Revisionsrapport 7/2012 Genomförd på uppdrag av revisorerna Mars 2013 Åstorps kommun Granskning av intern kontroll Sven Ekelund, ordf Tord Sturesson, 1:e v ordf Bengt Joehns, 2:e v ordf Martina Engberg Nils Persson
Innehåll 1. Sammanfattning...2 2. Inledning...3 2.1. Bakgrund och syfte... 3 2.2. Revisionsfrågor... 3 2.3. Metod och avgränsning... 3 2.4. Revisionskriterier... 3 3. Kommunstyrelsens och nämndernas interna kontrollarbete...4 3.1. Organisation... 4 3.2. Kommunstyrelsen... 5 3.3. Bildningsnämnden... 5 3.4. Socialnämnden... 6 3.5. Bygg- och miljönämnden... 7 4. Analys och bedömning...7 Bilagor: Bilaga 1 Källförteckning Bilaga 2 COSO- modellen 1
1. Sammanfattning Ernst & Young har på uppdrag av de förtroendevalda revisorerna i Åstorps kommun genomfört en granskning av kommunens interna kontrollarbete som bedrivits huvudsakligen under 2012. Granskningens syfte har varit att belysa hur kommunstyrelsen leder det interna kontrollarbetet i fråga om planer, dokumentation och uppföljning samt granska hur nämnderna utför och följer upp sin interna kontroll. Åstorps kommun har under 2012 bedrivit sitt interna kontrollarbete utifrån en god och tydlig struktur där återrapportering sker skriftligt till respektive nämnd och rapporteras till kommunstyrelsen. Vi noterar att merparten av nämndernas uppföljningar innehåller förslag på åtgärder utifrån respektive kontrollresultat, vilket skapar förutsättningar för verksamhetsutveckling. Dock framgår det inte alltid tydligt hur allvarliga de identifierade bristerna bedöms vara. För att säkerställa en enhetlig bedömning samt skapa förutsättningar för kommunstyrelsen att utvärdera kommunens samlade system för intern kontroll bör en uttalad bedömningsgrund för påvisade brister övervägas. Vår sammanfattande bedömning är att det under 2012 skett en utveckling av kommunens interna kontrollarbete. Inför 2013 har risk- och väsentlighetsbedömningar och bruttorisklistor dokumenterats av styrelse och nämnder. Detta systematiserar riskhanteringen och bidrar till en högre kvalitet i nämndens och förvaltningsledningens beslutsunderlag. Vi bedömer att framtagna bruttorisklistor stärkt förutsättningarna för att rätt kontroller görs men vill poängtera vikten av att överväga både legala, ekonomiska och verksamhetsmässiga risker vid upprättandet av de interna kontrollplanerna. I tidigare revisionsgranskning påpekades vikten av att förankra det interna kontrollarbetet i hela organisationen. Enligt vår bedömning är det därför positivt att arbetsgruppen för intern kontroll träffas kontinuerligt för att diskutera hur arbetet fortlöper. Det är viktigt att den interna kontrollen fortlöpande diskuteras och utvecklas samt att framtaget strukturmaterial används. För ytterligare förankring i organisationen kan utbildning för tjänstemän och förtroendevalda övervägas. 2
2. Inledning 2.1. Bakgrund och syfte Ernst & Young har av de förtroendevalda revisorerna i Åstorps kommun fått i uppdrag att granska kommunens interna kontroll som bedrivits huvudsakligen under 2012. Granskningens syfte har varit att belysa hur kommunstyrelsen leder det interna kontrollarbetet i fråga om planer, dokumentation och uppföljning samt granska hur nämnderna utför och följer upp sin interna kontroll. 2.2. Revisionsfrågor Utifrån syftet med granskningen besvaras följande revisionsfrågor: Hur har kommunstyrelsen organiserat det interna kontrollarbetet? Hur bedrivs det interna kontrollarbetet hos olika nämnder/förvaltningar? Bygger de interna kontrollplanerna på risk- och väsentlighetsanalyser? Hur har det interna kontrollarbetet dokumenterats? Hur sker sammanställning och uppföljning? Hur sker återrapportering och framförs förslag till förbättringar? 2.3. Metod och avgränsning Granskningen har skett genom dokumentstudier av aktuella dokument för styrelsens och nämndernas interna kontrollarbete samt genom intervju med samordnare för kommunens interna kontroll. Dessutom har samtliga förvaltningschefer skriftligen besvarat ett antal frågor rörande 2012 års interna kontrollarbete. Samordnare och förvaltningschefer har beretts tillfälle att faktagranska rapporten. 2.4. Revisionskriterier I denna granskning utgörs de huvudsakliga revisionskriterierna av: Kommunallag (1991:900) Kommunstyrelsen skall enligt 6 kap. 1 kommunallagen (KL) leda och samordna förvaltningen av kommunens angelägenheter och ha uppsikt över övriga nämnders verksamhet. Av 6 kap. 2 KL framgår att styrelsen uppmärksamt ska följa de frågor som kan inverka på kommunens utveckling och ekonomiska ställning. Styrelsen ska också hos fullmäktige, övriga nämnder och andra myndigheter göra de framställningar som behövs. I 4 samma kapitel finns bestämmelser som anger styrelsens åtaganden att bereda eller yttra sig i ärenden som ska handläggas av fullmäktige. Vidare ska styrelsen verkställa fullmäktiges beslut och i övrigt fullgöra de uppdrag som fullmäktige har lämnat över till styrelsen. Av 6 kap. 7 KL framgår att nämnderna var och en inom sitt område ska se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som beslutats av fullmäktige samt de föreskrifter som gäller för verksamheten. Således stadgas att nämnderna har till uppgift att genomföra alla de beslut som fattas i kommunfullmäktige. Nämnderna skall också tillse att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt. 3
Interna styrande dokument Kommunens reglemente för intern kontroll, antaget av kommunfullmäktige 2003-08-25, anger hur kommunens interna kontrollarbete ska bedrivas. COSO- modellen Den internationellt mest vedertagna metoden för att utveckla den interna styrningen och kontrollen är den s.k. COSO- modellen. Denna beskrivs i bilaga 2. 3. Kommunstyrelsens och nämndernas interna kontrollarbete 3.1. Organisation Organisationen av det interna kontrollarbetet är densamma som tidigare år, med varje nämnd som ansvarig inom sitt verksamhetsområde och kommunstyrelsen som övergripande ansvarig i kommunen. Kommunledningskontoret är den sammanhållande parten inom förvaltningsorganisationen och varje nämnd har en ansvarig kontaktperson på förvaltningen som rapporterar arbetet till kommunstyrelsen via den centrala administrationen som samordnar och koordinerar internkontrollarbetet i kommunen. Kommunstyrelsen får därefter en samlad avrapportering. Under 2012 har en kommunövergripande arbetsgrupp för intern kontroll tillsatts. Gruppen har under 2012 arbetat fram ett nytt strukturmaterial för kommunens interna kontroll i form av mallar för nämndernas risk- och väsentlighetsanalys, bruttorisklista, intern kontrollplan samt uppföljning. Enligt de nya mallarna ska varje nämnd/förvaltning upprätta en bruttorisklista där verksamhetens riskområden förklaras och bedöms utifrån en konsekvens- och sannolikhetsbedömning. I bruttorisklistan ska även anges vilket av nämndens mål som är kopplat till risken samt hur nämnden valt att hantera den identifierade risken. Som underlag till bruttorisklistan ska även en dokumenterad risk- och väsentlighetsbedömning upprättas. Enligt mallen ska det tydligt framgå vilka överväganden som gjorts, huruvida riskområdet ska inkluderas i den interna kontroll planen samt metodbeskrivning för hur en eventuell kontroll ska utföras. I årsredovisning 2011 gjordes bedömningen att Åstorps kommun har en väl fungerande intern kontroll och att den kontroll som görs är tillräcklig utifrån verksamhetens omfattning. Det påpekades även att arbetet med intern kontroll ständigt måste vara en process inom förvaltningens verksamhet. Av granskningen framgår att samtliga interna kontrollplaner för 2012 följer tidigare mall för intern kontrollplan medan uppföljningarna 2012, risk- och väsentlighetsanalyserna, bruttorisklistorna samt de interna kontrollplanerna för 2013 har upprättats enligt de nya mallarna. Undantaget är bygg- och miljönämnden som inte i full utsträckning följer framtagen mall för uppföljning 2012. Samtliga interna kontrollplaner avrapporteras till kommunstyrelsen och inför 2013 års interna kontrollarbete ska även en bruttorisklista bifogas. Vid granskningstillfället hade kommunstyrelsen ännu inte hanterat detta ärende. 4
Kommentar: Vi bedömer att det nya strukturmaterialet har förbättrat förutsättningarna för ett systematiskt och verksamhetsutvecklande internt kontrollarbete. Befintlig arbetsgrupp för intern kontroll har haft en viktig funktion i implementeringen av det nya strukturmaterialet och gruppen kan vara ett bra forum för att framöver belysa goda exempel samt hålla det interna kontrollarbetet levande. 3.2. Kommunstyrelsen Kommunstyrelseförvaltningens granskningsområden 2012 gällde attestregler, leverantörsfakturor, ärendehantering, upphandling/avtal, inventarieförteckning, löner och arvoden gällande pensionsavgift samt rapportering till KPA gällande pensionsavsättningar. Av granskningen framgår att det interna kontrollarbetet har bedrivits enligt planen och uppföljningen av den interna kontrollen 2012 återrapporterades till kommunstyrelsen 2013-01-09. Kommunstyrelsen beslutade att återremitera ärendet med anledning av att de fann innehållet i dokumentationen för ett av kontrollområdena otillräcklig. Kontrollerna har utförts av förvaltningens controller, lönekonsult, utvecklingsledare, kommunsekreterare, ekonom på samhällsbyggnadskontoret och IT-chef samt pensionsansvarig. I återrapporteringen finns en omfattande redogörelse för respektive kontroll och i uppföljningen går att utläsa att fyra av de genomförda kontrollerna uppvisar brister i den kontrollerade processen. Någon bedömning av hur allvarliga dessa brister är framgår inte, dock finns det angivet förslag på åtgärder för samtliga kontrollområden där brister påvisats. Under hösten 2012 har ledningsgruppen på kommunstyrelseförvaltningen diskuterat internkontroll och i samråd med stabsgruppen, ekonomigruppen, personal- och lönegruppen samt assistentgruppen har en bruttorisklista dokumenterats. Utifrån listan identifierade controller och kommunchef de områden som var aktuella för 2013 års internkontrollplan. Riskbedömningen genomfördes för respektive riskområde som inkluderades i den interna kontrollplanen. Kommunstyrelsen godkände 2012-12-12 den interna kontrollplanen för 2013. Detta efter en återremittering med uppmaningen att lägga till kontroller i planen samt korrigera benämningar i bruttorisklistan. Av planen 2013 framgår att kontrollområdena representation samt registrering av frånvaro och schema tillkommit, medan leverantörsfakturor och attestregler slagits samman till en kontroll. Övriga kontroller i 2012 års plan har tagits bort. Kommentar: En förutsättning för en effektiv intern kontroll är en riskanalys som säkerställer att rätt kontroller görs. Det är därför positivt att uppföljningen innehåller en analys av respektive kontrollresultat och att kontroller föreslås kvarstå eller utgå i 2013 års internkontrollplan. Inför 2013 har risk- och väsentlighetsbedömningar samt bruttorisklista dokumenterats. Detta systematiserar riskhanteringen och bidrar till en högre kvalitet i nämndens och förvaltningsledningens beslutsunderlag. Vi bedömer att bruttorisklistan stärkt förutsättningarna för att rätt kontroller görs. Det är också en förbättring från tidigare år att bruttorisklistan nu behandlas politiskt. Av uppföljningen framgår kontrollmetod och resultat samt föreslagna åtgärder. Dock framgår det inte alltid tydligt hur allvarliga de identifierade bristerna bedöms vara. 3.3. Bildningsnämnden I arbetet med att ta fram intern kontrollplan 2012 deltog enligt uppgift förvaltningens stabspersonal samt bildningsnämnden och bildningsnämndens arbetsutskott. Bildningsnämnden fastställde 2011-12-14 en intern kontrollplan för 2012 innehållande kontrollområdena attestregler, leverantörsfakturor, kontanthantering, föreningsbidrag, 5
efterkontroll av barnomsorgsavgifter inom förskola och fritidshem år 2008, åtgärdsprogram åk 5 och åk 8, handlingsplaner och systematiskt kvalitetsarbete. Majoriteten av kontrollerna har utförts under hösten och återrapporteringen sker en gång om året. Under 2012 har kontrollerna utförts av förvaltningens förvaltningsekonom, assistent på fritidsförvaltningen, samt utvecklingsstrateg. Av granskningen framgår att det interna kontrollarbetet har bedrivits enligt planen och uppföljningen av den interna kontrollen 2012 återrapporterades till bildningsnämnden 2012-12-12. Tre av de genomförda kontrollerna uppvisar brister i den kontrollerade processen. Någon bedömning av hur allvarliga dessa brister är framgår inte, dock finns det angivet förslag på åtgärder för samtliga kontrollområden där brister påvisats. Utöver det ovan nämnda tillvägagångssättet för framtagande av intern kontrollplan har det inför 2013 upprättats en dokumenterad risk- och väsentlighetsbedömning för varje identifierat kontrollområde samt en bruttorisklista. Av granskningen framgår att bruttorisklistan hanterades politiskt vid beslut om intern kontrollplan 2013. I den interna kontrollplanen 2013 har kontrollen av kontanta medel tagits bort och kontroll av särskolplaceringar har tillkommit. Kommentar: Av granskningen framgår att nämnden utvecklat sin metod för framtagande av intern kontrollplan. Inför 2013 har risk- och väsentlighetsbedömningar samt bruttorisklista dokumenterats. Detta systematiserar riskhanteringen och bidrar till en högre kvalitet i nämndens och förvaltningsledningens beslutsunderlag. Vi bedömer att bruttorisklistan stärkt förutsättningarna för att rätt kontroller görs. Det är också en förbättring från tidigare år att bruttorisklistan nu behandlas politiskt. Av uppföljningen framgår kontrollmetod och resultat samt föreslagna åtgärder. Dock framgår det inte alltid tydligt hur allvarliga de identifierade bristerna bedöms vara. 3.4. Socialnämnden I socialnämndens interna kontrollplan 2012, beslutad 2011-12-05, ingår följande tio kontrollområden: dokumentation för ärenden rörande barn och unga ärenden, dokumentation av vuxenärenden och försörjningsstöd, kontroll av vårdplaner/genomförandeplaner för barn/unga samt missbruk/psykiatri, hemmaplanslösningar, social dokumentation inom äldreomsorgen, LSS och socialpsykiatrin, privata medel inom äldreomsorgen, hantering av kundkort och inköpsrekvisitioner, lokal medicinhantering, delegering av HSL samt HSL dokumentation i Procapita. Av granskningen framgår att det interna kontrollarbetet har bedrivits enligt planen och återrapporteringen till socialnämnden skedde vid två tillfällen under 2012. Vid det första tillfället redovisades fem kontrollområden och vid det andra tillfället återrapporterades samtliga tio kontrollområden. Uppföljning som skickades till kommunstyrelsen består av båda dessa två uppföljningar. I återrapporteringen från andra halvåret, beslutad av socialnämnden 2012-12-03, finns en omfattande redogörelse för respektive kontroll och i uppföljningen går att utläsa att åtta av de genomförda kontrollerna uppvisar brister. Någon bedömning av hur allvarliga dessa brister är framgår inte, dock finns det angivet förslag på åtgärder för samtliga kontrollområden där brister påvisats. Inför 2013 har ledningsgruppen enligt uppgift deltagit i arbetet med att ta fram en bruttorisklista. Dokumentationen har även hanterats politiskt i samband med beslut om intern kontrollplan 2013. I planen för 2013 kvarstår åtta kontroller från 2012 års interna kontroll och kontrollområdena familjehem samt barn och ungas delaktighet tillkom. 6
Kommentar: Det är positivt att internkontrollarbetet återrapporteras till nämnden mer än en gång om året samt att uppföljningen innehåller en utförlig redogörelse och analys för respektive kontrollområde. Inför 2013 har risk- och väsentlighetsbedömningar samt bruttorisklista dokumenterats. Detta systematiserar riskhanteringen och bidrar till en högre kvalitet i nämndens och förvaltningsledningens beslutsunderlag. Vi bedömer att bruttorisklistan stärkt förutsättningarna för att rätt kontroller görs. Det är också en förbättring från tidigare år att bruttorisklistan nu behandlas politiskt. Av uppföljningen framgår kontrollmetod och resultat samt föreslagna åtgärder. Dock framgår det inte alltid tydligt hur allvarliga de identifierade bristerna bedöms vara. 3.5. Bygg- och miljönämnden Bygg- och miljönämnden beslutade 2011-12-21 om intern kontrollplan 2012 innehållande kontrollområdena bygglov för yttrande som rör miljökontorets verksamhet, delegationsanmälan rörande miljöverksamheten, attestregler samt loggfil för utlämnande av handlingar rörande enskilda ärenden. Bakom de utvalda kontrollpunkterna ligger en diskussion om väsentlighet och risk men någon skriftlig dokumentation föreligger inte. I protokollet framgår ej vilka riskbedömningar som gjorts för respektive kontrollområde i internkontrollplanen. Det är enligt uppgift enhetschef som i samråd med verksamhetsansvariga genomför kontrollerna. Enligt uppgift har återrapportering av den interna kontrollen skett muntligt vid delårsbokslutet samt skriftligen 2012-12-18. Av dokumentationen framgår att endast tre av fyra kontroller genomförts. Anledningen uppges vara tekniska och arbetsmässiga skäl. Vidare har avvikelser identifierats vid en av de genomförda kontrollerna. I dokumentationen framgår vilka åtgärder som har alternativt ska vidtas för att komma tillrätta med avvikelsen samt vilka övriga mindre brister som identifierats. Vid granskningstillfället hade bruttorisklista samt intern kontrollplan för 2013 ännu inte beslutats av nämnden. Enligt uppgift ska nämnden besluta om intern kontrollplan 2013 vid sammanträdet i mars och beslutsunderlaget består enligt uppgift av vid granskningen tillhandahållen bruttorisklista. Av dokumentationen framgår att kontrollerna attestregler, miljökontorets yttrande över bygglov samt bygglovsadministration föreslås som kontrollpunkter 2013. Kommentar: En förutsättning för en effektiv intern kontroll är en riskanalys som säkerställer att rätt kontroller görs. Det är därför positivt att uppföljningen innehåller en analys av respektive kontrollresultat. Enligt uppgift ska en dokumenterad bruttorisklista samt tillhörande riskoch väsentlighetsbedömning ha tagits fram för hantering av nämnden vid beslut om intern kontrollplan 2013. Detta är positivt då det bidrar till en systematiserad riskhantering samt en högre kvalitet i nämndens och förvaltningsledningens beslutsunderlag. Vi bedömer att arbetet med bruttorisklistan stärkt förutsättningarna rätt kontroller görs. Vid granskningstillfället hade detta ärende dock ännu inte hanterats av nämnden. Vidare måste nämnden framöver säkerställa att beslutade kontroller genomförs. 4. Analys och bedömning Vår sammantagna bedömning är att det under 2012 skett en utveckling av kommunens interna kontrollarbete. Kommunens arbetsgrupp för intern kontroll har under 2012 arbetat fram nytt strukturmaterial som ställer högre krav på nämndernas interna kontrollarbete och 7
enligt uppgift kommer arbetsgruppen fortsätta att arbeta med frågor rörande intern kontroll under 2013. Vi bedömer att Åstorps kommun bedriver sitt interna kontrollarbete utifrån en god och tydlig struktur där återrapportering sker skriftligt till respektive nämnd som rapporterar vidare till kommunstyrelsen. Samtliga nämnder har utvecklat sitt genomförande, sin dokumentation av kontroller samt metod för val av kontroller. Inför 2013 har risk- och väsentlighetsbedömningar och bruttorisklistor dokumenterats av styrelse och nämnder. Detta systematiserar riskhanteringen och bidrar till en högre kvalitet i nämndens och förvaltningsledningens beslutsunderlag. Vi bedömer att framtagna bruttorisklistor stärkt förutsättningarna för att rätt kontroller görs men vill poängtera vikten av att överväga både legala, ekonomiska och verksamhetsmässiga risker vid upprättandet av de interna kontrollplanerna. I tabellen nedan åskådliggörs nämndernas dokumenterade interna kontrollarbete 2012. = Förekommer ( ) =På väg Beskrivning av organisation och ansvar Dokumenterad riskbedömning inför 2012 IK-plan 2012 Antal kontrollmoment 2012 Rapport till egen styrelse/nämnd för IK 2012 Kommunstyrelsen 7 Bildningsnämnden 8 Socialnämnden 10 Bygg- och miljönämnden ( ) 4 ( ) IK-plan 2013 Som framgår av tabellen ovan tar nämnderna ansvar för arbetet med intern kontroll och med undantag för miljö- och byggnämnden finns det i samtliga internkontrollplaner en dokumenterad riskbedömning för varje kontrollområde. Vi noterar att merparten av nämndernas uppföljningar innehåller förslag på åtgärder utifrån respektive kontrollresultat, vilket skapar förutsättningar för verksamhetsutveckling. Dock framgår det inte alltid tydligt hur allvarliga de identifierade bristerna bedöms vara. För att säkerställa en enhetlig bedömning samt skapa förutsättningar för kommunstyrelsen att utvärdera kommunens samlade system för intern kontroll bör en uttalad bedömningsgrund för påvisade brister övervägas. I tidigare revisionsgranskning påpekades vikten av att förankra det interna kontrollarbetet i hela organisationen. Enligt vår bedömning är det därför positivt att arbetsgruppen för intern kontroll träffas kontinuerligt för att diskutera hur arbetet fortlöper. Det är viktigt att den interna kontrollen fortlöpande diskuteras och utvecklas samt att framtaget strukturmaterial används. För ytterligare förankring i organisationen kan utbildning för tjänstemän och förtroendevalda övervägas. Åstorp den 19 mars 2013 Sofie Bredberg Ernst & Young AB 8
Bilaga 1: Källförteckning Intervjuade Annika Tublén Controller vid kommunstyrelseförvaltningen Förvaltningschefer som medverkat i granskningen Annika Hoppe Förvaltningschef - Bildningsförvaltningen Anna-Lena Sellergren Förvaltningschef - Socialförvaltningen Mikael Fors Chef Samhällsbyggnadsenheten Dokumentation Reglemente intern kontroll Åstorps kommun Internkontrollplaner 2012 Internkontrollplaner 2013 Uppföljning 2012 Protokoll från samtliga nämnder 9
Bilaga 2: COSO modellen Den internationellt mest vedertagna metoden för att utveckla den interna styrningen och kontrollen är den s.k. COSO-modellen 1. Enligt COSO är intern kontroll definierat som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande kategorier: Effektivitet och produktivitet i verksamheten Tillförlitlig finansiell rapportering Efterlevnad av tillämpliga lagar och regler. För att förbättra den interna styrningen och kontrollen har fem centrala komponenter identifierats. För dessa redogörs kortfattat nedan. Hur dessa komponenter förhåller sig till varandra framgår av figuren. Kontrollmiljön Kontrollmiljön anger tonen i en organisation och påverkar kontrollmedvetenheten hos dess medarbetare. Det är grunden för alla andra komponenter inom intern kontroll och erbjuder ordning och struktur. Faktorer som innefattas av kontrollmiljön är integritet, etiska värden, kompetensen hos medarbetarna i organisationen, ledningens filosofi och ledarstil, det sätt på vilket ledningen fördelar ansvar och befogenheter och organiserar och utvecklar dess medarbetare samt den uppmärksamhet och vägledning som ledningen ger. Verksamhetens målformulering är en del av kontrollmiljön och har betydelse för identifieringen av risker. Kontrollmiljö Information och kommunikation Riskvärdering Kontrollaktivitet Uppföljning och utvärdering Reglemente intern kontroll Riskvärdering Varje organisation möter många olika risker av externt och internt ursprung som måste värderas. En förutsättning för riskvärderingen är att etablerade mål finns knutna till olika nivåer som är internt konsistenta. Riskvärderingen är identifieringen och analysen av relevanta risker för att uppnå målen och utgör basen för att bestämma hur riskerna ska hanteras. Eftersom ekonomiska, branschmässiga, regleringsspecifika och verksamhetsmässiga villkor kommer att förändras, behövs mekanismer för att identifiera och hantera de särskilda risker som är förknippade med förändringar. Riskvärderingen bör alltid dokumenteras i syfte att förtydliga systematiken i internkontrollarbetet. Kontrollaktiviteter 1 The Committee of Sponsoring Organizations of the Treadway Commission 10
Kontrollaktiviteter är de riktlinjer och rutiner som bidrar till att säkerställa att ledningens direktiv genomförs. De bidrar till att säkerställa att nödvändiga åtgärder vidtas för att hantera risker för att organisationens mål inte uppnås. Kontrollaktiviteter äger rum inom hela organisationen, på alla nivåer och i alla funktioner. De innefattar en rad aktiviteter av olika slag såsom godkännanden, attester, verifikationer, avstämningar, genomgångar av verksamhetens resultat, säkrandet av tillgångarna, samt åtskillnad av tjänsteroller och uppgifter. Information och kommunikation Relevant information måste identifieras, fångas, och förmedlas i en sådan form och inom en sådan tidsram att de anställda kan utföra sina uppgifter. Informationssystem genererar rapporter som innehåller verksamhetsmässig och finansiell information och uppgifter om regelefterlevnaden som gör det möjligt att driva och styra verksamheten. De anställda måste förstå sin egen roll i det interna styr- och kontrollsystemet samt hur enskilda aktiviteter påverkar andras arbete. De måste ha en kanal för att kommunicera betydelsefull information uppåt. Uppföljning och utvärdering Interna styr- och kontrollsystem behöver övervakas, följas upp och utvärderas en process som bestämmer kvaliteten på systemets resultat över tiden. Det åstadkoms genom löpande övervakningsåtgärder och uppföljningar, separata utvärderingar eller en kombination av dessa. Löpande övervakningsåtgärder och uppföljningar äger rum under verksamhetens gång. Det finns synergieffekter och kopplingar mellan de nämnda komponenterna, som formar ett sammanhållet system som reagerar dynamiskt på ändrade förutsättningar. Det interna styroch kontrollsystemet är sammanhållet med organisationens verksamhet och finns till av grundläggande verksamhetsmässiga skäl. Intern styrning och kontroll blir effektivast om kontrollerna är inbyggda i organisationens infrastruktur och ingår som en väsentlig del av organisationen. 11