Revisjonsrapport 2012 Genomford på uppdrag av revisorevna Februari 2013 Skurups kommun Granskning av styrning och intern kontroll i kommunale bolag Lekmannarevision 2012 0 0 ~ ~~~,, _~c~~~. J~ a oho ;o` c- ~ ~- ~, o C~~ ` ooao~ o~o 0 ~ ~po~0~ ~0=~ ~ ~ o~o ~._L~ 000vo~~ ~ :0' o ooaoo ~ ~~~~ ~~ o ~ Q,~ ~~r! ~ ~ ~~ ~~ i =~ ERNST &YOUNG
J ERNST & Yourvc Innehåll 1. Inledning... 2 1.1 Bakgrund... 2 1.2 Syfte och revisionsfrågor... 2 1.3 Revisionskriterier...2 1.4 Ansvariga nemnder/styrelser... 2 1.5 Tillvågagångss~tt...2 2. Mål och strategier...3 2.1 Måi... 3 2.2 IT- och informationssåkerhet... 4 3. Uppfoljning...5 4. Intern kontroll...7 5. Bedomning...9 5.1. Bedomning utifrån revisionsfrågorna...9 5.2. Identifierade forb~ttringsområden/rekommendationer...10 i'
J ERNST &YOUNG 1. Inledning 1.1 Bakgrund Ernst &Young AB har på uppdrag av lekmannarevisorerna i Skurupshem AB och Skurup Kommunala AB utfort en granskning av styrning och intern kontroll i botagen. Intern kontroll, utifrån den vedertagna COSO-modellens definition, ~r en process dår ledningen och ovrig personal samverkar och som utformas for att med rimlig grad av såkerhet kunna uppnå foljande mål: åndamålsenlig och kostnadseffektiv verksamhet, tillforlitlig finansiell rapportering och information om verksamheten, efterlevnad av till~mpliga lagar, foreskrifter, riktlinjer etc. 1.2Syfte och revisionsfrågor Syftet med granskningen ~r att se hur Skurupshem AB och Skurup Kommunala AB arbetar med styrning och kontroll varvid ingår att se om det finns en analys av risker och kritfiska processer i verksamheterna, om riskerna hanteras på ett adekvat sitt och om de mest kritfiska processerna har beaktats i den finterna kontrollplanen. En fråga år också om de kontroller som finns i t ex rutiner fungerar som det år tånkt i forhållande till metod, omfattning och frekvens. Foljande revisionsfrågor besvaras i granskningen: Har bolaget strategier/handlingsplaner for hur måten ska uppnås? Hur ser IT- och informationss~kerheten ut? Sker uppfoljning av bolagets verksamhet, resultat och finterna kontroll? Utgår den finterna kontrollen från våsentlighets- och riskanalys? 1.3 Revisionskriterier Granskningen utgår från foljande revisionskriterier: Botagens finterna riktlinjer, exempelvis o Internkontrollplan o P~gardirektiv o Rutinbeskrivningar 1.4Ansvariga nemnder/styreiser Skurupshem AB och Skurup Kommunala AB:s styreiser. 1.5 Tillvågagångss~tt En enkyt auseende former och instrument for styrning och kontroll har besvarats av botagen. Vi har tagit del av botagens dokument som ~r hånforbara till granskningen samt genomfort intervjuer med ansvariga hos respektive bolag. Enk~tsvar och iakttagelser har sammanstållts i denna rapport. I redovisningen av enk~tsvaren anges Skurup Kommunala AB som SKAB och Skurupshem AB som SHAB. Samtliga intervjuade har beretts tillfålle att faktakontrollera rapporten. 2
J ERNST &YOUNG 2. Mål och strategier Utgångspunkt: Bolaget har en klart uttalad aff~rside och driver verksamheten i overensst~mmelse med av ~garen och koncernen beslutade overgripande mål och uppgifter for bolaget. Bolaget har strategier/handlingsplaner for hur måten ska uppnås. 2.1 Mål Enk~tsvar Ja Delvis Ne' 1. Kommunen har uttalet det kommunale ~ndamålet med verk- SKAB, samheten i ~gardirektiv och bolagshandling SHAB 2. Styreisen har faststållt och skriftligt dokumenterat bolagets SKAB SHAB affårside. 3. Affårsiden stemmer med av kommunen och koncernen beslu- SKAB tade mål och uppgifter for bolaget. 4. Bolaget har uppr~ttat en affårs- eller verksamhetsplan. SKAB, SHAB 5. Planen stemmer med av kommunen och koncernen beslutade Ej till- Ej till- Ej tillmål och uppgifter for bolaget. låmplig låmp- l~mplig li 6. I planen finns mål med tillhorande aktiviteter och/eller indikato- Ej till- Ej till- Ej tillrer formulerade. l~mplig limp- l~mplig li 7. Måten, aktiviteterna och/eller indikatorerna ~r mit- och upp- Ej till- Ej till- Ej tillfoljningsbara. låmplig låmp- l~mplig li 8. Bolaget har konkreta strategier/handlingsplaner som anger SKAB, hur aff~rsiden ska forverkligas och måten uppnås. SHAB Iakttagelser Kommunalt åndsmål och mål anses av både botagen vara vål uttryckta i respektive ~gardirektiv och bolagsordning. Inget av botagen har en aff~rs- eller verksamhetsplan men anser att måten ~r enkle och tydliga. Skurup Kommunale uppger att bolagets strategi for måtuppfyllelse framgår av ~gardirektiven och att bolagets aktiviteter styrs av ågeren genom diskussion i kommunfullm~ktige samt genom att kommunstyrelsens ordforande given ~r ordforande i bolagsstyrelsen. D~rtill påpeker bolaget att kommunen år dess enda kund och att måten dermed ~r enkle. Vid intervju med Skurupshem uppges att bolaget finte upplever något behov av att fastst~lla en aff~rside eller verksamhetsplan. Bolaget anser att man behover vara flexibel i sitt arbetssått då marknaden foråndras och vill dermed finte lågga en mer detaljerad plan. Muntlig uppfoljning av verksamheten i forhållande till ~gardirektiven sker enligt uppgift vid verje styrelsemote. Kommunen informeres genom styrelseprotokoll och sammantr~den. Skurupshem uppger att bolaget historiskt sett har arbetat med verksamhetsmål, ekonomiska mål och nojd-kund-mål men att bolaget numera låter bli att setta sådans mål på print då i syfte att bibehålla full flexibilitet.
J ERNST & YouNc 2.2 IT- och informationss~kerhet Enk~tsvar Ja Delvis Ne' 1 Bolagets styrelse har antagit en IT-policy. SKAB SHAB 2. Bolagets IT-policy baseras på Skurups kommuns IT-policy SKAB SHAB 3. Bolagets styrelse har antagit riktlinjer for informationssåkerhet. SHAB SKAB 4. Bolaget arbetar aktivt med s~kerhet och beredskap. SKAB, SHAB Iakttagelser Av intervjuerna framgår att Skurup Kommunalas styrelse beslutat om att bolaget ska folja kommunens IT-policy. Bolaget har finte några egna IT-system utan aneånder kommunens. Eftersom bolaget finte forvarar någon egen information tillåmpas kommunens informationssåkerhetspolicy. Vad gyller Skurupshem uppges att bolagsstyrelsen fattat beslut om att en IT-policy ska arbetas fram i bolaget under forsta halvan av 2013. Enkåtfrågorna har dermed besvarats med "delvis". Framtagandet kommer att ske med hjålp av kommunens policy. Det uppges åven att bolagets auktoriserade revisorer gått igenom IT-s~kerheten och att bolaget for några år sedan anpassade sins lokaler i syfte att forb~ttra IT-s~kerheten i enlighet med revisorernas rekommendationer. I ovrigt uppges vid båda botagen att de bedriver ett aktivt arbete med s~kerhet och beredskap, såvål Gentralt som ute i verksamheten. Skurupshem har enligt uppgift månatliga moten med de anst~llda dir en av de stående punkterna ror arbetsmiljo och brandskydd for såvel anst~llda som boende. 4
J ERNST &YOUNG Quality In Everything We Do 3. Uppfoljning Utgångspunkt: Bolaget har tydliga ansvarsområden, klara spelregler och fungerande verktyg (system, rutiner, nyckeltal mm) for styrning, uppfoljning och kontroll. Styreisen/bolaget foljer kontinuerligt upp verksamhet och resultat. Styreisen/bolaget foljer också upp att den interns kontrollen i verksamheten ~r tillfredsstållande. Enk~tsvar Ja Delvis Nej 1. Bolagets budget och redovisning år så uppbyggd att uppfolj- SKAB, Wing kan ske på samtliga ansvarsnivåer. SHAB 2. Styreisen har faststållda former for uppfoljning och rapporte- SKAB, ring av ekonomi och verksamhet under året. SHAB 3. Det finns verktyg (system, rutiner) for en systematisk uppfolj- SKAB, Wing av ekonomiskt och verksamhetsm~ssigt resultat inom SHAB verksamhetens olika delar. 4. Uppfoljning sker regelbundet (t.ex. månadsrapporter) for att SKAB, s~kerst~lla att ekonomiskt och verksamhetsmåssigt resultat SHAB uppnås inom verksamhetens olika delar. 5. Orsaker till avvikelser rapporteres och analyseras och åtgår- SKAB, der vidtas for att undvika negativt resultat. SHAB 6. Det finns nyckeltal/j~mforelsetal for både ekonomi och verk- SHAB SKAB samhet. 7. J~mforelser sker med andra foretag i samme bransch. SHAB SKAB 8. Jåmforelser gors systematiskt over tiden i syfte att folja bola- SHAG SKAB gets utveckling inom olika områden. 9. Medarbetarenk~ter genomfors regelbundet. SHAB SKAB 10. Måtningar av kundtillfredsstållelsen gors regelbundet inom SHAB SKAB verksamhetens alla delar. 11. Synpunkter från kunder och respondenter samiss in systema- SHAB SKAB tiskt, analyseras, åtg~rdas och rapporteres till styreisen. Iakttagelser Både bolegen svarar att de regelbundet genomfor uppfoljningar av verksamhet och ekonomi och att det finns utformede verktyg for uppfoljning. Eventuelle avvikelser analyseras och åtg~rder vidtas. Vid Skurup Kommuneis sker enligt uppgift ekonomisk uppfoljning till verje styrelsemote, d.v.s. fyra till fem gånger per år. Eftersom bolaget koper ekonomitjånster av kommunen finns det en ekonom på kommunen som ansvarar for att sammanst~lla ekonomiska uppfoljningsrapporter finfor verje styrelsesammantr~de. D~remot anges att rapporteringen från entreprenorer auseende forvaltningen av lokaler ~r bristfållig. Bolaget ska dock
J ERNST & Younrc under året upphandla denna tj~nst och råknar med att redovisningen kommer att forbåttras i samband med detta. Vad gyller nyckeltal och j~mforelsetal uppges vid intervju att detta finte anv~nts i Skurup Kommunala men att det eventuellt kan komma att bli aktuellt i framtiden. Något som mats och analyseras ~r dock bolagets energieffektivisering, vilket gors inom ramen for kommunkoncernens sammantagna redovisning kring åmnet. Vidare anges att nyckeltal kan komma att bli viktiga i underhållsplaneringen, vilken ska framtas i samband med att forvaltningen konkurrensuts~tts. Skurup Kommunale har ingen anst~lld varav medarbetarenk~ter finte ~r till~mpliga. Vid Skurupshem uppges att det vid verje styrelsemote sker en ayståmning av bolagets verksamhet mot budget. Verksamheten jåmfors mot nyckeltal från branschorganisationen Sveriges Allmånnyttiga Bostadsforetag (SABO). Resultaten diskuteres i bolagsledningen. Vartannat år genomfor bolaget nojd-kund-utvårderingar och medarbetarsamtal sker årligen. De intervjuade anser att avvikelserapporteringen fungerer vil. Vid de månatliga personalmotene rapporterer samtlige områdesansvariga om sine respektive verksamheter, visket gor det mojligt for ledningen att fånga upp avvikelser som personalen noterat. Detta ~r enligt uppgift resultatet av ett utvecklingsarbete som drivits under de seneste fyra åren, delvis med hjelp av en extern konsult, och som i dagslaget upplevs ge mervårde for såvål ledning som personal.
J ERNST &YOUNG 4. Intern kontroll Utgångspunkt: Bolaget har ett system for intern kontroll som såkerståller en effektiv och r~ttss~ker verksamhet samt forebygger allvarliga fei och skador. Styreisen fastst~ller årligen en intern kontrollplan som ~r utgår från aktuell v~sentlighets- och riskanalys. Med intern kontroll auses den vedertagna COSO-modellens definition, dir intern kontroll år en process dår ledningen och ovrig personal samverkar och som utformas for att med rimlig grad av s~kerhet kunna uppnå foljande mål: ~ndamålsenlig och kostnadseffektiv verksamhet, tillforlitlig finansiell rapportering och information om verksamheten, efterlevnad av till~mpliga lagar, foreskrifter, riktlinjer etc. V~sentlighets- och riskanalysen omfattar således såvål ekonomiska som verksamhetsm~ssiga aspekter. Enk~tsvar Ja Delvis Ne' 1. Bolaget har i ett serskilt årende till styreisen beskrivit sitt sy- SHAB SKAB stem for intern kontroll. Av rendet framgår: Syfte och overgripande riktlinjer for den interns kontrollen Sammanstållning/forteckning over befintliga styrdokument, regler, riktlinjer etc. Beskrivning av ansvarsfordelning vad gyller intern kontroll Riktlinjer for rapportering vid brister Former for rapportering till styreisen 2. Bolaget har genomfort en våsentlighets- och riskanalys och SHAB SKAB dokumenterat denna. 3. I våsentlighets- och riskanalysen beaktas både externs och SHAB SKAB interns risker. 4. V~sentlighets- och riskanalysen revideres årligen. SHAB SKAB 5. Styreisen fastst~ller årligen en intern kontrollplan, for att folja SHAB SKAB upp att bolagets system for intern kontroll fungerer tillfredst~llande. 6. Intern kontrollplanen baseras på en aktuell v~sentlighets- och SHAB SKAB riskanalys. 7. Styreisen får under året regelbundne rapporter om den interns SHAB SKAB kontrollen i verksamheten. 8. De kontroller som finns i t ex rutiner fungerer som det år tånkt i SHAB SKAB forhållande till metod, omfattning och frekvens. 7
J ERNST&YovNc Iakttagelser Inget av botagen arbetar ånnu med intern kontroll på det systematiska sitt som auses i denna granskning. Inom båda botagen pågår dock utvecklingsarbete på området. Vid Skurup Kommunala uppges att det vid granskningstillf~llet pågår arbete i kommunen med att uppr~tta en koncerngemensam risk- och våsentlighetsanalys samt internkontrollplan. Bolagets vd anser att detta kan vara låmpligt då det finns planer på att skapa ett moderbolig som ska svara for ågarfrågorna. Vad gyller risker uppges att bolaget toper samma ekonomiska risker som kommunen eftersom bolaget anvender samma ekonomisystem, samma personal och samma forsikring. Vidare uppges att systemet sikrar att attester genomfors i enlighet med attestordning och behorigheter. Skurupshem har nyligen finlett ett arbete med att bygga upp rutiner for en systematisk intern kontroll, vilket år orsaken till att enk~tfrågorna besvarats med "delvis". Tillsammans med en extern konsult har ledningen och styreisen under 2012 genomfort en riskanalys av bolagets verksamhet. Denna kommer att tigga till grund for en internkontrollplan som styreisen ska besluta om under borjan av 2013. Avslutningsvis noteras att båda botagen har ett flertal styrdokument som har bring på den finterna kontrollmiljon, så som besluts- och attestordning, vd-instruktion och finanspolicy.
J ERNSr~ YouNc 5. Bedomning 5.1. Bedomning utifrån revisionsfrågorna Har bolaget strategier/handlingsplaner for hur urålen ska uppnås? Av enkåtsvar och intervjuer framgår att inget av botagen konkretiserat mål och strategier i en aff~rs- eller verksamhetsplan, vilket enligt intervju med Skurupshem beror på en str~van efter att bibehålla flexibilitet i verksamheten. Skurupshem saknar given skriftlig affårside. Dåremot upplever både botagen det kommunale ~ndamålet som tydligt uttryckt. Enligt vår bedomning ~r det viktigt att botagens verksamhet bedrivs med utgångspunkt i en formell plan och tydliga mål. Det som anges i respektive bolags ~gardirektiv ~r enligt vår bedomning finte tillr~ckligt som strategi for måluppfyllelse. Flexibiliteten i verksamhetsstyrningen kan behållas genom kontinuerlige aktualiseringar av handlingsplanerna, vers omfattning anpassas efter bolagets storlek. I syfte att s~kerst~lla att botagens verksamhet styrs efter mål och strategier som overensstemmer med kommunens intentioner bor botagen enligt vår bedomning formulere overgripande verksamhetsplaner som kan delges kommunen. Planerna kan utgora ett underlag for systematisk styrning av bolaget given vid anpasning till for~ndrade marknadsforhållanden. Hur ser IT- och informationss~kerheten ut? For Skurup Kommunale gyller att IT- och informationss~kerhet foljer kommunens, eftersom bolaget delar kommunens IT-system. Skurupshem har enligt uppgift fattet beslut om att uppr~tta en IT- och informationss~kerhetspolicy under forsta helven av 2013 och uppger att ITsåkerheten kontrolleres lopande. Både botagen anser att de arbetar aktivt med s~kerhet och beredskap. Vi kan inom ramen for denne granskning finte konstatere några synbare brister i botagens IToch informationss~kerhet. Vi rekommenderar dock Skurupshem att genomfora uppr~ttandet av IT- och informationss~kerhetspolicyn som planerat och framover att s~kerst~lla att denne gors kind i organisationen. Sker uppfoljning av bolagets verksamhet, resultat och finterna kontroll? Både botagen uppger att de har utformede rutiner och verktyg for uppfoljning samt att eventuella avvikelser rapporteres till respektive bolagsstyrelse. For Skurup Kommunale sammanst~lls ekonomiska rapporter finfor verje styrelsemote med hjelp av en ekonom på kommunen. D~remot uppges att rapporteringen från entreprenorer auseende forvaltningen av lokaler ~r bristf~llig men att detta forhoppningsvis kan avhjålpas i samband med att tj~nsten konkurrensutsåtts under 2013. Vid Skurupshem j~mfors verksamhetens resultat mot nyckeltal från branschorganisationen SABO och bolaget utfor regelbundet nojd-kund-utv~rderingar, medarbetarsamtal och personalmoten dir eventuelle avvikelser fångas upp. Enligt vår bedomning bor Skurup Kommunale folja upp nojdheten bland dem som brukar bolagets lokaler, d.v.s. personal och brukere i de kommunale verksamheterna. Isyfte att utveckla lokalerna och s~kerstålla dess åndamålsenlighet anser vi att bolaget bor vara mer aktivt i sin uppfoljning och tilise att synpunktsinh~mtning sker. Bolaget bor vid kommande upphandling av fastighetsforvaltningen såkerst~lla att entreprenoren genom avtal gors skyldig att bistå med tillfredsst~llande återrapportering kring forvaltningens kvalitet. Utgår den finterna kontrollen från v~sentlighet- och riskanalys? Vid granskningstillfållet pågår utvecklingsarbete auseende den finterna kontrollen i både bolagen. Vid Skurup Kommunale uppges att kommunen arbetar med att framte en koncernge-
J ERNST & YouNc mensam risk- och v~sentlighetsanalys som sedan ska tigga till grund for en koncerngemensam internkontrollplan. Skurupshem har nyligen med konsultstod genomfort en overgripande riskanalys som ska tigga till grund for bolagets internkontroliplan. Bolaget avser revidera riskanalysen och kontrollplanen årligen. Vi noterar att det skett en utveckling i internkontrollarbetet hos båda botagen, vilket vi ser som positivt. For att internkontrollarbetet ska skapa mervårde och vara så effektivt som mojligt ~r det dock enligt vår bedomning våsentligt att det riktar in sig på bolagsspecifika risker och att systemet år våk forankret i verksamhet och styrelse. Vi rekommenderar dårfor Skurup Kommunale att genomfora en egen riskanalys som kan tigga till grund for bolagets interne kontroll, oaysett om den sker i samarbete med kommunen eller ej. Vad gyller Skurupshem rekommenderar vi bolaget att återkommande revidere och vidga genomford riskanalys samt att anta den planerade internkontrollplanen så snart som mojligt. 5.2. Identifierade forbåttringsområden/rekommendationer Våra identifierade forb~ttringsområden/rekommendationer år enligt foljande: Botagen bor utarbeta overgripande aff~rs-/verksamhetsplaner. Vi rekommenderar Skurupshem AB att uppr~tta en IT- och informationssåkerhetspolicy som planerat och framover att s~kerstålla att denne gors kånd i organisationen. Skurup Kommunale AB bor såkerstålla att synpunkter från anv~ndare av bolagets lokaler inhåmtas och tas i beaktande, samt att tillfredsst~llande rapportering auseende fastighetsforvaltningen såkerst~lls i samband med kommande upphandling. Vi rekommenderar Skurup Kommunale AB att framte en egen riskanalys och internkontrollplan, alternativt detta aktivt i framtagandet av den koncerngemensamma internkontrollplanen isyfte att s~kerst~lla att den beakter bolagsspecifika risker och kritiske processer. Skurup, den 21 februari 2013 ~~-~ ~~~~ Thomas Hallberg Auktoriserad revisor,. ~L~,- _. ~ Annika Marking Verksamhetsrevisor Intervjuede medarbetare Bengt Hagberg, vd, Skurup Kommunale AB Anders Nilsson, vd, Skurupshem AB 10