1(6) Styrelsen för konsult- och service Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1. Syftet med den interna kontrollen Intern kontroll är primärt ett ledningsverktyg för både politisk ledning och förvaltningsledning. Den interna kontrollen kan definieras enligt följande 1 : Intern kontroll är en process där såväl den politiska som den professionella ledningen och övrig personal samverkar och som utformas för att med rimlig grad av säkerhet kunna uppnå följande mål: ändamålsenlig och kostnadseffektiv verksamhet tillförlitlig finansiell rapportering och information om verksamheten efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer mm. Det huvudsakliga syftet med intern kontroll är att säkerställa att de av fullmäktige fastställda målen uppfylls. En väl fungerande organisation för intern kontroll bör utgå från styrelsens ansvar och utformas så att trygghet och säkerhet skapas i verksamheten. I den interna kontrollen ingår att: Skapa ändamålsenliga och väl dokumenterade system och rutiner. Säkra en rättvisande och tillfredställande redovisning och information om verksamheten i övrigt. Säkerställa att lagar, policy, reglementen m.m. tillämpas Skydda mot förluster eller förstörelse av kommunens tillgångar Eliminera eller upptäcka allvarliga fel. Ett bra system för intern kontroll motverkar fel, oavsiktliga eller avsiktliga, som görs i det dagliga arbetet. Det är viktigt att de interna kontrollsystemen är uppbyggda på ett sådant sätt att de kan integreras i den ordinarie organisationen och dess processer. Intern kontroll skall 1 Definition enligt COSO-modellen för intern kontroll. COSO är en förkortning på den modell som ursprungligen utvecklades i USA av två stora organisationer inom redovisning och revision (American Institute of Management Accounting och Financial Executive Institute) Modellen försöker definiera begreppet intern kontroll, föreslå en struktur samt ge en beskrivning av de komponenter som ingår i den interna kontrollen. Modellen används i Sverige av KOMREV vid revision av den interna kontrollen i offentliga organisationer.
2(6) uppfattas som en naturlig del i de olika verksamhetsprocesserna och vara en ständigt pågående process. 2. Ansvaret för den interna kontrollen Varje nämnd/styrelse ansvarar enligt kommunallagen 6 kap. 7 för den interna kontrollen inom sitt verksamhetsområde. Nämndernas ansvar inom Gotlands kommun framgår av Regler för styrning och uppföljning i Gotlands kommun, fastställt av fullmäktige den 17 mars 2003. Nämnderna ansvarar för att en god intern kontroll skapas och att uppföljning sker inom nämndens verksamhetsområde. Nämnden skall upprätta en årlig eller flerårig plan för den interna kontrollen och genomföra relevanta kontrollåtgärder. Det är den enskilda nämnden som utformar anvisningar för den interna kontrollens organisation, utformning och funktion. Revisorerna har enligt kommunallagen bl.a. som uppgift att pröva om den kontroll som utövas inom nämnderna är tillräcklig. Förvaltningschefen svarar inför nämnden för den verkställande ledningen av förvaltningen och att tillräckliga initiativ tas för att åstadkomma och upprätthålla en god intern kontroll, bl.a. att tillräckliga kontrollmoment finns inom förvaltningen. Ledare och medarbetare skall vara medvetna om vikten av en god intern kontroll, samt bidra till att en god intern kontroll upprätthålls. 3. Hur vi uppnår en god intern kontroll inom KSK 3.1 Kontrollmiljön - grunden för en god intern kontroll Grunden för en god intern kontroll är en väl fungerande kontrollmiljö. Det handlar kort uttryckt om att skapa en kultur där samtliga, så väl politiker, ledare och medarbetare är förtrogna med vilka spelregler som gäller. Samtidigt gäller det att skapa en kultur där mål, riktlinjer och policies efterlevs, samt att ansvar och befogenheter är klart definierade. För att säkerställa en effektiv organisation och god kontrollmiljö förutsätts bl.a: Tydliga och mätbara mål Tydliga regler och policies Tydligt definierade ansvar och befogenheter En relevant och rätt riktad information och kommunikation En viktig förutsättning för en effektiv intern kontroll är dessutom att det finns en väl fungerande information och kommunikation inom förvaltningen. Den information som krävs för att styra måste finnas tillgänglig för beslutsfattarna i rätt tid. En värdering av vad som är relevant information om enhetens ekonomi, prestation och kvalitet måste löpande ske.
3(6) Kontrollmiljö och kommunikation inom bedöms i huvudsak vara god. Modellen för styrning och uppföljning, balanserade styrkort, är väl förankrad i verksamheten och under 2006 kommer styrkortet ytterligare att förankras när nedbrytning sker till basenhetsnivå. Styrkortet ger tydliga målbilder och underlättar för beslutsfattarna att i sitt handlande se ett samband mellan ekonomi, prestationer och kvalitet. Att löpande mäta ekonomi, kvalitet och prestationer ger förutsättningar för helhetssyn. Ett utvecklat systemstöd finns för uppföljningen och förvaltningschef med stab träffar kontinuerligt enhetsledningarna i samband med delårsuppföljning. För att förtydliga och utveckla förvaltningens kommunikation skall en kommunikationsplan upprättas under 2006. Ansvar och befogenheter utgår från styrelsens delegationsordning och översyn av beslutsattestanter för ekonomi genomförs kontinuerligt. De policies och riktlinjer som tillämpas utgår från kommunens centrala dokument, men bryts i vissa fall ner ytterligare t.ex. inom delar av förvaltningens systematiska arbetsmiljöarbete. Kommunens revisorer genomförde under 2003 en revision av den interna kontrollen inom. I slutsatser och förslag till åtgärder kan följande läsas: Den sammanfattande bedömningen avseende den interna kontrollen vid konsult- och servicekontoret är att den i huvudsak är tillräcklig. Det nu pågående arbetet med att göra en dokumenterad riskanalys och en intern kontrollplan innebär att den interna kontrollen kommer att ytterligare förbättras. De förbättringar som då föreslogs innebar för förvaltningen en inriktning på fortsatt arbete med processkartläggning, rutinbeskrivningar, riskbedömningar och framtagande av lämpliga kontrollaktiviteter i syfte att ytterligare förbättra den interna kontrollen. 3.2 Att identifiera och bedöma risker Det finns alltid en risk att oönskade situationer inträffar i verksamheten, såväl avsiktliga som oavsiktliga. Vanliga risker inom kommunal verksamhet är skadat förtroende, legala risker, ekonomiska förluster, IT- och informationsbaserade risker m.m. Exemplen på bristande kontrollsystem är återkommande och leder till varierande konsekvenser för kommunen. Kontrollmiljön måste därför innefatta kontrollaktiviteter för att minska risken för oönskade händelser. Kontrollaktiviteterna är de konkreta åtgärder som vidtas för att motverka, minimera eller helst eliminera de risker som finns. Genom att processkartlägga verksamheten, upprätta rutinbeskrivningar och bedöma vilka risker som finns i de olika rutinerna samt vilka konsekvenser riskerna kan få, kan en bild skapas av vilka kontrollaktiviteter som krävs. Ett omfattande arbete har bedrivits inom under 2004 och 2005 för att dokumentera processer och upprätta rutinbeskrivningar för verksamhetens processer. All personal inom kontoret har varit delaktig i detta arbete. Även förvaltningens
4(6) ledningsprocess och processen för styrning och fördelning av löneutrymme har kartlagts. I bilaga 1 förtecknas de processer som kartlagts t.o.m. december 2005. För att klarlägga och dokumentera vilka kontrollaktiviteter som krävs kommer riskanalyser att genomföras under 2006 parallellt med fortsatt processkartläggning och rutindokumentation. Som stöd för riskbedömningarna har en riskanalysmetodik utformats under hösten, som innebär följande: 1. Riskerna identifieras och förtecknas 2. Sannolikheten att något skall inträffa uppskattas 3. Konsekvensen när något inträffar uppskattas 4. Utifrån bedömningen av sannolikhet och konsekvens utformas kontroller och åtgärder vidtas Utifrån riskbedömningen utformas lämpliga kontrollaktiviteter. Det kan även bli frågan om direkta åtgärder, t.ex. om allvarliga brister i rutiner framkommer. 3.3 Utformning av kontrollaktiviteter Kontrollaktiviteterna är de konkreta åtgärder som vidtas föra att motverka, minimera eller helst eliminera de risker som finns. Det kan även handla om att säkerställa beredskap för att kunna hantera eller reagera på situationer som uppstår till följd av att olika händelser inträffar. Kontrollaktiviteter ska utformas i förhållande till den riskbedömning som genomförts. De konkreta kontrollaktiviteterna ska självfallet stödja de tre huvudmålen för den interna kontrollen, d.v.s: Ändamålsenlig och kostnadseffektiv verksamhet Tillförlitlig finansiell rapportering och information om verksamheten Efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer m.m. Det är viktigt att kontrollaktiviteterna integreras som naturliga delar i verksamhetens processer samt att en rimlig kontrollnivå erhålls, d.v.s. att riskerna ställs mot resursinsatsen för att genomföra kontrollerna. 3.4 Den interna kontrollplanen I förlängningen lägger arbetet med riskbedömning och upprättande av kontrollaktiviteter grunden för den interna kontrollplan som avses upprättas för nämndens verksamhetsområde. Den interna kontrollplanen skall svara på frågorna: Vad ska kontrolleras När ska kontrollen genomföras Hur ska kontrollen genomföras Vem ska utföra kontrollen och hur ska rapportering genomföras
5(6) Den interna kontrollplanen skall således innehålla information om vilka processer och rutiner som avses, vilka kontrollmoment som skall vidtas, vilken kontrollmetod som skall användas, hur frekvent kontroll skall ske, vem som är kontrollansvarig och hur rapportering skall ske. Den interna kontrollplanen skall beslutas av nämnden och återrapportering av att kontroller sker och resultaten därav bör göras till nämnden minst en gång per år. 3.5 Kontinuerlig utvärdering - tillsyn av kontrollsystemet För att säkerställa att det interna kontrollsystemet fungerar på avsett sätt måste kontinuerlig utvärdering ske. Via tillsynen sker en analys av existerande kontroller och att kontroller i rutiner och processer baseras på aktuell bedömning av risker. Tillsynen ska resultera i förslag till förbättringar i syfte att stärka styrningen och den interna kontrollen. Revisorernas roll är att pröva om den kontroll som utövas inom nämnderna är tillräcklig. 4. Tidplan för fortsatt arbete och upprättande av en intern kontrollplan för KSK under 2006 Arbetet för att förbättra den interna kontrollen och fastställa en intern kontrollplan för nämndens verksamhetsområde föreslås ske i tre steg under 2006: 1. Gemensamma rutiner riskbedöms och kontrollaktiviteter upprättas för dessa under första tertialet 2. Parallellt med fortsatt processkartläggning och dokumentation av rutiner sker under året riskanalyser av verksamhetens processer och kontrollaktiviteter upprättas för dessa 3. En intern kontrollplan utformas för beslut i styrelsen senast i december En mer detaljerad tidplan för arbetet med verksamhetens processer tas fram i början av 2006.
6(6) Förslag till beslut om fortsatt arbete med intern kontroll föreslår att Styrelsen för konsult och service beslutar följande: 1. Det fortsatta arbetet med intern kontroll bedrivs med stöd av nu använd modell för intern kontroll (COSO-modellen) samt förslagen riskanalysmetodik 2. Föreslagen tidplan för fortsatt arbete med intern kontroll och upprättande av en intern kontrollplan för styrelsens verksamhetsområde fastslås KONSULT- OCH SERVICEKONTORET Staffan Thurgren Förvaltningschef Ekonom