1(13) Internkontrollplan 2016 Nämnden för personer med funktionsnedsättning
2(13) Innehåll INTERNKONTROLLPLAN 2016 NÄMNDEN FÖR PERSONER MED FUNKTIONSNEDSÄTTNING. 1 INNEHÅLL... 2 INLEDNING... 3 INNEHÅLL I DENNA RAPPORT... 4 CENTRALA BEGREPP... 5 OM FÖRVALTNINGEN/PROCESSEN... 6 KVALITETSRISKER... 6 KONTINUITETSHANTERING... 8 BILAGA 1 - BEROENDEANALYS FÖR ÅTAGANDEN MED HÖGA TILLGÄNGLIGHETSKRAV... 9 BILAGA 2 - ÅRSCYKEL... 10 Nämndens eller processens interna riskhanteringsrapport... 10 Nämndens eller processens internkontrollplan... 10 Rapport över utförd intern kontroll... 11 Utvärdering av kommunens samlade interna kontroll... 11 BILAGA 3 ÖVERGRIPANDE KONTROLLAKTIVITETER... 12
3(13) Inledning Intern kontroll är ett viktigt verktyg för att följa upp och säkerställa att den kommunala verksamheten bedrivs effektivt och ändamålsenligt samt att den finansiella rapporteringen är tillförlitlig. Som underlag för den interna kontrollen används riskanalyser. Dessa analyser görs mot ett antal definierade målområden, bland annat människors liv och hälsa och samhällets funktionalitet. Risker inom dessa områden kan indirekt påverka förmågan att upprätthålla en effektiv och ändamålsenlig kommunal verksamhet. I kraven på ändamålsenlighet och effektivitet ryms två antaganden som påverkar riskhanteringsarbetet verksamheten ska bedrivas med god kvalitet och tillgänglighet. Två typer av risker kan därför generellt sett identifieras: risker som påverkar kvaliteten i verksamheten, samt risker som påverkar förmågan att upprätthålla särskilt känsliga åtaganden (kontinuitetsrisker). Förskingring, felaktig hantering av sekretessbelagda uppgifter eller brister i handläggningen av sociala tillsynsärenden är exempel på kvalitetsrisker som kan ha svåra konsekvenser. Avsaknad av personal, brist på reservdelar eller driftavbrott i centrala ITsystem är exempel på kontinuitetsrisker, och som påverkar förmågan att bedriva viktig verksamhet i rätt tid. För åtaganden med höga tillgänglighetskrav görs en kontinuitetsriskanalys, med fokus på att identifiera de resurser och befintliga reservrutiner som är nödvändiga för att upprätthålla åtagandet inom tillgänglighetskraven. Utgångspunkten är den enskilda förvaltningens eller processens verksamhet en genomlysning av styrande dokument såsom budget, verksamhetsplan eller befintlig processbeskrivning, ger en beskrivning av denna verksamhet som bryts ner i åtaganden. Med åtaganden menas tydligt definierade uppgifter som organisationen svarar för. För att effektivisera arbetet görs kontinuitetsplanering endast för åtaganden som i det inledande arbetet kan konstateras ha höga tillgänglighetskrav (tillgänglighetskrav definieras som den maximala tid ett åtagande kan vara utsatt för ett avbrott innan oacceptabla konsekvenser uppstår). Med stöd i tillgänglighetskrav och risker kan krav på åtgärder etableras höga risker leder till krav på åtgärder som är kostnadsberäknade, har en utsedd ansvarig och implementeras i verksamheten. Höga tillgänglighetskrav kan leda till krav på att beroenden kartläggs och att kontinuitetsplaner upprättas. Därmed läggs också grunden för systematisk kontroll och uppföljning av beslutade åtgärder för olika risker i verksamheten. Under året genomförs de kontrollaktiviteter som identifieras ingår i denna internkontrollplan och som är kopplade till respektive risk och åtgärd. Hög riskexponering och/eller tillgänglighetskrav kan även utgöra grunden för krav på hög krishanteringsförmåga genom etablerande av krisledningsplaner, övningsstrategier etc. kan god förmåga att hantera en kris skapas. Denna övergripande process beskrivs i nedanstående bild:
4(13) Figur 1 - Processbeskrivning Innehåll i denna rapport Denna internkontrollplan beskriver de allvarligaste riskerna som har identifierats och analyserats för Individ- och familjenämnden. Risker som har ett riskvärde (konsekvensvärde multiplicerat med sannolikhetsvärde) om 9 eller högre, och/eller konsekvensvärden om 3 eller 4 i något av målområdena ska inkluderas i internkontrollplanen. Beroende på omfattningen av organisationens risker kan även särskilda krav på krishanteringsförmåga finnas redovisade. Även om en grundläggande planering för allvarliga händelser kan vara nödvändig, är det främst resultatet av riskanalyserna som styr om särskilda krav på krishanteringsförmåga är nödvändiga. Riskerna har getts åtgärdsplaner, där åtgärder för att förebygga eller begränsa konsekvenserna av dessa risker beskrivs. Åtgärderna kompletteras med kontrollaktiviteter, där löpande kontroller för att säkerställa implementering av åtgärderna under verksamhetsåret beskrivs. Kontrollaktiviteterna syftar även till att riskerna inte ökar under verksamhetsåret.
5(13) Centrala begrepp Nedan presenteras en definitionslista över centrala begrepp som används i internkontrollplanen. Extern resurs: En resurs som inte kontrolleras av förvaltningen eller processen. Inkluderar även entreprenad eller beroenden till andra verksamheter eller processer i staden. : En resurs som kontrolleras av förvaltningen eller processen. Exempel på detta är den ordinarie personalen Krishantering: Att hantera konsekvenserna av en allvarlig störning i sådan verksamhet som alltid måste upprätthållas. Kvalitetsrisker: Risker som påverkar kvaliteten i en verksamhet eller process, men som inte påverkar förmågan att upprätthålla denna. Kontinuitetsrisker: Risker som påverkar möjligheten att upprätthålla en verksamhet eller process Riskvärde: Värde som ges av att multiplicera sannolikhet med konsekvens i riskanalysen, där ett högre värde bör innebära att risken behandlas. Kan anta värden mellan 1 och 16. Tillgänglighetskrav: Den maximala tid under vilken ett åtagande kan vara utsatt för ett avbrott utan att oacceptabla konsekvenser uppstår. Oacceptabla konsekvenser mäts mot målområden. Återhämtningstid: Den tid inom vilken en resurs måste finnas tillgänglig för att åtagandets tillgänglighetskrav inte ska överskridas. Åtagande: Ett avgränsat uppdrag som förvaltningen eller processen har att genomföra, i enlighet med styrande dokument såsom budget, ägardirektiv eller andra politiska beslut.
6(13) Om förvaltningen/processen bistår med sakkunskap till de tre sociala nämnderna. Sociala nämndernas förvaltning ansvarar även för myndighetsutövning inom det sociala området. har ett samlat uppdrag att: Ta fram underlag för beslut i strategiska frågor Beställa/upphandla sociala tjänster Teckna avtal med utförare samt följa upp/utvärdera verksamheten Genom omvärldsbevakning följa aktuell forskning och ny lagstiftning Myndighetsutövning Kvalitetsrisker Kvalitetsrisker är risker som kan påverka kvaliteten i verksamheten. Exempelvis förskingring, felaktig hantering av sekretessbelagda uppgifter eller brister i handläggningen av sociala tillsynsärenden. 5 av Nämnden för personer med funktionsnedsätnings analyserade risker har riskvärdet 9 eller högre, och/eller konsekvensvärden om 3 eller 4 i något av målområdena. Dessa risker inkluderas därför i internkontrollplanen. R001 Lämna ut sekretessbelagda uppgifter (riskvärde 9) Slarv Stress Okunskap Orsak Sannolikhet (1-4) 3 9 Högsta riskvärde (1-16) Område (konsekvensvärde) Riskägare Ändamålsenlig och effektiv verksamhet (9) Liv och hälsa (9) Miljö och egendom () Regelefterlevnad () Samhällets funktionalitet och grundläggande värden Stadens Attraktivitet () Enhetschefer
7(13) R002 Brott mot verksamhet (riskvärde 12) Kriminalitet Fusk Slarv Orsak Sannolikhet (1-4) Högsta riskvärde (1-16) 4 12 Område (konsekvensvärde) Riskägare Ändamålsenlig och effektiv verksamhet (12) Liv och hälsa () Miljö och egendom () Regelefterlevnad (12) Samhällets funktionalitet och grundläggande värden Stadens Attraktivitet Enhetschefer R003 Stor personalomsättning/personalbrist (riskvärde 12) Orsak Föräldraledighet Hög arbetsbelastning Kranskommuner erbjuder mer attraktiva tjänster Sannolikhet (1-4) Högsta riskvärde (1-16) 4 12 Område (konsekvensvärde) Riskägare Ändamålsenlig och effektiv verksamhet (12) Liv och hälsa (12) Miljö och egendom () Regelefterlevnad (12) Samhällets funktionalitet och grundläggande värden ( Stadens Attraktivitet () Enhetschefer R004 Inte kunna erbjuda utredning eller beslut utifrån behov i rimlig tid (riskvärde 12) Orsak Sannolikhet (1-4) Högsta riskvärd e (1-16) Personlabrist 4 12 Område (konsekvensvärde) Riskägare Ändamålsenlig och effektiv verksamhet (12) Liv och hälsa (12) Miljö och egendom () Regelefterlevnad (12) Samhällets funktionalitet och grundläggande värden Stadens Attraktivitet Enhetschefer
8(13) R005 Fel eller uteblivna insatser (riskvärde 9) Orsak Ingen eller bristande informtionsöverföring Sannolikhet (1-4) Högsta riskvärd e (1-16) 3 9 Område (konsekvensvärde) Riskägare Ändamålsenlig och effektiv verksamhet (9) Liv och hälsa (9) Miljö och egendom () Regelefterlevnad (9) Samhällets funktionalitet och grundläggande värden () Stadens Attraktivitet () Enhetschefer Kontinuitetshantering Kontinuitetsrisker är risker som påverkar möjligheten att upprätthålla särskilt viktiga åtaganden. Exempelvis avsaknad av personal, brist på reservdelar eller driftavbrott i centrala IT-system. En större kontinuitetsrisk har identifierats; Avbrott eller funktionsfel i verksamhetssystem. Den ska dock inte ingå i nämndens internkontrollplan då förvaltningen inte förfogar över riskerna.
9(13) Bilaga 1 - Beroendeanalys för åtaganden med höga tillgänglighetskrav En beroendekartläggning har gjorts för åtagande X, där enskilda aktiviteter inom åtagandet definierats. Till varje aktivitet har interna respektive externa resurser kopplats, det vill säga resurser som organisationen antingen själv förfogar över eller som tillhandahålls av en annan aktör såsom en upphandlad leverantör eller myndighet. Aktiviteter inom åtagandet är numrerade och följer en process. I nedanstående figur visas vilka kritiska aktiviteter och resurser som är kopplade till åtagandet. Figur 2 Beroendeanalys för åtagandet X (Mallen finns även i PowerPoint i workshopstödet för kontinuitetshantering och kan klippas in som bild). Samhällsviktig funktion PROCESS/NÄMND Åtagande Åtagande Kritiska aktiviteter Aktivitet Aktivitet Aktivitet Aktivitet Aktivitet Aktivitet Interna beroenden Externa beroenden Extern resurs Extern resurs Extern resurs Extern resurs Extern resurs Extern resurs
10(13) Bilaga 2 - Årscykel Riskhanteringsarbetet och internkontrollarbetet är en löpande process som följer stadens budget- och verksamhetsplanering. Analysarbetet bedrivs stegvis och koordinerat med budgetarbetet. I nedanstående figur ges en översiktlig bild av de aktiviteter och rapporter som inkluderas i arbetet. Mellan analys- och rapporteringstillfällen sker en löpande kontroll och uppföljning av beslutade åtgärder och kontrollaktiviteter. Följande rapporter produceras med anledning av arbetet: Nämndens eller processens interna riskhanteringsrapport Nämnden eller processägaren upprättar en intern riskhanteringsrapport som detaljerar samtliga identifierade risker. Riskhanteringsrapporten upprättas efter att samtliga tre analyssteg genomförts, senast i september. Nämndens eller processens internkontrollplan Risker med höga värden eller som kan påverka förmågan att upprätthålla kritisk verksamhet inom nämndens ansvarsområden inkluderas i denna internkontrollplan. I planen kan även inkluderas krav på krishanteringsförmåga. Planen fastställs av nämnden i september-oktober och redovisas till kommunstyrelsen i samband med budgetavstämningen i november.
11(13) För de processer som är gemensamma för flera nämnder eller styrelser ligger ansvaret för riskanalys och internkontrollplan hos den nämnd eller styrelse där processägaren finns. Ansvaret för såväl åtgärder som kontrollaktiviteter kan dock finnas i en eller flera andra nämnder eller styrelser. Då kommunstyrelsen fastställt internkontrollplanen för dessa processer distribueras de därefter till de nämnder och styrelser som får ansvar att genomföra kontroller. Rapport över utförd intern kontroll I nämndens redovisning av genomförd intern kontroll framgår under året genomförda kontrollaktiviteter samt resultatet av dessa. Rapporten fastställs i samband med bokslutsarbetet. Rapporten skickas till Stadsledningskontoret. Genomförda kontroller som avser gemensamma processer dokumenteras och skickas till den processansvarige som sammanställer och återredovisar resultatet till kommunstyrelsen årligen i samband med årsbokslutet. Utvärdering av kommunens samlade interna kontroll Stadsledningskontoret sammanställer, med utgångspunkt i nämnd- och processpecifika rapporter över utförd intern kontroll, en rapport till kommunstyrelsen där kommunens samlade interna kontroll utvärderas. Rapporten sammanställs under första kvartalet.
12(13) Bilaga 3 Övergripande kontrollaktiviteter Följande övergripande kontrollaktiviteter kan kopplas till internkontrollplanen, oberoende av risker. Fält med silverfärgad bakgrund avser krav och kontrollaktiviteter för risker med riskvärde 6 eller 8, eller som har ett tillgänglighetskrav på mellan ett dygn och en vecka. Fält med guldfärgad bakgrund avser krav som följer på risker som har ett riskvärde om 9 eller högre, eller för åtaganden som har ett tillgänglighetskrav på mindre än ett dygn. [kryssa för relevant svar samt skriv eventuella kommentarer] Krav Kontrollaktivitet Krav uppfyllts Ja Nej Ej relevant Kommentar Genomgång av försäkringsplan Rätt försäkringsskydd finns för verksamheten Ersättningsbelopp motsvarar möjligt skadeutfall Förekomst av riskregister i riskverktyg Internt riskregister upprättas och riskrapport sammanställs Kvalitativ granskning av riskbeskrivningar Tydligt angett om risker kan accepteras eller ej Beroendeanalys kan genomföras för åtaganden med tillgänglighetskrav mindre än en vecka Risker inkluderas i internkontrollplan Intern riskrapport sammanställs Kvalitativ granskning av beroendeanalys Kvalitativ granskning av riskvärden Ansvarig för åtgärder finns Åtgärdsplaner inkluderas i internkontrollplan Åtgärder är kostnadsberäknade Slutdatum för åtgärd finns Kvarvarande riskvärde angett Beslutade åtgärder återfinns i VP
13(13) Risker med värde 16 behandlas omgående Beroendeanalys ska genomföras för de mest kritiska åtagandena och redovisas i IK-plan Implementering av beslutade åtgärder följs upp (löpande) Kontroll av att urvalet är relevant Kvalitativ granskning av beroendeanalys Kontinuitetsplaner upprättas Kvalitativ granskning av kontinuitetsplaner Kontroll av att kontinuitetsplaner kommunicerats i organisationen Kontroll av kontinuitetsplanernas aktualitet