www.pwc.se Revisionsrapport Tilda Lindell Margareta Irenaeus Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll Solna stad
Åtgärder och uppföljning avseende intern styrning och kontroll Sammanfattning har på uppdrag av de förtroendevalda revisorerna i Solna stad genomfört denna granskning avseende stadens arbete med uppföljning och åtgärder avseende intern styrning och kontroll. Den revisionsfråga som har varit vägledande för granskningen är huruvida det finns ett systematiskt arbete med uppföljning av den interna kontrollen i staden, samt om åtgärder vidtas i syfte att stärka arbetet med intern styrning och kontroll. Efter genomförd granskning är den sammanfattande bedömningen att det i stor utsträckning finns ett systematiskt arbete med uppföljning av den interna kontrollen i staden, och att det i viss utsträckning vidtas åtgärder i syfte att stärka arbetet med intern styrning och kontroll. Det finns en tydligt beskriven struktur för arbetet med intern kontroll i och med stadens reglemente och anvisningar för internkontroll, och den översiktliga granskning som har genomförts av nämndernas internkontroll-planer för år 2014 och 2015 indikerar att den gemensamma strukturen för planering, uppföljning och dokumentation av arbetet tillämpas i allt högre utsträckning i stadens nämnder. Däremot varierar redovisningen av identifierade avvikelser och vidtagna åtgärder i uppföljningen av genomförd intern kontroll. Med bakgrund av genomförd granskning är våra rekommendationer att Solna stad ser över formerna för rapportering av och dialog kring identifierade avvikelser och åtgärder. Detta i syfte att tydliggöra vilken form avvikelser och åtgärder som bör synliggöras i uppföljningen för att säkerställa att ledningen för olika organisatoriska nivåer får tillgång till den information som krävs för att kunna styra, följa upp och rapportera om verksamheten. Att utveckla formerna för rapportering och dialog avseende identifierade avvikelser och åtgärder är ett sätt att stärka komponenten information och kommunikation i arbetet med intern kontroll, som i sin tur kan stärka arbetets övriga komponenter såsom kontrollmiljö, riskanalys, kontrollmoment och tillsyn. Solna stad
Åtgärder och uppföljning avseende intern styrning och kontroll Innehållsförteckning Sammanfattning... 2 1. Inledning... 1 1.1. Bakgrund... 1 1.2. Revisionsfråga... 1 1.2.1. Revisionskriterier... 1 1.2.2. Kontrollfrågor... 1 1.3. Metod och avgränsning... 1 2. Iakttagelser... 2 2.1. Gemensam struktur... 2 2.1.1. Styrdokument... 2 2.1.1.1. Reglemente för intern kontroll... 2 2.1.1.2. Anvisningar för intern kontroll... 3 2.2. Iakttagelser utifrån COSO-modellen... 4 2.2.1. Kontrollmiljö... 4 2.2.2. Risk- och väsentlighetsanalyser... 5 2.2.3. Kontrollåtgärder... 5 2.2.4. Information och kommunikation... 6 2.2.5. Tillsyn... 7 3. Sammanfattande bedömning och rekommendationer... 8 3.1. Sammanfattande bedömning... 8 3.2. Rekommendationer... 9 Solna stad
1. Inledning 1.1. Bakgrund De förtroendevalda revisorerna ska varje år uttala sig om ansvarsfrågan i revisionsberättelsen. En viktig del i ansvarsutövandet är att bedöma kommunstyrelsens och nämndernas sätt att utöva kontroll. Syftet med denna granskning är att översiktligt bedöma hur dessa politiska organ arbetar med intern styrning och kontroll av verksamheten. 1.2. Revisionsfråga Granskningen ska besvara följande revisionsfråga: Bedriver kommunstyrelsen och nämnderna ett systematiskt arbete med uppföljning av den interna kontrollen i staden, samt vidtas åtgärder i syfte att stärka arbetet med intern styrning och kontroll? 1.2.1. Revisionskriterier Revisionskriterierna består av kommunallag, COSO-modellen samt stadens reglemente och anvisningar. 1.2.2. Kontrollfrågor Följande kontrollmål har varit vägledande för granskningen: Finns det en gemensam struktur för arbetet med intern kontroll i stadens nämnder? Genomförs årligen en uppföljning av utfallet av nämndernas arbete med intern kontroll? Initieras åtgärder med bakgrund av uppföljningen i syfte att stärka arbetet med intern kontroll i stadens nämnder? Utvärderas och återrapporteras resultatet av genomförda åtgärder? 1.3. Metod och avgränsning Granskningen avser kommunövergripande regelverk, rutiner och uppföljning, och har genomförts via granskning av styrdokument samt planering- och uppföljningsdokument från respektive nämnd. Intervju har även genomförts med stadens ekonomichef. Rapporten har varit föremål för sakgranskning. Solna stad 1 av 10
2. Iakttagelser 2.1. Gemensam struktur 2.1.1. Styrdokument 2.1.1.1. Reglemente för intern kontroll Den 29 oktober 2012 antogs stadens reglemente för internkontroll. Enligt stadens indelning av styrdokument utgör reglementet en policy 1, som antas av kommunfullmäktige då de är av principiell beskaffenhet. Syftet med reglementet definieras som att säkerställa att styrelser och nämnder upprätthåller en tillfredsställande intern kontroll och med rimlig grad av säkerhet uppnår nedanstående mål: - En ändamålsenlig och kostnadseffektiv verksamhet - En tillförlitlig finansiell rapportering och information om verksamheten - Efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer m.m. I reglementet definieras även ansvaret för intern kontroll på fem nivåer kommunstyrelsen, nämnd, förvaltningschef, verksamhetsansvarig chef och övriga medarbetare. Nedan beskrivs de tre första ansvarsnivåerna: - Kommunstyrelsen har det övergripande ansvaret för att det råder god intern kontroll i staden, och ansvarar även för att utfärda övergripande regler och anvisningar för intern kontroll. - Nämnderna har det yttersta ansvaret för intern kontroll inom sina respektive verksamhetsområden, och ska därför anta regler och anvisningar för hur arbetet med intern kontroll ska bedrivas. - Förvaltningschefen ansvarar för att god intern kontroll bedrivs inom nämndens verksamhetsområde, att anställda informeras om vad intern kontroll innebär och att allvarliga brister i den interna kontrollen omedelbart rapporteras till nämnden. Enligt reglementet ansvarar varje nämnd för att styra och löpande följa upp den interna kontrollen. Nämndens styrning och uppföljning ska struktureras och synliggöras på följande sätt: - Riskbedömningar av nämndens verksamhet ska genomföras - Inför varje nytt år ska en särskild plan antas för granskning och uppföljning av den interna kontrollen. 1 En policy i Solna stad uttrycker politikens värdegrund och förhållningssätt och talar om vad staden vill uppnå inom ett specifikt område som berör flera verksamheter. Ett policydokument bör enligt stadens definition inte innehålla detaljerade ställningstaganden gällande utförande, prioriteringar eller metoder. Solna stad 2 av 10
- Resultatet av uppföljningen av den interna kontrollen ska (med utgångspunkt från vad som fastställts i planen) återrapporteras till nämnden i den omfattning som fastställts i planen. - Nämnden ska i sin årsberättelse rapportera om resultatet av uppföljningen av den interna kontrollen, och rapporteringen ska redovisa omfattningen av utförd uppföljning, utfallet och vidtagna åtgärder. - Vid behov ska rapporten innehålla förslag till åtgärder i syfte att förbättra kommunens gemensamma rutiner. Allvarliga brister i den interna kontrollen ska omedelbart rapporteras till kommunstyrelsen. - Kommunstyrelsen ska med utgångspunkt från nämndernas uppföljningsrapporter utvärdera kommunens samlade system för intern kontroll, och ta initiativ till förbättringar om sådana behövs. 2.1.1.2. Anvisningar för intern kontroll Som komplement till stadens reglemente för internkontroll har anvisningar för intern kontroll upprättats. Anvisningar och rutiner avser i regel ren verkställighet av riktlinjer och andra styrdokument, och anvisningarna för intern kontroll godkänns och förvaltas av stadsledningsförvaltningen. Anvisningarna förtydligar processen för arbetet med intern kontroll och hur de olika momenten ska genomföras och dokumenteras. Anvisningarna finns upplagda på stadens intranät och länkning till tillämpliga mallar för dokumentation och stöddokument sker löpande i anvisningarna. Nedan redovisas en överblick för anvisningarnas olika områden med tillhörande kort summering av innehållet i respektive område. Process för intern kontroll Anvisningarna inleds med en bild av processens sex delar, förtydligande av vikten av att tillämpa gemensamma mallar för dokumentation. Genomföra risk- och väsentlighetsanalys Risk- och väsentlighetsanalys utgör obligatoriskt dokument, identifiering och värdering av risker, värdering av sannolikhet, konsekvens och framtagande av riskindex samt dokumentation av analysen. Länkning till mallar och stöddokument. Upprätta plan för internkontroll Dokumentet är en obligatorisk bilaga för beslut om nämndens verksamhetsplan och budget. Länkning till mall för dokumentation. Genomföra kontrollmoment Hur genomförandet av kontrollmoment ska ske, när analys och avvikelser ska redovisas samt dokumentation av genomförande, analys och åtgärdsförslag i länkad mall. Solna stad 3 av 10
Återrapportera resultat Resultatet av genomförda kontrollmoment ska återrapporteras till nämnden i augusti och december, om allvarliga avvikelser identifieras ska återrapportering till nämnd ske omedelbart. Åtgärda avvikelser Ansvarig styrelse eller nämnd ansvarar för att löpande under året åtgärda identifierade avvikelser. Följa upp åtgärder Respektive förvaltning ska återrapportera åtgärdsstatus för identifierade avvikelser till nämnd per augusti och september. Kontroll av nämndernas identifierade åtgärder samt återrapportering av utfallet för de stadsgemensamma kontrollmomenten ansvarar stadsledningsförvaltningen för. Stadsgemensamma kontrollmoment De stadsgemensamma kontrollmomenten ska inkluderas i styrelse och nämnders plan för intern kontroll, och kontrollrapport inklusive föreslagna åtgärder ska återrapporteras till kommunstyrelsen per augusti och december. För respektive kontrollmoment formulerar stadsledningsförvaltningen rutiner för momentens genomförande, och rutinerna länkas i anvisningarna. I nedanstående tabell presenteras de stadsgemensamma kontrollmomenten för år 2014 och 2015. 2014 2015 Internt registrerade betalningar Jäv-utbetalningar som berör den anställde Manuell kreditering av fakturor Representation och gåvor Avtalstrohet Leverantörers ekonomiska ställning och seriositet Avtals- och entreprenadsuppföljning Periodisering av intäkter och kostnader Redovisning av representation 2.2. Iakttagelser utifrån COSO-modellen 2.2.1. Kontrollmiljö Kontrollmiljön är i stor utsträckning beroende av de formella och informella mönster som förekommer i en organisationskultur, samt de målsättningar, regler och styrdokument som finns. Kontrollmiljön utgör grunden för arbetet med intern kontroll och för att påverka och utveckla kontrollmiljön krävs det att man beaktar det sociala systemet 2, det politiska systemet 3 samt det organisatoriska och administrativa systemet 4 och tekniska systemet 5. 2 Medarbetarnas erfarenheter, kompetens, attityder och värderingar, organisationsklimat och styrning 3 Politisk styrning samt hur chefer och ledare agerar 4 Reglementen, styrdokument, riktlinjer samt ansvars- och befogenhetsfördelning 5 Tekniska hjälpmedel, system och program Solna stad 4 av 10
Stadens reglemente för internkontroll har inte reviderats sedan beslutet år 2012, men under såväl år 2013 som 2014 har anvisningarna löpande utvecklats och uppdaterats till att bli alltmer handfasta. Det aktiva arbetet med anvisningarna kan ha föranlett vissa skillnader i nämndernas arbete med och dokumentation av intern kontroll, men från maj 2014 har anvisningarna inte reviderats. Anvisningarna finns tillgängliga via Solna stads intranät, som är ett socialt/interaktivt intranät. Detta innebär att användarna av intranätet kan ställa frågor om anvisningarna i anslutning till styrdokumentet. Vi har genomfört en översiktlig granskning av samtliga nämnders internkontrollplaner för år 2014 och 2015 med tillhörande riskanalyser samt uppföljningen i respektive nämnds årsredovisning 2014. Två av nämnderna (kultur- och fritidsnämnden samt socialnämnden) hänvisar till vilka regler eller anvisningar som har varit vägledande för nämndens arbete med intern kontroll (i detta fall sker hänvisning till reglementet för intern kontroll). Däremot kan de centrala anvisningarna enligt uppgift anses utgöra ett bra och tydligt stöd, och då är det bra att de gemensamma anvisningarna används istället för att nämnderna beslutar om egna anvisningar. 2.2.2. Risk- och väsentlighetsanalyser En risk- och väsentlighetsanalys ska tydliggöra vilka hot som finns till följd av påverkbara eller opåverkbara risker och som kan inverka på organisationens möjligheter att nå sina mål. En väl genomförd risk- och väsentlighetsanalys ska resultera i en prioritering av för verksamhetsutövningen kritiska kontrollområden i internkontroll-planen. För att riskanalysen ska kunna användas effektivt krävs att tillvägagångssättet för att identifiera och värdera risk och väsentlighet är tydligt, och för att säkerställa en enhetlig hantering och likvärdiga bedömningar mellan olika enheter är det även viktigt att samma systematik tillämpas. Enligt stadens reglemente och anvisningar för intern kontroll ska en risk- och väsentlighetsanalys genomföras årligen och internkontroll-plan upprättas, och båda dokumenten ska biläggas nämndernas förslag till verksamhetsplan och budget. Att risk- och väsentlighetsanalysen ingår som en obligatorisk del i arbetet säkerställer att den ska genomföras för att kunna tas i beaktande vid utformningen av internkontroll-planen. Resultatet av den översiktliga granskningen av nämndernas verksamhetsplaner för år 2014 och 2015 visar att samtliga nämnder utom kommunstyrelsen 6 har bilagt en risk- och väsentlighetsanalys till verksamhetsplanerna för år 2014. Två nämnder kompetensnämnden samt barnoch utbildningsnämnden har inte använt numeriska riskindex i analyserna för år 2014, vilket har justerats i 2015 års verksamhetsplaner. Antalet processer och/eller rutiner som redovisas i nämndernas analyser varierar, från fyra till 70. 2.2.3. Kontrollåtgärder Kontrollåtgärder är de konkreta åtgärder som vidtas i syfte att motverka, minimera eller i vissa fall eliminera risker. Kontrollåtgärderna styrs av riskanalysen och bör 6 I kommunstyrelsens verksamhetsplan förklaras att alla avdelningar inom stadsledningsförvaltningen arbetade med egna risk- och väsentlighetsanalyser år 2013, och en genomgång och vidareutveckling av materialet skedde inför arbetet med 2014 års verksamhetsplan. Solna stad 5 av 10
utformas i förhållande till denna samt den kontrollmiljö som råder. I den struktur som Solna stad utformat för internkontroll-arbetet ska kontrollåtgärderna dokumenteras i en internkontroll-plan. Samtliga nämnder har upprättat internkontroll-planer för år 2014 och 2015. Två av nämnderna (socialnämnden och omsorgsnämnden) har uppgett i anslutning till internkontroll-planerna att de processer för vilka riskindexet uppgår till minst sex lyfts in i planen. Internkontroll-planerna följer i huvudsak samma mall, det vill säga att process/rutin, kontrollmoment, kontrollmetod, kontrollfrekvens och rapportering till finns angivet för de processer och rutiner som tas upp i planerna. Antalet moment i planerna varierar i likhet med riskanalyserna, hos några nämnder finns fyra processer eller rutiner upptagna i planen och hos andra finns 15 processer eller rutiner upptagna. I verksamhetsplanerna för år 2015 har flertalet av nämnderna använt samma mall för internkontroll-planerna, där sju uppgifter ska anges för varje process eller rutin som kontrolleras kontrollmoment, metod, redovisning, kontrollansvar, tidpunkt, resultat och förslag på åtgärd. Staden har under år 2014 också arbetat med stadsgemensamma kontrollmoment som en del av strukturen för intern kontrollarbetet, och nya gemensamma kontrollmoment har tagits fram för år 2015. 2.2.4. Information och kommunikation En förutsättning för en effektiv intern kontroll är att det finns en väl fungerande kommunikation och information mellan olika organisatoriska nivåer, inte minst inför en risk- och väsentlighetsanalys. Det handlar om att ledningen för olika organisatoriska nivåer måste säkerställa att den får den information som krävs för att kunna styra, följa upp och rapportera om verksamheten. Formerna för nämndernas internkontroll ska fastställas i verksamhetsplan och budget och redovisning av resultatet ska ske till nämnd som minst i samband med delårsrapport och årsredovisning. I stadens reglemente för internkontroll finns även uttryckt att samtliga medarbetare har ett ansvar att omedelbart rapportera brister i internkontrollen, och att nämnderna ska rapportera allvarliga brister i internkontrollen till kommunstyrelsen. Utifrån granskningen av nämndernas internkontroll-planer och uppföljningarna av genomförd intern kontroll i nämndernas årsredovisningar, kan det noteras att formen för redovisningen av resultatet utifrån genomförda kontrollmoment år 2014 varierar mellan nämnderna. Ett par av nämnder har valt att redovisa utfallet i en bilagd mall som till upplägget liknar internkontroll-planen (exempelvis att kolumnen för rapporteras till har döpts om till uppföljning ) och för resterande nämnder sker en redovisning av utfallet i löptext i årsredovisningen. I den nya mallen för internkontroll-plan år 2015 finns en särskild kolumn för resultat och förslag på åtgärd. Redovisningen av vilka avvikelser som identifierats vid genomförandet och vilka åtgärder som har vidtagits eller föreslagits varierar mellan nämnderna. I vissa fall framgår inom vilka processer eller rutiner som avvikelser uppvisats och vilka åtgärder som vidtagits, men i förekommande fall uppges bara att resultatet av Solna stad 6 av 10
genomförda kontroller har visat på förbättringsområden. I de fall som avvikelser och åtgärder redovisas framgår att åtgärderna kan ha bestått i att såväl korrigera enskilda mindre avvikelser som att föranleda en revidering av en rutin. 2.2.5. Tillsyn Tillsyn syftar till att kvalitetssäkra och förbättra arbetet med intern kontroll genom kontinuerlig utvärdering av rutiner och processer för att säkerställa att arbetet fungerar som avsett. Detta fordrar ett system för tillsyn och uppföljning som sammanställer och kommunicerar det samlade resultatet av allt internkontrollarbete som har skett i organisationen, för att kunna möjliggöra en övergripande bedömning av intern kontroll samt identifiera områden i behov av åtgärder som kan stärka den interna kontrollen. Enligt stadens reglemente för internkontroll ska kommunstyrelsen med utgångspunkt från nämndernas uppföljningsrapporter utvärdera kommunens samlade system för intern kontroll, och ta initiativ till förbättringar om sådana behövs. Kommunstyrelsens utvärdering av styrelse och nämndernas internkontroll presenteras i stadens årsredovisning för år 2014, och bygger enligt uppgift dels på den återrapportering av genomförd internkontroll som nämnderna redovisar i sina respektive årsredovisningar, dels på stadsledningsförvaltningens återrapportering av utfallet för de stadsgemensamma kontrollmomenten. Den sammantagna bedömningen som kommunstyrelsen gör i sin utvärdering utifrån nämndernas återrapportering av internkontrollen, är att processerna fungerar och att internkontrollen har bidragit till goda resultat samt utveckling av processer, rutiner och kontrollmoment. Under året har inga avvikelser av omfattande art redovisats till kommunstyrelsen, utan identifierade avvikelser har hanterats inom respektive nämnd. En positiv utveckling som kommunstyrelsen beskriver i sin utvärdering är att planering och uppföljning av internkontrollen sker mer systematiskt och enhetligt under 2014. I uppföljningen lyfts också att det har utvecklats ett handfast stöd i arbetet med internkontroll, i form av ett workshopstöd för risk- och väsentlighetsbedömning, anvisningar och mall för numerisk risk- och väsentlighetsanalys samt mall för internkontrollrapport och anvisningar för återrapportering av kontrollmoment. Ett kvarstående utvecklingsområde uppges i årsredovisningen vara att tillse att arbetet med internkontroll hänger samman på ett bra sätt i hela organisationen, från styrelse och nämnd till respektive verksamhet och enhet. Solna stad 7 av 10
3. Sammanfattande bedömning och rekommendationer 3.1. Sammanfattande bedömning Vår sammanfattande bedömning är att det i stor utsträckning finns ett systematiskt arbete med uppföljning av den interna kontrollen i staden, och att det i viss utsträckning vidtas åtgärder i syfte att stärka arbetet med intern styrning och kontroll. Bedömningarna för respektive kontrollmål sammanfattas i nedanstående tabell och förklaras Kontrollmål Finns det en gemensam struktur för arbetet med intern kontroll i stadens nämnder? Genomförs årligen en uppföljning av utfallet av nämndernas arbete med intern kontroll? Initieras åtgärder med bakgrund av uppföljningen i syfte att stärka arbetet med intern kontroll i stadens nämnder? Utvärderas och återrapporteras resultatet av genomförda åtgärder? Reglemente Uppföljning Uppföljning Uppföljning Tillämpningsanvisningar Gemensamma mallar för dokumentation Uppföljning Redovisning av avvikelser Redovisning av vidtagna åtgärder Redovisning av vidtagna åtgärder Utvärdering av resultatet Det finns en gemensam struktur för arbetet med intern kontroll i stadens nämnder. Denna struktur finns tydligt beskriven i och med stadens reglemente för internkontroll och stadens anvisningar för internkontroll. Den granskning som har genomförts av nämndernas internkontroll-planer för år 2014 och 2015 indikerar att den gemensamma strukturen för planering, uppföljning och dokumentation av arbetet tillämpas i allt högre utsträckning i stadens nämnder (se avsnitt 2.2.1 och 2.2.2). Det sker en årlig uppföljning av utfallet av nämndernas arbete med intern kontroll, i och med upprättande av nämndernas årsredovisningar. I stadens årsredovisning redovisas även kommunstyrelsens utvärdering av den interna kontrollen. Det initieras i viss utsträckning åtgärder med bakgrund av uppföljningen i syfte att stärka arbetet med intern kontroll i stadens nämnder. Staden har sedan en tid Solna stad 8 av 10
tillbaka arbetat med att ta fram ett tydligt ramverk för arbetet vilket har verkat för att stärka kontrollmiljön. Redovisningen av vidtagna åtgärder eller åtgärder att vidta varierar dock från nämnd till nämnd, vilket gör det svårt att få en samlad bild över samtliga åtgärder som initierats för att stärka arbetet med intern kontroll i stadens nämnder. Redovisningen av de åtgärder som vidtagits utifrån genomförd intern kontroll varierar sett till nämnderas uppföljning, och därmed sker det inte genomgående en återrapportering och utvärdering av genomförda åtgärder. Av kommunstyrelsens samlade bedömning i årsredovisningen framgår vilka åtgärder som har vidtagits i form av att stärka strukturen för intern kontroll, samt de övergripande resultat och utvecklingsområden som kommunstyrelsen observerat. 3.2. Rekommendationer Solna stad har som tidigare nämnts vidtagit ett antal åtgärder för att tydliggöra stadens gemensamma struktur för arbetet med intern kontroll, och flertalet av åtgärderna har bidragit till att stärka kontrollmiljön. Av den uppföljningsdokumentation som granskats framgår att genomförd intern kontroll resulterar i identifiering av åtgärder som kan vidtas för att ytterligare stärka den interna kontrollen i stadens nämnder. Däremot har vi noterat att redovisningen och uppföljningen av vidtagna åtgärder sker på olika nivåer och med varierande detaljeringsgrad. Med bakgrund av genomförd granskning är våra rekommendationer därmed att Solna stad ser över formerna för rapportering av och dialog kring identifierade avvikelser och åtgärder. Detta i syfte att tydliggöra vilken form avvikelser och åtgärder som bör synliggöras i uppföljningen för att säkerställa att ledningen för olika organisatoriska nivåer får tillgång till den information som krävs för att kunna styra, följa upp och rapportera om verksamheten. Att utveckla formerna för rapportering och dialog avseende identifierade avvikelser och åtgärder är ett sätt att stärka komponenten information och kommunikation i arbetet med intern kontroll, som i sin tur kan stärka arbetets övriga komponenter så som kontrollmiljö, riskanalys, kontrollmoment och tillsyn. Solna stad 9 av 10
Ange datum Ange namn Projektledare Ange namn Uppdragsledare Solna stad 10 av 10