TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Anna Johansson 2015-10-20 KS 2015/0918 50101 Kommunfullmäktige/Kommunstyrelsen Reglemente för intern kontroll samt riktlinjer för intern kontroll Förslag till beslut I kommunfullmäktige: Kommunfullmäktige godkänner förslag till reglemente för intern kontroll. I kommunstyrelsen: Kommunstyrelsen antar riktlinjer för intern kontroll. Bakgrund Reglementet för intern kontroll beslutades senast av kommunfullmäktige år 2000. Reglementet har nu uppdaterats med en definition av intern kontroll samt förändringar i organisationen av intern kontroll. Definitionen beskriver hur kontrollen ska utformas samt vad som är god intern kontroll för Kalmar kommun. Reglementet har också uppdaterats med att kommunstyrelsen ska, utifrån reglementet, utfärda riktlinjer för den interna kontrollen. Ett förslag på riktlinjer för intern kontroll har därför tagits fram där organisation, utformning och funktion beskrivs. Syftet med att definiera intern kontroll och ta fram riktlinjer är ett led i förnyat arbetsätt med systematiska riskanalyser som ska ligga till grund för nämndernas internkontrollplaner. Anna Johansson Redovisningschef Bilagor Reglemente för intern kontroll Kommunledningskontoret Ekonomienheten Adress Box 611, 391 26 Kalmar Besök Östra Sjögatan 18 Tel 0480-45 00 00 vx Fax 480-45 00 47 Anna.A.Johansson@kalmar.se
KS 2015/0918 2 (2) Riktlinjer för intern kontroll
Reglemente för intern kontroll. Definition av intern kontroll 1 Definition Intern kontroll definieras som en process, där såväl den politiska ledningen som övrig personal samverkar. Processen ska vara utformad så att kommunen med rimlig grad av säkerhet kan göra en avvägning mellan kontrollkostnad och kontrollnytta. Risker, det vill säga osäkerhet i kommunens framtida verksamhet och ekonomiska resultat ska lyftas upp och bedömas. Vid bedömning av kontrollnytta ska inte endast ekonomiska faktorer vägas in, utan även vikten av att upprätthålla förtroendet för kommunens verksamhet hos olika intressenter. En god intern kontroll ska tillse att; Kommunen har en ändamålsenlig och kostnadseffektiv verksamhet vilket bland annat innebär att ha kontroll över ekonomi, prestationer och kvalité samt att säkerhetsställa att fattade beslut verkställs och följs upp i förhållande till kommunens mål. Kommunen har tillförlitlig finansiell rapportering och information om kommunens verksamheter vilket innebär att nämnder har tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av kommunens prestationer avseende kvantitet och kvalitet samt övrig relevant information om kommunens verksamhet och resursandvändning. Kommunen har efterlevnad av tillämpliga lagar, förordningar samt interna regelverk samt ingångna avtal med olika parter. Organisation av intern kontroll 2 Kommunstyrelsen Kommunstyrelsen har det övergripande ansvaret för att se till att det finns intern kontroll inom kommunens verksamheter. Kommunstyrelsen ska utifrån reglementet utfärda riktlinjer för den egna interna kontrollens organisation, utformning och funktion samt tillse att den utvecklas utifrån kommunens behov. Adress Box 611, 391 26 Kalmar Besök Östra Sjögatan 18 Tel 0480-45 00 00 vx
3 Nämnderna Nämnderna har det yttersta ansvaret för att organisera den interna kontrollen inom sitt verksamhetsområde. Nämnden ska också, i syfte att åstadkomma en god intern kontroll, dokumentera och anta regler och anvisningar som kan behövas för den nämndspecifika verksamheten. I övrigt ska kommunövergripande riktlinjer, reglementen, policydokument och regler gälla. Uppföljning av intern kontroll 4 Nämndens skyldigheter Nämnden har en skyldighet att löpande följa upp det interna kontrollsystemet inom nämndens verksamhetsområde. 5 Intern kontrollplan Nämnden ska senast under november månad varje år anta en intern kontrollplan baserat på riskanalyserna för kommande års uppföljning/granskning av den interna kontrollen. 6 Uppföljning av intern kontroll Resultatet av uppföljningen ska, med utgångspunkt från den antagna kontrollplanen, löpande rapporteras till nämnden. 7 Nämndens rapporteringsskyldighet Nämnden ska senast i samband med upprättandet av årsrapporten rapportera resultatet från uppföljningen av den interna kontrollen till kommunstyrelsen. Rapportering ska samtidigt ske till kommunens revisorer 8 Kommunstyrelsens skyldigheter Kommunstyrelsen ska med utgångspunkt från nämndernas uppföljningsrapporter utvärdera kommunens samlade system för intern kontroll. I de fall förbättringar behövs ska styrelsen besluta om sådana. Övergångsbestämmelser Detta reglemente skall gälla fr.o.m. den 1 december 2015. Under år 2015 ska gälla att den interna kontrollplan som nämnderna ska anta senast under november enligt 5 i reglementet istället ska antas senast under april månad 2016.
KOMMUNLEDNINGSKONTORETS VERKSAMHETSHANDBOK Fastställt av Dokumentansvarig Datum 1 (5) Riktlinjer för intern kontroll Intern kontroll definieras som en process, där såväl den politiska ledningen som övrig personal samverkar. Processen ska vara utformad så att kommunen med rimlig grad av säkerhet kan göra en avvägning mellan kontrollkostnad och kontrollnytta. Risker, det vill säga osäkerhet i kommunens framtida verksamhet och ekonomiska resultat ska lyftas upp och bedömas. Vid bedömning av kontrollnytta ska inte endast ekonomiska faktorer vägas in, utan även vikten av att upprätthålla förtroendet för kommunens verksamhet hos olika intressenter. En god intern kontroll ska tillse att; Kommunen har en ändamålsenlig och kostnadseffektiv verksamhet vilket bland annat innebär att ha kontroll över ekonomi, prestationer och kvalité samt att säkerhetsställa att fattade beslut verkställs och följs upp i förhållande till kommunens mål. Kommunen har tillförlitlig finansiell rapportering och information om kommunens verksamheter vilket innebär att nämnder och verksamhetsansvariga ska ha tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av kommunens prestationer avseende kvantitet och kvalitet samt övrig relevant information om kommunens verksamhet och resursandvändning. Kommunen har efterlevnad av tillämpliga lagar, förordningar samt interna regelverk samt ingångna avtal med olika parter. Riskanalys Kalmar kommun hanterar olika risker och för att hantera dessa ska nämnder systematiskt arbeta med riskanalyser. Ett systematiskt arbetssätt med riskanalyser ska öka riskmedvetenheten i kommunens verksamheter. Nämnden ska som grund för sin styrning anta en riskanalys och därtill ansvara för att årligen utvärdera den. Om nämndens verksamhet eller andra omständigheter utvecklas så att riskbilden förändras ska en ny riskanalys genomföras.
2 (5) Riskanalys är en självskattning och för att få ett så rättvisande resultat som möjligt är det en fördel om fler kompetenser samverkar. Riskanalysen innehåller fem riskkategorier. Med utgångspunkt från nedanstående riskkategorier ska nämnderna göra en riskanalys. Risker kan inte alltid förhindras men det måste finnas en rimlig beredskap för hur de ska hanteras. Kalmar kommuns riskkategorier Omvärldsrisk Omvärldsrisker kan utgöras av större händelser som kan påverka nämndens verksamhet och mål. Verksamhetsrisker Verksamhetsriskerna är de risker som är kopplade till nämndernas mål, det vill säga vilka risker kan förhindra att nämnden når målen. Det är även viktigt att beakta de risker som finns att verksamheten inte bedrivs på ett effektivt sätt. Legala risker Legala risker utgörs av riskerna om nämnden inte följer gällande lagstiftning eller gällande regler i övrigt. Om nämnden inte efterlever gällande lagar och regler kan det få ekonomiska konsekvenser eller leda till att förtroendet skadas. IT-risk Brister i verksamhetens informationssystem och hantering kan få oönskade effekter och det är viktigt att definiera de system som har en avgörande betydelse för verksamheten. Risker i rapportering Risken för att räkenskaperna inte är rättvisande eller tillförlitliga i övrigt är en redovisningsrisk, alternativt bortfall av övrig relevant information vilket kan leda till att beslut fattas på felaktiga grunder. Metod för att utföra riskanalys Identifiera riskerna Identifiera de händelser/situationer som kan få konsekvenser för verksamheten utifrån respektive riskkategori. Fyll i händelser och skada/påverkan på blanketten riskanalys. Bedöm riskerna Bedöm sannolikheten för att skada/påverkan inträffar samt konsekvensen om skada/påverkan inträffar. Sannolikheten ska sedan multipliceras med konsekvensen som ger ett risktal.
3 (5) Sannolikhet Frågeställning: Hur stor är sannolikheten för att skada/påverkan inträffar? 1 poäng Mycket liten Kan hända med minst 10 års mellanrum 2 poäng Liten Kan hända med några års mellanrum 3 poäng Stor Kan hända några gånger om året 4 poäng Mycket stor Kan hända varje vecka Konsekvens Frågeställning: Vad är konsekvensen om skada/påverkan inträffar? 1 poäng Mycket liten Mindre skada eller påverkan 2 poäng Liten Begränsad skada eller påverkan 3 poäng Stor Allvarlig skada eller påverkan 4 poäng Mycket stor Mycket allvarlig skada eller påverkan Beslut om åtgärder Om risktalet blir 9 poäng eller högre, eller om konsekvensen bedöms som 4:a, ska åtgärd alltid anges på blanketten för riskanalys. Åtgärder för övriga risker noteras om det bedöms vara nödvändigt. Risktal 1-4 Grönt 6-8 Gult 9-16 Rött Intern kontrollplan Som ett resultat av genomförd riskanalys ska nämnden upprätta en intern kontrollplan och i planen anges de metoder och aktiviteter som ska syfta till att upptäcka samt undvika oavsiktliga eller avsiktliga fel i nämndens verksamheter Den interna kontrollplanen ska innehålla: Kontrollområde (Ex. 5.1 Brister i redovisningen) Kontrollmoment (Ex. Kontroll av redovisning avseende representation) Metod (Ex. stickprov på baskonto 71XXX och 644XX) Kontrollansvarig (Ex. nämndens ekonom) Frekvens av kontroller (Varje månad) Uppföljning av intern kontroll Nämnden följer upp den interna kontrollen löpande och ska årligen rapportera till kommunsstyrelsen. Rapporten ska följa upp antagen intern kontrollplan, utfallet per riskkategori och eventuellt vidtagna åtgärder. Rapporten ska också vid behov innehålla förslag på förbättringar.
4 (5) Definitioner Konsekvens Resultat av en olycka. Beskriver skador uttryckt i kvalitativa eller kvantitativa termer. Olycka En plötsligt negativ händelse som inträffar utan avsikt från de inblandade Risk Med risk avses sannolikheten för att en händelse ska inträffa samt de konsekvenser som följer av händelsen. Sannolikhet är ett mått på hur ofta eller hur troligt det är att en viss händelse inträffar. Risk blir produkten av både sannolikheten och konsekvensen (Risk=Sannolikhet * Konsekvens). En stor risk kan vara en händelse som inte inträffar särskilt ofta men har en stor konsekvens, till exempel en kärnkraftsolycka. En stor risk kan även vara en händelse som inte ger några katastrofala konsekvenser men som inträffar relativt ofta. Risk och sårbarhetsanalys Risk och sårbarhetsanalys är en process där risker, hot och sårbarheter identifieras och analyseras utifrån dess sannolikhet och konsekvens. Sannolikhet Ett mått på möjligheten att en viss händelse inträffar. Incident Händelse som äventyrar eller kunnat äventyra säkerheten i ett system, en verksamhet eller rutin, oavsiktligt eller avsiktligt åsidosättande av säkerhetsreglerna. Tillbud Ett tillbud är en händelse som kan ge eller skulle kunna ge upphov till skada, sjukdom, eller annan skadlig inverkan. Observera att även händelser av psykisk art kan vara tillbud till exempel hot eller trakasserier. Konsekvens Mått på följderna av en skadehändelse, uttryckt i kvalitativa och kvantitativa termer Risk Produkten av sannolikheten för att ett hot realiseras och därmed uppkommande skadekostnad. Riskanalys Process som identifierar säkerhetsrisker och bestämmer dess betydelse. Riskhantering
5 (5) Det övergripande arbetet med att skydda en verksamhets resurser och inkomstmöjligheter mot skador och förluster. Riskidentifiering Innebär en kartläggning av företagets riskmiljö och ger svar på frågan: Vilka risker har vi? Identifierade risker kan antingen accepteras eller åtgärdas. Hot Möjlig händelse som ger negativa konsekvenser för verksamheten.