillbud och olyckor gör att risken bedöms som låg. 6

34 Personalkostnader utgör den andelsmässigt största delen av kommunens kostnader, cirka 80% Processer från anställning till utbetald lön innefattar flera steg beroende av den mänskliga faktorn. I de fall processerna inte följs eller blivit föråldrade kan detta generera fel vid löneutbetalningar eller få stor påverkan för den anställde eller arbetsgivaren. Det finns risk att frånvaro såsom sjukfrånvaro, semester och föräldraledighet inte rapporteras som det ska. Det finns också risk att redovisningen av lönen blir fel 3 3 9 Sannolikheten att lönehanteringen skulle bli felaktig bedöms som stor då många moment kräver handpåläggning och det finns då risk för fel beroende av den mänskliga faktorn. Konsekvensen bedöms bli allvarlig då detta kan påverka kommunens förtroende samt i vissa fall den anställdes ekonomi. En felaktig hantering kan leda till att fel lön utbetalas och att beslut fattas på felaktiga grunder om redovisningen av lönen hanterats fel. Kontrollmoment: Serviceförvaltningens del i detta kontrolleras i samband med internrevision. 35 Det finns risk att kommunen inte kan rekrytera personal eller behålla personal med rätt kompetens. Många yrkesgrupper är starkt eftertraktade på arbetsmarknaden och konkurrensen från andra organisationer är hög. Kommunen måste tillse att vara en attraktiv arbetsgivare samt att kommunens verksamheter är i ständig förändring med nya lagstadgade krav. Kommunen måste kontrollera att kompetensutveckling av personalen sker i den utsträckning som behövs för att klara yrkesrollen som annars kan leda till ökade avvikelser, lägre effektivitet och övriga kvalitetsbrister. 3 3 9 Sannolikheten bedöms som stor eftersom kraven på våra verksamheter förändras ofta och behov av personal med uppstår nästan varje dag i en kommun. Konsekvensen om vi inte klarar av att säkerställa personalförsörjningen bedöms ha en allvarlig påverkan på verksamheten då avsaknad av personal med rätt kompetens kan betyda att kommunens mål inte nås. Kontrollmoment: Behov av kompetensförsörjning följs upp tertialvis i ledningsgrupp. 7

36 Det finns risk för att kraven i det systematiska arbetsmiljöarbetet inte uppfylls. Enligt arbetsmiljölagen är arbetsgivaren huvudansvarig för arbetsmiljön och arbetsförhållanden på arbetsplatsen. Arbetsmiljön gäller både fysiska som psykosociala förhållanden. En god arbetsmiljö ger engagerade medarbetare som bidrar till verksamhetens kvalitet, resultat och mål 3 3 9 Sannolikheten att kommunen som organisation inte kan uppfylla kraven i det systematiska arbetsmiljöarbetet i sin helhet bedöms som stor då kommunen har en omfattande verksamhet med flera olika arbetsställen och mycket personal. Konsekvensen om kraven i det systematiska arbetsmiljöarbetet inte uppfylls bedöms ha allvarlig påverkan på verksamheten i form av minskad trivsel, ökad sjukfrånvaro, högre personalomsättning samt ökad risk för tillbud och arbetsskador. Detta kan leda till bristande måluppfyllelse, minskad kvalitet och sämre resultat i kommunens verksamheter. Kontrollmoment: Årlig utvärdering av SAM enkät samt genomförande av SAM årshjul. 37 Risk för dolda fel i byggkonstruktion. Kan visa sig plötsligt efter lång tid och kräva omedelbar åtgärd. Detta påverkar i sin tur övrigt planerat underhåll. Fel kan även uppstå efter frekvent användande och därför upprättas förebyggande underhållsplaner och prioriteringar görs efter allvarlighetsgrad. 38 Lagen om offentlig upphandling gör att leverantörer varierar per projekt. Varje leverantör använder sina fabrikat. Detta göra att fastighetsservice ständigt måste hålla kompetens och reservdelslager för många fabrikat. 2 3 6 Risken bedöms som låg då rutiner finns för hantering vid upptäckt av dolda fel. 3 2 6 Risken bedöms som låg då rutiner finns för att hantera fabrikatsfloran. 39 Att larm inte finns på fastighet kan leda till skada på egendom och person 40 Risk att bristande överlämning från bygg till drift leder till felaktiga grunder för garantitider och besiktningar 3 2 6 Den rutin finns ej idag är ej tydliggjord, men kommer att bli i och med ny larmpolicy. Dock så görs en bedömning hos fastighet vilket för att risken bedöms som låg. Vad gäller inbrottslarm är det verksamheten som gjort bedömning själva. 3 2 6 Risken bedöms som låg då rutiner för överlämning finns. 8

41 Det finns risk för att inköp inte sker enligt de avtal som kommunen tecknat. Samtliga avtal finns inte samlade i systemstöd och vilka avtal som tecknats kanske inte är känt av de som gör inköp. Det finns också risk för att tecknade avtal inte sägs upp i tid, omförhandlas eller förlängs då de återfinns på olika ställen och inte är samlade i systemstöd. 4 3 12 Sannolikheten att avtal inte följs, sägs upp i tid eller förlängs bedöms som mycket stor då inköp sköts av flera olika personer på förvaltningen och därmed ökar risken att avtalen inte är kända. I riskanalysen har också framkommit att samtliga avtal inte finns samlade i systemstöd vilket ökar sannolikheten för brister i hanteringen (mänskliga faktorn). Konsekvensen om kommunen inte följer avtal, säger upp dem i tid eller förlänger dem bedöms ha stor påverkan på verksamheten och kan leda till förtroendeskada och ekonomisk skada. Kontrollmoment: Kontroll av fem fakturor per verksamhet för uppföljning av avtalstrohet per tertial. Uppföljning halvårsvis av antal fakturor icke avtalsleverantörer som förvaltningen handlat från. 42 Det finns risk för att direktupphandling inte görs enligt gällande lagkrav. Lagens krav är inte kända hos alla som gör inköp. Det finns också risk att de direktupphandlingar som görs inte redovisas till upphandlingsenheten. 3 3 9 Sannolikheten att reglerna för direktupphandling inte följs bedöms som stor då det är många personer som gör inköp och kunskapen om gällande lagstiftning varierar. Sannolikheten att genomförd direktupphandling inte redovisas till upphandlingsenheten bedöms också som stor då dessa rutiner inte är kända i verksamheten samt på grund av den mänskliga faktorn. Konsekvensen om direktupphandling inte sker eller redovisas bedöms som allvarlig då detta kan leda till ekonomiska skada för kommunen samt förtroendeskada. Kontrollmoment: Följs upp via intern revision under våren 2019 samt stickprovskontroll av 10 direktupphandlingar i våra verksamheter under hösten 2019. 9

43 Kalmar kommun har antagit riktlinjer mot mutor och jäv samt tillhörande handlingsplan som en del i ett aktivt förebyggande arbete. Det finns risk för att dessa inte följs. För att ytterligare förebygga oegentligheter skall varje nämnd bedöma risken för mutor, jäv och oegentligheter inom sin verksamhet. Ett aktivt, förebyggande arbete mot korruption i kommunal verksamhet skyddar medborgarna mot slöseri och ineffektivitet. Medborgarnas förtroende för kommunen fordrar att de anställda och förtroendevalda inte påverkas av ovidkommande önskemål, mutbrott, favorisering av en enskild leverantör eller ovidkommande hänsyn i tjänsteutövningen. 3 3 9 Sannolikheten för att detta skulle inträffa bedöms som stor då kommunen har en omfattande verksamhet, hanterar många inköp och har många anställda. Konsekvensen anses bli allvarlig eftersom det skulle innebära enorma förluster i såväl kapital som anseende om detta skulle inträffa. Det är lätt att skada förtroendet för en verksamhet men mödosamt och tidsödande att bygga upp igen. Kontrollmoment: Följs upp via intern revision. 44 Risk att transporter sker utanför gällande lagstiftning. 2 2 4 Risken bedöms som låg då transportchef och chaufförer har adekvat utbildning som uppdateras kontinuerligt för att säkerställa att lagkrav följs. 45 Risk att inte trafikvärdiga fordon släpps ut till förvaltningarna. 2 3 6 Risken bedöms som låg då verkstad gör kontinuerlig service på kommunens fordon som ingår i leasingflottan. 10

Reglemente för intern kontroll Antaget av kommunfullmäktige den 18 december 2000, 256. Ändringar beslutade den 30 november 2015, 199. Definition av intern kontroll 1 Definition Intern kontroll definieras som en process, där såväl den politiska ledningen som övrig personal samverkar. Processen ska vara utformad så att kommunen med rimlig grad av säkerhet kan göra en avvägning mellan kontrollkostnad och kontrollnytta. Risker, det vill säga osäkerhet i kommunens framtida verksamhet och ekonomiska resultat ska lyftas upp och bedömas. Vid bedömning av kontrollnytta ska inte endast ekonomiska faktorer vägas in, utan även vikten av att upprätthålla förtroendet för kommunens verksamhet hos olika intressenter. En god intern kontroll ska tillse att; Kommunen har en ändamålsenlig och kostnadseffektiv verksamhet vilket bland annat innebär att ha kontroll över ekonomi, prestationer och kvalité samt att säkerhetsställa att fattade beslut verkställs och följs upp i förhållande till kommunens mål. Kommunen har tillförlitlig finansiell rapportering och information om kommunens verksamheter vilket innebär att nämnder har tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av kommunens prestationer avseende kvantitet och kvalitet samt övrig relevant information om kommunens verksamhet och resursandvändning. Kommunen har efterlevnad av tillämpliga lagar, förordningar samt interna regelverk samt ingångna avtal med olika parter. Organisation av intern kontroll 2 Kommunstyrelsen Kommunstyrelsen har det övergripande ansvaret för att se till att det finns intern kontroll inom kommunens verksamheter. Kommunstyrelsen ska utifrån reglementet utfärda riktlinjer för den egna interna kontrollens organisation, utformning och funktion samt tillse att den utvecklas utifrån kommunens behov. Adress Box 611, 391 26 Kalmar Besök Östra Sjögatan 18 Tel 0480-45 00 00 vx

3 Nämnderna Nämnderna har det yttersta ansvaret för att organisera den interna kontrollen inom sitt verksamhetsområde. Nämnden ska också, i syfte att åstadkomma en god intern kontroll, dokumentera och anta regler och anvisningar som kan behövas för den nämndspecifika verksamheten. I övrigt ska kommunövergripande riktlinjer, reglementen, policydokument och regler gälla. Uppföljning av intern kontroll 4 Nämndens skyldigheter Nämnden har en skyldighet att löpande följa upp det interna kontrollsystemet inom nämndens verksamhetsområde. 5 Intern kontrollplan Nämnden ska senast under november månad varje år anta en intern kontrollplan baserat på riskanalyserna för kommande års uppföljning/granskning av den interna kontrollen. 6 Uppföljning av intern kontroll Resultatet av uppföljningen ska, med utgångspunkt från den antagna kontrollplanen, löpande rapporteras till nämnden. 7 Nämndens rapporteringsskyldighet Nämnden ska senast i samband med upprättandet av årsrapporten rapportera resultatet från uppföljningen av den interna kontrollen till kommunstyrelsen. Rapportering ska samtidigt ske till kommunens revisorer 8 Kommunstyrelsens skyldigheter Kommunstyrelsen ska med utgångspunkt från nämndernas uppföljningsrapporter utvärdera kommunens samlade system för intern kontroll. I de fall förbättringar behövs ska styrelsen besluta om sådana. Övergångsbestämmelser Detta reglemente skall gälla fr.o.m. den 1 december 2015. Under år 2015 ska gälla att den interna kontrollplan som nämnderna ska anta senast under november enligt 5 i reglementet istället ska antas senast under april månad 2016.

KOMMUNGEMENSAM VERKSAMHETSHANDBOK Fastställt av Dokumentansvarig Datum Kommunstyrelsen Redovisningschef Anna Johansson 2017-05-02 1 (4) Riktlinjer för intern kontroll Intern kontroll definiera som en process, där såväl den politiska ledningen, nämnderna och personal samverkar. Processen ska vara utformad så att kommunen med rimlig grad av säkerhet kan göra en avvägning mellan kontrollkostnad och kontrollnytta. Risker, det vill säga osäkerhet i kommunens framtida verksamhet och ekonomiska resultat ska lyftas upp och bedömas. Vid bedömning av kontrollnytta ska inte endast ekonomiska faktorer vägas in, utan även vikten av att upprätthålla förtroendet för kommunens verksamhet hos olika intressenter. En god intern kontroll ska tillse att: Kommunen har en ändamålsenlig och kostnadseffektiverksamhet vilket bland annat innebär att ha kontroll över ekonomi, prestationer och kvalité samt att säkerhetsställa att fattade beslut verkställs och följs upp i förhållande till kommunens mål. Kommunen har tillförlitlig finansiell rapportering och information om kommunens verksamheter vilket innebär att nämnder och verksamhetsansvariga ska ha tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av kommunens prestationer avseende kvantitet och kvalitet samt övrig relevant information om kommunens verksamhet och resursandvändning. Kommunen har efterlevnad av tillämpliga lagar, förordningar samt interna regelverk samt ingångn avtal med olika parter. Riskanalys Kalmar kommun hanterar olika risker och för att hantera dessa ska nämnder systematiskt arbeta med riskanalyser. Ett systematiskt arbetssätt med riskanalyser ska öka riskmedvetenheten i kommunens verksamheter. Nämnden ska som grund för sin styrning anta en riskanalys och därtill ansvara för att årligen utvärdera den. Om nämndens verksamhet eller andra omständigheter utvecklaså att riskbilden förändras ska en ny riskanalys genomföras. Riskanalys är en självskattning och för att få ett så rättvisande resultat som möjligt är det en fördel om fler kompetenser samverkar. Riskanalysen innehåller fem riskkategorier. Med utgångspunkt från nedanstående riskkategorier ska nämnderna göra en riskanalys. Risker kan inte alltid förhindras men det måste finnas en rimlig beredskap för hur de ska hanteras. Ekonomi Övrigt

2 (4) Stödprocessen skall hanteras i processgruppermed sakkunniga från varje förvaltning, sammankallande för gruppen är kommunledningskontoret. Risker som identifieras och bedöms i processgruppen blir obligatoriska risker för samtliga nämnder. Till varje risk kopplas en eller flera kontrollmoment som säkerhetsställer att kontroller utförs och dokumenteras i tillräcklig omfattning inom varje nämnd. Vid behov kan nämnderna komplettera med ytterligare specifika risker/kontrollmoment utöver de risker/ kontrollmoment som identifierats i processgruppen. Kalmar kommuns riskkategorier Omvärldsrisk Omvärldsrisker kan utgöras av större händelser som kan påverka nämndens verksamhet och mål. Verksamhetsrisker Verksamhetsriskerna är de risker som är kopplade till nämndernas mål, det vill säga vilka risker kan förhindra att nämnden når målen. Det är även viktigt att beakta de risker som finns att verksamheten inte bedrivs på ett effektivt sätt. Legala risker Legala risker utgörs av riskerna om nämnden inte följer gällande lagstiftning eller gällande regler i övrigt. Om nämnden inte efterlever gällande lagar och regler kan det få ekonomiska konsekvenser eller leda till att förtroendet skadas. I T-risk Brister i verksamhetens informationssystem och hantering kan få oönskade effekter och det är viktigt att definiera de system som har en avgörande betydelse för verksamheten. Risker i rapportering Risken för att räkenskaperna inte är rättvisand eller tillförlitliga i övrigt är en redovisningsrisk, alternativt bortfall av övrig relevant information vilket kan leda till att beslut fattas på felaktiga grunder. Kalmar kommuns huvudprocesskarta Ledningsprocesser Fastställa mål och fördela resurser, organisera, leda och följa upp verksamhet. Huvudprocesser Allmänt främja Kalmars näringsliv, bedriva samhällsskydd och säkerhetsarbete, bidra till individers utveckling och lärande, främja ett rikt kultur och fritidsliv, förvalta och utveckla det fysiska samhället, ansvara för vård, omsorg och sociala tjänster, värna om miljö och hälsa. Stödprocesser Hantera ekonomi, hantera ärende och dokument, informera och kommunicera, leverera IT-Stöd, rekrytera, utveckla och avveckla personal, stödja och utveckla den demokratiska processen, tillhandahålla lokaler, tillhandahålla varor och tjänster.

3 (4) Metod för att utföra riskanalys A. Identifiera riskerna Identifiera de händelser/situationer som kan få konsekvenser för verksamheten utifrån respektive process och riskkategori. Fyll i händelser och skada/påverkan i Kalmar kommuns systemstöd för intern kontroll, Hypergene. B. Bedöm riskerna Bedöm sannolikheten för att skada/påverkan inträffar samt konsekvensen om skada/påverkan inträffar. Sannolikheten ska sedan multipliceras med konsekvensen som ger ett riskvärde. Sannolikhet Frågeställning: Hur stor är sannolikheten för att skada/påverkan inträffar? 1 poäng Mycket liten Kan hända med minst 10 års mellanrum 2 poäng Liten Kan hända med några års mellanrum 3 poäng Stor Kan hända några gånger om året 4 poäng Mycket stor Kan hända varje vecka Konsekvens Frågeställning: Vad är konsekvensen om skada/påverkan inträffar? 1 poäng Mycket liten Mindre skada eller påverkan 2 poäng Liten Begränsad skada eller påverkan 3 poäng Stor Allvarlig skada eller påverkan 4 poäng Mycket stor Mycket allvarlig skada eller påverkan Beslut om åtgärder Om riskvärdetblir 9 poäng eller högre eller om konsekvensenbedöms som 4:a, ska kontrollmoment alltid anges och i de fall risken redan inträffat vid riskanalysen skall en aktivitet för att åtgärda risken anges. Riskvärderingen ska utgå från varje process och varje riskkategori var för sig och inte ställas mot varandra vid värdering av konsekvens.

4 (4) C. Intern kontrollplan Som ett resultat av genomförd riskanalyska nämnden upprätta en intern kontrollplan och i planen anges de kontrollmoment och aktiviteter som ska syfta till att upptäcka samt undvika oavsiktliga eller avsiktliga fel i nämndens verksamheter Den interna kontrollplanen med tillhörande riskanalyska innehålla: Risk med beskrivning och riskvärdering (Exempel risk för att arbetsuppgifter inte blir utförda eller görs på ett felaktigt sätt). Riskkategori (Exempel verksamhetsrisk). Ansvarig (Exempel Erik Karlsson). Riskvärde med sannolikhat och konsekvens angivna (Exempel riskvärde 9, sannolikhet 3, konsekvens 3) samt motivering till angivna värden. Kontrollmoment/Titel (Exempel dokumentation av arbetsuppgifter). Beskrivning/Metod/Frekvens (Exempel enhetscheferna ansvarar för att väsentligarbetsuppgifter dokumenteras och instruktioner upprättas. Genomgång och aktualitetskontroll samtliga befintliga rutiner. D. Uppföljning av intern kontroll All rapportering och rapportuppföljning ska ske med hjälp av Kalmar kommuns systemstöd för intern kontroll samt i enlighet med framtagen instruktioner i verksamhetshandboken; Hypergene- registrering och uppföljning av intern kontroll, riskanalys. Nämnden följer upp den interna kontrollen löpande I samband med upprättande av nämnds årsrapport för det gångna året biläggs rapporten Internkontroll uppföljning processer Kommunsstyrelsen får senast i maj en uppföljning av kommunledningskontoret med en samlad bedömning av nämndernas arbete med intern kontroll i de olika processerna. Rapporten ska också vid behov innehålla förslag på förbättringar.