Uppföljning intern kontroll 2018

Uppföljning intern kontroll 2018

Kulturnämnden

Innehållsförteckning

Inledning ...3

Ansvar...4

Arbetsgång vid internkontrollgranskning ...5

Kommungemensamma granskningsområden...6

Direktåtgärder ...7

Attest av fakturor ...7

Utbildning attestanter...7

Rekrytering...7

Översyn lönestrukturer ...7

Granskningar...8

Avsaknad av inventarieregister för elektronisk utrustning...8

Elektronisk utrustning ...8

Fel pris fakturerat jämfört med avtal...9

Fakturerade prisers överensstämmelse med avtal...9

Felaktiga kontaktuppgifter ...10

Kontaktuppgifter ...10

Brister i hantering personuppgiftsbehandlingar...12

Bedömning av rutiner och stickprovsgranskning ...12

Bristfällig hantering av allmänna handlingar ...13

Mognadsbedömning av rutiner ...13

Självskattning utifrån kommungemensamma kriterier för utvärdering av intern kontroll...14

Bilagor

Bilaga 1: Mognadsanalys - hantera allma¨nna handlingar Bilaga 2: Granskning kontaktuppgifter - Kulturnämnden Bilaga 3: Granskning fakturapriser 2018 kulturnämnden

Bilaga 4: Bilaga - Självskattning 2018 gemensamma kriterier för intern kontroll

Inledning

Föreliggande rapport utgör årsuppföljning av arbetet med intern kontroll för 2018 och innehåller bland annat de kommungemensamma granskningar som beslutats av kommunstyrelsen samt de granskningar och åtgärder som nämnden beslutat om för året. Delar av granskningar och åtgärder i Intern

kontrollplanen för 2018 har tidigare delrapporterats vid kulturnämndens sammanträde i november.

Ansvar

Enligt Malmö stads reglemente för intern kontroll har nämnder och bolagsstyrelser det yttersta ansvaret för att den interna kontrollen är tillräcklig inom dess ansvarsområden och ska se till att det finns en organisering och ett systematiskt arbetssätt som säkerställer en god intern kontroll.

Enligt reglementet skall nämnden varje år anta en särskild plan för den interna kontrollen.

Kulturförvaltningens verksamheter upprättar en gemensam plan för intern kontroll samt ansvarar för rapportering, uppföljning och utvärdering av denna.

Kulturdirektören ansvarar för att rapportera till nämnden huruvida granskningar och åtgärder genomförts i enlighet med antagen internkontrollplan, samt redogöra för resultatet av genomförda insatser.

Kulturnämnden fattar beslut om rapport från föregående års internkontroll samt beslutar om årets internkontrollplan senast i februari månad. Nämnden ska senast i samband med årsanalysens upprättande, rapportera resultatet från uppföljningen av den interna kontrollen inom nämnden till kommunstyrelsen.

Arbetsgång vid internkontrollgranskning

Granskare som utses ska ha relevant kunskap inom granskningsområdet men inte stå i jävsförhållande till det som ska granskas. Efter genomförd granskning ska eventuellt konstaterade fel och brister leda till åtgärdsförslag från den som utför granskningen. Granskare ska efter genomförd kontroll rapportera resultatet av granskningen till granskad verksamet, respektive avdelningschef samt vid behov till förvaltningsdirektör. Avdelningschef beslutar om förbättringsåtgärder i tillämpliga fall.

Kommungemensamma granskningsområden

Kommunstyrelsen beslutade vid sitt sammanträde 2017-09-13 om tre gemensamma granskningsområden för Malmö stads nämnder:

· kontaktuppgifter

· elektronisk utrustning

· fakturerade prisers överensstämmelse med avtal

Dessa ingår som obligatoriska granskningar i samtliga nämnders internkontrollplaner för 2018 och har granskats på sätt som beskrivs i kommunstyrelsens ärende och stadskontorets anvisningar.

Direktåtgärder

Risk:

Attest av fakturor

Risk för otillräcklig kunskap om vad som ingår i ansvaret som fakturaattestant med anledning av många nya chefer inom förvaltningen, vilket kan leda till att felaktiga fakturor attesteras och betalas.

Åtgärd:

Utbildning attestanter Vad ska göras:

Samtliga befintliga attestanter inom förvaltningen ska erbjudas utbildning som arrangeras av ekonomiavdelningen och nya attestanter ska genomgå en introduktion till ansvarsområdet innan behörighet i ekonomisystemet läggs upp. Utöver detta ska förvaltningens attestreglemente uppdateras.

Genomförda åtgärder

Ekonomiavdelningen har varje höst ekonomiutbildning/information där bland annat behörigheter och attest tas upp. Nya rutiner som startas upp nu i höst är att alla nya måste gå en kortare utbildning på ekonomiavdelningen för att bli ”behörig” att arbeta i ekonomisystemet och attestera. Det kommer att finnas ett tillfälle varje månad att anmäla sig till. Även de som behöver fräscha upp sina kunskaper är välkomna. Då kommer man också automatiskt in på attestreglementet för just deras verksamhet.

Risk:

Rekrytering

Risk för att förvaltningen inte kan rekrytera personer med den kompetens som behövs, framförallt lärare kulturskolan, bibliotekarier och vissa specialistkompetenser, vilket kan leda till att vi inte kan uppfylla uppsatta mål samt indirekt till risker i arbetsmiljön då vakanser inte kan tillsättas.

Åtgärd:

Översyn lönestrukturer Vad ska göras:

Partssammansatt grupp som arbetar med att genomföra en översyn och analys över vissa yrkesgrupper.

Detta ska resultera en rapport och åtgärdsplan.

Genomförda åtgärder

Kulturförvaltningen har lämnat in ett ställningstagande angående önskad lönestruktur 2019 vilket bygger på en löneanalys av statistik per 1 maj 2018. I ställningstagandet lyfts områdesbibliotekarierna som en grupp där lönenivån behöver höjas. Under 2018 har dialog om bibliotekarielönerna förts i en

partsammansatt grupp. Lönenivåerna för musiklärare och kulturpedagoger omnämns också i

Kulturförvaltningens ställningstagande i perspektivet att lönenivåerna halkar efter jämfört med lärare inom estetiska ämnen i grundskolan, detta främst p g a införandet av förstelärare och statligt lärarlönelyft.

Dialog har förts med fackliga organisationerna angående t ex möjligheterna att införa karriärtjänster inom Kulturskolan.

Granskningar

Risk:

Avsaknad av inventarieregister för elektronisk utrustning

Risk för att elektronisk utrustning hamnar på villovägar på grund av avsaknad av eller brister i register eller bristande rutiner, vilket kan leda till ekonomisk skada och förtroendeskada.

Granskning:

Elektronisk utrustning

Områden och tillhörande rutiner som ska granskas:

Respektive nämnd och helägt bolag ska svara på följande frågor:

•Finns rutin för att hämta ut utrustningen?

•Finns rutin för återlämning av utrustningen?

•Finns register där det framgår vem som har vilken utrustning?

•Vilka uppgifter innehåller registret?

Om rutin finns ska självskattning göras huruvida den följs enligt följande:

•Tillfredsställande

•Förbättringsområde

•Behöver ses över omgående Syfte med granskningen:

Syftet med granskningen är att undersöka om och säkerställa att det finns register och rutiner för att hålla reda på elektronisk utrustning.

Omfattning/avgränsning:

Granskningen ska genomföras av samtliga nämnder och helägda bolag och omfatta surfplattor, mobiltelefoner, datorer och skärmar.

Granskningsmetod:

Granskning av förekomst av rutiner och register för kontroll över elektronisk utrustning.

Resultat

Kulturförvaltningen har idag inga gemensamma rutiner för att hålla reda på elektronisk utrustning. Nivån mellan förvaltningens institutioner skiljer sig också åt, där några institutioner idag har tillfredställande nivå medan andra har en stor förbättringspotential. Idag sker central samordning på rådgivande basis.

Kulturförvaltningen har för de kommande åren valt att arbeta med digitalisering som ett av sex

fokusområden, och detta utvecklingsarbete kommer att beröra dagens interna funktioner kopplat till IT och dess organisation. Efter granskning står det klart att Kulturförvaltningen generellt behöver se över organisation och förbättra samt tydliggöra sina rutiner. Det bör dock inte vara varje enskild nämnds uppdrag att införskaffa och förvalta egna inventeringssystem, så kallat Asset ManagmentSystem. Vi har idag ett bra avtal med Atea där huvuddelen av våra inköp samt returhantering hanteras. Rimligen bör ett gemensamt Asset Management System kunna erbjudas samtliga förvaltningar som hanterar hela livscykeln för elektronisk utrustning. Detta ger andra fördelar som bättre verktyg för ekonomiplanering och

effektivare resurshantering utöver verksamhetsgränser.

Finns rutin för att hämta ut utrustningen?

Tillfredställande

Utlämning sker via ansvarig chef eller kontaktperson.

Finns rutin för återlämning av utrustningen?

Förbättringsområde

Finns register där det framgår vem som har vilken utrustning?

Förbättringsområde

Register finns i varierande omfattning och kvalité. I några verksamheter finns kompletta listor, i andra saknas det helt. I centrala system kan vi ta fram abonnemang och serienummer på telefoner och Ipads samt information om användare och plattformsdatorer. Övrig utrustning finns ej i centrala system.

Kulturförvaltningen präglas av en historik med stor lokalkännedom och därmed ett sårbart personberoende.

Vilka uppgifter innehåller registret?

 Namn på medarbetare/funktion Kontaktperson

Serienummer Modell Märke Datum Risk:

Fel pris fakturerat jämfört med avtal

Risk för att kommunen betalar felaktigt pris på grund av bristande kontroll vilket kan leda till ekonomiska konsekvenser.

Granskning:

Fakturerade prisers överensstämmelse med avtal Områden och tillhörande rutiner som ska granskas:

Granskning att fakturerat pris överensstämmer med avtal/order/prislista eller motsvarande (enligt 8§ i Malmö stads attestreglemente). Granskningen avser fakturerat pris (per enhet), inte huruvida rätt mängd fakturerats.

Stadskontoret tar, senast i början av 2018, fram urval av fakturor att kontrollera och anvisningar hur dokumentation av granskningen ska göras.

Syfte med granskningen:

Syftet med granskningen är att undersöka om den kontroll som ska göras enligt attestreglementet i realiteten genomförs och om det finns typer av fakturor som är särskilt svårkontrollerade.

Omfattning/avgränsning:

Granskningen omfattar samtliga nämnder, men inte bolagen, eftersom attestreglementet inte gäller bolagen. Bolagen avgör själva om motsvarande granskning ska göras och svarar då själva för urval av fakturor.

Granskningsmetod:

Granskning genom jämförelse mellan urval av fakturor och avtal/order/prislista.

Resultat

Denna kommungemensamma granskningen avser den andra punkten i attestreglementets 8:e paragraf; att en granskningsattest genomförts, en kontroll om att priset överensstämmer med avtal/order/prislista eller motsvarande. Stadskontorets ekonomiavdelning har tillhandahållit ett antal slumpmässigt utvalda fakturor med belopp överstigande 1 000 kronor. För kulturförvaltningen har 20 fakturor valts ut för granskning.

Resultatet av granskningen visar att ingen av de 20 granskade fakturorna uppvisar en avvikelse mellan fakturerat pris i förhållande till avtal. Det totala beloppet för de granskade fakturorna är 182 705 kronor och då inga avvikelser förekommer är den totala prisavvikelsen 0 kronor.

Granskningen ger vid handen att förvaltningens rutiner vad gäller fakturahantering fungerar tillfredställande och inge åtgärder kommer därför att genomföras i dagsläget.

Risk:

Felaktiga kontaktuppgifter

Risk för att kontaktuppgifter till medarbetarna inte uppdateras vid omorganisationen på grund av tidsbrist och bristfällig information vilket kan leda till att medborgarna inte kan nå rätt person

Granskning:

Kontaktuppgifter

Områden och tillhörande rutiner som ska granskas:

Utifrån urval som tillhandahålls av stadskontoret granskas kontaktuppgifter i intranätet Komin inklusive katalogtjänsten CMG Office Web. Utöver detta ska respektive nämnd svara på om det finns rutin för att lägga upp och uppdatera kontaktuppgifter. Stadskontoret återkommer senast i början av 2018 med detaljerad anvisning hur granskningen ska genomföras och hur granskningsresultaten ska dokumenteras.

Syfte med granskningen:

Syftet med granskningen är dels att undersöka förekomsten av rutiner för att lägga upp och uppdatera kontaktuppgifter i Malmö stads intranät, dels undersöka förekomst och omfattning av eventuella brister.

Upptäckta brister i kontaktuppgifter ska åtgärdas direkt. Med granskningsresultatet som grund bedömer respektive nämnd om det finns behov av att upprätta eller förbättra befintliga rutiner för att ajourhålla kontaktuppgifterna.

Omfattning/avgränsning:

Granskningen gäller samtliga nämnder, men inte bolagen.

Granskningsmetod:

Granskning av kontaktuppgifter genom kontroll i Komin och CMG Office Web huruvida uppgifter finns och är korrekta samt förekomst av rutin som säkerställer att kontaktuppgifter läggs upp, ändras och tas bort när förändringar sker.

Resultat

Granskningsresultat

Granskningen av kontaktuppgifter inom kulturnämndens verksamheter genomfördes i oktober och urvalet omfattade fem arbetsplatser på kulturförvaltningen med totalt 53 medarbetare. I granskningen kontrollerades om det fanns kontaktuppgifter och om dessa var korrekta på intranätet Komin och i telefonisystemet CMG Office Web. I granskningen ingick även att undersöka befintliga rutiner för att hålla kontaktuppgifterna uppdaterade i systemen.

Komin

Granskningen av Malmö stads intranät Komin visade att en av de fem arbetsplatser som ska granskas varken finns i CMG eller på Komin. På övrig fyra arbetsplatser finns dock alla medarbetare med och har en egen profil (Min profil) på Komin tillsammans med sin titel och e-postadress. Detta hämtas

automatiskt från HR-systemet.

Antal brister på Komin (kontaktuppgiften saknades, var felaktig eller inaktuell) av totalt 53 granskade personer

Namn Titel Besöksadres

s Fast telefon Mobiltelefon E-postadress Arbetsuppgifte r

0 13 39 0 1 0 20

CMG Office Web

CMG Office Web är Malmö stads telefonisystem och ska innehålla kontaktuppgifter till alla anställda som har en telefon. Granskningen av systemet visade att en av de fem arbetsplatser som ska granskas varken finns i CMG eller på Komin.

Antal brister i CMG Office Web (kontaktuppgiften saknades, var felaktig eller inaktuell) av totalt 53 granskade personer

Namn Titel Besöksadres

s Fast telefon Mobiltelefon E-postadress Sökord

0 0 54 0 2 18 27

Granskning av rutiner

När det gäller kontaktuppgifterna på Komin så genereras en profil och namn, titel och e‑postadress hämtas automatiskt från HR-systemet. För KomIn finns en rutin på förvaltningen att ansvarig chef vid nyanställning informerar om intranätet och att man ska uppdatera sina kontaktuppgifter. Förvaltningen har dock inga rutiner för hur befintliga medarbetare ska uppdatera och korrigera sina uppgifter. Det görs dock regelbundna påminnelser genom nyheter på Komin om vikten av att varje medarbetare ser till att uppgifterna i kontaktboken är korrekta. Resultatet av granskningen visar dock att dessa insatser inte är tillräckliga.

Vad gäller CMG Office Web finns i dagslägen inga tydliga rutiner för kontroll av kontaktuppgifter i systemet.

Finns rutin/riktlinje för uppdatering av

kontaktuppgifter? Ja Nej

Komin X

CMG Office Web X

Slutsatser och åtgärd

nyanställda och tydliggöra information om hur kontaktuppgifter ska uppdateras vid exempelvis byte av tjänst inom förvaltningen samt i samband med omorganisation. Denna revidering av rutinen kommer att ske under 2019 och kommer eventuellt då att även innehålla en hänvisning för medarbetaren att även uppdatera kontaktuppgifter i CMG Office Web. För att säkerställa att den uppdaterade rutinen följs bör det ingå en aktivitet i rutinen att ansvarig chef säkerställt att medarbetarens kontaktuppgifter är

uppdaterade och korrekta.

Risk:

Brister i hantering personuppgiftsbehandlingar

Risk för felaktig hantering av personuppgifter på grund av bristande rutiner eller bristande kunskap bland förvaltningens medarbetare, vilket kan leda till skadestånd och skadat förtroende.

Granskning:

Bedömning av rutiner och stickprovsgranskning Områden och tillhörande rutiner som ska granskas:

Rutiner i samband med att personuppifter behandlas inom nämndens verksamheter.

Syfte med granskningen:

Syftet med granskningen är att följa upp hur väl förvaltningen anpassat rutiner efter den nya lagstiftningen i dataskyddsförordningen.

Omfattning/avgränsning:

Samtliga verksamheter omfattas av granskningen.

Granskningsmetod:

Granskningen kommer att ske genom att ansvarig chef samt samordnare för GDPR-frågor får beskriva hur verksamheten säkerställer att man behandlar personuppgifter enligt lagkrav. Vidare kommer stickprov granskas utifrån den dokumentation som upprättats i samband med inventering av

personuppgiftsbehandlingar som sker under våren 2018.

Resultat

Hur säkerställs att personuppgifter behandlas enligt lagkrav

Kulturförvaltningen har sedan december 2017 deltagit i det kommunövergripande program som tagits fram för implementering och efterlevnad av EU:s nya dataskyddsförordning (GDPR). När förordningen trädde i kraft den 25 maj 2018 hade kulturförvaltningen implementerat av Malmö stad beslutade åtgärder i linje med förordningen och hade också en plan för det fortsatta arbetet.

Kulturförvaltningen har bland annat utsett en arbetsgrupp som har regelbundna träffar. Gruppen består av representanter från staben och institutionerna, som i sin tur samordnar arbetet vidare ut i förvaltningen.

Förvaltningen har granskat och kartlagt vilka personuppgifter förvaltningen behandlar, och hur. Dessa har sammanställts i en omfattande registerförteckning. I samband med behandlingskartläggningen har också potentiella risker sammanställts och utvärderats och resulterat i en såväl långsiktig som kortsiktig

åtgärdsplan. Förvaltningen har vidare tecknat personuppgiftsbiträdesavtal (PUBA) med flera biträden och påbörjat avtal med övriga. Kulturnämnden har också utsett dataskyddssamordnare samt reviderat

delegationsordningen.

Granskning utifrån inventering av personuppgiftsbehandlingar

Kulturförvaltningen har utifrån angiven granskningsmetod kontrollerat att det till varje behandling av personuppgifter finns en laglig grund. Kulturförvaltningen har vidare kontrollerat att varje behandling har

ett angivet syfte. Resultatet är positivt och det finns såväl laglig grund som ett angivet syfte i alla de behandlingar som granskats.

Risk:

Bristfällig hantering av allmänna handlingar

Risk för bristfällande hantering av allmänna handlingar på grund av bristande efterlevnad av rutiner, vilket kan leda till brott mot lagstiftning.

Granskning:

Mognadsbedömning av rutiner

Områden och tillhörande rutiner som ska granskas:

Rutiner för hantering av allmänna handlingar ska granskas.

Syfte med granskningen:

Syftet med granskningen är att utvärdera hur ändamålsenliga och kommunicerade rutinerna för hantering av allmänna handlingar är inom förvaltningen, för att sedan planera för eventuella åtgärder.

Granskningsmetod:

Genom att använda en mognadsmodell som utgörs av ett antal frågor som respektive verksamhetsansvarig ska ta ställning till ges en indikation på hur väl utarbetade rutiner på området.

Resultat

Inom ramen för utvecklingen av förvaltningens ärendeprocess har respektive institutions- och avdelningschef fått svara på ett antal frågor kopplat till ärendehantering och hantering av allmänna handlingar. Chefernas svar, tillsammans med en mognadsanalys som gjorts med hjälp av ett verktyg som tagits fram av stadskontoret, utgör underlag för denna granskning. Se bilagd mognadsanalys med kommentarer.

Självskattning utifrån kommungemensamma kriterier för utvärdering av intern kontroll

Kommentarer till självskattning

De utvecklingsområden som identifierats i självskattningsmatrisen utgör bland annat bristande kunskap och kännedom om nämndens riktlinjer för intern kontroll. För att utveckla den interna kontrollen i förvaltningen planeras bland annat ett att informationsmaterial ska tas fram som ska användas i samband med introduktion för nya chefer. Ambitionen är även att arbetet med intern kontroll blir en självklar del av förvaltningens styr- och ledningssystem och på så vis naturligt tas upp vid ledningsgruppsmöten och exempelvis vid arbetsplatsträffar. Under året har positiva förflyttningar skett och genom bland annat de workshops som genomförts i verksamheter och institutioners ledningsgrupper som en del i riskanalysen inför intern kontrollarbetet kommande år.