Diarienummer: 2015/560-KS-004 Riktlinje för Riskanalys och Intern kontroll Beslutad av kommunstyrelsen 2015 XX - XX program policy handlingsplan riktlinje 1
Riktlinje för Riskanalys och Intern kontroll program policy handlingsplan riktlinje uttrycker värdegrunder och förhållningssätt för arbetet med utvecklingen av Västerås som ort inklusive koncernen Västerås stad uttrycker värdegrunder och förhållningssätt för arbetet i koncernen Västerås stad anger strategier och konkreta åtgärder för att nå den politiska viljeinriktningen och fastställda mål på olika nivåer i organisationen säkerställer ett riktigt agerande och en god kvalitet i handläggning och utförande i koncernen Västerås stad
Riktlinje för riskanalys och internkontroll Riskanalys och intern kontroll är en del av styrsystemet i Västerås stad, och gäller för Västerås stad samt i tillämpliga delar för kommunens helägda bolag. Riktlinjen utgår bland annat från ansvaret för intern kontroll i kommunal verksamhet (se kommunallagen). Riktlinjens syfte är att fastställa övergripande organisation och ansvar för arbetet med riskanalys och intern kontroll. Riktlinjen kompletteras av tillämpningsanvisningar för riskhantering och intern kontroll. I tillämpningsanvisningarna framgår vilken metod som Västerås stad använder för riskanalys och intern kontroll, fördjupad beskrivning av organisation och ansvar. Anvisningarna omfattar även årshjulet för riskanalys och internkontrollplaner kopplat till verksamhetsplaneringen samt hur och när information och uppföljning ska ske. Tillämpningsanvisningarna fastställs av stadens processägare för säkerhet (säkerhetschef). Riskanalys Riskanalys är en metod för att strukturerat identifiera, analysera och utvärdera risker eller händelser som kan påverka organisationens möjlighet att nå de fastställda mål. Grunden för riskanalysen är alla verksamhetens åtaganden i verksamhetsplanen. Det kan omfatta processer, projekt eller uppgifter. Det omfattar risker vad avser såväl kvalitet som kontinuitet. Processer/projekt/uppgifter med särskilt höga krav på kontinuitet kartläggs och större risker mot förmågan att upprätthålla dessa inkluderas. För att svara mot krav på riskhantering inom kommunallagen (KL) och lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (LEH) analyseras risker avseende på målområdena: Ändamålsenlig och effektiv verksamhet (KL) Tillförlitlig finansiell rapportering (KL) Efterlevnad av tillämpliga lagar och förordningar (KL) Människors liv och hälsa (LEH) Samhällets funktionalitet och grundläggande värden (LEH) Miljö och egendom (LEH) Riskanalysen mot LEH:s målområden blir underlag för upprättande av kommunala risk- och sårbarhetsanalyser och andra författningsstyrda riskanalyser samt som underlag för den interna kontrollen. Till arbetet knyts särskilda krav på krishanteringsförmåga. Tillsammans utgör de tre områdena risk-, kontinuitet- och krishantering viktiga styrmedel för att uppnå effektivitet och ändamålsenlighet i den kommunala verksamheten. Samtliga risker dokumenteras i ett riskregister. I samband med riskanalysen görs en bedömning av riskernas sannolikhet och konsekvens. Risker som har hög sammanvägd sannolikhet och konsekvens, alternativt höga konsekvensvärden, eller av annan anledning bedöms som viktiga att följa upp särskilt, tas med i en internkontrollplan.
Intern kontroll Intern kontroll är en process eller en plan för att kontrollera, åtgärda, dokumentera, informera och följa upp risker och händelser på ett strukturerat sätt. De flesta risker kontrolleras eller åtgärdas som ett naturligt led i verksamhetens processer. Då så inte är fallet, eller då en risk bedöms som särskilt stor eller av annan anledning behöver följas upp särskilt ska den ingå i en internkontrollplan för verksamhetsåret. Internkontrollplanen ska fastställas av respektive nämnd eller styrelse som en del av verksamhetsplaneringen. I internkontrollplanen ska även framgå hur riskerna ska kontrolleras eller åtgärdas, en tidplan för detta samt vem eller vilka som är ansvariga. Närmare anvisningar för hur risker ska bedömas och dokumenteras framgår av tillämpningsanvisningar till denna riktlinje. Organisation och ansvar Revisorerna Revisorernas uppgift, enligt KL 9 kap 9, är att pröva om verksamheten sköts på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande och om den interna kontrollen är tillräcklig. Revisorerna kan aldrig ta ansvar för att utföra den interna kontrollen, men de kan naturligtvis inta ett konsultativt förhållningssätt i frågor som rör intern kontroll. Revisorerna rapporterar till kommunfullmäktige som är deras uppdragsgivare. Kommunstyrelsen Kommunstyrelsens uppgifter, enligt KL 6 kap 1, är att leda och samordna förvaltningen av kommunens angelägenheter och ha uppsikt över övriga nämnders och eventuella gemensamma nämnders verksamhet. Nämnder och styrelser Nämnder och styrelser ska, enligt KL 6 kap 7, var och en inom sitt område se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de föreskrifter som gäller för verksamheten. De ska också säkerställa att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt. Processägare, förvaltningschef, verksamhetsansvariga och medarbetare Förvaltningschef, ska leda arbetet med att åstadkomma och upprätthålla en god intern kontroll, inklusive den underliggande riskanalys som den interna kontrollen bygger på, samt följa tillämpningsanvisningar. Verksamhetsansvariga är skyldiga att följa antagna regler och anvisningar om intern kontroll och informera berörda medarbetare om innebörden av dessa. Riskhantering är ett löpande arbete. Alla medarbetare har ett ansvar i det interna kontrollsystemet, att redovisa fel och brister uppåt i organisationen för att åtgärder ska kunna vidtas för att korrigera eller undvika att fel och brister uppstår. Ansvar och roller beskrivs djupare i tillämpningsanvisningar för riskhantering och intern kontroll. Gemensamma processer För de processer som är gemensamma för flera nämnder eller styrelser ligger ansvaret för riskanalys och internkontrollplan hos den nämnd eller styrelse där processägaren finns. Definitionen av gemensamma processer är att ansvaret för processen ligger centralt, hos en nämnd eller styrelse, men internkontrollåtgärder behöver vidtas på en eller flera andra nämnder eller styrelser. Genomförda kontroller dokumenteras och skickas till den processansvarige som sammanställer och återredovisar resultatet till kommunstyrelsen årligen i samband med årsbokslutet. 4
Stadsledningskontoret 721 87 Västerås Telefon 021-39 00 00 www.vasteras.se 5