Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012
1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs Stad, som ett led i Göteborgs Stads arbete att utveckla och stärka riskhantering och intern kontroll, utvecklat ett formulär (Självdeklaration) inom området verksamhetsövergripande och inköpsprocessen. Självdeklarationen är baserad på COSO, vilket är det internationellt mest erkända ramverket för intern kontroll. COSO-modellen bygger på ett strukturerat sätt att arbeta med intern kontroll omfattande ett antal olika komponenter. Komponenterna är kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt uppföljning och övervakning. Bolaget genomförde under våren 2011 självutvärdering av intern kontroll inom området verksamhetsövergripande och inköpsprocessen. Därefter genomförde Deloitte under hösten 2011 som ett fristående uppdrag en verifiering av bolagets självutvärdering inom de båda områdena. Under hösten 2012 har Deloitte som ett fristående uppdrag genomfört en verifiering av intern kontroll inom inköpsprocessen. Området verksamhetsövergripande har inte verifierats under 2012. Under 2012 har det inte genomförts någon självutvärdering av bolaget innan den externa verifieringen. Att inte genomföra någon självutvärdering 2012 är beslutat av Göteborgs Stad. Verifiering har utförts genom besök hos bolaget och har omfattat intervjuer med av bolaget utvalda medarbetare inom respektive verksamhet. Om tillämpligt har även relevant dokumentation insamlats och viss testning genom stickprov genomförts. Återrapporteringen av verifieringen är en avvikelserapportering och är inte av beskrivande karaktär. Verifieringen är på en översiktlig nivå och kan därmed inte jämställas med ett bestyrkandeuppdrag såsom revision eller översiktlig granskning. Vid verifieringen har ett antal områden där den interna kontrollen kan förbättras framkommit inom inköpsprocessen. Årets verifiering uppvisar ett förbättrat resultat jämfört med föregående år då bolaget fått möjlighet att åtgärda de förbättringsförslag som lämnades 2011. Utvecklingsarbetet i syfte att stärka den interna kontrollen inom bolaget har fortsatt under 2012, vilket i vissa fall ännu inte fått genomslag vid tidpunkten för vår verifiering. Detaljerade iakttagelser framgår i avsnitt 4 nedan. 2
2 Avgränsningar 2.1 Avgränsningar Bedömningar bygger på en övergripande verifiering av påståendena i Självdeklarationen 2012 för inköpsprocessen. Eftersom ett stort antal påståenden har verifierats har det inte varit möjligt att utföra någon djupare analys av respektive påstående. Återrapporteringen är en avvikelserapportering och är därmed inte av beskrivande karaktär. Detta innebär att redan fungerande områden inte lyfts fram i samma utsträckning som eventuella brister och förbättringsområden. I de fall där testning inte ingått som en del av utvärderingen bygger våra bedömningar på den information vi erhållit via intervjuer med personer valda av bolaget. Vad gäller styrande dokument har verifieringen inte innefattat en djupare analys av dess ändamålsenlighet. Verifieringen är på en översiktlig nivå och kan därmed inte jämställas med ett bestyrkandeuppdrag såsom revision eller översiktlig granskning. 3
3 Metod Vårt arbete har baserats på ett formulär (Självdeklaration) som en styrgrupp sammansatt av specialister från Deloitte, Ernst & Young och PwC utvecklat på uppdrag av Göteborgs Stad. Arbetet inleddes hösten 2010 som ett led i Göteborgs Stads arbete att utveckla och stärka riskhantering och intern kontroll inom området verksamhetsövergripande och inköpsprocessen. Självdeklarationen har initierats som ett led i att stärka och utveckla kvaliteten i riskhantering och intern kontroll inom Göteborgs Stad. Självdeklarationen är baserad på COSO, vilket är det internationellt mest erkända ramverket för intern kontroll. COSO-modellen bygger på ett strukturerat sätt att arbeta med intern kontroll omfattande ett antal olika komponenter. Komponenterna är kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt uppföljning och övervakning. I Självdeklaration finns ett antal påståenden, vilka har riskklassificerats i en skala från 1 till 3. Riskklassificeringen har upprättats av Göteborgs Stad i samråd med styrgruppen. Riskkategori 1 har tilldelats påståenden med liten inverkan på det operativa, finansiella och/eller legala perspektivet. Riskkategori 2 har tilldelats påståenden med medelstor inverkan på det operativa, finansiella och/eller legala perspektivet. Riskkategori 3 har tilldelats påståenden med större inverkan på det operativa, finansiella och/eller legala perspektivet. Syftet med denna klassificering har varit att få en nyanserad och rättvisande bild av den interna kontrollen inom Göteborgs Stads bolag. 1 Deloittes uppgift har varit att verifiera i vilken utsträckning fastställda påståenden uppnås inom bolaget. I samband med verifieringen 2012 har vi även granskat, av bolaget, vidtagna åtgärder utifrån 2011 års verifiering. Under 2012 har det inte genomförts någon självutvärdering av bolaget innan den externa verifieringen. Att inte genomföra någon självutvärdering 2012 är beslutat av Göteborgs Stad. 1 Andelen effektiva påståenden multiplicerat med risknivå har dividerats med totalt antal tillämpliga påståenden per process, multiplicerat med deras risknivå. Kvoten som erhålls från denna beräkning utgör sedan underlaget för utvärdering av respektive process övergripande bedömning. Påståenden som bedömts som ej tillämpliga ingår inte i beräkningen. 4
Verifieringen har utförts genom besök hos bolaget och har omfattat intervjuer med av dem utvalda medarbetare inom respektive verksamhet. Om tillämpligt har även relevant dokumentation insamlats och viss testning genomförts. Beroende på påståendets karaktär har en av följande tre testmetoder använts för att utvärdera dess effektivitet: Intervju Intervju/ dokumentation Intervju/ dokumentation/ testning Påståenden har utvärderats genom intervju med ledande befattningshavare och övriga nyckelpersoner. Påståenden har utvärderats genom intervju med ledande befattningshavare och övriga nyckelpersoner. Vidare har även tillämplig dokumentation insamlats och översiktligt utvärderats. Påståenden har utvärderats genom intervju med ansvarig befattningshavare och övriga nyckelpersoner. Vidare har testning genom stickprov genomförts enligt gemensamt beslutade urvalskriterier. Efter utvärderingen enligt ovan har varje kontroll bedömts som effektiv eller ej effektiv. För att ett påstående ska bedömas som effektivt måste det finnas en rutin som säkerställer att påståendet fungerar. Kontrollen måste även ha fungerat under testperioden 2012, vilket validerats genom en av de tre testmetoderna. För de kontroller där det via testning har visat sig att minst ett stickprov har en avvikelse har det aktuella påståendet bedömts som ej effektivt även om majoriteten av stickproven visat sig fungera väl. Även i de fall kontroller finns på plats men där dokumentation saknas eller är bristfällig har kontrollerna bedömts som ej effektiva. För de kontroller som implementerats under 2012 har stickprov tagits efter det datum kontrollen implementerades. Utvärderingen har skett enligt en tregradig skala. Nivån i nedanstående beskriven bedömningsskala har beslutats vid Självdeklarationens införande av Göteborgs Stad tillsammans med externa specialister från Deloitte, Ernst & Young och PwC. Skalan är satt utifrån en hög ambitionsnivå då Göteborgs Stad arbetar med ständiga förbättringar och åtgärdsplaner. Bedömningsskala Stort behov av förbättring Behov av förbättring God måluppfyllelse E/T < 70 % effektiva påståenden 70-90 % effektiva påståenden 90-100 % effektiva påståenden Ej tillämpligt 5
4 Resultat Årets verifiering uppvisar ett förbättrat resultat jämfört med föregående år bland annat då bolaget arbetat med att åtgärda de förbättringsförslag som lämnades 2011. Det finns dock fortfarande områden där den interna kontrollen i inköpsprocessen kan förbättras. Den totala bedömningen visar på att det finns ett behov av förbättring avseende intern kontroll i inköpsprocessen. Resultatet av verifieringen är enligt vår bedömning att anse som normalt i jämförelse med vad andra organisationer brukar erhålla när verifieringen genomförs för andra gången. Det beror i huvudsak på att bolaget fått möjlighet att åtgärda de förbättringsförslag som lämnades 2011. Nedan framgår en övergripande sammanställning per område utifrån de fem COSO-komponenterna och i avsnitt 4.1 återfinns detaljerade iakttagelser med tillhörande rekommendationer. Process - Inköp Deloittes bedömning 2011 Deloittes bedömning 2012 Kontrollmiljö 71% 100% Riskbedömning 40% 100% Kontrollaktiviteter 64% 83% Information & kommunikation 0% 100% Uppföljning 46% 77% Total 62% 87% 6
4.1 Inköpsprocessen Nedan redovisas de iakttagelser som identifierats som "ej effektiva" under verifieringen av Självdeklarationen 2012. Vi har även lämnat förslag på förbättringsåtgärder/rekommendationer för respektive iakttagelse. Göteborgs Stad kommer att kommunicera tidplan för när åtgärdsplan, ansvarig och tidplan för respektive iakttagelse ska vara framtaget. Inköpsprocessen Nr Kontrollfråga självdeklaration 5.1 Bolaget har en rutin över hur efterlevnad av gällande lagstiftning, stadens policys och riklinjer samt lokala anvisningar säkerställs, dokumenteras och rapporteras Riskkategori Iakttagelse 3 Bolaget har en rutin för regelefterlevnad och en databas med historik över gjorda inköp från 2006 och framåt. Enligt information följer inköpschefen upp regelefterlevnaden men detta dokumenteras inte i sådan utsträckning att det varit möjligt att verifiera kontrollutförandet. Bolaget arbetar dock på att ta fram en bättre rutin för rapportering och dokumentation. Rekommendation Vi rekommenderar att bolaget utvecklar befintlig rutin för hur efterlevnad av gällande lagstiftning, stadens policys och riklinjer samt lokala anvisningar ska säkerställas, dokumenteras och rapporteras. Exempelvis kan säkerställande ske genom att bolaget stickprovsvis följer upp genomförda inköp i efterhand vilket dokumenteras och rapporteras till ledningen. 3.8 Alla systembehörigheter är anpassade till respektive persons aktuella arbetsuppgifter/ ansvarsområde. 3 Ett av fem granskade stickprov följer ej attestordning då en tillfällig ersättare ej tagits bort inom föreskriven tid. En dokumenterad analys bör genomföras i syfte att säkerställa att samtliga systembehörigheter inklusive belopp har anpassats till respektive medarbetares specifika arbetsuppgifter samt attestplan/delegationsordning. Av analysen bör det tydligt framgå vilka roller/behörigheter/belopp i systemet respektive medarbetare har. Befintliga systembehörigheter bör återspeglas i analys av oförenliga arbetsuppgifter. Kontrollen bör utföras av någon annan än den som registrerat uppgifterna i systemet. 7
3.14 Kontroll finns på plats som säkerställer att uppföljning utförs av att samtliga masterdata (fasta data) förändringar är korrekta. 1 Det sker ingen dokumenterad uppföljning av ändringar i masterdata. Möjligheten att gå tillbaka och kontrollera ändringar finns via systemets loggfunktion men en rutin för kontinuerlig uppföljning och dokumentation av detta saknas. Bolaget bör säkerställa att ändringar av masterdata är korrekt utförda (alternativt för specificerad masterdata såsom gironummer, organisationsnummer etc). Exempelvis kan logglistor över samtliga förändringar i masterdata regelbundet granskas. Granskningen bör dokumenteras och dokumentation signeras och sparas som bevis på att kontrollen utförs. 3.47 Egna kostnader godkänns alltid av en överordnad. 3.41 3.42 Slutbesiktning utförs samt dokumenteras av väsentliga genomförda projekt Slutbesiktning utförs av oberoende behörig person. (Dvs personen är fristående från projektet) 3 Sex av 25 granskade stickprov bedöms som ej godkända då de strider mot bolagets attest- och utanordningsreglement, följande iakttagelser noterades; - Ett stickprov där underlag för beslutsattest saknas. - Ett stickprov där en anställd attesterat sina egna resekostnader. - Två stickprov där en anställd attesterat representationskostnader på möten där de själva deltagit. - Två stickprov där en anställd attesterat utbildningskostnader där de själva deltagit. 2 För ett av fem granskade projekt har dokumentation avseende slutbesiktning ej kunnat erhållas varför det inte varit möjligt att verifiera att slutbesiktning utförts, och 1 därmed inte heller huruvida den skett av oberoende person eller att utbetalning skett först efter godkänd slutbesiktning. Bolaget bör säkerställa att egna kostnader alltid godkänns av en överordnad. Vi rekommenderar vidare ifall överordnad varit med vid aktiviteten som kostnaden avser bör någon överordnad godkänna kostnaden för dennes del. Vidare bör det även framgå samtliga deltagare som varit med. Bolaget bör säkerställa att slutbesiktning genomförs och dokumenteras inom rimlig tid efter avslutat projekt. Bolaget bör säkerställa att slutbesiktning genomförs och dokumenteras av oberoende behörig person. 3.43 Det säkerställs att slutbetalning till entreprenör inte sker innan godkänd slutbesiktning. 2 Svårigheterna i att få fram relevant dokumentation grundar sig enligt bolaget på att projektledare slutat och att bolaget historiskt haft en bristande arkiveringsrutin för projekt. Bolaget bör säkerställa att slutbesiktning godkänns innan slutbetalning till entreprenör sker. 8