Projektledare Adrian Göransson Certifierad kommunal revisor Kvalitetssäkrare
Carl-Gustaf Folkeson Certifierad kommunal revisor Maj 2016
Granskning av intern styrning och kontroll
Ängelholms kommun
Innehåll
Sammanfattning ... 2
1. Inledning ... 4
1.1. Bakgrund och syfte ... 4
1.2. Revisionsfråga, revisionskriterier och kontrollmål ... 4
1.3. Avgränsning och metod ... 5
1.4. Intern styrning och kontroll samt COSO-modellen ... 6
2. Formella utgångspunkter ... 8
2.1. Kommunallagen ... 8
2.2. Reglemente för intern kontroll i Ängelholms kommun ... 8
3. Iakttagelser ... 10
3.1. Organisation och förutsättningar för den interna kontrollen ... 10
3.2. Analys av riskområden och interna kontrollplaner ... 10
3.3. Uppföljning och utvärdering av den interna kontrollen ... 11
4. Bedömningar och rekommendationer ... 12
4.1. Revisionell bedömning ... 12
Bilaga 1 ... 14
Bilaga 2 ... 15
Sammanfattning
På uppdrag av de förtroendevalda revisorerna i Ängelholms kommun har PwC granskat
kommunens interna kontroll. Granskningens revisionsfråga har varit: Är Kommunstyrelsens och nämndernas interna styrning och kontroll av verksamheten tillräcklig? Efter genomförd revision och genomgång av COSO-modellens fem komponenter gör vi bedömningen att Kommunstyrelsens, Myndighetsnämndens, Välfärdsnämndens och Överförmyndarnämndens interna styrning och kontroll endast delvis är tillräcklig.
Granskningen har visat att Ängelholms kommun under år 2015 varit föremål för en omfattande organisatorisk förändring. Därutöver antog Kommunfullmäktige ett nytt reglemente för intern kontroll i januari 2015. Det faller sig således naturligt att styrelsen och nämnderna varit inne i en uppbyggnadsfas och att detta påverkat det interna kontrollarbetet. Vår granskning har visat att Ängelholms kommuns interna kontrollarbete behöver vidareutvecklas och utifrån
COSO-modellens fem komponenter gör vi följande bedömningar och rekommendationer:
Figur 1. Bedömning av COSO-modellen fem komponenter utifrån bedömningsskalan tillräcklig, delvis tillräcklig och otillräcklig.
1.
KontrollmiljöVi noterar att det finns grundläggande dokumentation för den interna kontrollen (t.ex. reglemente och IK-planer). Granskningen har dock visat att de interna kontrollplanernas kvalitet generellt sett kan förbättras. Vi anser att det interna kontrollarbetet i större utsträckning bör harmoniseras så att styrelse och nämnder arbetar mer likartat med det interna kontrollarbetet. Kommunstyrelsen bör ta fram mallar för hur riskbedömningar ska genomföras och dokumenteras samt för vad som ska rapporteras till styrelse och nämnd i samband med uppföljningen av den interna kontrollen. Vi anser även att Kommunstyrelsen bör överväga att upprätta en förvaltningsövergripande grupp som arbetar med att utveckla det interna kontrollarbetet. Vidare anser vi att det interna kontrollarbetet på ett tydligare sätt kan kopplas samman med kommunens styrmodell Ratten.
2.
RiskbedömningVår granskning har visat att styrelsen och nämnderna saknar dokumenterade riskbedömningar.
Styrelsen och nämnderna bör säkerställa att verksamheterna hädanefter genomför risk- bedömningar och att de används som underlag när de interna kontrollplanerna tas fram.
Riskbedömningarna bör vara dokumenterade och innehålla en heltäckande riskinventering. Vi vill
även lyfta fram vikten av de förtroendevaldas aktiva deltagande i samband med att en riskbedömning genomförs och när kontrollmomenten tas fram.
3.
KontrollmomentStyrelsen och nämnderna bör säkerställa att samtliga kontrollmoment har en tydlig koppling till genomförd riskbedömning. Vi noterar att några av de framtagna kontrollmomenten till sin
karaktär är mer aktiviteter än kontrollmoment, samt att det finns planer som har en tyngdpunkt på ekonomiska kontrollmoment och därmed bör kompletteras med mer verksamhetsinriktade
kontrollmoment.
4.
Information & kommunikationVi har noterat att styrelsens och nämndernas planer innehåller uppgifter om vem som ska
rapportera eventuella avvikelser i den interna kontrollen. Eftersom det inte gjorts en strukturerad riskbedömning finns det en risk att kontrollmomenten fokuserar på felområden. Detta kan innebära att den information som nämnderna får avseende den interna kontrollen inte är helt korrekt utifrån ett riskperspektiv.
5.
Uppföljning & utvärderingSom redan påpekats ovan under rubriken Kontrollmiljö bör formerna för styrelsens och
nämndernas uppföljningar av den interna kontrollen ses över. Vi anser även att Kommunstyrelsen i sin utvärdering av kommunens samlade system för intern kontroll bör göra ett tydligt
ställningstagande om den interna kontrollen är tillräcklig eller ej. Vidare rekommenderar vi Kommunstyrelsen att hädanefter dokumentera sin utvärdering av kommunens samlade system för intern kontroll i kommunens årsredovisning.
1. Inledning
1.1. Bakgrund och syfte
Av kommunallagen framgår att kommunens nämnder ska se till att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt. Detta innebär att nämnderna ansvarar för att ha ändamålsenlig styrning, att verksamheten bedrivs på ett effektivt sätt och att det finns säkra rutiner som förhindrar förlust för kommunen. Kontrollen ska också säkerställa att redovisningen är rättvisande. Kommunstyrelsen har ett övergripande ansvar för att den interna kontrollen fungerar.
De förtroendevalda revisorerna i Ängelholms kommun har utifrån sin riskanalys beslutat om att genomföra en granskning av kommunens interna styrning och kontroll1.
1.2. Revisionsfråga, revisionskriterier och kontrollmål
Revisionsfråga
Granskningen ska besvara följande revisionsfråga: Är Kommunstyrelsens och nämndernas interna styrning och kontroll av verksamheten tillräcklig?
Revisionskriterier
Revisionskriterierna hämtas från kommunallagen, kommunens reglemente för intern kontroll och COSO-modellen (se mer Avsnitt 1.5, 2.1 och 2.2).
Kontrollmål
Analys och bedömning av den interna kontrollen görs utifrån COSO-modellens fem komponenter:
Kontrollmiljö
Riskbedömning
Kontrollmoment
Information & Kommunikation
Uppföljning & Utvärdering
Se mer i Avsnitt 1.5 för en mer detaljerad redogörelse för COSO-modellens olika komponenter.
Bedömningarna görs enligt följande skala och kriterier:
Figur 2. Bedömningsmodell med bedömningsskala och -kriterier.
Bedömningsskala Kriterier
Tillräcklig
Grön färg innebär att det har upprättats dokument och rutiner som ger goda förutsättningar för verksamhetens arbete med den enskilda COSO-komponenten.
Delvis tillräcklig
Gul färg innebär att det har upprättats grundläggande dokumentation och rutiner men att arbetet med den enskilda COSO-komponenten bör vidareutvecklas.
Otillräcklig
Röd färg innebär grundläggande dokumentation och rutiner saknas samt att arbetet med den enskilda COSO-komponenten är av stort behov av att vidareutvecklas.
1 I rapporten används både begreppen ”intern styrning och kontroll” samt ”intern kontroll” som synonymer. Begreppet
”intern styrning och kontroll” kommer från COSO-modellen (se avsnitt 1.5) medan intern kontroll används i KL och i Ängelholms kommuns reglemente för intern kontroll (se avsnitt 2.1 och 2.2).
1.3. Avgränsning och metod
Granskningen avser verksamhetsåret 2015 och fokuserar på Kommunstyrelsens ansvar för den interna kontrollen – dels genom styrelsens ansvar för den interna kontrollen inom sin verksamhet och dels genom styrelsens övergripande ansvar för att tillse att det finns en god intern styrning och kontroll i kommunen2. Granskningen har också omfattat en översiktlig analys av Myndighets- nämndens, Välfärdsnämndens och Överförmyndarnämndens interna kontrollplaner. Vi har
avgränsat granskningen till att omfatta hur styrelsen och nämnderna utifrån Ängelholms kommuns reglemente arbetar med intern styrning och kontroll.
I samband med Ängelholms kommuns organisationsförändring år 2015 upphörde flertalet av de nämnder som antagit de interna kontrollplanerna inför år 20153. Efter omorganisationen har de tidigare nämndernas ansvarsområden (t.ex. Socialnämndens) delats upp mellan de nya
nämnderna. Uppföljningen av de interna kontrollplanerna från år 2015 har gjorts inom ramen för den nya nämndsorganisationen.
Underlaget som rapporten bygger på utgörs både av skriftliga (styrdokument) och muntliga (intervjuer) källor. De granskade styrdokumenten utgörs av dokument som har bäring på styrelse och nämndernas interna kontrollarbete, såsom reglemente för intern kontroll, interna
kontrollplaner, uppföljningsrapporter. Intervjuer har genomförts med följande personer:
Ordförande, Kommunstyrelsen
Ekonomichef, Servicestöd
Redovisningschef, Servicestöd
Rapporten har varit föremål för sakgranskning av samtliga intervjuade.
2 Kommunstyrelsens samordnade ansvar för den interna kontrollen regleras i KL 6 kap 1 § och 3 § samt 2 § i Ängelholms kommuns reglemente för intern kontroll.
3 Byggnadsnämnden, Barn- och utbildningsnämnden, Kultur- och fritidsnämnden, Miljönämnden och Socialnämnden.
1.4. Intern styrning och kontroll samt COSO-modellen
COSO-modellen är ett internationellt etablerat ramverk för utvärdering och utveckling av intern styrning och kontroll4. I COSO-modellen definieras intern kontroll på följande sätt: ”Intern kontroll kan övergripande definieras som en process, där såväl den politiska som den
professionella ledningen samt övrig personal samverkar, vilken utformas för att med rimlig grad av säkerhet kunna uppnå följande mål:
ändamålsenlig och kostnadseffektiv verksamhet
tillförlitlig finansiell rapportering och information om verksamheten
efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer m.m.”
Enligt COSO-modellen omfattar intern styrning och kontroll komponenterna Kontrollmiljö, Riskbedömning, Kontrollmoment, Information & Kommunikation samt Uppföljning &
Utvärdering.
Figur 3. COSO-modellen och dess fem komponenter.
Nedan beskrivs COSO-modellens olika komponenter.
1. Kontrollmiljö är den omgivning som den interna styrningen och kontrollen verkar i och påverkas av.
Detta kan vara riktlinjer, policies, organisationskulturen och ledningens styrning. Kontrollmiljön kan sägas vara fundamentet för den interna kontrollen.
2. Riskbedömning5 handlar om hur risker för verksamheten identifieras, värderas och hanteras.
Det kan tex handla om
omvärldsrisker, finansiella risker, legala risker samt
verksamhetsrisker.
3. Kontrollmoment är de aktiviteter som utarbetas för att fel ska upptäckas, åtgärdas och även förebyggas.
4. Information & Kommunikation handlar om hur mål, policies, riktlinjer, risker, avvikelser och åtgärder kommuniceras i organisationen.
5. Uppföljning & Utvärdering handlar om hur organisationen följer upp beslutade mål och åtgärder samt hur den interna kontrollen
utvärderas och utvecklas.
4 COSO står för: Committee of Sponsoring Organizations of the Treadway Commission.
5 I granskningen används begreppen riskbedömning, riskanalys samt väsentlighets- och riskanalys som synonymer.
Det ska understrykas att intern kontroll inte är ett självändamål utan en del av verksamhets- och ekonomistyrningen. Den interna kontrollen är på så sätt ett viktigt instrument för att
verksamhetens mål/uppdrag ska kunna uppnås.
I det praktiska arbetet med intern kontroll är det viktigt att det finns en tydlig koppling mellan mål och de olika COSO-komponenterna. Förhållandet mellan målen och de olika COSO-
komponenterna kan schematiskt illustreras på följande sätt:
Figur 4. Illustration över hur förhållandet mellan mål/uppdrag och de olika COSO- komponenterna bör se ut.
En grundläggande del för att arbetet med den interna kontrollen ska fungera är att det finns tydliga styrsignaler, exempelvis genom dokumenterade rutiner och riktlinjer.
2. Formella utgångspunkter
2.1. Kommunallagen
Av kommunallagen (KL) 6 kapitlet 7 § framgår nämnderna ansvar för verksamheten inklusive dess ansvar att säkerställa en god intern kontroll:
7 § Nämnderna skall var och en inom sitt område se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de föreskrifter som gäller för verksamheten.
De skall också se till att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt.
Detsamma gäller när vården av en kommunal angelägenhet med stöd av 3 kap. 16 § har lämnats över till någon annan.
Av kommunallagen (KL) 6 kapitlet 1 § framgår Kommunstyrelsens s.k. uppsiktsplikt. Styrelsen ska enligt KL leda och samordna förvaltningen av kommunens angelägenheter och ha uppsikt över övriga nämnders verksamhet. Med styrelsens ledande ställning följer att den har till uppgift att ha överblick över hela den kommunala verksamheten. Uppsikten är i princip begränsad till en rätt att göra påpekanden, lämna råd och anvisningar samt, om det är nödvändigt, se till att fullmäktige ingriper i sin egenskap av högsta beslutande organ.
2.2. Reglemente för intern kontroll i Ängelholms kommun
Med anledning av organisationsförändringen år 2015 antog Kommunfullmäktige 2015-01-23 ett nytt reglemente för intern kontroll6. I reglementet fastslås det att ”Arbetet med internkontroll ingår som en del i styrmodellen Ratten”. Vidare framgår det följande avseende det interna kontrollarbetet:
Ansvar 2.1 § Kommunstyrelsen har det övergripande
ansvaret för att tillse att det finns en god intern kontroll. I detta ligger ett ansvar för att en organisation kring intern kontroll upprättas inom kommunen. Kommunstyrelsen har rätt att utfärda kompletterande tillämpningsanvisningar.
2.2 § Nämnderna har det yttersta ansvaret för den interna kontrollen inom respektive verksamhetsområde.
Den enskilda nämnden/bolaget ska tillse att en organisation upprättas för den interna kontrollen samt att regler och anvisningar för den interna kontrollen följs.
Till varje paragraf finns tillämpningsanvisningar kopplade som förtydligar hur paragraferna ska tolkas och tillämpas. I tillämpningsanvisningarna till 2.1 § betonas bland annat Kommunstyrelsens rätt att lämna råd, ge anvisningar, göra påpekanden och om det är nödvändigt, lämna förslag till fullmäktige om förändringar.
Uppföljning av intern kontroll 3 § Varje nämnd har en skyldighet att styra och
löpande följa upp det interna kontrollsystemet inom nämndens verksamhetsområde. Nämnden ska som grund för sin styrning genomföra riskbedömningar för sin samlade verksamhet.
4 § Nämnderna ska inför varje verksamhetsår anta en särskild plan för uppföljning av den interna kontrollen.
Av
tillämpningsanvisningar som är kopplade till 3 § framgår det att ”Som grund för planering, prioritering och uppföljning av internkontrollarbetet ska en risk- och väsentlighetsanalys genomföras. Med risk avses sannolikheten för att fel uppstår, och med väsentlighet avses de politiska, ekonomiska, mänskliga, tekniska konsekvenserna som uppstår vid fel.”
6 Tidigare reglemente var antaget av kommunfullmäktige 2013-03-25.
Beträffande 4 § står det att ”Plan för uppföljning av den interna kontrollen ska tas i nämnden i samband med att nämnden antar budgeten för kommande år. Olika granskningsområden bör väljas ut med utgångspunkt från risk- och väsentlighetsanalysen. Planen ska omfatta både ekonomi- och verksamhetsinriktade kontrollområden.
Av tillämpningsanvisningarna till 4 § framgår det också att den interna kontrollplanenen ska innehålla:
”Vilka rutiner/system/processer som ska följas upp
Vilka kontrollmoment som ska göras
Vilken metod som ska användas vid kontrollen
Hur ofta kontrollmoment ska utföras
Vem som ansvarar för att utföra uppföljningen
Till vem uppföljningen ska rapporteras
Genomförd riskbedömning, där kontrollrisken bedömts som ”tillfredställande” alternativt
”bör åtgärdas”.”
Uppföljning och utvärdering 10 § Nämnden ska i samband med
verksamhetsberättelsens inlämnande rapportera resultatet från uppföljningen av den interna kontrollen till kommunstyrelsen. Nämnden ska i samband med den årliga avrapporteringen av intern kontroll till kommunstyrelsen göra en samlad bedömning av nämndens internkontrollarbete.
Allvarliga brott eller brister i den interna kontrollen ska omedelbart rapporteras till kommunstyrelsen.
11 § Kommunstyrelsen ska med utgångspunkt från nämndens uppföljningsrapporter utvärdera kommunens samlade system för intern kontroll.
Kommunstyrelsen ska, i de fall behov av förbättringar uppstår, vidta nödvändiga åtgärder. Rapportering ska årligen ske till kommunfullmäktige och kommunens revisorer, detta görs i anslutning till årsredovisningen.
Enligt tillämpningsanvisningarna till 10 § ska nämndens rapportering ”innehålla en uppföljning av den fastställda kontrollplanen. Utfall för enskilda kontrollmoment samt vidtagna åtgärder ska redovisas. Nämnden ska göra en samlad bedömning av genomfört internkontrollarbetet under det gångna året.”
Av tillämpningsanvisningarna som är kopplade till 11 § framgår det att ”Eftersom
kommunstyrelsen har ett övergripande ansvar för den interna kontrollen är det viktigt att resultatet av nämndernas uppföljning av internkontrollarbetet rapporteras till
kommunstyrelsen. Kommunstyrelsen ska sedan göra en bedömning över hur kommunens totala kontrollsystem fungerar.”
En mall har upprättats för den internkontrollplan som respektive nämnd ska använda vid granskningen samt uppföljningen av den interna kontrollen (I Bilaga 1 finns en mer detaljerad beskrivning av vad mallen innehåller).
3. Iakttagelser
3.1. Organisation och förutsättningar för den interna kontrollen
Intervjuad ekonomichef och redovisningschef uppger att arbetet med att ta fram Kommun- styrelsens interna kontrollplan främst är en ledningsfråga. När planen behandlats i lednings- gruppen översänds den till Kommunstyrelsen för beslut. Styrelsens och nämndernas interna kontrollplaner antas under hösten i samband med att budgetarna antas.
Det finns, enligt uppgift, ingen förvaltningsövergripande grupp med representanter från olika förvaltningar som arbetar med frågor som rör det interna kontrollarbetet.
Vid intervjuerna med Kommunstyrelsens ordförande, ekonomichef och redovisningschef ställdes frågan hur de upplever kommunens kontrollmiljö i allmänhet och sin verksamhets i synnerhet.
Samtliga av de intervjuade anser att kontrollmiljön överlag är god men att den genomförda omorganisationen i januari 2015 kan ha skapat oro i vissa verksamheter. Enligt uppgift är det planerat att kommunen ska genomföra en medarbetarenkät under hösten 2016.
Under intervjun med Kommunstyrelsens ordförande, ekonomichef och redovisningschef ställdes också frågan om de upplever att medarbetarna har god kännedom om och förståelse för vad begreppet intern kontroll innebär för dem och verksamheten. Intervjuades svar var att de tror att begreppet primärt är känt bland cheferna ute i verksamheterna. Dock lyfter intervjuade fram att även om vissa medarbetarna inte känner till begreppet intern kontroll så finns det en stor medvetenhet ute i verksamheterna att gällande riktlinjer och rutiner ska följas.
3.2. Analys av riskområden och interna kontrollplaner
Ekonomichef och redovisningschef uppger framtagandet av kontrollmomenten i styrelsens interna kontrollplan sker genom en diskussion kring risk och väsentlighet men att analysen inte
dokumenteras. I det här sammanhanget kan det nämnas att Kommunstyrelsens interna kontrollplan innehåller – i enlighet med kommunens reglemente för intern kontroll – en klassificering av risknivån för de olika kontrollmomenten7. Det ska dock noteras att ingen av de interna kontrollplanerna för år 2015 bygger på en dokumenterad riskanalys.
Det har – utöver det som finns beskrivet i 4 § i kommunens reglemente för intern kontroll – tagits fram en gemensam mall för hur de interna kontrollplanerna ska utformas. Beträffande
Kommunstyrelsens och nämndernas interna kontrollplaner noterar vi att:
det inte finns någon explicit koppling mellan styrelsens och nämndernas interna kontrollplaner och kommunens styrmodell Ratten
styrelsens och nämndernas planer skiljer sig åt när det gäller utformning och rubricering
de interna kontrollplanernas detaljnivå avseende beskrivningarna i de interna
kontrollplanerna (avseende exempelvis vad som ska kontrolleras och vilken metod som ska användas) skiljer sig åt
ett par av de kontrollmoment som finns dokumenterade i miljönämndens interna kontrollplan för år 2015 till sin karaktär mer aktiviteter än kontrollmoment
Barn- och utbildningsnämndens plan har en tyngdpunkt på ekonomiska kontrollmoment och innehåller få verksamhetsinriktade kontrollmoment.
I Bilaga 2 finns exempel på de kontrollmoment som styrelsen och nämnderna tagit fram.
7Kategoriseringen av risknivån görs i skalan låg, medel eller hög.
3.3. Uppföljning och utvärdering av den interna kontrollen
Som tidigare nämnts i Avsnitt 1.4 ska nämnderna enligt Ängelholms kommuns reglemente för intern kontroll 10 §: i samband med den årliga avrapporteringen av intern kontroll till kommunstyrelsen göra en samlad bedömning av nämndens internkontrollarbete.”8 I kommunens reglemente (11 §) fastslås det även att ”Eftersom kommunstyrelsen har ett övergripande ansvar för den interna kontrollen är det viktigt att resultatet av nämndernas uppföljning av internkontrollarbetet rapporteras till kommunstyrelsen. Kommunstyrelsen ska sedan göra en bedömning över hur kommunens totala kontrollsystem fungerar.” 9
Vi noterar att Kommunstyrelsen har som rutin att årligen samla in nämndernas uppföljningar av den interna kontrollen. Det har inte tagits fram en mall för vad och hur verksamheterna ska rapportera till sin nämnd eller Kommunstyrelsen. Vår genomgång av uppföljningsrapporterna visar att de kortfattat beskriver vad som kontrollerats och vilka eventuella avvikelser som identifierats. Uppföljningsrapporterna skiljer sig väsentligt åt när det gäller kvaliteten och tydligheten.
Av styrelsens protokoll från 2016-03-27 framgår det att följande bedömning har gjorts av hur kommunens totala kontrollsystem fungerar: ”Sammanfattningsvis kan kommunledningen konstatera att nämndernas internkontrollarbete i huvudsak har genomförts som planerats samt att åtgärder vidtagits i de fall brister konstaterats.” Vi noterar att i Ängelholms kommuns årsredovisning för år 2015 görs en kortfattad redogörelse för hur kommunens interna kontrollarbete ska genomföras.
8 Det ska noteras att denna paragraf även fanns i Ängelholms kommuns reglemente för intern kontroll år 2013.
9 Det ska noteras att denna paragraf även fanns i Ängelholms kommuns reglemente för intern kontroll år 2013.
4. Bedömningar och rekommendationer
4.1. Revisionell bedömning
Granskningens revisionsfråga har varit: Är Kommunstyrelsens och nämndernas interna styrning och kontroll av verksamheten tillräcklig? Efter genomförd revision och genomgång av COSO- modellens fem komponenter gör vi bedömningen att Kommunstyrelsens, Myndighetsnämndens, Välfärdsnämndens och Överförmyndarnämndens interna styrning och kontroll endast delvis är tillräcklig.
Granskningen har visat att Ängelholms kommun under år 2015 varit föremål för en omfattande organisatorisk förändring. Därutöver antog Kommunfullmäktige ett nytt reglemente för intern kontroll i januari 2015. Det faller sig således naturligt att styrelsen och nämnderna varit inne i en uppbyggnadsfas och att detta påverkat det interna kontrollarbetet. Vår granskning har visat att Ängelholms kommuns interna och kontrollarbete behöver vidareutvecklas och utifrån COSO- modellens fem komponenter gör vi följande bedömningar och rekommendationer:
Figur 5. Bedömning av COSO-modellen fem komponenter utifrån bedömningsskalan tillräcklig, delvis tillräcklig och otillräcklig.
1.
KontrollmiljöVi noterar att det finns grundläggande dokumentation för den interna kontrollen (t.ex. reglemente och IK-planer). Granskningen har dock visat att de interna kontrollplanernas kvalitet generellt sett kan förbättras. Vi anser att det interna kontrollarbetet i större utsträckning bör harmoniseras så att styrelse och nämnder arbetar mer likartat med det interna kontrollarbetet. Kommunstyrelsen bör ta fram mallar för hur riskbedömningar ska genomföras och dokumenteras samt för vad som ska rapporteras till styrelse och nämnd i samband med uppföljningen av den interna kontrollen. Vi anser även att Kommunstyrelsen bör överväga att upprätta en förvaltningsövergripande grupp som arbetar med att utveckla det interna kontrollarbetet. Vidare anser vi att det interna kontrollarbetet på ett tydligare sätt kan kopplas samman med kommunens styrmodell Ratten.
2.
RiskbedömningVår granskning har visat att styrelsen och nämnderna saknar dokumenterade riskbedömningar.
Styrelsen och nämnderna bör säkerställa att verksamheterna hädanefter genomför
riskbedömningar och att de används som underlag när de interna kontrollplanerna tas fram.
Riskbedömningarna bör vara dokumenterade och innehålla en heltäckande riskinventering. Vi vill även lyfta fram vikten av de förtroendevaldas aktiva deltagande i samband med att en
riskbedömning genomförs och när kontrollmomenten tas fram.
3.
KontrollmomentStyrelsen och nämnderna bör säkerställa att samtliga kontrollmoment har en tydlig koppling till genomförd riskbedömning. Vi noterar att några av de framtagna kontrollmomenten till sin
karaktär är mer aktiviteter än kontrollmoment, samt att det finns planer som har en tyngdpunkt på ekonomiska kontrollmoment och därmed bör kompletteras med mer verksamhetsinriktade
kontrollmoment.
4.
Information & kommunikationVi har noterat att styrelsens och nämndernas planer innehåller uppgifter om vem som ska
rapportera eventuella avvikelser i den interna kontrollen. Eftersom det inte gjorts en strukturerad riskbedömning finns det en risk att kontrollmomenten fokuserar på felområden. Detta kan innebära att den information som nämnderna får avseende den interna kontrollen inte är helt korrekt utifrån ett riskperspektiv.
5.
Uppföljning & utvärderingSom redan påpekats ovan under rubriken Kontrollmiljö bör formerna för styrelsens och
nämndernas uppföljningar av den interna kontrollen ses över. Vi anser även att Kommunstyrelsen i sin utvärdering av kommunens samlade system för intern kontroll bör göra ett tydligt
ställningstagande om den interna kontrollen är tillräcklig eller ej. Vidare rekommenderar vi Kommunstyrelsen att hädanefter dokumentera sin utvärdering av kommunens samlade system för intern kontroll i kommunens årsredovisning.
2016-05-11
Carl-Gustaf Folkeson, uppdragsledare
Adrian Göransson, projektledare
Bilaga 1
Förtydligande av rubrikerna i Internkontrollplanen:
Granskningsområde:
Vilka rutiner/system/processer som ska följas upp.
Respektive granskningsområde numreras; 1, 2 etc.
Kontrollmål/-syfte:
Vilka kontrollmoment som granskningen ska följa upp.
Metod:
Tillvägagångssätt vid granskningen av den interna kontrollen.
Antal Stickprov: Hur många stickprov som ska tas/tillfälle.
Frekvens: Hur ofta kontrollmoment ska utföras.
Kontrollansvarig:
Vem som ansvarar för att utföra uppföljningen. Funktion, ej namn.
Risknivå:
Låg, Mellan eller Hög
Avvikelse rapporteras till:
Till vem uppföljningen ska rapporteras. Funktion, ej namn Bedömning av den interna kontrollen:
Efter slutförd granskning görs en riskbedömning om den interna kontrollen kan anses
”tillfredsställande” eller om den ”bör åtgärdas”. De kontroller som bedöms som ”bör åtgärdas” ska avvikelserapporteras.
Bilaga 2
Styrelse/
nämnd
Rutin/process Kontrollmoment Metod
KS Kundfakturerin
g
Att rätt kund faktureras med rätt belopp samt att mervärdesskatt redovisas korrekt
- Kontroll av slumpvis utvalda fakturor
Kravrutiner Att kunder behandlas lika gällande utskick av påminnelser och inkasso
- Kontroll av slumpvis utvalda påminnelser och inkassobesked
BN Lov Att bedömning är gjord avseende t ex
lämplighet, ändamålsenlighet, god form, färg- och materialpåverkan, tillgänglighet, särskilt värdefull bebyggelse (bevaringsprogrom), naturförutsättningar, markhöjder,
trafiksäkerhet, olägenheter för grannar, utfart, infart, pakering, tillgänglighet och plats för utevistelse.
- Handläggarna utför stickprovskontroller åt varandra
Bygglov:
Byggfelsförsäkr ing/-
färdigställande skydd
Att beslut fattas enligt interna tillämpningsanvisningar
- Handläggarna utför stickprovskontroller åt varandra
KoF Upphandling/i
nköp
Att regelverken för upphandling följs - Granskning av tre ramavtal
Kontanthanteri ng
Att gällande rutin för kassahantering följs - Stickprovskontroll av 2 kassor
MN Tillsynsplan Att antagna tillsynsplaner följs - Avstämning Ecos
Kundfakturerin
g Att avslutade ärenden faktureras - Stickprov från Ecos
SN Inventarieförte
ckning
Följsamhet av riktlinjer gällande inventarieförteckning samt stöldskyddsmärkning
- Kontroll av uppdateringar av register samt upplägg i Hypergene
Aktregistrering ar i Procapita
Kontroll att ärenden är korrekt registrerade i Procapita
- Kontroll av ärenden per handläggare TN Förråd Rimlighetskontroll mot gjorda inköp/intag - Stickprovskontroll på
två enheter
Personlig skyddsutrustni ng
Kontroll att personlig skyddsutrustning används
- Stickprovskontroll 5 tillfällen
ÖN Delegationsbesl
ut Att gällande delegationsbeslut följs - Stickprov
Lönerapporteri ng
Rimlighetskontroll av lämnade rapporter - Stickprov
