Intern styrning och kontroll inom folktandvården Revisionsrapport LANDSTINGETS REVISORER
2016-09-07 16REV29 2(13) Sammanfattning Syftet med granskningen är att bedöma om Folkhälso-, primärvårds- och tandvårdsnämnden säkerställt en ändamålsenlig intern kontroll. Nämnden har en dokumenterad riskanalys och en väl utvecklad plan för uppföljning av den interna kontrollen under 2016 men det saknas en tydlig process och etablerade rutiner för den interna kontrollen i den granskade verksamheten. Vi ser positivt på att nämnden visat ett tydligt engagemang och också kommit långt i arbetet med de övervakande aktiviteterna. Tyvärr har nämndens intentioner inte fullföljts på det sätt som det var tänkt. Vår samlade bedömning utifrån COSO:s ramverk för intern styrning och kontroll är att nämnden inte säkerställt en process som kan ge en rimlig försäkran om att verksamhetsmål, rapporteringsmål och mål för följsamhet gentemot lagar och regler kan uppfyllas. Med mål avses i det här sammanhanget både mål, uppdrag och andra skyldigheter. Vi rekommenderar att styrelsen i sin roll som ledande förvaltningsorgan säkerställer att det finns landstingsgemensamma riktlinjer samt förtydligar processen för den interna kontrollen. Styrelsen bör också ta initiativ till att upphäva landstingets policy Intern kontroll då den är förlegad. Folkhälso-, primärvårds- och tandvårdsnämnden har det yttersta ansvaret för att den interna kontrollen är tillräcklig inom sina verksamheter och bör därför i tilllägg till ovanstående utfärda de anvisningar som nämnden finner nödvändiga för att säkerställa en ändamålsenlig process för den interna kontrollen. Tomrummet i styr- och kontrollmiljön bidrar till att den granskade verksamheten inte har uppfattat vilket uppdrag den har kring intern kontroll, bland annat kring riskvärdering och kontrollaktiviteter. Vi bedömer att ledningsmiljön i övrigt är tydlig inom tandvårdsförvaltningen. Vi menar därför att förvaltningen har goda förutsättningar att utveckla den interna kontrollen genom att komplettera sina ledningsprocesser med en tydligare och mer formaliserad riskhantering. I rapporten lämnar vi ett antal exempel och rekommendationer för det utvecklingsarbetet.
2016-09-07 16REV29 3(13) Innehållsförteckning 1 Bakgrund... 4 2 Syfte, revisionsfråga och avgränsning... 4 3 Revisionskriterier... 4 4 Metod... 6 5 Resultat av granskningen... 6 5.1 Styr- och kontrollmiljö... 6 5.2 Riskvärdering... 8 5.3 Kontrollaktiviteter... 10 5.4 Information och kommunikation... 10 5.5 Övervakande aktiviteter... 12 6 Revisionell bedömning... 12
2016-09-07 16REV29 4(13) 1 Bakgrund Landstingets revisorer har i mars 2013 genomfört en övergripande granskning av internkontrollprocessen i landstinget. Den samlade bedömningen var att Landstingsstyrelsen och nämnderna inte hade en ändamålsenlig organisation för arbetet med intern kontroll. Detta främst till följd av att policy och internkontrollprocess, inte i tillräcklig omfattning anpassats till den nya nämnds- och förvaltningsorganisationen och integrerats med styrningen och ledningen i landstinget. 2 Syfte, revisionsfråga och avgränsning Syftet med granskningen är att bedöma om Folkhälso-, primärvårds- och tandvårdsnämnden säkerställt en ändamålsenlig intern kontroll. Utifrån syftet ska följande revisionsfråga besvaras: Har nämnden säkerställt en process som kan ge en rimlig försäkran om att verksamhetsmål, rapporteringsmål och mål för följsamhet gentemot lagar och regler kan uppfyllas? 1 Granskningen avgränsas till landstingets tandvårdsförvaltning Folktandvården Västernorrland. Folkhälso-, primärvårds- och tandvårdsnämnden är ansvarig nämnd för verksamheten. Landstingsstyrelsen är inte direkt föremål för granskningen men berörs i rollen som ledande förvaltningsorgan i landstinget. 3 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser och bedömningar. Granskningens revisionskriterier utgörs huvudsakligen av: Kommunallag (1991:900), 6 kap, 7 Reglemente för landstingsstyrelsen, Folkhälso-, primärvårds- och tandvårdsnämnden och Hälso- och sjukvårdsnämnden, fastställt av Landstingsfullmäktige 2015-02-25, 14 Intern styrning och kontroll, Av COSO auktoriserad svensk översättning, utgiven av Internrevisorerna 2 2013 Enligt kommunallagen ska nämnderna se till att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredställande sätt. Kommunallagen anger inte några närmare krav på den interna kontrollen. I rollen som ledande förvaltningsorgan ska Landstingsstyrelsen enligt reglementet kontinuerligt följa upp och utvärdera landstingets verksamhet, ge landstingets övriga nämnder riktlinjer i sådana frågor och se till att övergripande riktlinjer om bland annat intern kontroll utfärdas och att dessa riktlinjer följs. 1 Med mål avses i det här sammanhanget både mål, uppdrag och andra skyldigheter. Exempel på de tre måltyperna finns på sidan 9. 2 Internrevisorerna är en svensk yrkesorganisation för internrevisorer.
2016-09-07 16REV29 5(13) Bakgrund till ramverket Intern styrning och kontroll Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicerade 1992 ramverket Internal Control - Integrated Framework (hädanefter benämnt ramverket) 3. I ramverket definieras intern styrning och kontroll som en process utförd av en organisations styrelse, ledning och annan personal, utformad för att ge en rimlig försäkran om uppnåendet av mål som rör verksamheten, rapportering och följsamhet gentemot lagar och regler. Intern styrning och kontroll består av fem integrerade komponenter: styr- och kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt övervakande aktiviteter. Kopplingen mellan de fem komponenterna och verksamhetens mål samt organisatoriska struktur åskådliggörs i den så kallade COSO-kuben. I den svenska översättningen påtalas att engelskans internal control ska översättas till intern styrning och kontroll. Utan eftertanke kan annars control uppfattas som bara kontroll. I det följande har vi dock valt att använda kommunallagens benämning intern kontroll. Sveriges kommunala yrkesrevisorer (Skyrev) har i sin normsamling 4 anpassat definitionen i ramverket till ett kommunalt sammanhang: Intern kontroll kan övergripande definieras som en process där såväl den politiska som den professionella ledningen och övrig personal samverkar. Processen är utformad för att med en rimlig grad av säkerhet kunna uppnå följande mål: ändamålsenlig och kostnadseffektiv verksamhet, tillförlitlig finansiell rapportering och information om verksamheten, efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer m.m. Även God revisionssed i kommunal verksamhet 5 ansluter till ramverket: Med intern kontroll avses systematiskt ordnade kontroller i organisation, system, processer och rutiner, som på en rimlig nivå säkerställer att: Källa: Internrevisorerna, 2013 verksamheten lever upp till målen och är kostnadseffektiv, informationen om verksamheten och om den finansiella rapporteringen är ändamålsenlig, tillförlitlig och tillräcklig, de regler och riktlinjer som finns för verksamheten följs. Principerna i ramverket har legat till grund för de seminarier om intern kontroll som genomförts internt inom landstinget under senare år. 3 2004 kompletterades ramverket med Enterprise Risk Management och 2013 utkom en uppdaterad utgåva som även översattes till svenska. Sveriges Kommuner och Landsting hänvisar till ramverket i olika idéskrifter kring intern kontroll och riskhantering. Ramverket har också legat till grund för den svenska förordningen om intern styrning och kontroll i statlig verksamhet. 4 Skyrev, Normsamling för den kommunala sektorn 2015, s 375-376 5 Sveriges Kommuner och Landsting, God revisionssed i kommunal verksamhet 2014, s 33
2016-09-07 16REV29 6(13) 4 Metod Granskningen avgränsas till ett urval av de grundläggande principer och fokusområden som stödjer en effektiv intern kontroll enligt ramverket. Med anledning av avgränsningen ska våra rekommendationer inte tolkas som en komplett checklista för utveckling av intern kontroll. Granskning har genomförts med hjälp av dokumentstudier och intervjuer. Intervjuer har genomförts med den tidigare förvaltningschefen och med verksamhetschefen vid tandvårdsförvaltningens kansli. Avstämningar har skett med den tillförordnade förvaltningschefen och med ekonomiavdelningen vid Landstingets kansli. De intervjuade har sakgranskat rapporten. 5 Resultat av granskningen 5.1 Styr- och kontrollmiljö Styr- och kontrollmiljön är den uppsättning av standarder, processer och strukturer som är grunden för genomförandet av intern styrning och kontroll i hela organisationen. Styrelsen och den verkställande ledningen anger tonen i företaget vad gäller betydelsen av intern styrning och kontroll inklusive den förväntade uppförandenormen. Ledningen förstärker förväntningarna på de olika nivåerna i organisationen. [- - -] 6 Revisorernas granskning från 2013 visade på flera utvecklingsområden i styr- och kontrollmiljön på en övergripande nivå: Landstingets policy Intern kontroll hade inte anpassats till den nya nämnds- och förvaltningsorganisationen. 7 Det fanns ingen tydlig koppling mellan den interna kontrollen och övriga insatser för styrning och ledning. Processen för intern kontroll var inte dokumenterad. Styrelsen beslutade i september 2013 att uppdra till landstingsdirektören att utarbeta landstingsgemensamma riktlinjer för den interna kontrollen. I samband med revisorernas hearing med Landstingsstyrelsen i januari 2016 konstaterades gemensamt att samtliga brister kvarstod och att riktlinjer fortfarande saknades. Folkhälso-, primärvårds- och tandvårdsnämnden beskriver principerna för den övergripande styrningen i sitt balanserade styrkort och i budgetförutsättningarna för 2016. 8 Det framgår bland annat att landstinget använder balanserad styrning som modell för sin verksamhetsplanering och uppföljning. Det finns ingen beskrivning av den interna kontrollen i anslutning till detta. Tandvårdsförvaltningen har utarbetat sin verksamhetsplan och budget för 2016 utifrån nämndens anvisningar. 9 I dokumentationen saknas förvaltningsspecifika an- 6 Utdrag ur Intern styrning och kontroll, Av COSO auktoriserad svensk översättning, utgiven av Internrevisorerna 2013 7 Landstingets policy Intern kontroll (styrdokumentnummer 132214) beslutades av Landstingsstyrelsen år 2000 och stadfästes av Landstingsfullmäktige år 2010, i samband med en översyn av landstingets styrdokument. Styrdokumentets namn var ursprungligen Policy för internkontroll av administration, redovisning samt förmögenhet och ingick i dåvarande Ekonomihandboken. 8 Folkhälso-, primärvårds- och tandvårdsnämnden, 2015-05-28, 50 och 51. 9 Folkhälso-, primärvårds- och tandvårdsnämnden, 2015-10-07, 92
2016-09-07 16REV29 7(13) visningar för den interna kontrollens organisation, utformning och funktion. Sådana anvisningar ska enligt landstingets policy utformas och fastställas varje år i samband med att förvaltningarna upprättar budgeten. Av våra intervjuer framgår att sådana anvisningar utfärdats tidigare utifrån ett förvaltningsgemensamt perspektiv. Dessa anvisningar hade fokus på egendomsskydd och ekonomisk redovisning. Enligt de intervjuade har samtliga verksamheter inom tandvårdsförvaltningen upprättat styrkort för 2016 och enligt verksamhetsplanen ska 90 procent av medarbetarna också ha ett personligt styrkort. Nämnden har beslutat att följa upp om systemet för intern kontroll fungerar på alla ledningsnivåer i förvaltningarna under 2016 10. Det framgår inte vilka utgångspunkter eller normer som ska ligga till grund för nämndens bedömning. Vid sidan om nämndens uppföljning av den interna kontrollen har vi inte funnit några närmare beskrivningar eller uppdrag kring intern kontroll i något led i linjeorganisationen, vilket också bekräftas av de intervjuade. Tandvårdsförvaltningen har nyligen fastställt ett styrdokument avseende förvaltningens ledningsmiljö. Dokumentet beskriver ledningsorganisation, ledningsarbetet i stort, beslutsprocessen, roller, ansvar och befogenheter. 11 Förvaltningen har preciserat dessa frågor som ett led i den pågående utvecklingen av ett nytt ledningssystem för systematiskt kvalitetsarbete. Det pågår också ett arbete med att ordna och tillgängliggöra förvaltningens styrdokument i Platina utifrån strukturen i ledningssystemet. I ledningsmiljön ingår också att tandvårdsförvaltningen sedan 2014 är miljöcertifierad enligt ISO 14001. Förvaltningen har också kompletterat sitt balanserade styrkort med Miljö som ett femte perspektiv. Kommentar Landstingets policy Intern kontroll är förlegad och bör upphävas. Vi rekommenderar liksom tidigare att styrelsen i sin roll som ledande förvaltningsorgan säkerställer att det finns landstingsgemensamma riktlinjer samt förtydligar processen för den interna kontrollen. Folkhälso-, primärvårds- och tandvårdsnämnden har det yttersta ansvaret för att den interna kontrollen är tillräcklig inom sina verksamheter och bör därför i tilllägg till ovanstående utfärda de anvisningar som nämnden finner nödvändiga för att säkerställa en ändamålsenlig process för den interna kontrollen, t.ex. kring interaktionen mellan nämnden och förvaltningen. En viktig princip i ramverket är att nämnden anger tonen när det gäller betydelsen av den interna kontrollen. Det har nämnden till viss del gjort genom sitt engagemang i utvecklingen av de årliga uppföljningsplanerna av den interna kontrollen, särskilt i 2016 års plan där nämnden för första gången avser följa upp om systemet för intern kontroll fungerar på alla ledningsnivåer i förvaltningarna. 10 Folkhälso-, primärvårds- och tandvårdsnämnden, 2015-12-18, 117 11 Ledningsmiljö - organisation och ansvar, styrdokumentnummer 217226, fastställd 2016-06-13
2016-09-07 16REV29 8(13) De intervjuade har inte uppfattat att de har fått något annat uppdrag avseende intern kontroll än de uppdrag som ges inför delårsredovisning och årsbokslut, utifrån nämndens årliga uppföljningsplan av den interna kontrollen. I avsaknad av närmare riktlinjer och anvisningar har intern kontroll i mångt och mycket därför blivit synonymt med nämndens årliga uppföljningsplan. Ledningsmiljön inom tandvårdsförvaltningen är i övrigt tydlig och kan utvecklas ytterligare genom att förvaltningens styrdokumentet Ledningsmiljö - organisation och ansvar kompletteras med interna anvisningar kring den interna kontrollen. Vi ser också positivt på att förvaltningens verksamhetsplan tillfört en tydlighet kring verksamhetens mål och mått som vi saknar i nämndens balanserade styrkort. 5.2 Riskvärdering Varje organisation möter en mångfald av risker från externa och interna källor. Risk definieras som en möjlighet att en händelse inträffar som motverkar uppnåendet av mål. Riskvärderingen innefattar en dynamisk och iterativ process för att identifiera och värdera risker knutna till uppnåendet av mål. Risker i hela organisationen för att dessa mål inte uppnås tar hänsyn och relateras till etablerade risktoleranser. På så vis utgör riskvärderingen grunden för att bestämma hur risken ska tas om hand. En förutsättning för riskvärderingen är att mål upprättats, knutna till olika nivåer i organisationen. Ledningen specificerar målen inom kategorierna avseende verksamheten, rapporteringen och följsamheten mot lagar och regler med tillräcklig tydlighet för att kunna identifiera och analysera risker till dessa mål. [- - -] 12 Enligt de intervjuade finns det inte etablerade rutiner inom tandvårdsförvaltningen för att systematiskt identifiera och värdera risker i verksamheten som en del i en process för intern kontroll. Dokumenterade riskanalyser saknas. Risker för att verksamheterna inte ska uppnå sina produktionsmål och effektmål hanteras av ledningen i samband med verksamhetsplaneringen och mynnar ut i strategier och aktivitetsplaner (styrkort). Av tandvårdsförvaltningens verksamhetsplan framgår att det största hindret för verksamhetens utveckling och tillgänglighet är svårigheten att rekrytera legitimerad personal i allmäntandvården (tandläkare och tandhygienister) och specialister till specialisttandvården. Enligt de intervjuade har förvaltningen etablerade former för riskvärdering vid allvarliga avvikelser (vårdskador) samt genom förvaltningens miljöledningssystem. Kommentar Riskhanteringen är en central del i den interna kontrollen och syftar till att ge en rimlig försäkran om att målen kan uppnås. Att etablera rutiner för riskvärderingen är därför ett viktigt utvecklingsområde för verksamheten. I ramverket är riskhanteringen knuten till målen för verksamheten, rapporteringen och följsamheten mot lagar och regler. Med mål avses i det här sammanhanget både mål, uppdrag och andra skyldigheter. 12 Utdrag ur Intern styrning och kontroll, Av COSO auktoriserad svensk översättning, utgiven av Internrevisorerna 2013
2016-09-07 16REV29 9(13) Verksamhetsmålen enligt ramverket avser effektivitet och produktivitet i verksamheten, inklusive verksamhetsmässiga och finansiella resultatmål och säkerställande av att tillgångar inte förloras. Vi har uppfattat att tandvårdsförvaltningen har väl inarbetade rutiner för sin verksamhetsplanering på alla ledningsnivåer och i alla ingående enheter och verksamheter. Vi rekommenderar att förvaltningen integrerar riskanalysen i denna planeringsprocess och dokumenterar resultatet i anslutning till verksamhetsplanen/styrkorten. Rapporteringsmålen avser både intern och extern finansiell och icke-finansiell rapportering och kan innefatta tillförlitlighet, tidpunkt, transparens och andra villkor som satts upp av regleringsorgan, erkända standardsättande organ eller i organisationens policies. Rapporteringsmålen kan t.ex. utläsas ur kommunala redovisningslagen, landstingets övergripande policyer, riktlinjer och anvisningar och i tandvårdsförvaltningens styrdokument Ledningsmiljö - organisation och ansvar. Vidare ställs särskilda krav på särredovisning och dokumentation i den nationella redovisningsmodellen för folktandvård som landstinget tillämpar. Vi rekommenderar att tandvårdsförvaltningen gör en riskanalys utifrån förvaltningens ledningsperspektiv med avseende på rapporteringsmålen och uppdaterar riskanalysen i takt med att kraven och förutsättningarna förändras. Risker som inte är begränsade till en viss verksamhet i landstinget bör enligt vår mening analyseras på en övergripande nivå av avdelningarna inom den centrala förvaltningen Landstingets kansli. Några exempel är stödprocesserna inom ekonomi- och personalområdet där Landstingets kansli (som processägare) bör genomföra landstingsgemensamma riskanalyser i samverkan med verksamheterna. Sådana riskanalyser har vi bland annat efterfrågat i granskningen Intern kontroll inom HR (november 2014). När det gäller skydd mot oegentligheter har revisorerna i omgångar uttryckt att det är angeläget att landstingsstyrelsen tar initiativ till att utveckla internkontrollsystemet, till stöd för nämnderna. Vi har också uppfattat att ett sådant stöd efterfrågas av verksamheterna. När det gäller följsamhet gentemot lagar och regler inom tandvårdsområdet menar vi att riskanalyserna med fördel kan utföras inom ramen för förvaltningens ledningssystem för systematiskt kvalitetsarbete. 13 Det kan till exempel ske strukturerat en gång per år utifrån en så kallad lagskravslista där specifika krav i lagstiftningen listas. Det kan också ske på förekommen anledning, när verksamheten får nya ingångsvärden för riskanalysen utifrån aviserade förändringar i lagstiftning, externa revisioner 14 och den egna avvikelserapporteringen. Arbetet med riskanalyser utifrån Socialstyrelsens föreskrifter om ledningssystem för systematiskt kvalitetsarbete är enligt de intervjuade under utveckling. Ramverket är neutralt när det gäller val av analysmetod men kräver en spårbarhet, det vill säga att identifieringen och värderingen av risker dokumenteras. 13 Enligt Socialstyrelsens föreskrifter ska vårdgivaren fortlöpande bedöma om det finns risk att händelser skulle kunna inträffa som kan medföra brister i verksamhetens kvalitet. Kvalitet definieras i det här sammanhanget som att verksamheten uppfyller de krav och mål som gäller för verksamheten enligt lagar och föreskrifter inom tandvårdsområdet. 14 Exempel på tillsynsmyndigheter som återkommande granskar kärnverksamheten är Strålsäkerhetsmyndigheten, Inspektionen för vård och omsorg och Läkemedelsverket.
2016-09-07 16REV29 10(13) Sveriges Kommuner och Landsting har en särskild webbplats 15 med exempel och verktyg kring intern kontroll och olika typer av riskanalyser. Webbplatsen Uppföljningsguiden knyter tydligt an till ramverket. 5.3 Kontrollaktiviteter Kontrollaktiviteter är handlingar etablerade genom policies och rutiner som ser till att ledningens direktiv genomförs för att reducera risker för att målen inte uppnås. Kontrollaktiviteter utförs på alla nivåer i organisationen och i olika stadier i verksamhetsprocesserna och i IT-miljön. De kan vara förhindrande eller upptäckande till sin natur och kan omfatta en rad manuella och automatiserade aktiviteter såsom attester, godkännanden, verifieringar, avstämningar och återrapporteringar av verksamhetsresultat. [- - -] 16 Tandvårdsförvaltningen har inte fastställt kontrollaktiviteter som en del i en systematisk riskhantering. De kontrollaktiviteter som är planerade för 2016 utgår från nämndens uppföljning av den interna kontrollen (se avsnitt 5.5). Inom ramen för utveckling av ett nytt ledningssystem för systematiskt kvalitetsarbete pågår ett utvecklingsarbete kring egenkontroller. Enligt de intervjuade har den interna kvalitetskontrollen av journalföringen kommit längst. Ett breddinförande är planerat vid tiden för granskningen med uppföljning i den kommande delårsrapporten. Kommentar I anslutning till föregående avsnitt rekommenderar vi att verksamheten även etablerar rutiner för kontrollaktiviteter. Alla åtgärder som vidtas för att reducera risker benämns kontrollaktiviteter. Gemensamt är att kontrollaktiviteter bör utformas med tydliga anvisningar i frågor som t.ex. ansvarsfördelning, frekvens och periodicitet. Kravet på spårbarhet innebär att såväl beslutade som genomförda kontrollaktiviteter ska dokumenteras och kunna verifieras. Många av de väsentliga risker som kan finnas i en verksamhet hanteras ofta dagligen genom t.ex. en ändamålsenlig arbetsorganisation, kompetens, behörighetstilldelning och inarbetade processer och rutiner. Vi vill därför understryka att kontrollaktiviteter inte enbart ska tolkas som renodlade efterkontroller. Ett aktuellt exempel som illustrerar hur kontrollaktiviteter kan utformas för att reducera risker är den landstingsgemensamma riktlinjen Bisysslor. 17 Av riktlinjen framgår bland annat ansvarsfördelning, handläggningsrutiner, former för riskanalys i det enskilda fallen, krav på dokumentation och vilka uppföljande kontroller som ska genomföras. 5.4 Information och kommunikation Information är nödvändigt för att organisationen ska kunna genomföra sina ansvarsuppgifter för intern styrning och kontroll för att stödja uppnåendet av dess mål. [- - -] Intern kommunikation är sättet genom vilket information sprids genom organisationen och flödar uppåt, neråt och tvärs 15 uppfoljningsguiden.se/kontroll-och-utveckling/intern-kontroll/ 16 Utdrag ur Intern styrning och kontroll, Av COSO auktoriserad svensk översättning, utgiven av Internrevisorerna 2013 17 Landstingsstyrelsen, 2016-03-17, 58, styrdokumentsnummer 39864
2016-09-07 16REV29 11(13) igenom organisationen. Det gör det möjligt för personalen att få en tydlig signal från högsta ledningen att ansvar för styrning och kontroll måste tas på allvar. Extern kommunikation är tvåfaldig: den möjliggör ingående kommunikation av relevant extern information, och den ger information till externa parter som svar på krav och förväntningar. 18 Enligt de intervjuade finns väl etablerade informationskanaler inom tandvårdsförvaltningen där ansvaret för information normalt sett följer chefslinjen. Ett exempel med nära anknytning till granskningsområdet är den månatliga uppföljningen och rapporteringen av verksamhetens resultat utifrån styrkorten och olika nyckeltal. Information och kommunikation kring den interna kontrollen inom tandvårdsförvaltningen har vid tiden för granskningen varit begränsad till landstingets anvisningar till förvaltningscheferna inför delårsrapporteringen. 19 Enligt anvisningarna ska förvaltningarna lämna en rapport om uppföljning av den interna kontrollen i en särskild bilaga till delårsrapporten senast 2016-09-15. Det framgår inte av anvisningarna att uppföljningspunkterna är beslutade av nämnden. Enligt nämndens beslut ska tandvårdförvaltningen rapportera uppföljningar av den interna kontrollen till nämnden på fem områden enligt följande under 2016: Utdrag ur nämndens plan för uppföljning av intern kontroll 2016 Område Tillgänglighet utifrån asylsituationen Vård på bästa effektiva omhändertagandenivå Systemet för intern kontroll Regler för bisysslor Ekonomiska ersättningsrutiner för asylhälsovård Tidpunkt för rapportering till nämnden maj och augusti maj och i delårsrapport juni juni maj och augusti Enligt de intervjuade kommunicerades inte nämndens uppföljningsplan av den interna kontrollen med tandvårdsförvaltningen vid tiden efter nämndens beslut 20 i form av uppdrag, anvisningar eller liknande. Vid tiden för granskningen har rapporter inte lämnats till nämnden i enlighet med beslutet. Kommentar Vi kan konstatera att information och kommunikation kring den interna kontrollen varit knapphändig. Vi kan inte se att någon av de grundläggande principerna i ramverket kring information och kommunikation har uppfyllts. En bidragande orsak är de redovisade bristerna i styr- och kontrollmiljön, främst att det saknas riktlinjer för den interna kontrollen och att processen för intern kontroll inte är dokumenterad. Det har inte funnits något annat att kommunicera under 2016 än nämndens uppföljningsplan av den interna kontrollen. 18 Utdrag ur Intern styrning och kontroll, Av COSO auktoriserad svensk översättning, utgiven av Internrevisorerna 2013 19 Anvisning inför delårsrapportering 2016, 2016-05-31, diarienummer 16FPTN276 20 Folkhälso-, primärvårds- och tandvårdsnämnden, 2015-12-18, 117, diarienummer 15FPTN408
2016-09-07 16REV29 12(13) Det är därför särskilt beklagligt att nämndens uppföljningsplan inte kommunicerades och implementerades vid tiden efter nämndens beslut. Därmed gick intentionerna i planen förlorade. För första gången hade nämnden begärt en rapportering vid andra tillfällen än i samband med delårsredovisning och årsbokslut, ett första steg mot en mer dynamisk och iterativ process i linje med ramverket. Att nämndens beslut inte kommuniceras och verkställs är anmärkningsvärt och innebär i sig en brist i den interna kontrollen, det vill säga nämnden har inte säkerställt att det finns fungerande rutiner för implementering av politiska beslut. 5.5 Övervakande aktiviteter Löpande utvärderingar, separata utvärderingar eller någon kombination av de två används för att försäkra sig om att var och en av de fem komponenterna i intern styrning och kontroll finns och fungerar inklusive kontroller för att se verkan av principerna inom varje komponent. [- - -] 21 Planen för uppföljning av intern kontroll 2016 har beretts av ledamöterna i nämnden och dess arbetsutskott under hösten 2015. Till grund för planen ligger nämndens riskanalys. Ett av de områden som ska följas upp enligt nämndens beslut är om systemet för intern kontroll fungerar på alla ledningsnivåer i förvaltningarna. Kontrollen ska genomföras genom intervjuer i verksamheten. Som vi noterat i tidigare avsnitt framgår det inte vilka utgångspunkter eller normer som ska ligga till grund för nämndens bedömning. Kommentar Nämndens arbete med planen för uppföljning av intern kontroll ligger i linje med ramverket och kommunallagen. Nämnden har bland annat intagit en självständig ställning i övervakningen. Uppföljningsplanen för 2016 har också utvecklats avseende omfattning, innehåll och periodicitet i uppföljningen och rapporteringen. Framförallt är det positivt att nämnden beslutat att följa upp om systemet för intern kontroll fungerar på alla ledningsnivåer. Tyvärr innebär tomrummet i styr- och kontrollmiljön (se avsnitt 5.1) att det saknas tydliga normer och kriterier att utgå från vid uppföljningen och bedömningen av resultatet. 6 Revisionell bedömning Nämnden har en dokumenterad riskanalys och en väl utvecklad plan för uppföljning av den interna kontrollen under 2016 men det saknas en tydlig process och etablerade rutiner för den interna kontrollen i den granskade verksamheten. Vår granskning visar att det finns övergripande brister i styr- och kontrollmiljön och kring information och kommunikation. Detta får genomslag på arbetet med riskvärdering och kontrollaktiviteter i verksamheten. 21 Utdrag ur Intern styrning och kontroll, Av COSO auktoriserad svensk översättning, utgiven av Internrevisorerna 2013
2016-09-07 16REV29 13(13) Vi ser positivt på att nämnden visat ett tydligt engagemang och också kommit långt i arbetet med de övervakande aktiviteterna. Tyvärr har nämndens intentioner inte fullföljts på det sätt som det var tänkt. Vår samlade bedömning utifrån ramverket för intern styrning och kontroll är att nämnden inte säkerställt en process som kan ge en rimlig försäkran om att verksamhetsmål, rapporteringsmål och mål för följsamhet gentemot lagar och regler kan uppfyllas. Med mål avses i det här sammanhanget både mål, uppdrag och andra skyldigheter. Även om nämnderna har det yttersta ansvaret för den interna kontrollen inom sina respektive ansvarsområden är de i stort avhängiga de förutsättningar som styrelsen ger. Styrelsen har inte agerat i den utsträckning som varit önskvärt utifrån uppdraget som landstingets ledande förvaltningsorgan och resultatet av tidigare granskningar av den interna kontrollen. Tomrummet i styr- och kontrollmiljön bidrar till att den granskade verksamheten inte har uppfattat vilket uppdrag den har kring intern kontroll och närmare anvisningar saknas kring centrala frågor som riskvärdering och kontrollaktiviteter. Vi bedömer att ledningsmiljön i övrigt är tydlig inom tandvårdsförvaltningen. Vi menar att förvaltningen har goda förutsättningar att utveckla den interna kontrollen genom att komplettera sina ledningsprocesser med en tydligare och mer formaliserad riskhantering. revisor