Pargas stad Utkast 27.2.2017 1668/02.02.01/2010 Grunderna för den interna kontrollen och riskhanteringen i Pargas stad och stadskoncern Innehållsförteckning 1. Lagstiftning 2. Tillämpningsområde 3. Den interna kontrollens och riskhanteringens syften och ändamål; begrepp 4. Uppgifter och ansvar inom intern kontroll och riskhantering 5. Risker och riskhantering 6. Intern kontroll och riskhantering i Pargas stads och stadskoncerns lednings- och styrningssystem samt rapportering 7. Utvärdering av och redogörelse för hur den interna kontrollen och riskhanteringen har ordnats 8. Förebyggande och uppdagande av missbruk 1
1. Lagstiftning Enligt 14 i kommunallagen ska fullmäktige fatta beslut om kommunens förvaltningsstadga (punkt 2) och om grunderna för den interna kontrollen och riskhanteringen (punkt 7). Enligt 90 punkt 1 f) i kommunallagen ska kommunens förvaltningsstadga innehålla behövliga bestämmelser om intern kontroll och riskhantering. Enligt 39 i kommunallagen ska kommunstyrelsen svara för kommunens förvaltning och skötseln av kommunens ekonomi (punkt 1), svara för ägarstyrningen i kommunens verksamhet (punkt 6) och sörja för kommunens interna kontroll och ordnandet av riskhanteringen (punkt 7). Enligt 115 i kommunallagen ska det i kommunens verksamhetsberättelse ingå en redogörelse för hur den interna kontrollen och riskhanteringen är ordnad och för de centrala slutsatserna. Enligt 123 i kommunallagen ska revisorerna granska om kommunens interna kontroll och riskhantering samt koncernövervakningen har ordnats på behörigt sätt. 2. Tillämpningsområde Syftet med grunderna för intern kontroll och riskhantering är att förstärka och förenhetliga god förvaltning och ledning i Pargas stadskoncern. Grunderna för intern kontroll och riskhantering gäller stadskoncernens alla organ och ledning samt all verksamhet inom stadskoncernen som Pargas stad svarar för genom av ägande, styrnings- och övervakningsansvar samt övriga skyldigheter. I de dottersamfund som ingår i stadskoncernen ligger det på dottersamfundens styrelsers och verkställande direktörers ansvar att den interna kontrollen och riskhanteringen ordnas enligt anvisningarna. I fråga om intern kontroll och riskhantering gäller utöver de här grunderna och bestämmelserna i förvaltningsstadgan följande dokument: - anvisningar om intern kontroll och riskhantering som stadsstyrelsen ger - koncerndirektiv - finansieringspolicy - stadens beredskapsplan 3. Den interna kontrollens och riskhanteringens syften och ändamål; begrepp Syftet med intern kontroll och riskhantering är att öka sannolikheten för att de mål som ställts för staden och stadskoncernen kan uppnås och att verksamheten ger resultat. Den interna kontrollen är en del av stadens ledningssystem och ett redskap för stadens ledning och förvaltning för att bedöma måluppfyllelsen, verksamhetsprocesserna och riskerna. Ändamålet med den interna kontrollen är att främja en effektiv styrning av organisationen, hantering av risker och utvärdering av verksamhetens resultat. Syftet med den interna kontrollen är att ge en rimlig försäkran om att: - stadens verksamhet ger resultat och är effektiv - de uppgifter som ingår i rapportering om verksamheten och ekonomin är riktiga - de uppgifter som beslutsfattandet grundar sig på är tillförlitliga - lagar, beslut, föreskrifter och ledningens anvisningar iakttas - resurser och egendom tryggas i tillräcklig grad I ordnandet av den interna kontrollen bör hänsyn tas till organisationsstrukturen och verksamhetens art, omfattning och mångfald. Därtill bör det säkerställas att den interna kontrollen är tillräcklig och står i rätt proportion till de risker som finns i verksamheten.
Den interna kontrollen är som namnet antyder den övervakning som stadskoncernens egen organisation utövar på sin verksamhet och den utgör en del av ledningssystemet. Stadens revisorer utför extern kontroll och revisionsnämnden ska bedöma huruvida de mål som satts upp för verksamheten har nåtts och huruvida verksamheten är ändamålsenlig. I revisionsutlåtandet tas ställning till huruvida den interna kontrollen är ordnad på ett ändamålsenligt sätt. I revisionsnämndens utvärderingsberättelse kan effektiviteten och ordnandet av den interna kontrollen utvärderas ur ett bredare perspektiv, men också revisionsnämndens perspektiv är den externa kontrollens perspektiv. Med risker avses osäkerhetsfaktorer, händelser eller händelsekedjor som, om de realiseras, gör att Pargas stadskoncern eller någon av dess enheter inte uppnår de mål som satts upp för den och/eller lider avsevärda förluster. En risk betyder inte endast att något negativt eventuellt händer, utan också att någon möjlighet förblir outnyttjad. Riskhantering är en del av den interna kontrollen och dess mål är att genom systematiskt och proaktivt agerande få en rimlig försäkran om att organisationens mål kan uppnås. Riskhanteringen ska gälla hela stadskoncernen och alla outsourcade tjänster. Riskhanteringen är fast anknuten till den årliga processen av verksamhets- och ekonomiplanering. Då ledningen fattar beslut om riskhanteringen tar den samtidigt ställning till hur stora risker den är beredd att ta och hur stora förluster organisationen tål. Detta förutsätter en bedömning och definiering av organisationens riskgränser, villighet att ta risker och risktagningskapacitet. Med riskhantering avses systematiska förfaringssätt genom vilka man kan - identifiera och beskriva de risker som är förknippade med verksamheten i stadens och stadskoncernens enheter - bedöma hur betydande riskerna är och hur sannolikt det är att de inträffar, och - fastställa arbetsrutiner för riskhantering, -kontroll och -rapportering. 4. Uppgifter och ansvar inom intern kontroll och riskhantering Stadsfullmäktige fattar beslut om grunderna och riktlinjerna för stadens och stadskoncernens interna kontroll och riskhantering och förutsätter att stadskoncernens verksamhet ska ordnas så att det på alla nivåer och i alla enheter i organisationen finns en tillräcklig intern kontroll och riskhantering. Koncernledningen ansvarar för styrningen av stadskoncernen och för ordnandet av koncernövervakningen. Koncernledningen består av stadsstyrelsen och stadsdirektören. Stadsstyrelsen ska sörja för ordnandet av den interna kontrollen och riskhanteringen. Styrelsen fattar beslut om närmare anvisningar om intern kontroll och riskhantering samt ansvarar för den redogörelse som ges i bokslutets verksamhetsberättelse för hur den interna kontrollen och riskhanteringen har ordnats. Nämnderna och dottersamfundens styrelser ansvarar inom sina uppgiftsområden för att den interna kontrollen och riskhanteringen ordnas på behörigt sätt, att verkställandet övervakas och att resultat uppnås samt att de mest betydande riskerna rapporteras. Stadsstyrelsen och de enheter som är direkt underställda stadsstyrelsen sörjer för allmänna frågor i anslutning till stadens riskhantering samt för beredskaps- och säkerhetsplanering. Stadsstyrelsen, nämnderna, stadsdirektören, avdelnings-, sektor och enhetscheferna samt föredragandena i stadens beslutsfattande organ är redovisningsskyldiga och därmed föremål för extern revision. Stadsdirektören och avdelnings-, sektor- och enhetscheferna ansvarar för ordnandet av den interna kontrollen och riskhanteringen och dess effektivitet inom sina ansvarsområden och verksamheter. Detta innebär att alla redovisningsskyldiga och förmän har ett ansvar för den interna
kontrollen och riskhanteringen inom respektive ansvarsområde. Personalen ska arbeta efter uppsatta mål och givna anvisningar, utveckla sina arbetssätt och upprätthålla och kontinuerligt utveckla sin yrkeskompetens. 5. Risker och riskhantering Med risker avses i Pargas stad osäkerhetsfaktorer, händelser eller händelsekedjor som, om de realiseras, gör att staden eller någon av dess enheter inte uppnår de mål som satts upp för den och/eller lider avsevärda förluster. Betydande risker ska identifieras, bedömas och klassificeras och det ska skapas tillräckliga riskhanteringsmetoder. Vid bedömning av hur betydande en risk är, utgår man från hur sannolikt det är att risken inträffar och hur stor förlust inträffandet innebär, dvs. risker där sannolikheten för inträffandet och förlusten efteråt är stor utgör betydande risker som prioriteras i riskhanteringen. Risker där både sannolikheten och förlusten är liten klassificeras som obetydliga eller smärre risker som inte prioriteras i riskhanteringen. Riskerna i stadskoncernen kan delas in i olika grupper beroende på var de uppstår - operativa risker, dvs. risker som anknyter till verksamheten, processerna och efterföljandet av verksamhetsanvisningar - skaderisker på egendom och personer, såsom eldsvåda, stölder och kreditförluster, insjuknanden och skador i arbetet samt skador på utomstående - risker i omvärlden, såsom strömavbrott, störningar i datatrafiken, ändringar i lagstiftningen som är ofördelaktiga för staden eller dess invånare samt finansierings- och ränterisker - missbruk som beror på att arbetstagaren utnyttjar de möjligheter som arbetsuppgifterna ger, till sin egen fördel Nämnderna och de redovisningsskyldiga som svarar för verksamheten underställd nämnderna ansvarar för kartläggning, bedömning och prioritering av operativa risker. Till den interna kontrollen hör som en del uppföljning av riskhanteringen samt bedömning av huruvida riskkartläggningen har ordnats på behörigt sätt och huruvida de åtgärder som vidtas med anledning av riskerna är effektiva och tillräckliga. Verksamhetsprocesserna och -anvisningarna samt den interna kontrollen utvecklas utifrån riskkartläggningar och riskbedömningar så att man med hjälp av dem kan sänka sannolikheten för att en risk inträffar till en acceptabel nivå. Operativa risker har de största konsekvenserna och av alla risker står de närmast stadens invånare och användare av de tjänster som staden tillhandahåller. Målet med riskhanteringen är att kunna försäkra sig om att de tjänster som kunderna tillhandahålls motsvarar servicelöftet. Processerna och fördelningen av arbetsuppgifterna planeras så att arbetsfördelningen minskar möjligheterna till fel och missbruk så att det i processen i sig ingår en övervakande funktion. Stadsstyrelsen ger närmare direktiv om arbetsfördelningen i sina anvisningar. Anvisningarna ska efterföljas och man ingriper om någon bryter mot dem. Stadsstyrelsen svarar för beredskapen inför egendomsrisker genom att definiera acceptabla risknivåer enligt vilka stadens egendom försäkras. Egendomsriskerna hanteras i första hand genom skyddsåtgärder för egendom. Fastighetsförvaltningen svarar för att stadens fasta egendom är skyddad: miniminivån för skydds- och säkerhetssystem har definierats i officiella föreskrifter och man följer en högre säkerhetsnivå i byggnader där det anses vara befogat med tanke på den verksamhet som bedrivs i dem (t.ex. sjukhus och äldreomsorg).
I fråga om försäkringar för stadskoncernens egendom följs de risknivåer som stadsstyrelsen har godkänt. I försäkringar mot personrisker följs i första hand gällande lagstiftning och vid behov risknivåer som man överenskommer om separat. Staden förbereder sig för kreditrisker då den ingår avtal genom att granska motpartens solvens, genom att kräva säkerheter som bankgarantier eller andra motsvarande garantier och överlag genom effektiv kreditövervakning och indrivning. Till kreditriskerna hör också risken att avtalsparten inte levererar den prestation som parterna avtalat om. Staden måste förbereda sig för risker på sådana sätt som är tillräckliga i förhållande till den totala risken som prestationen innebär eftersom det också kan ha andra konsekvenser än sådana som direkt hänför sig till den avtalade prestationen om en sådan risk realiseras. I stadens finansieringspolicy ges det anvisningar om hanteringen av kreditrisker. Nämnderna och stadsstyrelsen ansvarar för kartläggning, bedömning och prioritering av risker i omvärlden. De redovisningsskyldiga ansvarar för uppföljning av sannolikheten för risker som konstaterats i kartläggningen och för tillräcklig beredskap inför risker på behörigt sätt. Vid behov görs det upp beredskapsplaner och/eller -system. Stadens beredskapsplan är ett omfattande riskhanteringsverktyg med tanke på olika risker i den fysiska omvärlden. Stadens IT-tjänster svarar för beredskapen inför verksamhetsstörningar i datanätet och datasystemen, prioriteringen görs tillsammans med dem som använder systemen. Datasystemen skyddas både fysiskt och genom en ändamålsenlig process för beviljande av användarrättigheter och genom administrering av rättigheterna. I skyddet av de uppgifter som datasystemen innehåller följs kraven i de officiella föreskrifterna t.ex. med tanke på integritetsskydd. Till omvärldsrisker hör även risker som beror på ändringar i officiella föreskrifter, ändringarna kan ha negativa konsekvenser för stadens ekonomi eller för invånarnas möjligheter att vara verksamma. Stadens ledning följer aktivt vilka ändringar som bereds i föreskrifterna och reagerar i de fall där det kan uppstå negativa konsekvenser. Förändringar i det allmänna ekonomiska läget inverkar på stadens finansieringsmöjligheter och framför allt på räntenivån. Stadsstyrelsen godkänner en finansieringspolicy med anvisningar om hur staden skall förbereda sig för finansieringsrisker. Stadsstyrelsen och nämnderna ansvarar för kartläggning, bedömning och prioritering av risker för missbruk. Missbruk förebyggs med ändamålsenlig arbetsfördelning, godkännandeförfaranden, ansvarsfördelning, åtgärder i samband med rekryteringsprocessen, ändamålsenlig rapportering, intern revision och intern kontroll. Den interna kontrollen skall omfatta alla betydande risker för missbruk. Staden har inte någon separat personal för intern revision. Den interna revisionen ska kunna utföra sitt revisionsarbete obundet och fritt då det behövs. Till uppdraget som intern revisor kan förordnas någon som är anställd av staden och som har tillräcklig expertis för uppdraget eller alternativt kan tjänsten köpas in utifrån. 6. Intern kontroll och riskhantering i Pargas stads och stadskoncerns lednings- och styrningssystem samt rapportering Den interna kontrollen och riskhanteringen är en del av stadens och stadskoncernens strategiska och operativa planering, beslutsfattande, uppföljning, ställningstagande till avvikelser och prestationsbedömning. I praktiken anknyter den interna kontrollen och riskhanteringen till den årliga budget- och bokslutsprocessen och processen för uppföljning av verksamheten och ekonomin. Koncernledningen skall en gång om året bedöma om en noggrannare rapportering behövs angående en viss verksamhet inom stadskoncernen. T.ex. större förändringar i omvärlden, verksamheten som sådan eller målsättningarna kan vara orsaker till noggrannare uppföljning och uppdatering av
riskbilden. Koncernledningen ber då det redovisningsskyldiga organet och/eller dottersamfundet att rapportera om sina betydande risker, hur de har ordnat riskhanteringen, vilka brister de har uppdagat i riskhanteringen och vilka åtgärder de tänker vidta med anledning av bristerna. Nämnderna och avdelningarna rapporterar om sina mest betydande risker och vilka åtgärder som vidtas med anledning av dem alltid i samband med bokslutsrapporteringen. Stadsstyrelsen ger noggrannare anvisningar angående intern kontroll, rapportering och uppföljning av risker och riskhantering. 7. Utvärdering av och redogörelse för hur den interna kontrollen och riskhanteringen har ordnats Stadsstyrelsen bedömer i den verksamhetsberättelse som ingår i bokslutet de mest betydande riskerna och osäkerhetsfaktorerna. Stadsstyrelsen ger i verksamhetsberättelsen även en redogörelse för hur den interna kontrollen och riskhanteringen har ordnats och en redogörelse för hur koncernövervakningen har ordnats. Riskbedömningarna och redogörelserna baserar sig på de redogörelser som de redovisningsskyldiga organen ger i sina rapporter och dottersamfundens styrelser i sina verksamhetsberättelser för ordnandet av den interna kontrollen och riskhanteringen, de uppdagade bristerna och åtgärderna för att avhjälpa bristerna. Varje redovisningsskyldigt organ och dottersamfund ska göra en redogörelse för den interna kontrollen inom sitt område som en del av rapporteringen. I redogörelsen ska beskrivas hur den interna kontrollen och riskhanteringen har ordnats, vilka brister som uppdagats i kontrollen och vilka åtgärder som vidtas för att avhjälpa bristerna. Nämnderna godkänner redogörelserna och riskbedömningarna som gjorts för deras ansvarsområden. Ekonomiförvaltningen uppgör ett sammandrag av redogörelserna till stadsstyrelsen. De redovisningsskyldiga och de verkställande direktörerna för dotterbolagen ska omedelbart rapportera till koncernledningen om det är sannolikt att en betydande risk kommer att inträffa eller om den interna kontrollen och riskhanteringen eller dess tillräcklighet håller på att äventyras. 8. Förebyggande och uppdagande av missbruk Missbruk anses vara olika slags oärliga och oetiska handlingar eller handlingar som strider mot stadens anvisningar eller är lagstridiga. I Pargas stadskoncern tillåts inget missbruk. En fungerande intern kontroll förebygger missbruk och hjälper till att uppdaga missbruk. Det är ledningens skyldighet att utöva intern kontroll för att förebygga och uppdaga missbruk och för att ingripa om sådant missbruk upptäcks.