www.pwc.se Revisionsrapport Tilda Lindell Margareta Irenaeus Cert. kommunal revisor November2013 Granskning av system och struktur för intern styrning och kontroll - Solna stad
Övergripande styrning -intern kontroll Sammanfattning PwC har på uppdrag av Solna stads förtroendevalda revisorer genomfört en övergripande granskning av Solna stads system och struktur för intern kontroll. Granskningen har ämnat besvara frågan om det finns ett systematiskt arbete med den interna kontrollen i staden som säkerställer en ändamålsenlig hantering av intern styrning och kontroll. En verifiering har genomförts på Barn- och utbildningsförvaltningen. Granskningen visar att ett flertal åtgärder har vidtagits för att stärka den interna kontrollen i Solna Stad, och att positiva effekter har uppstått till följd av detta. Bland annat finns det nu ett reglemente för intern kontroll med tillhörande tillämpningsanvisningar som upplevs som mer ändamålsenliga, lättförståeliga och tillgängliga av medarbetarna än tidigare. Det har även tagits fram en mall för anvisningar till utformning av IK-plan samt för rapport av intern kontroll-åtgärd. De förbättringsområden som granskningen har påvisat är främst kopplade till riskoch väsentlighetsanalysen samt information och kommunikation. Metodiken kring hur riskanalysen ska utföras och presenteras bör förtydligas, dels för att ge ett mer relevant underlag till IK-planen och dels för att öka möjligheten att genom jämförelse kunna synliggöra och säkerställa att risk- och väsentlighetsbedömningarna är adekvata och likvärdiga. Det finns i dagsläget i och med årsplaneringen/årscykeln fastslagna tidpunkter för rapportering och uppföljning, men den formella kommunikationskedjan bör utvecklas och betonas ytterligare. En återkommande utvärdering, bedömning och utveckling av arbetet med intern kontroll bidrar till att ge arbetet dignitet samt uppmuntra till förbättring genom synliggörande av goda exempel. En formell kommunikationskedja ger även förbättrade förutsättningar att förmedla relevant information till berörda personer, samt för bedömning av ändamålsenligheten i arbetet med intern kontroll. 1
Övergripande styrning -intern kontroll Innehållsförteckning 1. Uppdrag... 3 1.1. Bakgrund... 3 1.1.1. Revisionsfråga... 3 1.1.2. Kontrollmål/granskningsmål... 3 1.2. Metod och avgränsning... 3 2. Reglemente för intern kontroll... 4 2.1. Tillämpningsanvisningar... 4 2.2. Intern kontroll process... 4 2.3. Gemensam struktur... 5 3. Verifiering Barn- och utbildningsnämnden... 6 3.1. Styrdokument och anvisningar... 6 3.2. Process... 6 3.3. Riskanalys... 6 3.4. IKplan... 7 3.5. Uppföljning... 7 3.6. Årsredovisning... 8 4. Iakttagelser... 9 4.1. Kontrollmiljö... 9 4.2. Riskanalys... 9 4.3. Kontrollåtgärder... 9 4.4. Information och kommunikation... 10 4.5. Tillsyn... 10 5. Sammanfattande bedömning... 11 Bilagor 12 2
1. Uppdrag 1.1. Bakgrund Revisorerna ska varje år uttala sig om ansvarsfrågan i revisionsberättelsen. En viktig del i ansvarsutövandet är att bedöma kommunstyrelsens och nämndernas sätt att utöva kontroll. Syftet med granskning är att översiktligt bedöma ändamålsenligheten i Solna stads system och struktur för intern styrning och kontroll. Av kommunallagens 9 kap 9 framgår bl.a. att revisorerna ska pröva om den interna kontrollen som görs inom nämnderna är tillräcklig. Nämndernas ansvar i detta arbete framgår av kommunallagen 6 kap 7 i vilken det stadgas att nämnderna ska se till att den interna kontrollen är tillräcklig. Nämnderna ansvarar för en ändamålsenlig styrning så att verksamheten bedrivs på ett effektivt sätt och att det finns säkra rutiner som förhindrar förlust för kommunen och säkerställer att redovisningen är rättvisande. 1.1.1. Revisionsfråga Granskningen ska besvara följande revisionsfråga: Finns ett systematiskt arbete med den interna kontrollen i staden som säkerställer en ändamålsenlig hantering av intern styrning och kontroll? 1.1.2. Kontrollmål/granskningsmål Vilka system och rutiner för intern kontroll har staden beslutat om? I vilken utsträckning sker uppföljning och utvärdering av system och rutiner för intern kontroll? Vilka underlag har styrelsen/nämnderna till sina beslut? Vilken återrapportering av verksamheten får nämnderna? 1.2. Metod och avgränsning Granskningen genomförs genom intervjuer och dokumentstudier. Granskningen avgränsas till kommunövergripande regelverk, rutiner och uppföljning. I arbetet med att granska kommunens systematik och struktur i arbetet tillämpas COSOmodellen för intern styrning och kontroll. 1 1 COSO se bilaga 1 3
2. Reglemente för intern kontroll Under 2012 har Stadsledningsförvaltningen genomfört ett omfattande arbete med översyn avseende intern kontroll. Stadsledningsförvaltningen har konstaterat att det funnits skäl att revidera och förtydliga existerande riktlinjer, regler och rutiner kring den interna kontrollen. De har också konstaterat att det ibland funnits diskrepans mellan beslutade tillämpningsanvisningar för vissa riktlinjer och information kring desamma som finns på kommunens intranät. Detta har medfört otydlighet i vad som egentligen gäller kring vissa områden. Reviderat reglemente avseende internkontroll beslutades av kommunfullmäktige 2012-10-29 124. 2.1. Tillämpningsanvisningar Reglementet avseende intern kontroll har i grunden bedömts ändamålsenligt och har därför endast justerats i mindre omfattning. Det som främst bedömts behöva utvecklas är tillämpningsanvisningarna till reglemente för intern kontroll och informationen kring dessa. Det handlar främst om att trygga efterlevnaden av styrdokumenten. Anvisningarna har dock också bedömts som bra men behövde bli lite tydligare och mer pedagogiska. Anvisningarna har uppdaterats och tydliggjorts och information avseende detta har getts till förvaltningschefer och controllers/ ekonomer b.la. via träffar med redovisningsnätverk. 2.2. Intern kontroll process I arbetet med att utveckla och förstärka den interna kontrollen i verksamheten har utvecklingsarbetet fokuserats mot en systematisk tillämpning av reglemente, anvisningar och rutiner som beslutats om i staden. Processen har beskrivits och stödjande dokument har utarbetats. Inom kommunstyrelsens förvaltning har verktyg och mallar för internkontrollarbetet tagits fram och testats. Vidare har beslut fattats om att stadsledningsförvaltningen skall driva en process där dessa verktyg också används i nämnderna. Inför budget och verksamhetsplan 2014 har de tekniska anvisningarna skrivningar om förstärkt intern kontroll och utveckling av kvaliteten på riskanalyserna som ligger till grund för IK-planerna. 4
2.3. Gemensam struktur Ett fundament i arbetet med intern kontroll utgörs en gemensam struktur. För att den interna kontrollen skall kunna genomsyra organisationen och följas upp på alla nivåer är det nödvändigt att arbetet sker i en gemensam struktur. För att kommunstyrelsen skall kunna utöva sin uppsikt över nämndernas arbete måste samtliga nämnder tillämpa angiven systematik. Kommunstyrelsens förvaltning har under 2012-13 utarbetat beskrivningar av internkontrollprocessen i syfte att tydliggöra systematiken i arbetet på styrelse/nämndnivå. Under 2014 avser man säkerställa att systematiken också följs inom nämnderna. För att säkerställa en gemensam struktur har mallar för väsentlighet- och riskbedömning och internkontrollplan utarbetats. Anvisningar till mallar för internkontrollplan samt återrapportering av internkontrollmoment finns framtagna för stadsledningsförvaltningen. Som stöd i arbetet har också förslag till workshop för riskanalys tagits fram inom stadledningsförvaltningen. I de tekniska anvisningarna inför budget 2014 anges följande obligatoriska kontrollmoment inom redovisning; Internt registrerade utbetalningar Representation och gåvor Manuell kreditering av faktura Jäv-utbetalningar som berör den anställde Rutinerna ska kontrolleras och dokumenteras med en gemensam metod som återfinns på intranätet/styrning/internkontroll/rutiner/ekonomi/ stickprovskontroller för förvaltningar. 5
3. Verifiering Barn- och utbildningsnämnden 3.1. Styrdokument och anvisningar Barn- och utbildningsförvaltningen (BuF) använder det reglemente för intern kontroll och de tillämpningsanvisningar som formulerats av Stadsledningsförvaltningen (SLF) och beslutats av kommunfullmäktige 2012-10-29 (KS 2012:124). Enligt reglementets andra kapitel har nämnden det yttersta ansvaret för intern kontroll inom sitt verksamhetsområde (KL kap.6, 7 ) och nämnden ska därför anta regler och anvisningar för hur arbetet med intern kontroll ska bedrivas. Förvaltningen uppger dock att Barn- och ungdomsnämnden (BuN) inte har förmedlat några för verksamheten anpassade riktlinjer eller anvisningar för arbetet med intern kontroll. Det har inte skett något förtydligande av övergripande syftet med intern kontroll som definierats i reglemente och förtydligats i anvisningar från nämndens sida. Det är alltså de ursprungliga riktlinjerna som förvaltningen har att arbeta efter. Enligt reglementet för intern kontroll ansvarar förvaltningschefen för att en god intern kontroll bedrivs inom nämndens verksamhetsområde. De riktlinjer och anvisningar som SLF förmedlat finns tillgängliga på intranätet som har förbättrats och det är nu lättare att hitta information. Därmed uppger förvaltningen att alla verksamma inom förvaltningen känner till och tillämpar de styrande dokumenten. Anvisningarna framstår nu som ändamålsenliga och lättare att förstå än tidigare, och de tillämpas i verksamheten i och med att man från förvaltningens sida följer de moment som finns angivna för upprättande av IK-plan samt risk- och väsentlighetsanalys. 3.2. Process IK-planen samt risk- och väsentlighetsanalysen som ska antas för nästkommande år måste beslutas vid oktobernämnden. Förvaltningens arbete med att ta fram riskoch väsentlighetsanalys samt förbereda underlag för IK-planen börjar efter kommunstyrelsens beslut om budget och pågår främst under juni oktober. Nämnden och förvaltningen ska också samordna en konferens innan novembernämnden för att vid behov kunna diskutera revideringar av IK-plan och risk- och väsentlighetsanalys samt välja ut 3 4 processer för återrapportering till nämndens arbetsutskott. Dessa processer får därmed karaktären av ett stickprov på det intern kontroll-arbete som förvaltningen utfört. Det har dock inte varit möjligt att 2013 samordna en konferens innan novembernämnden. 3.3. Riskanalys BuF gör risk- och väsentlighetsanalysen utifrån analys av risk inom budget och risk inom verksamhet var för sig. Analysen för 2014 innefattar 17 moment som har bedömts som kritiska för nämndens verksamhet. Momenten är indelade efter 6
kategorierna verksamhet, ekonomi, personal och lokaler. Exempel på riskmoment enligt risk- och väsentlighetsanalys 2014 är att verksamheten följer gällande lagar och förordningar, budget i balans, efterlevnad av gällande ramavtal, personalens frisknärvaro och lokalplanering för att möta volymförändringar. Anvisningarna för mall till IK-plan föreskriver att riskindex ska användas vid upprättande av risk- och väsentlighetsanalys och att riskerna ska rangordnas med högst riskindex först. I den risk- och väsentlighetsbedömning som BuF har gjort tillämpas dock en alternativ värdering av väsentlighet och risk med bokstäver för Lindrig, Kännbar och Allvarlig (väsentlighet) samt Låg, Medel och Hög (risk). Även kontrollfrekvensen graderas med bokstäver. Av risk- och väsentlighetsbedömningen framkommer därmed för 2014 exempelvis att väsentligheten för att verksamheten följer lokala politiska beslut bedömts som allvarlig, risk samt kontrollbehovet har värderas till medel och frekvensen uppgår till låg. Rapportering av momentet ska ske löpande till BuN. Det finns enligt uppgift från förvaltningen inga förtydligande anvisningar eller riktlinjer för arbetet med risk- och väsentlighetsanalys, och det är i huvudsak tre personer (ekonomicontroller, chefscontroller och förvaltningschef) som tar fram och sammanställer risk- och väsentlighetsanalysen. 3.4. IKplan Förslag till IK-plan utformas av förvaltningen med utgångspunkt från en sammanfattning av risk- och väsentlighetsanalysen som ekonomicontrollern inom BuF upprättat. IK-planen för 2014 innefattar tre kontrollpunkter för införande av lärplattform, Solna stads intern kontroll-plan och sjukfrånvaro. De moment som enligt anvisningar till mall för intern kontroll-plan ska definieras för varje kontrollpunkt återfinns i den plan som BuF formulerat. Den kontrollpunkt som avser Solna stads intern kontroll-plan inkluderar de kommunövergripande kontrollpunkterna som varje nämnd åläggs att ta upp i sina IK-planer. 3.5. Uppföljning Uppföljningsfrekvensen för varje kontrollpunkt kategoriseras efter samma struktur som risk och kontrollfrekvens, alltså Låg, Medel eller Hög. Detta kan motsvaras av delårsvis, kvartalsvis eller månatlig uppföljning av kontrollpunkterna. Inför budgetberedning samt delårs- och årsbokslut sker återrapportering av de 3-4 kontrollpunkter som valts ut för kontroll av BuN:s arbetsutskott, samt de kontrollpunkter vars uppföljning enligt IK-planen inträffar i april, augusti och december. Uppföljningen av kontrollpunkterna fördelas i och med IK-planen under verksamhetsåret. Det finns inga andra angivna sätt för eller tillfällen när nämnden återkommande tar del av uppföljningen av arbetet med intern kontroll. SLF:s involvering i uppföljningen av nämndens arbete med intern kontroll har begränsats till att innefatta de kommunövergripande kontrollpunkterna. SLF har dock mycket kontakt med förvaltningschefen och begär på så sätt månatliga uppdateringar av arbetet. 7
3.6. Årsredovisning Vid årsbokslut får förvaltningen återkoppling från SLF angående det IK-arbete som utförts under året. Samtliga IK-planer blir tillgängliga för alla förvaltningar och nämnder efter att de har antagits. SLF gör även en samlad bedömning av det totala IK-arbetet i Solna stad som redovisas dels i stadens budget av beslutade nämndplaner, dels i stadens årsredovisning av avrapporterade planer i nämndårsredovisningarna. 8
4. Iakttagelser 4.1. Kontrollmiljö Solna stad har initierat ett omfattande arbete för att stärka arbetet med intern kontroll, vilket innefattar ett uppdaterat reglemente och tillhörande tillämpningsanvisningar som uppges vara tillgängliga och lätta att förstå för medarbetarna. Det finns även förtydligande anvisningar till mall för internkontrollplan samt ett förslag till workshop gällande risk- och väsentlighetsbedömning. Att förbättra förutsättningarna för kännedom kring och god efterlevnad av gällande styrdokument, engagemang hos ledning och medarbetare samt upprätta en tydlig roll och ansvarsfördelning är åtgärder som kan stärka kontrollmiljön som utgör grunden för IK-arbetet. Dock råder det avsaknad av riktlinjer för hur nämnderna ska formulera egna riktlinjer som förtydligar nämndens ambition och förhållningssätt till IK-arbetet som samtidigt överensstämmer med de övergripande riktlinjerna. 4.2. Riskanalys Risk- och väsentlighetsanalysen ingår som en obligatorisk del i internkontrollplanen, vilket säkerställer att den ska genomföras för att kunna tas i beaktande vid utformningen av IK-planen. Det saknas dock i stor utsträckning formell vägledning kring riskanalysens utformning och vilka perspektiv som är viktiga att ta hänsyn till för att analysen ska bli relevant och ändamålsenlig för nämndens verksamhet i fråga. De mest kännbara konsekvenserna är inte alltid i första hand ekonomiska, utan ekonomiska förluster kan uppkomma som en följd av skada för den enskilde som resulterar i allvarlig förtroendeskada avseende kommunens förmåga att bedriva ändamålsenlig verksamhet. Enligt anvisningar till mall för internkontrollplan ska även ett numeriskt riskindex tillämpas. Vi har dock observerat att annan metod för värdering av risk- och väsentlighet förekommer, vilket dels försvårar utvärdering av huruvida enheterna har gjort likvärdiga bedömningar och dels en överskådlig rangordning av de mest kritiska processerna/rutinerna. Det framgår heller inte tydligt varför en viss process eller rutin klassificerats högt eller lågt ur risk- och väsentlighetssynpunkt. 4.3. Kontrollåtgärder För att riskanalysen ska vara effektiv krävs att tillvägagångssättet för att identifiera och värdera risk och väsentlighet är tydligt och att analysen resulterar i en prioritering av för verksamhetsutövningen kritiska riskområden i IK-planen. För att säkerställa en enhetlig hantering och likvärdiga bedömningar mellan olika enheter är det även viktigt att samma systematik tillämpas. Tillämpningsanvisningarna föreskriver även vad som ska specificeras i IK-planen gällande kontrollmoment, vilket även förtydligas i anvisningar till mall för internkontrollplan. Det råder dock avsaknad av en konkret motiverad koppling mellan riskanalysen och de 9
kontrollmoment som finns upptagna i IK-planen, vilket kan medföra oklarhet kring om de kontrollåtgärder som vidtagits varit de mest relevanta utifrån verksamhetens riskexponering, och i förlängningen om en tillfredsställande intern kontroll föreligger. Det fodras vägledande exempel och mallar som stöttar kommunens verksamheter i att formulera riktlinjer och rutiner för effektiva riskanalyser, motiverade prioriteringar av kontrollmoment samt ändamålsenliga metoder och tidsintervall för kontrollens genomförande, uppföljning och rapportering. 4.4. Information och kommunikation En förutsättning för effektiv intern kontroll är att det finns ett väl fungerande informations- och kommunikationsflöde inom organisationen som medför att relevant information förmedlas till rätt person vid rätt tidpunkt. Årscykeln för intern kontroll anger planen för när IK-planer ska upprättas och beslutas samt följas upp i samband med delårs- och årsbokslut, vilket skapar en formell beslutoch rapporteringsordning. Dock förefaller det enligt uppgift finnas en parallell informell informationsordning genom vilken SLF löpande uppdaterar sig om nuläget för intern kontroll via förvaltningsledningen. För att kunna bedöma huruvida korrekt och relevant information har förmedlas på ett effektivt sätt till berörda personer fodras formella rutiner för information, kommunikation och uppföljning som synliggör informationsflödet, såväl inom en enskild organisatorisk enhet som mellan de olika nivåerna i organisationen. 4.5. Tillsyn Tillsyn syftar till att kvalitetssäkra och förbättra arbetet med intern kontroll genom kontinuerlig utvärdering av rutiner och processer för att säkerställa att det fungerar som avsett. I och med årscykeln finns det en övergripande process för tillsyn, och vid årsbokslut får förvaltningarna återkoppling från SLF angående IK-arbetet, vilket uppges vara som en utvärdering av nämndens styrning. En aktiv tillsyn förutsätter dock en rutin för strukturerade och återkommande insatser för att utvärderingen ska vara likvärdig och kontinuerlig. Därmed fodras ett system för tillsyn och uppföljning som sammanställer och kommunicerar det samlade resultatet av allt IK-arbete som har skett till hela organisationen, detta för att kunna möjliggöra en övergripande bedömning av intern kontroll samt identifiera områden i behov av åtgärder som kan stärka den interna kontrollen. En aktiv tillsyn som visar att ledningen förväntar sig uppföljning av utförda åtgärder bidrar till att hålla arbetet med intern kontroll aktivt och levande. 10
5. Sammanfattande bedömning Granskningen visar att Solna Stad har vidtagit åtgärder för att stärka systemet för intern kontroll med avseende till planering och uppföljning i och med årscykeln, samt arbetet med intern kontroll i och med framtagande av mallar för bland annat utformning av IK-plan och kontrollrapport. Vidare har ett förtydligat reglemente med tillhörande tillämpningsanvisningar bidragit till att ytterligare definiera strukturen för intern kontroll. Dock visar granskningen att systemet för intern kontroll med avseende till framförallt risk- och väsentlighetsbedömning men även kopplingen mellan verksamhet, risk- och väsentlighetsbedömning och IK-plan kan förbättras. För att möjliggöra bedömning av om god intern kontroll föreligger inom respektive nämnds verksamhetsområde krävs det att risk- och väsentlighetsbedömingen innefattat bedömning av verksamhetsrelevanta risker exempelvis hur det säkerställs att inte obehöriga personer hämtar på dagis, att det finns beredskap för hantering av mobbning och kränkande behandling eller att de idrottsanläggningar som nyttjas är säkra då denna form av risker har potential att realiseras i allvarlig person- och förtroendeskada. Risk- och väsentlighetsanalysen ska identifiera vilka processer och rutiner som är så viktiga att de inte får gå fel, vilket ska resultera i ett motiverat urval av kontrollmoment till IK-planen. Genom att synliggöra processen från verksamhet till bedömning till åtgärd blir det möjligt att utvärdera om god intern kontroll föreligger. Den formella strukturen för information och kommunikation, eller kommunikationskedjan, bör förbättras för att kunna bedöma att relevant information når rätt person. Detta avser alla nivåer i organisationen, exempelvis verksamheternas kommunikation med förvaltningen angående verksamhetens risker, förvaltningens kommunikation med nämnden avseende utförande och uppföljning av kontrollåtgärder, nämndens kommunikation med stadsledningsförvaltningen och kommunstyrelsen avseende det pågående arbetet med intern kontroll och ändamålsenligheten i de tillgängliga styrdokumenten. Kommunikation mellan de olika nivåerna i organisationen bidrar till att hålla arbetet med intern kontroll aktuellt och prioriterat, och en formellt beslutad ordning för informationsutbytet möjliggör uppföljning av att det efterlevs. 11
Bilaga 1 COSO och bedömningskriterier COSO COSO utgör en global standard för intern styrning och kontroll. COSO modellen anger tre målområden för intern styrning och kontroll, nämligen effektiv och ändamålsenlig verksamhet, tillförlitlig ekonomi- och verksamhetsrapportering samt följande av lag och andra regelverk. I samband med revision granskas organisationen avseende fem separata men överlappande beståndsdelar, styr- och kontrollkomponenter: Styr- och kontrollmiljö Styr- och kontrollmiljö utgör grunden för intern styrning och kontroll och ger förutsättningarna för grundläggande filosofi och kultur. Nyckelfaktorer och aktiviteter: Ledarskap Tone of the Top, integritet, etik, kompetens, organisation, personalpolitik, grundläggande värderingar. Riskanalys Riskanalys innefattar identifiering och analys av eventuella risker eller hinder för att fullgöra uppgiften/uppdraget. För att riskanalysen skall vara effektiv krävs: att uppdrag/mål är tydligt formulerade, att uppdrag/mål är förenliga att hinder/risker för att nå mål/fullgöra uppdrag är identifierade värdering av vilka risker/hinder som är kritiska handlingsplan för att hantera risker/hinder Nyckelfaktorer och aktiviteter: Att leda förändring, identifiering av kritiska framgångsfaktorer, helhetsperspektiv på verksamhets-, ekonomi- och målprocesserna. Åtgärder Styr- och kontrollaktiviteter som policys, metoder och rutiner som säkerställer att målen nås och att strategier för att lindra risker genomförs. Nyckelfaktorer och aktiviteter: Tydliga roller, ansvar och befogenheter, utvärdering, internkontrollsystem, kvalitetsuppföljning, delegationsordning. Information och kommunikation Tillförlitlig information till rätt mottagare i rätt tid är en förutsättning för att lyckas med de övriga beståndsdelarna. Nyckelfaktorer och aktiviteter: Tillförlitlig ekonomi- och verksamhetsrapportering, informationsflöde/tillgång, informationsstrategi, tydliga uppdrag, kommunikation. Tillsyn 12
Tillsynen utgörs av ledningens uppsikt över verksamheten. Nyckelfaktorer och aktiviteter: Årsredovisning, avvikelserapportering, utvärdering av styrsystem, lång- och kortsiktig styrning. Nedan redovisas de revisionskriterier som vi använt oss av i denna granskning. Bedömning Varje kontrollkomponent bedöms separat innan strukturen och effektiviteten i det övergripande styr- och kontrollsystemet värderas. Komponenterna bedöms som tillfredsställande respektive inte tillfredsställande. I normalfallet skall komponenter där granskningen resulterat i rekommendationer bedömas som inte tillfredsställande. Vid den samlade bedömningen kan svagheter i någon/några kontrollkomponenter kompenseras med styrkor i andra. * Styr- och kontrollmiljö Granskning och bedömning sker av att det finns tydliga anvisningar avseende arbetet med internkontrollplanerna, att det finns en tydlig ansvarsfördelning inom organisationen avseende exempelvis utformning och uppföljning avseende internkontrollplanen, samt att ansvaret också är tydligt uttryckt i nämndernas IK-planer. Det skall också finnas en hög medvetenhet om vikten av en god intern kontroll inom staden. * Väsentlighets- och riskanalyser Granskning och bedömning sker av att sådana utformas och ligger som underlag för nämndernas internkontrollplaner. * Styrnings- och kontrollåtgärder Granskning och bedömning sker av att styrelsens och nämndernas styrning och kontroll säkerställer att arbetet med internkontrollplanerna sker i enlighet med anvisningar samt att styrnings- och kontrollåtgärder är tydligt uttryckta i internkontrollplanerna. * Information och kommunikation Granskning och bedömning sker av att rapporteringen av resultatet av uppföljningen av internkontrollplanerna fungerar i enlighet med anvisningar samt att information om vad som skall göras utifrån internkontrollplanen är tydligt uttryckt och att det också är tydligt uttryckt hur resultatet skall kommuniceras/rapporteras i respektive verksamhet * Tillsyn/uppsikt/övervakning Granskning och bedömning sker av att tillsynen/uppsikten/övervakningen är tillräcklig såväl på nämndnivå som för hela staden, dvs av kommunstyrelsen. 13
Bilagor Styrdokument Solna Stad 14
Bilaga 2 Årscykel internkontroll integrerad i verksamhetsplanering och budget december/januari uppföljning IKplan i årsredovisningen jan-mars resonemang inför budget inkl väsentlighet och risk Delårsrapport 1 november KS och KF beslut om budget, VP och IKplan april budgetbe- redning nämnd oktober-november SLF går igon nämndernas budgetförslag juni KSbeslut budget Årsredovisning oktober Nämnd beslutar om VP, VoR samt IKplan juni-oktober VP, VoR samt IKplan/ nämnd Delårsrapport 2 15
Bilaga 3 Anvisning återrapportering av intern kontroll-moment Anvisning återrapportering av internkontrollmoment SLF Bakgrund Kommunfullmäktige har antagit ett reglemente för internkontroll (KS 2012:124). Enligt reglementet ska en internkontrollplan upprättas och respektive nämnd har det yttersta ansvaret för internkontrollen inom sitt verksamhetsområde. Inom ramen för stadsledningsförvaltningens verksamhetsplanering genomför avdelningarna en risk- och väsentlighetsanalys i den workshop som finns beskriven i anvisningarna till förvaltningens verksamhetsplaneringsarbete. Detta arbete ligger till grund för internkontrollmoment vars syfte är att förebygga identifierade risker. Översikt Denna översikt beskriver hur internkontrollmoment genomförs, rapporteras och kommuniceras. Dokumentation och rapportering av kontrollmoment För varje internkontrollmoment finns tidpunkter för kontroll och en kontrollansvarig utsedd. Den som är kontrollansvarig ansvarar för att kontrollmomenten utförs på utsatt tid och på det sätt som finns beskrivet i internkontrollplanen. Kontrollansvarig ansvarar även för att resultatet av kontrollmomentet dokumenteras, analyseras och att förslag på eventuella åtgärder ges. 16
Till stöd för återrapportering finns en mall Internkontrollrapport som ska fyllas i för varje kontrollmoment. Resultatet ska skickas till controller på SLF (med kopia till ansvarig avdelningschef) som följer upp att kontrollmoment genomförts. Rapportering av avvikelser I händelse av att kontrollmomentet identifierat avsevärda avvikelser ska förvaltningschef meddela detta till nämnden. Därför är det viktigt att kontrollansvarig förbereder ett underlag och snabbt tar kontakt med SLF controller om det är aktuellt. 17
Bilaga 4 Anvisningar till mall för internkontrollrapport Anvisningar till mall för Internkontrollplan En genomarbetad intern kontroll är en av pusselbitarna i en bra styrning och uppföljning. Den bidrar till en effektiv och säker verksamhet och god ekonomisk hushållning. Kommunfullmäktige har antagit ett reglemente för internkontroll (KS 2012:124). Nämnderna ska i samband med verksamhetsplan och budget lämna en internkontrollplan. Enligt reglementet ska en internkontrollplan upprättas och respektive nämnd har det yttersta ansvaret för internkontrollen inom sitt verksamhetsområde. Internkontrollplanen består av två delar: Risk- och väsentlighetsanalys. Internkontrollplan med information om kontrollmoment, rapportering och resultat Risk- och väsentlighetsanalys Begreppet risk definieras som möjligheten att en händelse inträffar som negativt kan påverka bolagets förmåga att uppnå sina mål. Den definitionen omfattar alla typer av risker som till exempel strategiska, finansiella, operativa och risker relaterade till krav på efterlevnad av tillämpliga lagar och regler. Det är lämpligt att ledamöterna i styrelse, nämnder och bolag väljer och prioriterar områden som anses vara särskilt kritiska. Tjänstemännen ansvarar för att ge förslag på områden men det är ledamöterna som ansvarar för vilka områden som ska kontrolleras. Ett sätt att identifiera att identifiera risker är att utgå från verksamhetens mål och titta på tidigare genomförda revisioner och tillsynsmyndigheters granskningar, jämförelser med andra kommuner, budget- och verksamhetsuppföljning, avtalsuppföljning, synpunktshantering, brukarundersökningar samt genomgång av reglementen, policydokument, regler, och befintliga rutiner etc. Till riskanalysen knyts en väsentlighetsanalys i vilken man bedömer hur stor sannolikheten är för att identifierade risker inträffar och vad konsekvenserna av dem skulle bli. Sammantaget ger risk- och väsentlighetsanalysen ett prioriterat underlag för kontrollåtgärder. Risk- och väsentlighetsanalysen genomförs genom att för varje område uppskatta ett värde för sannolikheten för att något ska inträffa och vad konsekvensen blir om det inträffar. Sannolikhetsbedömning Sannolikheten för att något inträffar uppskattas till ett värde mellan 1 och 4: 18
Osannolik. Risken är praktiskt taget obefintlig att fel ska uppstå. Mindre sannolik. Risken är mycket liten att fel ska uppstå. Möjlig. Det finns risk för att fel ska uppstå. Sannolik. Det är mycket troligt att fel ska uppstå. Konsekvensbedömning Konsekvensen av att något inträffar uppskattas till ett värde mellan 1 och 4: Försumbar. Är obetydlig för de olika intressenterna och verksamheten/staden. Lindrig. Uppfattas som liten av såväl intressenter som verksamheten/staden. Kännbar. Uppfattas som besvärande för intressenter och verksamheten/staden. Allvarlig. Är så stor att fel helt enkelt inte får inträffa. Riskindex Sannolikhets- och konsekvensbedömningen multipliceras för att erhålla ett riskindex. Riskindex för respektive område blir underlag för prioritering. Området förs in i kolumnen Process/rutin och respektive värde förs in under Sannolikhet, Konsekvens och Riskindex. Tabellen bör presentera områden sorterade efter riskindex med högst riskindex först. Internkontrollplan Utifrån underlaget i risk- och väsentlighetsanalysen definieras kontrollpunkter. För varje kontrollpunkt beskrivs i respektive kolumn: Process/rutin/område: Koppling till identifierat riskområde från risk- och väsentlighetsanalysen. Kontrollmoment, metod och redovisning: Kort text om vad som kontrolleras, hur kontrollen går till i praktiken och hur kontrollen redovisas. Kontrollansvarig: den person som ansvarar för att kontrollen genomförs och för att resultatet redovisas på det sätt som angetts. Tidpunkter: En eller flera tidpunkter då kontrollen ska genomföras. Bör vara ett tidssatt datum som lämpligen överförs till kontrollansvarigs kalender. Resultat/förslag på åtgärd: Fylls i i samband med att kontroller genomförs och blir underlag för rapportering och uppföljning av att interkontrollplanen genomförs som planerat. 19
Spridning av internkontrollplanen För att säkerställa att så många medarbetare som möjligt känner till innehållet i internkontrollplanen ska beslutade internkontrollplaner publiceras på intranätet och på solna.se. 20
Bilaga 5 Mall till internkontroll-rapport [Kontrollmomentbeteckning]: [Rubrik] Kontrollansvarig: Erik Exempel, 08-123456, erik.exempel@solna.se Genomförandetidpunkt: 2013-01-12 Avvikelse identifierad? Ja/Nej Metod [Kort text som beskriver hur kontrollen genomförts] Resultat [Kort text som beskriver resultatet, använd en tabell eller diagram om det bidrar till förståelsen för resultatet]. Brist Antal Konsekvens Kommentar Felaktigt annonserad 2 Försumbar För kort svarstid i annons Intervjudokumentation saknas Frågeunderlag ej använt 1 Lindrig 1 Lindrig Konsekvens anges med någon av följande gradering: Försumbar: Är obetydlig för de olika intressenterna och verksamheten/ staden. Lindrig: Uppfattas som liten av såväl intressenter som verksamheten/staden. Kännbar: Uppfattas som besvärande för intressenter och verksamheten/ staden. Allvarlig: Är så stor att fel helt enkelt inte får inträffa. Förslag på åtgärd [Föreslagna åtgärder utifrån det resultat som kontrollen medförde. Samtliga identifierade brister ska hanteras i åtgärdsförslaget. Lämnas tom om ingen avvikelse inträffade.] 21
Ifylld internkontrollrapport sparas med följande filnamn kontrollmomentbeteckning_kortinfo.doc beteckningen framgår av internkontrollplanen. t.ex. PSA03_Efterlevnad_styrdok.doc Rapporten skickas till SLF-controller med kopia till ansvarig avdelningschef. 22
Bilaga 6 Mall till internkontrollplan Nr Process/rutin/mål Riskbeskrivning Sannolikhet Konsekvens Riskindex 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 0 10 0 11 0 12 0 13 0 14 0 15 0 16 0 17 0 18 0 19 0 20 0 21 0 22 0 23 0 24 0 25 0 26 0 27 0 28 0 29 0 23
Bilaga 7 Förslag workshopupplägg Förslag workshopövning för riskanalys Syftet med workshopen är att ta fram en riskanalys med väsentlighetsbedömningar. Denna blir underlag för att ta fram kontrollmoment i internkontrollplanen. Resultatet av workshopen dokumenteras i mallen för riskanalys och väsentlighetsbedömning samt en restlista med identifierade risker som inte bedöms vara tillräckligt relevanta att ta med i internkontrollplanen. Förberedelser För att kunna genomföra en riskidentifieringsworkshop behöver man känna till de verksamhetsmål (effektmål, nämndmål) som berör enheten. En del av övningen innebär att identifiera risker som påverkar möjligheterna att uppfylla målen. Deltagarna behöver även känna till vilka regelverk och rutiner enheten ansvarar för. Se till att de finns med i inbjudan eller sammanställs i en bild i presentationen. Sammanställ även tidigare periods identifierade risker och eventuella incidenter som inträffat. Förbered workshopmaterial (pennor, postitlappar). Räkna med ca 15 posititlappar per deltagare. Material finns på plan 3 i stadshuset. Boka lokal. Det är bra om lokalen har en stor whiteboard. Alternativt använder du väggplast som sätts upp före workshopen. Kalla deltagarna till workshopen. Avsätt ca 1-1,5 timmar. Se exempel på kallelsemail i slutet på detta dokument. Förslag på inbjudningsmail Välkommen till riskworkshop! Den XX kl HH-HH genomför vi en riskworkshop på enheten. Syftet är att identifiera och värdera potentiella risker i vår verksamhet och se till att dessa blir underlag för internkontroll. Före workshopen bör du ha läst igenom budget och verksamhetsplan, tidigare års riskanalys, nämndens reglemente och de rutinbeskrivningar och ansvarsområden vi verkar inom. Mvh, NN Deltagare och roller Så många medarbetare medarbetare på enheten som möjligt bör delta i workshopen. Resultatet sammanställs av workshopansvarig i mallen för riskanalys. 24
En dokumentatör för löpande anteckningar direkt i mallen för riskanalys och väsentlighetsbedömningar. Genomförande Workshopledare presenterar syftet med workshopen och agendan. Riskidentifiering utifrån processer/regelverk/rutiner/verksamhetsmål: Lappövning: Var och en får under ca 15 minuter fundera på risker och skriva upp en risk per lapp. Lapparna sätts upp på tavlan och grupperas. Varje deltagare sätter i tur och ordning upp sina lappar och berättar för övriga om risken. För varje unik risklapp bedöms sannolikhet 1-4 och konsekvens 1-4 som vägs samman i ett riskindex. Riskbedömningen diskuteras av deltagarna för att nå konsensus om värderingen. Kontrollera att deltagarna är överens om de identifierade riskerna och vilka som bör ingå som underlag för åtgärder och kontroller. Diskutera hur högt riskindex som ska anses motiverat för att en risk ska bedömas vara underlag för kontrollmoment (t.ex. risker med riskindex 6 eller högre). Efter workshop Dokumentatör sammanställer utvalda risker i mallen och för över restlistan till ett separat dokument. Materialet lagras i mappen G:/.2012 / Hur gick workshopen? Återkoppla till NN om hur vi kan förbättra detta material. 25
Bilaga 8 Exempel ur mall till riskidentifierings-workshop 26
27
Bilaga 9 IK-plan 2013 Internkontrollplan barn- och utbildningsnämnden 2013 Syfte Ändamålsenlig och kostnadseffektiv verksamhet (Genomförandet) innebär bl.a. att ha kontroll över ekonomi, prestationer och kvalitet samt att säkerställa att fattade beslut verkställs och följs upp i förhållande till fastställd verksamhetsidé och mål. Tillförlitlig finansiell rapportering och information om verksamheten (Rapporteringen) innebär att kommunstyrelsen och nämnderna samt de verksamhetsansvariga ska ha tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av verksamhetens prestationer avseende kvantitet och kvalitet samt övrig relevant information om verksamheten och dess resursanvändning. Efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer m.m. (Lagligheten) innefattar lagstiftning såväl som kommunens interna regelverk samt ingångna avtal med olika parter. Bedömningskriterier Väsentlighet (Konsekvens) Lindrig, Kännbar, Allvarlig Risk (Kontrollbehov) Låg, Medel, Hög Frekvens (Hur ofta kan felet förekomma?) Låg, Medel, Hög 1. 1 Väsentlighetsoch riskbedömning Verksamhet Verksamheten följer gällande lagar och förordningar Väsentlighet/ konsekvens Risk/kontrollbehov Frekvens Rapportering A L L Uppföljning av uppdrag och planer. Rapportering 28
1. 2 1. 3 1. 4 1. 5 2. 1 2. 2 2. 3 2. 4 2. 5 2. 6 3. 1 Väsentlighetsoch riskbedömning Verksamheten följer lokala politiska beslut Måluppfyllelse (Uppföljning av mål och resultat) Uppföljning av föräldrar och elevers synpunkter Överklagan av särskilt stöd Ekonomi Budget i balans Följa gällande ramavtal Attestreglementet följs Delegationsordningen följs Tydliga förfrågningsunderlag vid upphandling Uppföljning av gällande avtal Personal Tydlig kompetensprofil vid anställning Väsentlighet/ konsekvens Risk/kontrollbehov Frekvens Rapportering av ev överklaganden A M L Löpande till BUN K L L Attitydundersök ning betygsstatistik A M M Attitydundersök ningen, kommande synpunkts- och klagomålshante ring A M M Statistiksamma nställning rapporteras till nämnd varje termin A M M Månadsuppföljn ingar, budgetuppföljni ngar, delårsrapporter och årsredovisning K M M Mäts genom bokföring av vilda köp A H L Fakturaportalen s behörighetskra v A M L Delegationsbes lut rapporteras till nämnden A M M Upphandlingsa vdelningen kvalitetssäkrar förfrågningsund erlaget K M M Upphandlingsa vdelningen underrättar BUF när avtal löper ut och ny upphandling bör startas A H L Statistiksamma nställning till FC 29
3. 2 3. 3 3. 4 4. 1 4. 2 Väsentlighetsoch riskbedömning Personalens frisknärvaro Uppföljning av personalens arbetsförutsättningar Kompetensutveckling för medarbetare Lokaler Lokalplanering för att möta volymförändringar Ändamålsenliga lokaler Väsentlighet/ konsekvens Risk/kontrollbehov Frekvens Rapportering A M M Rapporteras i samband med delårsbokslut K M M Attraktiv arbetsgivare, medarbetarenk ät A M L Årsredovisning A H M Löpande till FC K H H Löpande till FC Processer Vad följs upp? Kontrollmoment Kontrollmål? Metod Hur görs kontrollen? Ansvarig Vem/Vilka? Frekvens / Tidpunkt Mottagare 1 Införande av lärplattform Lägesrapporter för införandeprocess en Förvaltningen kartlägger och rapporterar Förvaltningsch ef/it handläggare Redovisas i delårsrapport per april och augusti BUN 2 Införandet av uppgradering e- tjänster Lägesrapporter för införandeprocess en Förvaltningen kartlägger och rapporterar Förvaltningsch ef/it handläggare Redovisas i delårsrapport per april och augusti BUN 3 Solna stads interkontrollplan Internt registrerade utbetalningar Representation och gåvor Manuell kreditering av faktura Jävutbetalningar som berör den anställde Rutinerna ska kontrolleras och dokumenteras med en gemensam metod i staden Förvaltningen Redovisas i delårsrapport per april och augusti BUN 4 Sjukfrånvaron. Att få ner Uppföljning av sjukfrånvaron sjukfrånvaro i % under minst sex av arbetad tid, procent under uppdelad på 2012 Förvaltningsc hef och resultatenhets chefer erhåller sjukfrånvarost Resultatenhetsc hef /förvaltningsch ef Redovisas i BUN delårsrapport per april och augusti 30
sjukdagar 0-59 dagar och sjukdagar 60 dagar och högre. Uppföljning av sex eller fler sjukfrånvarotillfäll en under de senaste 12 månaderna atistik kvartalsvis. Resultatenhet schef redovisar för förvaltningsch ef varje månad vilka åtgärder som är vidtagna för att öka frisknärvaron. 31
Bilaga 10 IK-plan 2014 Internkontrollplan barn- och utbildningsnämnden 2014 Syfte Ändamålsenlig och kostnadseffektiv verksamhet (Genomförandet) innebär bl.a. att ha kontroll över ekonomi, prestationer och kvalitet samt att säkerställa att fattade beslut verkställs och följs upp i förhållande till fastställd verksamhetsidé och mål. Tillförlitlig finansiell rapportering och information om verksamheten (Rapporteringen) innebär att kommunstyrelsen och nämnderna samt de verksamhetsansvariga ska ha tillgång till rättvisande räkenskaper. Därutöver ingår en ändamålsenlig och tillförlitlig redovisning av verksamhetens prestationer avseende kvantitet och kvalitet samt övrig relevant information om verksamheten och dess resursanvändning. Efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer m.m. (Lagligheten) innefattar lagstiftning såväl som kommunens interna regelverk samt ingångna avtal med olika parter. Bedömningskriterier Väsentlighet (Konsekvens) Lindrig, Kännbar, Allvarlig Risk (Kontrollbehov) Låg, Medel, Hög Frekvens (Hur ofta kan felet förekomma?) Låg, Medel, Hög Väsentlighetsoch riskbedömning Väsentlighet /konsekvens Risk/kontroll- behov Frekvens Rapportering Verksamhet 1. 1 Verksamheten följer gällande lagar och förordningar A L L Uppföljning av uppdrag och planer. Rapportering av ev överklaganden 32
Väsentlighetsoch riskbedömning Väsentlighet /konsekvens Risk/kontroll- behov Frekvens Rapportering 1. 2 1. 3 1. 4 1. 5 2. 1 2. 2 Verksamheten följer lokala politiska beslut Måluppfyllelse (Uppföljning av mål och resultat) Uppföljning av föräldrar och elevers synpunkter Överklagan av särskilt stöd Ekonomi Budget i balans Följa gällande ramavtal A M L Löpande till BUN K L L Attitydundersökning betygsstatistik A M M Attitydundersökning en, kommande synpunkts- och klagomålshantering A M M Statistiksammanställ ning rapporteras till nämnd varje termin A M M Månadsuppföljningar, budgetuppföljningar, delårsrapporter och årsredovisning K M M Mäts genom bokföring av vilda köp 2. 3 2. 4 Attestreglementet följs A H L Fakturaportalens behörighetskrav Delegationsordningen följs A M L Delegationsbeslut rapporteras till nämnden 2. 5 2. 6 Tydliga förfrågningsunderlag vid upphandling Uppföljning av gällande avtal Personal A M M Upphandlingsavdelni ngen kvalitetssäkrar förfrågningsunderlag et K M M Upphandlingsavdelni ngen underrättar BUF när avtal löper ut och ny upphandling bör startas 3. 1 Tydlig kompetensprofil A H L Statistiksammanställ 33
Väsentlighetsoch riskbedömning Väsentlighet /konsekvens Risk/kontroll- behov Frekvens Rapportering vid anställning ning till FC 3. 2 3. 3 3. 4 4. 1 Personalens frisknärvaro Uppföljning av personalens arbetsförutsättningar Kompetensutveckling för medarbetare Lokaler Lokalplanering för att möta volymförändringar A M M Rapporteras i samband med delårsbokslut K M M Attraktiv arbetsgivare, medarbetarenkät A M L Årsredovisning A H M Löpande till FC 4. 2 Ändamålsenliga lokaler K H H Löpande till FC Processer Vad följs upp? Kontrollmoment Kontrollmål? Metod Hur görs kontrollen? Ansvarig Vem/Vilka? Frekvens/ Tidpunkt Mottagare 1 Införande av lärplattform Lägesrapport er för införandeproc essen Förvaltningen kartlägger och rapporterar Förvaltningsc hef/it handläggare Redovisas i delårsrapport per april och augusti BUN 2 Solna stads interkontrollpl an Internt registrerade utbetalningar Representatio n och gåvor Manuell kreditering av faktura Rutinerna ska kontrolleras och dokumenteras med en gemensam metod i staden Förvaltninge n Redovisas i delårsrapport per april och augusti BUN 34
Jävutbetalnin gar som berör den anställde 3 Sjukfrånvaron. Uppföljning av sjukfrånvaro i % av arbetad tid, uppdelad på sjukdagar 0-59 dagar och sjukdagar 60 dagar och högre. Uppföljning av sex eller fler sjukfrånvarotil lfällen under de senaste 12 månaderna Att få ner sjukfrånvaron under minst sex procent Förvaltningsch ef och resultatenhets chefer erhåller sjukfrånvarost atistik kvartalsvis. Resultatenhets chef redovisar för förvaltningsch ef varje månad vilka åtgärder som är vidtagna för att öka frisknärvaron. Resultatenhet schef /förvaltnings chef Sjukfrånvaron följs upp varje månad till enhetschefer och rapporteras till nämnd i samband med delårsrapport erna per april och augusti BUN 35
36
Ange datum Ange namn Projektledare Ange namn Uppdragsledare 37