1/8 Beslutad: Teknik- och servicenämnden 2015-03-24 36 Gäller fr o m: 2015-04-01 Myndighet: Teknik- och servicenämnd Diarienummer: TSN/2015:136-012 Ersätter: - Ansvarig: Teknik- och servicekontoret Tillämpningsanvisningar för intern kontroll, teknik- och servicenämnden Syftet med internkontrollen är att säkra en effektiv förvaltning och att den ständigt förbättras. Vidare är syftet att säkerställa att de politiskt beslutade målen uppfylls samt att verksamhetens processer fungerar tillförlitligt. En god intern kontroll förutsätter att politisk ledning, chefer och övriga anställda samverkar. Tillämpningsanvisningarna har tagits fram som stöd för arbetet med internkontrollen och för att ge råd vid tillämpningen av reglemente för internkontroll. Syfte 1 Begreppet rimlig grad av säkerhet innebär att kommunstyrelsen och nämnderna vid utformningen av rutiner ska göra en avvägning mellan kontrollkostnad och kontrollnytta. Vid bedömning av kontrollnytta ska inte endast ekonomiska faktorer vägas in, utan även vikten av att upprätthålla förtroendet för verksamheten hos olika intressenter. Målet ändamålsenlig och kostnadseffektiv verksamhet innebär bland annat att säkerställa att fattade beslut verkställs och följs upp i förhållande till fastställd verksamhetsidé och mål samt att ha kontroll över ekonomi, prestationer och kvalitet. Målet tillförlitlig finansiell rapportering och information om verksamheten innebär att kommunstyrelsen och nämnderna samt verksamhetschefer ska ha tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av verksamhetens prestationer avseende kvantitet och kvalitet samt övrig relevant information om verksamheten och dess resursanvändning. Målet efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer mm innefattar lagstiftning såväl som kommunens interna regelverk samt ingångna avtal med olika parter.
Målet säkra tillgångar och hindra förluster innebär att det är särskilt viktigt att kontrollrutinerna är tillräckliga kring de processer där pengar (kontanter eller värdepapper) samt andra stöldbegärliga tillgångar hanteras. Målet eliminera och upptäcka fel genom ständig förbättring gäller både avsiktliga och oavsiktliga fel. Kommunens personal måste ha tillräcklig kunskap och internkontrollen måste uppfattas som en naturlig del av verksamhetsprocesserna. Modell för internkontroll 2 Internkontrollen är ett verktyg för såväl politiker som anställda. Det gäller att skapa en kultur där samtliga är förtrogna med vilka spelregler som gäller för de kommunala verksamheterna. Oavsett arbetssätt ska arbetet syfta till ständig förbättring genom att föregripa och undanröja eventuella risker samt skapa en beredskap för oväntade händelser. Alla verksamheter bör aktivt genomföra kontrollaktiviteter. Med det menas konkreta åtgärder som vidtas för att motverka, minimera eller helst eliminera de risker som finns. Det kan även handla om att säkerställa beredskap för att kunna hantera eller reagera på situationer som uppstår till följd av att olika händelser inträffar. Kontrollaktiviteterna ska integreras i de ordinarie verksamhetsprocesserna. En viktig förutsättning för en effektiv internkontroll är information och kommunikation mellan politiker, anställda, verksamheter och olika organisatoriska nivåer. Ledningen på olika nivåer har ansvar för att säkerställa att den information som krävs för att styra, följa upp och rapportera erhålls. Genom en aktiv tillsyn kan kommunen ständigt utvärdera internkontrollsystemet för att säkerställa att detta fungerar på avsett sätt. Tillsynen ska resultera i förslag till förbättringar i syfte att stärka styrningen och den interna kontrollen. Tillsyn sker med hjälp av fastställda internkontrollplaner och uppföljningen av dessa. Organisation av internkontrollen Kommunstyrelsen 3 Kommunstyrelsens övergripande ansvar för att verka för en god internkontroll fastställs i 3 i enlighet med 6 kap. 1-4 samt även 8 kap. 1 kommunallagen. Kommunstyrelsen har ansvar för att utforma en övergripande organisation för internkontrollen. Kommunstyrelsens ansvar innefattar även att leda och samordna förvaltningen av kommunens angelägenheter samt att ha uppsikt över övriga nämnders verksamhet. 2/8
Denna uppsikt innebär en rätt att göra påpekanden, lämna råd och anvisningar samt, om det är nödvändigt, lämna förslag till fullmäktige om förändringar. En annan viktig uppgift är att ta initiativ till, utveckla och formulera kommunövergripande anvisningar kring internkontroll. Det kan gälla såväl anvisningar för själva kontrollarbetet som regler och anvisningar för olika rutiner, exempelvis i frågor om attest, uppföljning och lönerapportering. Kommunstyrelsen kan fastställa obligatoriska granskningsområden för övriga nämnder. Kommunstyrelsen och nämnderna 4 Kommunstyrelsens och nämndernas ansvar för den interna kontrollen anges i 6 kap. 7 kommunallagen. Det är alltid kommunstyrelsen och respektive nämnd som har det yttersta ansvaret för att utforma en god internkontroll inom sitt ansvarsområde. I detta ansvar ligger att utifrån principerna för internkontrollen i kommunen vid behov utfärda regler och anvisningar för den egna internkontrollens organisation, utformning och funktion. Det är viktigt att detta dokumenteras och antas av kommunstyrelsen och nämnderna. Kommunstyrelsen och nämnderna ska ha minst en fastställd rutin för hur planering och rapportering av internkontrollarbetet ska gå till samt information till anställda om vad internkontroll innebär. Kontorschefer 5 Kontorschefer har det verkställande ansvaret för att arbeta fram regler och anvisningar om internkontroll som är anpassade till den egna verksamheten inom respektive kontor. Kontorschefen svarar för att minst årligen skriftligt rapportera till respektive nämnd och ge en samlad bedömning om hur internkontrollen fungerar inom respektive kontorschefs ansvarsområde. Allvarligare brott mot den interna kontrollen rapporteras omedelbart till kommunchefen och ansvarig nämnd. Verksamhetsansvariga 6 Med verksamhetsansvarig avses chefer på olika nivåer i organisationen. Avsikten med internkontrollen är att eventuella tveksamheter eller direkta felaktigheter ska kunna undanröjas eller stoppas. Alla anställda har en skyldighet att omedelbart rapportera fel och brister i det interna kontrollsystemet till den närmast överordnade som i sin tur också är skyldig att rapportera vidare uppåt i organisationen. Syftet med den omedelbara 3/8
rapporteringen är att man inom förvaltningen omgående ska kunna vidta åtgärder för att komma tillrätta med de fel och brister som har uppmärksammats. Övriga anställda 7 Alla anställda har en skyldighet att omedelbart rapportera fel och brister till den närmast överordnade. Alla anställda ska ha den kunskap och förståelse som krävs för att utföra sina arbetsuppgifter och att aktivt kunna arbeta för att ständigt förbättra verksamheten. Uppföljning av internkontrollen Styrning och uppföljning 8 Teknik- och servicenämnden ska inom sin organisation tydliggöra ansvaret för internkontrollen och innebörden av denna. Teknik- och servicenämnden ska också planera och prioritera arbetet med utveckling av rutiner för att stärka internkontrollen. En risk- och väsentlighetsanalys ska alltid utgöra grunden för planering, prioritering och uppföljning av internkontrollarbetet. Internkontrollplaner 9 Inför varje verksamhetsår ska teknik- och servicenämnden besluta om en särskild plan för uppföljning av internkontrollen. Olika granskningsområden bör väljas ut med utgångspunkt från en risk- och väsentlighetsbedömning. Fastställande av internkontrollplan Internkontrollplanen för nästkommande år ska beslutas av teknik- och servicenämnden allra senast vid sista nämndmötet för innevarande år. Upprättande av internkontrollplan Internkontrollplanen ligger till grund för hur det praktiska internkontrollarbetet ska bedrivas. En risk- och väsentlighetsbedömning ska ligga till grund för vilka rutiner/processer som ska tas med i planen. Därefter ska ett eller flera lämpliga kontrollmoment utarbetas för dessa rutiner/processer. För varje kontrollmoment ska fastställas: Vilka rutiner/processer och vilka kontrollmoment som ska följas upp Vem som är kontrollansvarig Kontrollmetod Till vem rapportering ska ske Genomförd risk- och väsentlighetsbedömning Frekvens på kontroller, minst 2 gånger per år När rapportering senast ska ske 4/8
5/8 Risk- och väsentlighetsanalys Vid bedömning av vilka rutiner, processer och system som ska ingå i den interna kontrollplanen under perioden används matrisen på sidan 6 som ett hjälpmedel. Sannolikhet (risk) anger hur sannolikt det är att det finns eller kommer att uppstå brister i rutinen/processen. Konsekvens (väsentlighet) innebär hur mycket verksamhetens kvalitet, kostnad, förtroende eller resurser i övrigt påverkas om brister i rutinen/processen finns eller uppstår. Bedömning av rutiner/processer Sannolikheten (risken) och konsekvensen (väsentlighet) multipliceras med varandra enligt graderingen nedan. Rutinernas/processernas placering i matrisen ger då en vägledning om vilka som ska tas med i den interna kontrollplanen. Matrisen är uppbyggd enligt nedanstående gradering: Sannolikhet (risk) 1. Ingen risk: Risken är praktiskt taget obefintlig för att fel ska uppstå. 2. Låg risk: Risken är mycket liten för att fel ska uppstå. 3. Medel risk: Det finns en risk för att fel ska uppstå. 4. Hög risk: Det är mycket troligt att fel ska uppstå. Konsekvens (väsentlighet) 1. Inga konsekvenser: Är obetydlig för de olika intressenterna och kommunen. 2. Lindriga konsekvenser: Uppfattas som liten av såväl intressenter som kommunen. 3. Kännbara konsekvenser: Uppfattas som besvärande för intressenter och kommunen. 4. Allvarliga konsekvenser: Är så stor att fel helt enkelt inte får inträffa.
6/8 Matris, risk- och väsentlighetsbedömning Konsekvens (väsentlighet) allvarliga konsekvenser kännbara konsekvenser lindriga konsekvenser inga konsekvenser 4 8 12 16 3 6 9 12 2 4 6 8 1 2 3 4 ingen risk låg risk medel risk hög risk Sannolikhet (risk) Bedömningen ska göras enligt nedanstående tabell: Tabell, risk- och väsentlighetsbedömning Grön (1-3) Inget agerande krävs. Riskerna accepteras. Gul (4-8) Rutinen/processen bör hållas under uppsikt. Eventuellt delar vi riskerna med en annan part. Orange (9-12) Rutinen/processen bör tas med i internkontrollplan. Eventuellt behövs nya regelverk och/eller utbildning av personalen. Vi reducerar riskerna. Röd (16) Direkt åtgärd krävs. Minimering av riskerna eftersträvas. Vad är väsentligt att ta med i internkontrollplanen? Det enklaste sättet är att ställa sig frågan; vilka fem till tio processer/rutiner får inte bli fel. Ett annat sätt är att utifrån ett antal grundkomponenter få fram relevanta processer/rutiner. Dessa komponenter kan vara: Nyheter i organisationen; arbetssätt, rutiner, IT-system med mera Revisionens granskningar Tillsynsmyndighetens granskningar Tidigare och egna erfarenheter av brister i verksamheter/systemen Omvärldsfaktorer Reglementen, policydokument, regler etcetera Aktuella rutinbeskrivningar Internkontrollplaner från tidigare år
Processer/rutiner som hamnar i det orange och röda fältet i matrisen ska med in i internkontrollplanen. Det är med största sannolikhet så att den/de processer/rutiner som hamnar i det röda fältet behöver åtgärdas direkt. Men processen/rutinen bör ändå inkluderas i internkontrollplanen för att kontrollera att åtgärderna fungerar. Dokumentera vilka processer/rutiner som hamnade i kategorin bör hållas under uppsikt. Dessa kan vara aktuella för nästa års riskoch väsentlighetsanalys. Dokumentera även motiven till valda processer/rutiner. Brister och avvikelser från aktuell internkontrollplan tas med i nästa års kontrollplan för att säkerställa att avvikelsen åtgärdats. Det praktiska kontrollarbetet Kontrollansvariga kan vara personer inom det egna kontoret, men de ska inte vara direkt involverade i arbetet med den rutin/process som ska kontrolleras. En variant för att undvika detta är att engagera personer från annan enhet eller kontor för att utföra kontrollen. Den som kontrollerar ska ha rätt kompetens och tillgång till relevanta uppgifter om det som ska kontrolleras. För att underlätta och effektivisera arbetet bör den kontrollansvarige ha en dialog med system- /rutinansvarig. Det är viktigt att man inte kontrollerar sig själv eller sina egna processer. Det praktiska kontrollarbetet kan sammanfattas i följande moment: Utreda; efter en nödvändig avgränsning samla in relevant material och/eller genomföra intervjuer. Verifiera; kontrollera att dokumentation och övrig beskrivning överensstämmer med verkligheten. Bedöma om utredning och verifiering ger svar på om rutinen hanteras korrekt och om hanteringen är tillförlitlig så att medvetna och omedvetna fel undviks. Frekvens Kontroller ska ske två gånger årligen, en första halvåret och en andra halvåret. De eventuella avvikelser som finns under första halvåret åtgärdas och kontrolleras igen under andra halvåret. Det är alltid ansvarig chef som ansvarar för att åtgärda avvikelser. Uppföljning av internkontrollplanen 10 Genomförd uppföljning rapporteras till teknik- och servicenämnden oavsett utfall. Vid upptäckta brister bör även förslag lämnas på åtgärder för att förbättra processen. Rapporteringen ska ske skriftligen. Frekvens och utformning av rapporteringen ska följa den antagna internkontrollplanen. Valda aktiviteter och rutiner ska bedömas utifrån sin väsentlighet för verksamheten samt vilken risk en felaktig hantering innebär för kommunen. En sammanställning på genomfört uppföljningsarbete ska lämnas till teknik- och servicenämnden i samband med delårsrapporten och årsredovisningen. 7/8
8/8 Rapportskyldighet 11a Teknik- och servicenämnden, eller den kommunstyrelsen särskilt utser, fastställer senast vid utfärdande av bokslutsanvisningarna när rapport senast ska avlämnas. Rapporten ska innehålla omfattning av utförd uppföljning, utfallet och eventuellt vidtagna åtgärder. Rapporten ska också vid behov innehålla förslag till förbättring av kommungemensamma rutiner. Allvarligare brott mot eller brister i internkontrollen ska omedelbart rapporteras till kommunstyrelsen. 11b Kommunstyrelsen, eller den kommunstyrelsen särskilt utser, fastställer senast vid utfärdande av bokslutsanvisningarna när rapport senast ska avlämnas. Rapporten ska innehålla omfattning av utförd uppföljning, utfallet och eventuellt vidtagna åtgärder. Rapporten ska också vid behov innehålla förslag till förbättring av kommungemensamma rutiner.