December 2013 Pernilla Lihnell, certifierad kommunal revisor Åsa Vilsson, revisor. Granskning av internkontrollstrukturen Skara Kommun

Relevanta dokument
Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

/6-~c~Æ ~v{; _e/ Elisabeth Friberg, vice ordförrupe. .lile fj ~ C'" Till Kommunstyrelsen

Oktober Uppföljning av revisionsrapporter i Timrå kommun

Revisionsrapport Leasing av bilar. Härjedalens kommun

Uppföljning av tidigare granskning

Granskning avseende Härryda kommuns hantering av upplåning och placeringar.

Rapport Hantering av föreningsbidrag. Timrå kommun

Rapport avseende granskning av internkontrollarbetet. Timrå kommun

Revisionsrapport Bisysslor Rutiner för kartläggning och rapportering. Härjedalens kommun

Revisionsrapport Leasing av bilar. Krokoms kommun

Habo kommun Granskning av interna kontrollplaner i Habo kommun. Februari 2014 Sofia Josefsson och Louise Abrahamsson

Granskning intern kontroll

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Policy för internkontroll för Stockholms läns landsting och bolag

Riktlinjer för internkontroll i Kalix kommun

Granskning avseende kommunens rutiner och riktlinjer för bisysslor inom kommunledningens verksamhet

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Rapport avseende granskning av interna överenskommelser och externa avtal

Reglemente för internkontroll

Revisionsrapport Överförmyndarnämnden och valnämnden Översiktlig granskning. Ragunda kommun

Granskning avseende assistentersättning

Revisionsrapport Granskning av inköpsrutiner och ramavtal. Krokoms kommun

Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

Revisionsrapport Representation Regler och rutiner. Härjedalens kommun

Oktober 2014 Pernilla Lihnell, Marcus Carlsson. Härryda kommun Granskning av Härryda kommuns principer för köp av mark

Intern kontroll och riskbedömningar. Strömsunds kommun

Anvisning för intern kontroll och styrning

Granskning av intern kontroll

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Granskning avseende kommunens efterlevnad av rese- och representationspolicy

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

December Rapport avseende löpande granskning Uddevalla kommun

REGLEMENTE INTERN KONTROLL

Granskning av Intern kontroll

Organisation av och uppföljning av intern kontroll

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Revisionsrapport Kommunstyrelsens engagemang i Destination Ragundadalen - Översiktlig granskning. Ragunda kommun

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Revisionsrapport Arkivrutiner. Härjedalens kommun

Lokala regler och anvisningar för intern kontroll

REGLEMENTE INTERN KONTROLL

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Rapport Hantering av krisberedskap. Timrå kommun

Uppföljning av 2013 års granskningar i Östersunds kommun. Östersunds kommun

Reglemente för intern kontroll för Älmhults kommun Antaget av kommunfullmäktige , 119.

Intern kontroll - Stadsbacken. Bilaga 1, Maud Viklander Controller, koncernstaben

Revisionsrapport Granskning av arkivrutiner. Krokoms kommun

Rapport avseende granskning av öppna ärenden. Östersunds kommun

Uppföljning av tidigare granskningar

REGLEMENTE FÖR INTERN KONTROLL

Uppföljning av det interna kontrollarbetet 2014

Granskning av detaljplaneprocessen Vadstena kommun

Nämndens styrning och interna kontroll av verksamheten

December Rapport Uppföljning av kundcenters verksamhet Östersunds kommun

Reglemente Fastställd i Kommunfullmäktige

December Rapport avseende löpande granskning Uddevalla kommun

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Reglemente Innehåll Fastställt av: Fastställt datum: Dokumentet gäller till och med: Dokumentet gäller för: Dokumentansvarig: Diarienummer:

Revisionsrapport. Granskning av intern kontroll. Klippans kommun

Deloitte. stadsbyggnadsnämnden Granskning intern kontroll JÖNKÖPINGS KOMMUN. lönköpings kommun

Revisionsrapport Rutiner för rekrytering. Härjedalens kommun

Reglemente för intern kontroll

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Revisionsrapport Granskning av rutiner för utbetalning av försörjningsstöd

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Reglemente för intern kontroll med tillämpningsanvisningar

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN

Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014

Reglemente för intern kontroll

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Reglemente för intern kontroll

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Riktlinjer för intern kontroll

December Revisionsrapport Ansökan om ersättning för kostnader från Migrationsverket Östersunds kommun

Intern kontroll Revisionsrapport. Vänersborgs kommun. Intern kontroll år 2o16. Henrik Bergh Mars 2017 PWC

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Reglemente för internkontroll i Malung-Sälens kommun

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Reglemente för intern kontroll av ekonomi och verksamhet

Ovanåkers kommun. Uppföljning av genomförda granskningar. Revisionsrapport. KPMG AB 8 februari 2011 Antal sidor: 7

I policyn fastställs ansvaret för den interna kontrollen samt på vilket sätt uppföljningen av den interna kontrollen ska ske.

REGLEMENTE FÖR INTERN KONTROLL

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Revisionsrapport Självdeklaration Intern Kontroll

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll

Riktlinjer för intern kontroll

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Riktlinjer för intern kontroll

Policy för Essunga kommuns internkontroll

Plan för intern kontroll 2015

Granskningsrapport av intern styrning och kontroll 2017

September Efterlevnad kommunala policydokument- kommunens bolag Östersunds kommun

Rapport Granskning av försörjningsstöd.

Laholms kommuns författningssamling 6.24

Revisionsrapport Granskning av kompetensförsörjning. Härjedalens Kommun

Reglemente för internkontroll

Stadsledningskontorets system för intern kontroll

Transkript:

December 2013 Pernilla Lihnell, certifierad kommunal revisor Åsa Vilsson, revisor Granskning av internkontrollstrukturen Skara Kommun

Innehåll 1. Sammanfattning 1 2. Inledning 3 3. COSO-modellen 4 4. Skara kommun 7 5. Utvärdering Skara kommun 13

1. Sammanfattning Bakgrund Inom Skara kommun finns ett internkontrollreglemente som är antaget av Kommunfullmäktige 2003-11-24. I enlighet med detta reglemente upprättar respektive nämnd inom Skara kommun årligen en internkontrollplan. En god intern kontroll är en viktig faktor för att säkerställa att verksamheten och den finansiella rapporteringen fungerar på ett tillfredsställande sätt. Deloitte har av de förtroendevalda revisorerna i Skara kommun fått i uppdrag att gå igenom och utvärdera internkontrollstrukturen inom kommunen. Revisionsfråga Har Skara kommun en ändamålsenlig internkontrollstruktur? Svar på revisionsfråga Utifrån vår granskning anser vi att Kommunstyrelsen till viss del har en tillfredställande internkontrollstruktur. Dock finns det ett antal förbättringsområden som framgår nedan. Iakttagelser/rekommendationer Dokumenterad utvärdering av den interna kontrollmiljön saknas. För att kunna besluta om relevanta kontrollaktiviteter utifrån verksamhetens kontrollmiljö bör en dokumenterad utvärdering finnas på plats. Framtagna internkontrollplaner har stort fokus på kontrollaktiviteter med koppling till delegationsbeslut och finansiell rapportering. Det är av stor vikt att en översiktlig riskanalys genomförs för att säkerställa en utökad bredd avseende valda kontrollaktiviteter. Avsaknad av en central kvalitetskontroll av framtagna internkontrollplaner. Avsaknaden kan medföra en ökad risk för bristande dokumentation och även medföra risk för utebliven efterlevnad av policys och riktlinjer. Det saknas riktlinjer för uppföljning och dokumentation av genomförda åtgärder med anledning av noterade brister vid utförda kontroller. För att säkerställa att noterade brister åtgärdas är det av stor vikt att riktlinjer för detta implementeras. Det saknas utbildning inom organisationen avseende intern kontroll och vad detta innebär samt syftar till. Det är av betydelse att alla anställda utbildas för att erhålla en medvetenhet om vikten av en god internkontroll samt hur detta påverkar det dagliga arbetet. I vissa nämnders uppföljning av internkontrollplanerna finns ett självgranskningshot, dvs samma person som har utfört kontrollen genomför även testning. Förslagsvis borde mindre nämnder granska varandra. Instruktionerna för riskanalys och internkontrollplan bör förtydligas för att stödja nämnderna att ta fram en riskanalys och internkontrollplan. Internkontrollplanen skall vara ett stöd i att kontrollera och styra verksamheten. I de flesta förvaltningar involveras endast ekonomiavdelningen i framtagandet av en internkontrollplan. För att identifiera samtliga delar i verksamheten bör 1

internkontroll diskuteras med personer från förvaltningens samtliga verksamheter. För ytterligare iakttagelser och rekommendationer vänligen se kapitel 5 Utvärdering Skara kommun.. 2

2. Inledning Bakgrund Inom Skara kommun finns ett internkontrollreglemente som är antaget av kommunfullmäktige 2003-11-24. I enlighet med detta reglemente upprättar respektive nämnd inom Skara kommun årligen en internkontrollplan med syfte att stödja en god intern kontroll. En god intern kontroll är en viktig faktor för att säkerställa att verksamheten och den finansiella rapporteringen fungerar på ett tillfredsställande sätt. Deloitte har av de förtroendevalda revisorerna i Skara kommun fått i uppdrag att gå igenom och utvärdera internkontrollstrukturen inom kommunen. Revisionsfråga Har Skara kommun en ändamålsenlig internkontrollstruktur? Kontrollmål Ger uppsatta kontrollmoment i internkontrollplanerna en tillfredställande uppföljning av nämndernas interna kontroll? Finns en väl fungerande rapportering och uppföljning av nämndernas internkontrollplan? Finns rutiner för att följa upp och åtgärda eventuella avvikelser som identifieras vid genomgången av internkontrollplanen? Är attestregler ändamålsenliga samt efterlevs? Vilka policys, riktlinjer och rutiner finns för verksamheten och hur är efterlevnaden av dessa. Är dessa dokumenterade, ändamålsenliga och kommunicerade? Efterlevs delegationsbestämmelserna? Är hanteringen av behörigheter i olika system ändamålsenlig? Metod Genomgång och utvärdering har utförts av respektive nämnds internkontrollplan. Målsättningen med granskning är att övergripande bedöma den interna kontrollen i Skara kommun samt lyfta fram eventuella förbättringsområden. I samband med granskningen lyfter vi fram styrkor och svagheter i respektive internkontrollplan samt jämför planerna mot best practice. Vid vår analys av Skara kommuns interna kontroll har vi utgått från COSO-modellen, vilket är ett etablerat ramverk för god intern styrning och kontroll. COSO modellen beskrivs närmare i kapitel 3. Granskningen har skett genom intervjuer av utvalda personer, dokumentstudier samt stickprovskontroller. Syfte Syftet med granskningen har varit att övergripande bedöma internkontrollstrukturen i Skara kommun samt lyfta fram eventuella förbättringsområden. Rapporten syftar även till att lyfta fram styrkor och svagheter i respektive plan samt jämföra planerna mot best practice. 3

Komponenter 3. COSO-modellen COSO-modellen COSO är ett etablerat ramverk för god intern styrning och kontroll. Intern kontroll definieras som en process som påverkas av styrelse, ledning och annan personal och som utformats för att ge en rimlig försäkran om att enhetens mål uppnås genom följande områden: Ändamålsenlig och effektiv verksamhet Tillförlitlig finansiell rapportering Efterlevnad av tillämpliga lagar och förordningar God intern kontroll uppnås genom att samtliga komponenter i COSO-modellen samordnas och optimeras inom respektive perspektiv och process. De fem komponenterna av COSOmodellen är: Kontrollmiljö Riskbedömning Kontrollaktiviteter Information och kommunikationsvägar Uppföljning Perspektiv Övergripande Inköpsprocessen Bokslutsprocessen HR-processen Intäktsproceccen Kontrollmiljö Riskbedömning Kontrollaktiviteter Information och kommunikationsvägar Uppföljning COSO-modellens komponenter Alla fem komponenter är väsentliga för att den interna kontrollen ska vara effektiv och beskrivs lite mer i detalj nedan. Utvärdering av kontrollmiljön Som ett första steg i att skapa en effektiv intern kontroll bör verksamheten säkerställa en väl fungerande kontrollmiljö. Kontrollmiljön utgör den kontet som den interna kontrollen verkar inom och kan avse både formella samt informella faktorer. Eempel på mer formella faktorer är lagar och andra regelverk och mer informella faktorer kan vara kultur och ledarskap. 4

Kontrollmiljön kan beskrivas utifrån följande frågeställningar: Hur påverkar organisationskulturen den interna styrningen och kontrollen? Vilka signaler mottar medarbetarna från ledningen om risk och kontroll? Hur ser ansvarsfördelning ut för utvärdering och övervakning av den interna kontrollen? Eempel övergripande kontroller: Finns det övergripande styrmodeller samt mål och strategier? Är organisation/roller och ansvar samt resursallokering fastslaget? Finns övergripande policys och riktlinjer för styrning? Finns stöd för kompetensförsörjning och kompetensutveckling? Finns en fastställd och kommunicerad interkontrollplan på plats? Riskbedömning i verksamheten När en väl fungerande kontrollmiljö finns på plats och innan väsentliga kontroller väljs ut bör verksamheten genomföra en detaljerad riskanalys. Riskbedömningen bör beakta hur väsentliga identifierade risker är och även sannolikheten för att risken inträffar. Riskbedömning kan beskrivas utifrån följande frågeställningar: Hur kan ledningen förlita sig på att risker identifieras och värderas på ett enhetligt och riktigt sätt genom hela organisationen? Eempel övergripande kontroller: Har en dokumenterad riskanalys gjorts av verksamheten? Är internkontrollplanen tydligt kopplad till den framtagna riskanalysen? Kontrollaktiviteter När en riskbedömning finns på plats bör verksamheten utvärdera vilka väsentliga kontrollaktiviteter som är tillämpliga. Kontrollaktiviteterna bör bestämmas utifrån den riskanalys som gjorts och hänsyn bör även tas till väsentlighet och sannolikhet. Kontrollaktiviteter kan beskrivas utifrån följande frågeställningar: Hur kan ledningen försäkra sig om att lämpliga kontrollaktiviteter utförs i tid, av rätt personer samt att dessa dokumenteras vid behov? Eempel övergripande kontroller: Beaktas den operationella verksamheten? Beaktas lagar och förordningar? Beaktas finansiell rapportering? Beaktas generella IT-kontroller? Inkluderar internkontrollplanen väsentliga och relevanta kontroller? 5

Information och kommunikationsvägar En väsentlig komponent då internkontrollplanen är på plats är väl fungerande information och kommunikationsvägar. Olika typer av information behövs inom olika delar av organisationen för att säkerställa en effektiv intern kontroll. Det är även av stor vikt att väsentlig information når de som är förtroendevalda för att dessa skall kunna fatta beslut på rimliga grunder. Information och kommunikationsvägar kan beskrivas utifrån följande frågeställningar: Hur säkerställs att rätt information når rätt personer i rätt tid? Hur kan ledningen informera sig om att verksamheten bedrivs effektivt och ändamålsenligt? Eempel övergripande kontroller: Finns policys och riktlinjer för intern/etern kommunikation? Är internkontrollplanen känd och tillgänglig samt kommunicerad inom organisationen? Uppföljning och övervakning För att säkerställa att löpande utvärderingar och förbättringar ständigt sker är det av vikt att verksamheten har ett fungerande uppföljningssystem. Vid identifierade brister behöver även rutiner finnas på plats för att dessa skall hanteras effektivt och att ändamålsenliga åtgärder sätts in. Uppföljning kan beskrivas utifrån följande frågeställningar: Sker utvärderingar och ständiga förbättringar? Hur sker löpande och särskild uppföljning? Hur hanteras signaler om brister i internkontrollsystemet? Eempel övergripande kontroller: Finns ett utarbetat system för uppföljning och övervakning? Utförs uppföljning av resultat från testning enligt framtagen internkontrollplan? Finns ett utarbetat system för överträdelser och åtgärdsplaner? 6

4. Skara kommun Vid vår granskning av internkontrollstrukturen inom Skara kommun har granskningen framförallt varit inriktad på följande kontrollmål Ger uppsatta kontrollmoment i internkontrollplanerna en tillfredställande uppföljning av nämndernas interna kontroll? Finns en väl fungerande rapportering och uppföljning av nämndernas internkontrollplan? Finns rutiner för att följa upp och åtgärda eventuella avvikelser som identifieras vid genomgången av internkontrollplanen? Är attestregler ändamålsenliga samt efterlevs? Vilka policys, riktlinjer och rutiner finns för verksamheten och hur är efterlevnaden av dessa. Är dessa dokumenterade, ändamålsenliga och kommunicerade? Efterlevs delegationsbestämmelserna? Är hanteringen av behörigheter i olika system ändamålsenlig? Nedan har vi kort beskrivit processen för framtagandet av respektive nämnds internkontrollplaner utifrån COSOmodellens komponenter, vilket även ger svar på de flesta av ovanstående kontrollmål. Svar på de två sista kontrollmålen återfinns i slutet av detta kapitel. Informationen har vi erhållit genom intervjuer med respektive förvaltning samt genomgång av nämndernas internkontrollplaner för 2013. Bakgrund Kommunstyrelsen upprättar med hjälp av kommunledningskontoret en central mall för internkontrollarbetet internkontrollreglemente. Av reglementet framgår följande områden: Organisation av intern kontroll Vem ansvarar? Uppföljning av intern kontroll Upprättande och uppföljning av internkontrollplanen Risk- och väsentlighetsanalys Internkontrollplan Sammanfattande kontrollrapport Kommungemensamma kontrollrapporter I mallen sker även återrapportering avseende nämndernas riskanalys, internkontrollplan, uppföljning av internkontrollplan samt uppföljning av kommunens gemensamma kontrollaktiviteter. Kommunstyrelsen genom kommunledningen samlar årligen in samtliga nämnders internkontrollplaner inklusive uppföljning av internkontrollplanerna. 7

Kommunstyrelsen upprättar årligen en internkontrollplan. De kontrollaktiviteter som finns i kommunstyrelsens internkontrollplan avser sådana risker som är gemensamma för samtliga nämnder och förvaltningar. Varje nämnd infogar därefter i sin internkontrollplan de kontrollmoment i kommunstyrelsens internkontrollplan som är applicerbara på just den nämnden. Därutöver skall nämnden inkludera specifika kontrollaktiviteter för sin verksamhet i sin internkontrollplan. Varje nämnd fastställer därefter sin internkontrollplan. Vid framtagandet av riskanalys och utarbetandet av internkontrollplan har det framkommit att för flertalet nämnder/förvaltningar så är inte samtliga verksamheter involverade i detta arbete utan det är framförallt ekonomidelen som tar fram riskanalysen och internkontrollplanen. Respektive förvaltning ansvarar för att upprätta en internkontrollplan, som skall fastställas hos ansvarig nämnd. Respektive nämnd ansvarar även för att uppföljning av internkontrollplanen utförs. Vid våra intervjuer har det framkommit att för vissa av nämnderna finns det självgranskningshot, dvs samma person som har genomfört kontrollen även följer upp att kontrollen har utförts vid uppföljning av internkontrollplanen. Kommunstyrelsens kontroll och uppföljning avseende nämndernas internkontrollplaner sker genom att de följer upp att en internkontroll plan upprättas men gör ingen värdering av innehåll och kontroller. Utvärdering av kontrollmiljö Den modell som har tagits fram för internkontrollplanerna, har kommunicerats ut i organisationen genom att finnas tillgänglig på kommunens intranät. Kommunstyrelsen har det övergripande ansvaret för den övergripande internkontrollplanen. I detta arbete har kommunstyrelsen hjälp av kommunledningskontoret. Utöver den beslutade modellen finns vissa riktlinjer avseende intern kontroll. Vi har inte kunnat identifiera att det har skett någon dokumenterad utvärdering av kommunens kontrollmiljö. De finns policys och riktlinjer att tillgå via kommunens intranät, men flertalet av dessa dokument har inte uppdaterats de senaste åren och många är därmed inaktuella. Det pågår en process att se över befintliga dokument. Riskbedömning i verksamheten I samband med framtagandet av respektive internkontrollplan har en riskbedömning gjorts för varje kontrollaktivitet och risken har dokumenterats ner i mallen för internkontrollarbetet. Nämnderna ansvarar för att genomföra denna riskbedömning innan internkontrollplanen upprättas. Det finns ingen central styrning eller vägledning hur en riskbedömning skall genomföras. En viss riskbedömning har därmed gjorts av verksamheterna men det har inte utförts någon mer grundläggande riskbedömning som internkontrollplanen baserats på, förutom för någon enstaka nämnd. Det finns ej heller någon dokumenterad riskanalys utan det enda som framgår av den ifyllda mallen är kontrollen och ett riskvärde. Kontrollaktiviteter Respektive nämnd ansvarar för att besluta om lämpliga kontrollaktiviteter och säkerställa att testningen blir utförd. Internkontrollplaner inklusive dokumenterad testning och rapporteras till kommunstyrelsen årligen med undantag för en nämnd som rapporterar löpande. 8

Information och kommunikationsvägar Skara kommun har inga bestämda riktlinjer för hur internkontrollplanen och dess syfte skall kommuniceras ut i organisationen. Ansvaret för detta åligger respektive förvaltningschef. Ingen utbildning har hållits inom intern kontroll i kommunen. Det finns inget forum inom Skara kommun där förvaltningarna/nämnderna kan diskutera och hjälpa varandra med frågor kring riskanalys och internkontrollplan. Uppföljning och övervakning Om det vid testning av internkontrollplanen identifieras några avvikelser tas dessa avvikelser med i den rapport som lämnas till kommunstyrelsen. Det finns dock ingenting dokumenterat om att testning bör göras om inom en viss tid för att säkerställa att den identifierade avvikelsen endast var en isolerad händelse. En fastställd rutin saknas över hur uppföljning och dokumentation över genomförd testning ska ske inom nämnderna. Efterlevnad av delegationsbestämmelserna Uppföljning av efterlevnad av delegationsbestämmelserna ingår årligen i samtliga nämnders internkontrollplaner och följs därmed upp kontinuerligt. Det som dock har framkommit är att utformningen av delegationsordning och framförallt attestordningen varierar mellan nämnderna. Vissa inkluderar beloppsgränser medan andra saknar detta. Samma sak gäller med en bifogad signaturlista till attestordningen. Systembehörigheter Det finns inga fastställda rutiner för att säkerställa att systembehörigheterna för kommunens IT-system är uppdaterade. Identifierade avvikelser vid utförda kontroller i internkontrollplanen rapporteras årligen till kommunstyrelsen. Det saknas dock riktlinjer för hur uppföljning av avvikelserna skall ske, eempelvis göra om testningen inom ett visst intervall för att kontrollera om det var en isolerad händelse eller att orsaken till avvikelsen är åtgärdad. Det saknas även en fastställd rutin för hur uppföljning och dokumentation över genomförd testning skall ske inom respektive nämnd. 9

Översikt internkontrollplaner Skara kommun Respektive nämnd har arbetat fram en internkontrollplan som anger en plan för testning samt utfall av den testning som senare genomförts. För att skapa en överblick över de internkontrollplaner som arbetats fram i respektive nämnd visas nedan en sammanställning över vilka kontrollaktiviteter respektive nämnd har för 2013. Informationen kommer från internkontrollplaner erhållna från respektive nämnd. Förvaltning/Kontrollaktiviteter Att delegationsordning efterlevs och beslut anmäls till nämnd Att beslutsattestant ej avser inköp som kan vara till personlig nytta, t.e. kostnad för kurs, mobil och bensin Mobiltelefonräkning, kontroll av höga belopp samt privata samtal Kommunledningskontoret (KS) Barn och utbildning Kultur och fritid Omsorg Samhällsbyggnadskontoret Räddningstjänsten Skara/Götene Service och teknik Skara/Götene Att inköp följer gällande ramavtal Att personuppgifter hanteras korrekt enligt lagen Att vi följer de allmänna råden när det gäller diskriminering och kränkande behandling Upphandlingsrutiner för fastighet Att handkassorna stämmer med kvitton och bokföring Säkerhetsställa att rätt pris betalas samt att de varor som betalts för har levererats Granskning av systembehörigheter och utbetalningsrutiner Att bankgiro och plusgiro i systemet stämmer med fakturauppgifter Genomföra dataanalyser av transaktioner för att kontroller dubbla transaktioner till anställdas lönekonto 10

Förvaltning/Kontrollaktiviteter Kommunledningskontoret (KS) Barn och utbildning Kultur och fritid Omsorg Samhällsbyggnadskontoret Räddningstjänsten Skara/Götene Service och teknik Skara/Götene Korrekt ingående moms har lyfts av. Uppgift om momsreg.nr. finns angivet då moms debiteras Uppgifter om F-skattebevis finns angivet på fakturan vid köp av tjänster Bankkonto stämmer med bokföring Kontroll att moms har lagts på enligt reglerna vid debitering Rätt ersättning och underlag vid frånvaro Traktamente, utlägg och förmåner korrekt utbetalt i samband med resor Att omsorgsnämndens dokumentationsplan är uppdaterad och följs Uppföljning och analys av inkomna anmälningar Att rutiner följs för läkemedelshantering Att delegationsrutiner följs i verksamheten Att det dokumenterats samtycke i de fall som skydds- och frihetskränkande åtgärder förekommer Att beslutade åtgärder är verkställda vad gäller uppföljning, planer, rapporteringar, redovisningar m.m. Kontroll av personakter så att dokumentationen kring ärende sker korrekt ur rättssäkerhetsaspekt Kontroll av inloggning och behörighet i ProCapita och i det administrativa nätet Att registrering i ProCapita sker enligt framtagna lathundar 11

Förvaltning/Kontrollaktiviteter Kommunledningskontoret (KS) Barn och utbildning Kultur och fritid Omsorg Samhällsbyggnadskontoret Räddningstjänsten Skara/Götene Service och teknik Skara/Götene Att uppgifter om deltagare och syfte är angivet vid intern och etern representation samt att momsen är korrekt Kontroll av utbetalningar till kooperativ vad gäller sjuklön Kontroll att samband finns mellan beslut och verkställighet i ProCapita Att enbart personer med biståndsbedömd insats finns på matlistorna Att rapporterade poster i PS godkänns i tid innan lönekörning Att poster rapporteras in i tid på rätt sätt i PS Kontroll av flödesprocessen av vårdfakturor 12

5. Utvärdering Skara kommun Styrkor och utvecklingsmöjligheter Skara kommun Vid arbetet med en effektiv intern kontroll finns många faktorer att beakta och det är även viktigt att arbetet hela tiden är under utveckling och förnyelse. Baserat på den information som erhållits och de internkontrollplaner vi tagit del av har ett antal styrkor samt utvecklingsmöjligheter identifierats vilka presenteras nedan. Analysen av internkontrollplanerna har skett utifrån COSO-modellen och best-practice. Styrkor Det finns en strukturerad process för att årligen arbeta fram internkontrollplaner för Skara kommun. Det finns en central samordning med ett övergripande ansvar för den interna kontrollen inom kommunen, vilket ger möjlighet till ytterligare central samordning. Vid beslut om relevanta kontrollaktiviteter har respektive nämnd möjlighet till anpassning utifrån sin egen verksamhet. Årsvis rapportering sker till kommunstyrelsen. Detta medför att beslutsfattarna inom kommunen har ökade möjligheter att få god insyn avseende den interna kontrollen samt medvetenhet om eventuella brister. Utvecklingsmöjligheter Dokumenterad utvärdering av den interna kontrollmiljön saknas. För att kunna besluta om relevanta kontrollaktiviteter utifrån verksamhetens kontrollmiljö bör en dokumenterad utvärdering finnas på plats. Interkontrollplanerna saknar tydlig koppling till en övergripande risk- och väsentlighetsanalys av verksamheten och vidare koppling till lagar, verksamhetens mål och strategier. Denna utvärdering bör dokumenteras och finnas på plats innan utformandet av en internkontrollplan påbörjas. Framtagna internkontrollplaner inom Skara kommun har stort fokus på kontrollaktiviteter med koppling till delegationsbeslut och finansiell rapportering. Det är dock av stor vikt att en översiktlig riskanalys genomförs för att säkerställa en utökad bredd och spridning avseende valda kontrollaktiviteter. Detta för att säkerställa att samtliga tre perspektiv, ändamålsenlig verksamhet, finansiell rapportering och efterlevnad av lagar och förordningar samt kritiska processer och moment i COSO-modellen ingår. Avsaknad av en central kvalitetskontroll av framtagna internkontrollplaner. Avsaknaden kan medföra en ökad risk för bristande dokumentation och även medföra risk för utebliven efterlevnad av policys och riktlinjer. Internkontrollplanerna är generella och enbart några specifika kontrollmoment finns för vissa av nämnderna. Framtagna internkontrollplaner täcker ej nämndernas 13

samtliga kritiska processer. För att säkerställa en komplett internkontrollplan är det viktigt att samtliga nämnders kritiska processer finns representerade i internkontrollplanen. Det saknas riktlinjer för uppföljning och dokumentation av genomförda åtgärder med anledning av noterade brister av utförda kontroller. För att säkerställa att noterade brister åtgärdas är det av stor vikt att riktlinjer implementeras. Det saknas utbildning inom organisationen avseende intern kontroll. Det är av stor vikt att alla anställda utbildas för att erhålla en medvetenhet om vikten av en god internkontroll samt hur detta påverkar det dagliga arbetet. I vissa nämnders uppföljning av internkontrollplanerna finns ett självgranskningshot, dvs samma person som har utfört kontrollen genomför även testning. Förslagsvis borde mindre nämnder granska varandra. Instruktionerna för riskanalys och internkontrollplan bör förtydligas för att stödja nämnderna att ta fram en riskanalys och internkontrollplan som bygger på COSO-modellen. Internkontrollplanen skall vara ett stöd i att kontrollera och styra verksamheten. Delegation och attestordningen varierar mellan förvaltningarna. Förslagsvis bör man ta fram en central mall för vad som skall ingå. Vidare rekommenderar vi att man inkluderar beloppsgränser och lägger en signaturlista som bilaga för att underlätta utestående granskning. Delegation och attestordning skall fastställas av nämnden årligen. Det finns inget forum där internkontroll kan diskuteras inom kommunen. Förvaltningarna borde kunna stödja och dra lärdom ifrån varandra. Vissa internkontrollplaner är mer utarbetade än andra. I de flesta förvaltningar involveras endast ekonomiavdelningen i framtagandet av en internkontrollplan. För att identifiera samtliga delar i verksamheten bör internkontroll diskuteras med personer från förvaltningens samtliga verksamheter. Det finns ingen formaliserad rutin inom Skara kommun för att säkerställa att behörigheterna i IT-systemen är genomgångna och uppdaterade. För att stärka den interna kontrollen och säkerställa att anställda har rätt behörighet är det av stor vikt att det finns en formalisera rutin för uppföljning av behörigheterna i IT-systemen. Vid vår granskning har vi vidare noterat att det finns skriftliga rutinbeskrivningar, policys och riktlinjer att tillgå för organisationen. Dock pågår ett projekt att uppdatera dessa riktlinjer då någon översyn inte gjorts de senaste åren. Det sker inga stickprovskontroller av att upprättade rutinbeskrivningar efterlevs. För att stärka den interna kontrollen inom nämnderna är det av stor vikt att skriftliga rutiner/riktlinjer upprättas och kontrolleras för nämndernas kritiska områden. Sammanfattning avseende identifierade utvecklingsmöjligheter Enligt COSO-modellen finns fem väsentliga komponenter som är viktiga att beakta för en effektiv intern kontroll; kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikationsvägar samt uppföljning. Ett utvecklingsområde som bedöms centralt för Skara kommun är att utveckla det grundläggande arbetet med utvärdering av verksamhetens kontrollmiljö samt utförandet och dokumentationen av en riskanalys för respektive verksamhet. När dessa två komponenter har beaktats bör kontrollaktiviteter som väljs för testning baseras på de två förstnämnda analyserna. För att 14

stödja en effektiv intern kontroll bör även informationsflödet samt hantering av eventuella avvikelser utvecklas. Genom att öka utbildningsinsatserna avseende intern kontroll samt tydliggöra riktlinjer och processer för uppföljning av identifierade avvikelser. 15

Med Deloitte avses en eller flera av Deloitte Touche Tohmatsu Limited, en brittisk juridisk person (Eng: limited by guarantee ), och dess nätverk av medlemsfirmor, som var och en är juridiskt åtskilda och oberoende enheter. För en mer detaljerad beskrivning av den legala strukturen för Deloitte Touche Tohmatsu Limited och dess medlemsfirmor, besök www.deloitte.com/about. Deloitte erbjuder tjänster inom revision, skatterådgivning, business consulting och finansiell rådgivning till offentliga och privata klienter inom en mängd branscher. Med ett globalt nätverk av medlemsfirmor i mer än 150 länder, kan Deloitte erbjuda spetskompetens av världsklass och djup lokal epertis för att hjälpa klienter till framgång oavsett var i världen de bedriver sin verksamhet. Samtliga 170 000 medarbetare i nätverket arbetar för att nå den gemensamma visionen To be the standard of ecellence. 2013 Deloitte AB

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss