överenskomna arbetssätt är på en genomgående god nivå.
Det finns en hög medvetenhet om situationer där risk föreligger för oetiskt beteende och åtgärder vidtas. Detta är ett område med ständiga förbättringsbehov då ledningen strävar efter att identifiera nya risker som kan skada nämndens förtroende och leda till oönskad hantering av skattemedel, kränkande behandling eller diskriminering. Risker och
avvikelser kopplade till införandet av förändrade arbetssätt och nya IT-system är fortsatt ett prioriterat riskområde.
Strukturerad uppföljning, dokumentation och rapportering är upprättad enligt stadens riktlinjer. Utöver detta genomförs temadialoger, planeringsdialoger och budgetdialoger mellan nämnd och förvaltning. Brukarundersökningar används systematiskt som underlag för utvecklande av grunduppdraget utifrån de vi är till för. Medborgardialoger
och Medborgarbudget används som ett verktyg för att öka invånares möjlighet till inflytande och delaktighet.
Överenskommelser upprättas inför varje verksamhetsår med mål och uppdrag som konkretiseras i linjen. Ett systematiskt kvalitetsarbete bedrivs i verksamheterna som utgår ifrån tidigare års förbättringsområden. Beslut och uppdrag följs systematiskt upp i förvaltningsledningen och i månatliga uppföljningsmöten. Servicedeklarationer har upprättats för förvaltningens stödfunktioner i syfte att eftersträva god kvalitet i stödet till verksamheternas chefer.
Förvaltningsledningen har på nämndens uppdrag urskilt verksamhetens viktigaste risker och tagit fram en samlad riskbild samt intern kontrollplan. Den samlade riskbilden baseras på riskbedömningar som genomförts i respektive sektorledning och med respektive stödfunktionschef baserat på verksamhetens processer.
Förankrade arbetssätt för att hantera allvarliga brister och avvikelser finns och ska rapporteras i linjen. På så sätt säkerställs att uppkomna avvikelser rapporteras till nämnden.
5.3.1 Uppföljning av samlad riskbild 2019
I samband med framtagandet av budget/affärsplan ska riskhanteringen för olika riskområden sammanställas i en samlad riskbild för nämndens/bolagsstyrelsens verksamhetsområde. Den samlade riskbilden ska beskriva åtgärder som redan har införts för att minska risker och nya åtgärder som behöver vidtas.
Med riskhantering avses samordnade aktiviteter för att styra och leda en organisation med avseende på risk. Att identifiera, analysera och utvärdera risker och därefter besluta om hur riskerna ska behandlas och följas upp är en del av riskhanteringen.
Identifierad risk Riskvär
de Riskreducerande åtgärder Status 1. Risk att behov inte omhändertas för
den enskilde inom sektor ÄO-HS
Gul Rutin för hur personal kan uppmärksamma och dokumentera detta för anhörig och
biståndsbedömare är framtagen och implementerad.
Klar
Gul Rutin för hur personer med utökat behov identifieras är framtagen och implementerad.
Klar
2. Risk att förvaltningen inte agerar utifrån förändringar av ersättning från Migrationsverket
Röd En verksamhetsnära administratör har tillsatts i syfte att hantera
återsökningsärenden och handlägga återsökningar.
Klar
En särskild uppföljning har införts för målgruppen och redovisas i månatliga uppföljningsmöten.
Klar
3. Risk för felaktig arvodering inom Familjehemsenheten
Gul Rutiner för egenkontroll har upprättats och ska följas inom
familjehemsenheten i syfte att säkerställa att ärendet är avslutat i Treserva.
Klar
4. Risk att klient inte får det stöd som denne behöver utifrån att HSL beslut finns
Gul Samtliga beslut där det finns dubbla insatser gås igenom för att säkerställa att rättbeslut finns.
Genomgång av samtliga 232 ärenden har genomförts.
Klar
5. Risk för att behörigheter i IT-system Gul Rutin för genomgång av behörigheter Klar
fortlöper efter avslutad anställning är framtagen och implementerad.
6.Risk för bristande återrapportering avdelegationsbeslut
Röd Informationsinsats riktad till
förvaltningens chefer har genomförts.
Klar
7. Risk för felaktigt utbetald lön Gul Uppföljning av att kostnadskontrollen genomförs av ansvarig chef och ska fortgå samt följas upp varje månad.
Klar
8. Risk för att dokumentation ej återfinns eller hamnar i fel händer
Gul Kartläggning av förvaltningens är arkivhantering genomförd och identifierade åtgärder ska
genomföras. Arkivförteckningssystem har upphandlats.
Klar
9. Risk för felaktigheter i försörjningsstödprocessen
Gul Försörjningsenheten genomför dagliga granskningar av utbetalning av försörjningsstödet. Detta genom att enhetschef alternativt 1:e
socialsekreterare gör stickprov i samband med attest av utbetalningar, granskar delegation, vad pengarna ska användas till, kontroll av ålder på mottagare, kontroll av antal
personer/familjebild. 1:e
socialsekreterare gör också dagligen stickprov avseende förladdade kontantkort och säkerhetsställer att beloppet överensstämmer med beviljat bistånd i Treserva.
Ekonomichef har upprättat rutiner för ekonomiavdelningens slumpmässiga kontroller av utbetalning av
försörjningsstöd.
Utöver den granskning som
genomförs av ekonomiavdelningen så granskar enhetschef alternativt 1:e socialsekreterare månadsvis tre slumpmässigt utvalda ärenden på två olika tjänster, total sex stycken ärenden så kallad akt granskning.
Klar
10. Risk för oegentlighet vid tjänsteresor
Gul Rutinen för tjänsteresor kommer att granskas vidare under 2020. Stickprov ska genomföras. Processen har ingått i stadsrevisionens årliga
grundläggande granskning för 2019.
Klar
11. Risk att chefer saknar kunskap om sitt arbetsmiljöansvar
Gul Uppföljning om hur ny rutin fungerar och efterlevs har genomförts under våren 2019 genom bland annat stickprov.
Förvaltningen kommer att förtydliga skyldighet och hanteringen av fördelning av arbetsmiljöansvaret i enlighet med det förfaringssätt som finns framtaget.
Klar
12. Risk att ingen kan svara på trygghetslarmvid extraordinära händelser
Gul Rutin finns framtagen och har implementerats.
Klar
13. Risk att personal inte kan rekryteras och behållas i tillräcklig utsträckning för att bibehålla god verksamhet inom sektor ÄO-HS
Röd Processen har granskats i den interna kontrollplanen för 2019.
Granskningen tillsammans med föreslagna åtgärder har redovisats vid nämndsammanträde den 3 oktober 2019.
Påbörjad
För mer information se kapitel 5.3.2.
14. Risk att förvaltningen hanterar personuppgifter felaktigt och i strid med gällande lagstiftning
Röd Processen har granskats i den interna kontrollplanen för 2019.
Granskningen tillsammans med föreslagna åtgärder har redovisats vid nämndsammanträde den 3 oktober 2019.
För mer information se kapitel 5.3.2.
Påbörjad
15. Risk för felaktigheter i inköpsprocessen
Gul Processen har granskats i den interna kontrollplanen för 2019.
Granskningen tillsammans med föreslagna åtgärder har redovisats vid nämndsammanträde den 3 oktober 2019.
För mer information se kapitel 5.3.2.
Påbörjad
5.3.2 Uppföljning av intern kontrollplan 2019
Utifrån den samlade riskbilden ska en intern kontrollplan upprättas. Den ska innehålla de områden/processer som särskilt ska granskas under kommande verksamhetsår för att verifiera att redan införda åtgärder har fått avsedd effekt.
Förslag till samlad riskbild baseras på riskbedömningar som genomförts per sektor och stödfunktion på väsentliga processer inom verksamheterna. I riskbedömningarna har stadsrevisionens granskningsrapporter, tidigare granskningar inom intern kontroll, externa granskningar och registrerade avvikelser använts som underlag.
Förvaltningsledningen har därefter värderat och prioriterat ett antal processer där risk för måluppfyllelse, ekonomiska, legala eller förtroenderisker föreligger. Presidiet har varit delaktig genom värdering och prioritering i arbetet.
Följande processer har granskats i den interna kontrollplanen för 2019;
Inköpsprocessen
Personuppgiftshantering
Kompetensförsörjning inom sektor Äldreomsorgs samt hälso- och sjukvård Två av de granskade processerna har sammanfallit med den fördjupade granskning av processer som stadsrevisionen genomfört av verksamheten under 2018. Förvaltningen bedömer att samtliga tre risker har reducerats till följd av vidtagna åtgärder. Risken för att personal inte kan rekryteras och behållas i tillräcklig utsträckning för att bibehålla en god verksamhet inom sektor ÄO-HS bedöms dock kvarstå med hög sannolikhet.
Samtliga tre processer kommer att kvarstå i den samlade riskbilden för 2020 för fortsatt hantering och vidareutveckling av riskreducerande åtgärder.
Resultatet av granskningarna visar på behov av verksamhets- och
organisationsutveckling och ska användas i förvaltningen som underlag för kvalitetsutveckling inom berörda områden. Sektorerna och stödfunktionerna får i uppdrag att vidta åtgärder utifrån granskningen. Samtliga förbättringsförslag inom de granskade processerna ska hanteras och ansvaras för av respektive sektorchef och stödfunktionschef.
För fullständig redovisning av granskning och åtgärder se tjänsteutlåtande N135-0113/19.
5.3.3 Nulägesanalys Inköp och Upphandling 2019 Åtgärder utifrån stadsrevisionens granskning 2018
Mot bakgrund av stadsrevisionens uppmärksammade brister i förvaltningens hantering av inköp, beställning och upphandling har interna kontroller införts över
direktupphandling, rekvisitionsanvändning, leasinghantering och representation. Vid uppmärksammade brister återkopplas detta till ansvarig chef och/eller beställare. Detta kommer löpande att genomföras och analys ska i enlighet med beslut i
stadsdelsnämnden presenteras för förvaltningsledning och nämnd.
Direktupphandling
Kontroller visar att kunskapen om att alla typer av inköp ska gå via e-handelssystemet (Proceedo) tilltar och bidrar till en effektivare och mer korrekt hantering. Kontroller visar dock på bristande tillvägagångssätt där till exempel direktupphandling genomförts utan att tillfråga minst tre leverantörer och därmed tillvarata konkurrens.
Representation, egna kostnader och rekvisition
Stickprov under året har påvisat att det ganska ofta saknas någon av begärd dokumentation kopplat till kostnader för representation och egna kostnader. Detta handlar om att deltagarförteckning, syfte och/eller korrekt attest saknas vid till exempel julavslutning, utbildningsinsatser och arbetsplatsträffar. Kontroller visar också att rekvisition (direktupphandling under 10 000 kr) används vid eftersatt planering som till exempel för inköp av fika med hänvisning till tidsbrist. Vidare har rekvisition felaktigt används för inköp av möbler och inredning från IKEA. Ett arbete pågår med att
kontinuerligt förbättra detta område med stöd av förvaltningens administratörer*.
Leasinganskaffning och leasingtillgångar
Under våren 2019 genomfördes en leasinginventering av förvaltningens tillgångar.
Inventeringen påvisade en ojämn nivå i kontroll och uppföljning av leasingtillgångar.
Detta påvisar att flera chefer har en bristande förståelse i leasinghanteringen från anskaffning, till betalning och uppföljning.
Uppföljning av tillgångar har påverkats av att förvaltningen bytt lokaler och övergått till öppet kontorslandskap. En särskild genomgång av leasingtillgångar är påbörjad med fokus på att märka upp och härleda tillgångar till rätt avtal. En ny inventering kommer att genomföras under våren 2020.
Under året har kontroller gjorts på förvaltningens leasingbilar som är cirka 50 till antal.
Kontrollerna har synliggjort att ett fåtal bilar inte har en elektronisk körjournal vilket ökar risken för oegentlighet. Detta kommer att åtgärdas vid service. Hälso- och sjukvårdsorganisationen har under året avslutat avtal för fyra bilar som ett resultat av kontroller som påvisat ett lågt nyttjande.
Förvaltningens bedömning
Utöver redan upprättade kontroller inom området har förvaltningen under hösten genomfört en utbildning för chefer där inköpskulturen i förvaltningen diskuterades i relation till gällande lagstiftning och policy. Fokus har varit att synliggöra och förbättra kunskap och normer. Stödjande dokumentation togs fram som ett resultat av
utbildningen och återkopplades till deltagarna.
Den samlade bedömningen är att vidtagna åtgärder under året bidragit till förbättring inom beställning och kompetens men att brister fortfarande finns för planering av inköp, uppföljning av tillgångar och dokumentation. Förvaltningens stöd inom området
vidareutvecklas kontinuerligt med tydliggörande av administratörers* ansvar och mandat att kontrollera beställningar och inköp. Kontroller, analys och åtgärder kommer att fortgå.
*administratörer med särskilt inköpsansvar
5.3.4 Nulägesanalys Informationssäkerhet 2019 Åtgärder utifrån stadsrevisionens granskning 2018
Stadsrevisionen granskade nämndens följsamhet mot regelverk för informationssäkerhet 2018 och noterade att nämnden, tillsammans med övriga stadsdelsnämnder, bedrivit ett arbete för att skapa förutsättningar för att omhänderta dataskyddsförordningens krav gällande skyddet för personuppgifter. Stadsrevisionen ansåg därför att nämnden har skapat förutsättningar för att minska risken för att obehöriga får tillgång till känslig information. Dock var revisionens uppfattning att detta arbete inte är integrerat med de övriga krav som finns i stadens regelverk som rör informationssäkerhet.
Förvaltningen har genomfört åtgärder för att komma tillrätta med bedömda brister och rekommendationer vilket främst handlar om att fullt ut dokumentera rutiner och ansvar.
Ekonomichef ansvarar för att åtgärderna vidtas och återrapporteras till nämnden.
Kontinuitetsplan för socialtjänstens verksamhetssystem Treserva, har upprättats på Intraservice som konkretiserar ansvar, aktiviteter samt de delar som skall vara på plats i händelse av en kris.
Sekretessfakturor
Kontroller av sekretessfakturor har genomförts och påvisar brister i cirka en fjärdedel av kontrollerade fakturor. Detta innebär alltså att det framgår uppgifter som kan härledas till en person på en faktura som inte är sekretessmarkerad. Denna brist innebär en risk att obehöriga kan få tillgång till personuppgifter. Vid kontroll har uppmärksammade brister återkopplats till granskare av faktura. Det är viktigt att de som hanterar fakturor kontrollerar om personuppgifter finns med och sekretessmarkerar relevanta fakturor.
Det finns återkommande leverantörer som skickar fakturor som borde varit
sekretessmarkerade där förvaltningen har sett till att dessa leverantörer återkommande hanteras enligt sekretess via Intraservice.
Personuppgiftsincidenter
Förvaltningens dataskyddskontakter har under 2019 utrett och bedömt 22 inträffade personuppgiftsincidenter. Tio av dessa har bedömts kunna innebära en sådan risk för den enskilde att incidenterna har anmälts till Datainspektionen. I dagsläget har Datainspektionen avslutat åtta av tio anmälningar utan ytterligare åtgärder.
Av de 22 utredda incidenterna handlar 14 om problem som uppstått i något av de kommungemensamma system som sköts av Intraservice. I flest fall rör incidenterna Treserva, det kommungemensamma system som används av socialtjänstens
verksamheter. Övriga utredda incidenter är kopplade till Trygghetsjouren, vars verksamhet drivs av förvaltningen men servar hela staden.
Datainspektionens rekommendation är att utredda incidenter bör användas som ett underlag för att identifiera brister och utvecklingsbehov i det löpande arbetet med dataskydd och informationssäkerhet. Ett sådant exempel från 2019 är Göteborgs Stads beslut om begränsningar av läsbehörigheter i lönesystemet Personec och nya rutiner för att tilldela behörigheter i systemet.
Behörighetsadministration
Rutin för behörighetskontroll har uppdaterats utefter organisationsförändringar. I gällande rutin framgår det tydligt att det åligger systemadministratör för respektive system att halvårsvis gå igenom behörigheter och ta bort inaktuella användare. Två gånger per år sammankallas respektive systemadministratör för en genomgång av gällande bestämmelser om behörighetsadministration.
Dokumentation och återrapportering av kontroller sker halvårsvis till ekonomichef,
tillika informationssäkerhetsansvarig. Denna dokumentation finns idag digitalt, i enlighet med stadsrevisionens rekommendationer ska även dokumentation finnas tillgänglig i pappersformat och sparas i tillgänglig pärm på ekonomiavdelningen.
Förvaltningens bedömning
Förvaltningens bedömning är att förutsättningar skapats för att minska risken för att obehöriga får tillgång till känslig information och att detta är på en acceptabel nivå där incidenter och brister uppmärksammas och åtgärdas.
Behörighetsgenomgång fungerar idag men kan komma att påverkas av större organisationsförändringar. Det är därför angeläget att det tillkommer lösningar som medför att behörigheter hanteras med automatik för de kommungemensamma systemen så att användare tas bort direkt i samband med avslut och byte av tjänst. Detta ingår i ett utvecklingsinitiativ som Intraservice arbetar med.