Riskanalys Gymnasie- och vuxenutbildningsnämnden

(1)

Riskanalys 2022

Gymnasie- och vuxenutbildningsnämnden

(2)

Bruttolista ... 3

Verksamhet ... 3

Förtroende ... 7

Ekonomisk/Finansiell ... 8

HR... 10

Kommunikation ... 10

Informationssäkerhet ... 11

Upphandling/Inköp ... 14

Risker som ligger till grund för kommungemensamma granskningar ... 15

Verksamhet ... 15

HR... 15

Informationssäkerhet ... 15

Upphandling/Inköp ... 16

(3)

Här visas alla risker uppdelade utifrån de riskkategorier som används i Malmö stad. Alla riskkategorier visas oavsett om det finns risker kopplade till den eller ej.

Kommungemensamma risker finns under en separat rubrik.

Verksamhet

Risk Sannolikhet Konsekvens Riskvärde Vidare

hantering Till plan Bristfällig efterlevnad

av rutiner i

avstängningsärenden 3. Möjlig 4. Allvarligt 12

Befintliga åtgärder/inbyg

gda kontroller bedöms räcka

Nej

Beskrivning av risk

Risk för bristfällig efterlevnad av författningsstadgade rutiner för elevärenden på grund av otillräckliga/ännu inte implementerade rutiner samt oklar ansvarsfördelning vilket kan leda till att elever inte får sina rättigheter tillgodosedda.

Riskansvarig Nämndkansliet

Bristfällig efterlevnad av rutiner i

klagomålsärenden

3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Bristfällig efterlevnad av rutiner i

kränkningsärenden

3. Möjlig 5. Synnerligen

allvarligt 15

Nej

Beskrivning av risk

Kommentar

Utbildning för rektorer med jurist inplanerad i mars 2022. Mallar och rutiner för dokumentation av kränkningsärenden ses över under 2022.

Risk för obefogad diskrepans mellan betyg på nationella prov och slutbetyg

Nej

(4)

Beskrivning av risk

Risk för obefogad diskrepans mellan betyg på nationella prov och slutbetyg på grund av otillräcklig uppföljning och analys på huvudmannanivå vilket riskerar leda till felaktig/olikvärdig betygssättning.

Riskansvarig

Kvalitet- och utvecklingsavdelningen

Ej likvärdig

bedömning gällande tillämpning av bestämmelse för elevresor

4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för ej likvärdig bedömning av elevers rätt till reseersättning/busskort pga brister i gällande mätverktyg och och tillämpningsbestämmelser vilket kan leda till att elevers rätt till reseersättning/busskort bedöms felaktigt.

Risk för bristfällig avtalsföljsamhet

avtal för utbildning 3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för att avtalsinnehåll inte följs på grund av bristande kännedom vilket kan leda till felaktig betygsregistrering vilket kan leda till skada för elever.

Riskansvarig

Vuxenutbildningsområdet

Risk för att lokaler inte uppfyller

myndighetskrav 3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för att lokaler inte uppfyller myndighetskrav avseende toaletter, ventilation, utrymme och tillgänglighet Riskansvarig

Avdelningen för ekonomi, fysisk miljö och IT

Risk för bristande underlag vid planering av gymnasie- och vuxenutbildningsplat ser

3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för bristande underlag vid planering av gymnasie- och vuxenutbildningsplatser och lokaler vilket kan leda till en för stor/liten kapacitet och ekonomisk/förtroendeskada

Riskansvarig

Risk för bristande

säkerhetsrutiner och 4. Troligt 4. Allvarligt 16 Befintliga

åtgärder/inbyg Nej

(5)

kännedom om säkerhetsrutiner

gda kontroller bedöms räcka Beskrivning av risk

Risk för hot och våld på grund av bristande säkerhetsrutiner/bristande kännedom om rutiner, kunskap, beredskap samt införande av krisapp vilket kan leda till skada för person och egendom.

Riskansvarig

Kommentar

Beslut om att upphandlad krisapp ska användas i alla förvaltningens verksamheter kommer att fattas under våren 2022. En handlingsplan kommer att tas fram där användandet av krisapp är en integral del. Säkerhetssamordnare erbjuder utbildning och följer upp i verksamheterna under 2022.

Antagning på inkorrekta

betyg/undanhållande av betyg

Nej

Beskrivning av risk

Risk för antagning på inkorrekta betyg eller undanhållande av betyg vilket kan leda till utträngning av behöriga sökande

Riskansvarig Antagningsenheten

Brister i system 4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för felaktiga underlag i analyser på grund av brister i administrativa system, vilket kan leda till att beslut fattas på fel grunder och att elever och verksamheter påverkas negativt.

Riskansvarig

Kvalitet- och utvecklingsavelningen

Risk för felaktigt underlag i

elevadministrativa systemet på grund av bristande indata

4. Troligt 2. Kännbart 8

Nej

Beskrivning av risk

Risk för felaktigt underlag i elevadministrativa systemet Extens på grund brister vid inmatning av data, vilket ger konsekvenser på kvaliteten på utdata och möjligheter till adekvata analyser.

Riskansvarig

APL för

gymnasieskola och gymnasiesärskola

Nej

Beskrivning av risk

Risk för att eleverna inte får sina APL- 22 veckor på grund av att det finns för få platser, vilket kan leda till att eleverna

(6)

inte får en komplett utbildning.

Riskansvarig

Gymnasieutbildningsområdet

Frånvarorapportering 3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för felaktig frånvarorapportering på grund av bristfällig uppföljning vilket kan leda till felaktig utbetalning av CSN och återbetalningskrav för elever.

Riskansvarig

Brist på VFU-platser 4. Troligt 2. Kännbart 8

Nej

Beskrivning av risk

Risk för brist på VFU-platser vilket kan skapa svårigheter att placera studenten hos handledare med rätt ämneskompetens.

Riskansvarig

Risk för felaktig

bedömning SVA 3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för felaktig bedömning vid beslut om elev ska läsa svenska (SVE) eller svenska som andraspråk (SVA) samt brist på omprövning för elever som läser SVA vilket kan leda till att elever som inte har behov av att läsa SVA ändå läser SVA.

Riskansvarig

Risk för otillräckligt antal platser i stadens

gymnasieskolor 3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för otillräckligt antal platser i stadens gymnasieskolor för att tillgodose elevers gymnasieval på grund av felaktig dimensionering eller försenade utökningar av antalet platser (ex. vid nybyggnad av skola).

Riskansvarig

Risk för att utbildningsutbud inte möter behov

Nej

Beskrivning av risk

Risk för att utbildningsutbudet inte möter såväl individ som samhällets behov på grund av felaktig dimensioner eller

(7)

felaktig bedömning av behov.

Riskansvarig

Förtroende

hantering Till plan Inkommen e-post till

funktionsbrevlådor besvaras inte skyndsamt

Nej

Beskrivning av risk

Risk för att e-post inkommen till funktionsbrevlådor inte besvaras skyndsamt på grund av tidsbrist eller otydlighet i ansvarsförhållanden, vilket kan leda till att förvaltningen inte uppfyller serviceskyldigheten i förvaltningslagen.

Risk för otillåten påverkan

Beskrivning av risk

Det finns en risk för bristande beredskap och förmåga att hantera försök till otillåten påverkan på grund av

omedvetenhet och okunskap. Detta kan leda till felaktiga beslut och icke rättssäker handläggning, vilket i sin tur kan medföra exempelvis ekonomisk skada för såväl kommunen som individer och organisationer, negativ påverkan på arbetsmiljön och förtroendeskada.

Riskansvarig HR-avdelningen

Kommentar

Risk tillhörande stadsgemensam granskning 2020.

Bristande diarieföring av allmänna

handlingar

Nej

Beskrivning av risk

Risk för att allmänna handlingar inte diarieförs på grund av tidsbrist eller bristande kännedom om lagstiftning och styrdokument, vilket kan leda till att förvaltningen inte uppfyller tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser. Även risk för bristande uppföljning av avtal.

Inkommande mejl och telefonsamtal

besvaras ej i tid 3. Möjlig 4. Allvarligt 12 Granskning Ja

Beskrivning av risk

Risk för att anställda inte svarar på inkommande mejl och telefonsamtal och därför inte uppfyller serviceskyldigheten i förvaltningslagen.

Riskansvarig

(8)

Nämndkansliet

Ekonomisk/Finansiell

hantering Till plan Risk för bristande

följsamhet mot skattelagstiftning kopplat till förmåner Beskrivning av risk

Risk för bristande följsamhet mot skattelagstiftningen när det handlar om förmåner på grund av bristande kunskaper och dålig följsamhet mot rutiner eller brister i dessa, vilket kan leda till ekonomiska konsekvenser och ifrågasatt förtroende från allmänheten.

Riskansvarig Ekonomiavdelningen

Kommentar

Risk tillhörande stadsgemensam granskning 2020.

Kostnader som inte ingår inom ramen för elevresor eller skolskjuts i gymnasiesärskolan bekostas felaktigt av nämnden

Nej

Beskrivning av risk

Risk för att nämnden ersätter kostnader för resor som går utanför tillämpningsbestämmelser för elevresor respektive tillämpningsbestämmelser för skolskjuts i gymnasiesärskolan på grund av brister i och bristfällig efterlevnad av tillämpningsbestämmelser vilket kan leda till felaktig och olikvärdig behandling av elever

Riskansvarig

Bristande följsamhet

investering/drift 4. Troligt 2. Kännbart 8

Nej

Beskrivning av risk

Risk för felaktiga gränsdragningsbeslut om drift eller investering på grund av brist på fullständig information och även risk för att oklara uppgifter om investeringen avser utökning av verksamheten vilket kan leda till att förvaltningen inte följer gällande regelverk och praxis vad gäller kostnadsföring direkt/aktiveras som anläggningstillgång samt att verksamheten inte får korrekt kompensation för kapitalkostnader.

Riskansvarig

Felaktiga utbetalningar av ersättningar på grund av bristande underlag

3. Möjlig 2. Kännbart 6

Nej

Beskrivning av risk

(9)

Risk för att ekonomisystemet betalar ut felaktiga ersättning på grund av felaktig hantering av registrering i elevsystem eller bristande uppföljning, vilket skulle kunna leda till ekonomiska förluster och förtroendeskada.

Riskansvarig

Risk att fakturor inte blir

sekretessprövade.

5. Nästintill

säkert 4. Allvarligt 20 Granskning Ja

Beskrivning av risk

Risk för att sekretessklassade fakturor ej blir sekretessprövade på grund av okunskap eller oaktsamhet vilket kan leda till att uppgifter som omfattas av sekretess enligt OSL och/eller känsliga personuppgifter enligt GDPR röjs

Riskansvarig

Risk för bristfällig

avtalsföljsamhet 3. Möjlig 2. Kännbart 6

Nej

Beskrivning av risk

Risk för att avtalsinnehåll inte följs på grund av bristande kännedom vilket kan leda till felaktiga betalningar och därigenom ekonomisk skada. Avser hyresavtal och produkter/tjänster/utbildning

Riskansvarig

Inkorrekta

myndighetsbeslut 3. Möjlig 2. Kännbart 6

Nej

Beskrivning av risk

Risk för inkorrekta antagningsbeslut på grund av bristande kännedom om riktlinjer och lagstiftning vilket kan leda till negativa konsekvenser för enskild samt ekonomisk skada för förvaltningen.

Riskansvarig

Stöldbegärlig

egendom 3. Möjlig 4. Allvarligt 12 Granskning Ja

Beskrivning av risk

Risk för förlust av stöldbegärlig egendom på grund av bristande hantering vilket kan leda till ekonomisk skada och förtroendeskada.

Riskansvarig

Avtalstrohet 3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för att inköp inte sker från avtalade leverantörer utan att verksamheten på grund av okunskap eller tidsbrist handlar från företag som Malmö stad inte har avtal med vilket kan leda till skadeståndskrav samt att att inköp sker från leverantörer som inte uppfyller Malmö stads hållbarhetskrav.

(10)

Riskansvarig

HR

hantering Till plan Risk för bristfällig

eller utebliven introduktion för nyanställda

Nej

Beskrivning av risk

Risk för bristfällig eller utebliven introduktion av nyanställda på grund av bristande följsamhet mot rutin och otydlig roll- och ansvarsfördelning vilket leder till sämre förutsättningar för den enskilda medarbetaren och påverkar verksamheten negativt.

Risk för brister i rehabiliteringsproces sen utifrån

arbetsgivarens dokumentationsansv ar

Nej

Beskrivning av risk

Risk för att rehabiliteringsprocessen inte dokumenteras korrekt på grund av bristande kännedom om rutiner vilket kan leda till att arbetsgivarens rehabiliteringsansvar inte fullgörs.

Kommunikation

hantering Till plan Efterlevnad av

tillgänglighetsdirekti vet

4. Troligt 2. Kännbart 8

Nej

Beskrivning av risk

Risk för att förvaltningen publicerar kommunikation som inte följer tillgänglighetsdirektivet på grund av otydlig ansvarsfördelning, bristfällig kunskap eller otillräckliga verktyg vilket kan leda till åtgärd från ansvarig myndighet, negativ publicitet och bristande förståelse hos målgrupper i behov av tillgänglighetsanpassad kommunikation.

Riskansvarig

Avdelningen för kommunikation, medborgarkontakt och antagning

Otillräcklig

internkommunikatio n och

4. Troligt 4. Allvarligt 16 Befintliga

åtgärder/inbyg gda kontroller

Nej

(11)

implementering av fattade beslut och riktlinjer i verksamheten

bedöms räcka

Beskrivning av risk

Risk för att fattade beslut och riktlinjer inte får genomslag i verksamheten eller implementeras pga brister i

internkommunikation och bristande utbildning vilket kan leda till att eleverna inte får sina rättigheter tillgodosedda samt försvåra arbetet för förvaltningens anställda

Riskansvarig

Kommunikationsavdelningen

Kommentar

Översyn av ledningskommunikation och kommunikation i styrkedjan inom förvaltningen pågår. Arbetet med att förbättra information på komin fortlöper.

Bristande efterlevnad av Malmö stads grafiska profil

5. Nästintill

säkert 2. Kännbart 10

Nej

Beskrivning av risk

Risk för otydlighet kring avsändare på grund av att GVFs verksamheter inte följer de riktlinjer kring grafisk profil som gäller för Malmö stad vilket kan leda till bristande förtroende hos allmänheten

Riskansvarig

Kommunikationsavdelningen

Risk för bristande uppdatering av information till medborgare om utbildningar, prövning och annan myndighetsutövning

4. Troligt 4. Allvarligt 16

Nej

Beskrivning av risk

Risk för att uppdatering av information inom vuxenutbildning om kurser, behörighet och kursstart inte genomförs vilket kan leda till bristfälliga studieplaner eller att enskilda individer inte kan starta sin utbildning.

Riskansvarig

Kommentar

Arbete med att se över strategi och arbetssätt för samordning av information i olika kanaler som har kontakt med medborgare pågår.

Informationssäkerhet

hantering Till plan Röjande av sekretess

Beskrivning av risk

Risk för att handlingar som innehåller typiskt sett sekretessbelagd information kommer obehörig till del på grund av

(12)

bristande kunskap i hur den här typen av information ska hanteras, oavsett digitalt format eller pappersform, vilket kan leda till allvarliga konsekvenser för Malmö stad som organisation, andra organisationer eller den enskilde.

Riskansvarig Ekonomiavdelningen

Kommentar

Risk tillhörande stadsgemensam granskning 2020 Undermåligt

brandskydd i förvaltningens arkivlokaler

3. Möjlig 5. Synnerligen

allvarligt 15

Nej

Beskrivning av risk

Risk för förlust av bevarandevärda arkivhandlingar (t.ex. slutbetyg) på grund av undermåligt brandskydd i

förvaltningens arkivlokaler, vilket kan leda till att nämnden inte följer kommunstyrelsens anvisningar samt brott mot arkivlagen och offentlighetsprincipen (på grund av att rätten att ta del av allmänna handlingar inte uppfylls).

Kommentar

Risken var föremål för granskning i internkontrollplan 2020. Arbete pågår hos arkivarie och enheten för fysisk miljö.

Risken kommer att återrapporteras till nämnden under 2022 som en kvarstående åtgärd från tidigare års kontrollplan.

Avsaknad av gallringsfunktion i digitala system

5. Nästintill

säkert 2. Kännbart 10

Nej

Beskrivning av risk

Risk för att dokument bevaras utan laglig grund på grund av att flertalet digitala system saknar gallringsfunktion, vilket kan leda till att vi bryter både mot arkivlagen och dataskyddsförordningen (GDPR).

Bristfälligt upprättande och uppföljning av personuppgiftsbiträd esavtal

Nej

Beskrivning av risk

Risk för att personuppgiftsbiträdesavtal inte upprättas i alla biträdessituationer samt att befinliga avtal inte följs upp på grund av bristande kännedom om lagstiftningen, vilket kan leda till att dataskyddsförordningens bestämmelser inte efterföljs.

Rapportering av personuppgiftsincide

nter 3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för att personuppgiftsincidenter inte rapporteras på grund av bristande instruktioner för vad en incident är och

(13)

hur den ska hanteras vilket kan leda till skada för enskilda samt förtroendeskada.

Brister i registrering av system som används i verksamheten

Nej

Beskrivning av risk

Risk för att systemförteckning inte är uppdaterad med alla de system som används inom förvaltningen på grund av otydlig ansvarsfördelning vilket kan leda till att vi har system i produktion som inte uppfyller kraven på

informationssäkerhet och dataskydd.

Risk för brister vid

systemförvaltning 3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för brister vid systemförvaltning gällande roller/ansvar på grund av otydliga roller/funktionsbeskrivningar vilket kan leda till bristande informationssäkerhet

Riskansvarig

Risk för olaglig insamling och användning av personuppgifter i bilder, filmer, inlägg

Nej

Beskrivning av risk

Risk för att elever som ej givit samtycke syns i bilder, foton, filmer i förvaltningens eller verksamheternas kommunikationskanaler på grund av att samtycke inte inhämtats korrekt vilket kan leda till vite Riskansvarig

Vitlistning 5. Nästintill

säkert 4. Allvarligt 20

Nej

Beskrivning av risk

Risk för att pedagogiska digitala system används utan att vara informationsklassade och har godkända

personuppgiftsbiträdesavtal på grund av avsaknad av vitlistningsprocess vilket kan få negativa konsekvenser för elever och verksamheter.

Riskansvarig

Kommentar

Risken var föremål för granskning i internkontrollplan 2021 och återrapporteras till nämnden i februari 2022. Arbetet fortlöper och kommer att återrapporteras till nämnden under 2022.

(14)

Risk för bristfällig

hantering av datorer 3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för att obehörig får tillgång till information på grund av oförsiktighet/skärmsläckarläge på dator vilket kan leda till skada för sekretess och känsliga uppgifter sprids.

Riskansvarig

Arkivering av sociala

medier 5. Nästintill

säkert 2. Kännbart 10 Direktåtgärder Ja

Beskrivning av risk

Risk för bristande arkivering av innehållet på förvaltningens konton i sociala medier på grund av avsaknad av rutin och bristande kännedom om Malmö stads arkivhandbok vilket kan leda till att urval från sociala medier inte bevaras.

Upphandling/Inköp

hantering Till plan Avsaknad av funktion

för huvudmannens ansvar gällande upphandling av utbildningsverksamh et

4. Troligt 4. Allvarligt 16

Nej

Beskrivning av risk

Risk för bristfälliga eller försenade upphandlingar på grund av avsaknad av ansvarig funktion för samordningen av upphandlingsarbete på huvudmannanivå vilket gör att huvudmannen inte kan säkerställa utbildningsplatser för elever inom vuxenutbildning (i tid).

Riskansvarig

Kommentar

En processbeskrivning kommer att tas fram under 2022 som ska fastställa ansvarsförhållanden i upphandlingsprocessen inom förvaltningen.

(15)

Verksamhet

hantering Till plan

Barnrätt 3. Möjlig 3. Påtagligt 9 Granskning Ja

Beskrivning av risk

Risk för att barnkonventionen inte uppfylls på grund av brist på kompetens och systematik, vilket kan leda till att Malmöborna inte får rätt insats eller service och att barnets rättigheter inte tillgodoses i enlighet med

barnkonventionen.

HR

hantering Till plan

Bisysslor 3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för otillåtna bisysslor på grund av att de inte anmäls, vilket kan leda till jävssituationer, förtroendeskada eller att arbetet inte kan utföras på ett bra sätt

Kommentar

Stadsgemensam granskning 2021

Löneskuld 4. Troligt 3. Påtagligt 12 Granskning Ja

Beskrivning av risk

Risk för att löneskuld uppstår på grund av okunskap och bristande följsamhet av anställning- och lön processen vid registrering av semester, vård av barn, sjukfrånvaro och annan frånvaro, vilket kan leda till att felaktig lön utbetalas och att extra kostnader uppstår.

Informationssäkerhet

hantering Till plan Bristande

serviceskyldighet 4. Troligt 4. Allvarligt 16 Granskning Ja

Beskrivning av risk

Risk för att kommunen inte klarar att leva upp till serviceskyldigheten i förvaltningslagen på grund av felaktig hantering av sociala medier, vilket kan leda till att medborgare inte får den service de förväntar sig och har rätt till, sekretessbelagd information röjs eller medborgare blir kränkta etc.

Riskansvarig

Avdelningen för kommunikation, medborgarkontakt och antagning

(16)

Felaktig tillgång till information och lokaler

Nej

Beskrivning av risk

Risk för att hanteringen av behörigheter till system (IT-system, filer på G eller Sharepoint, nycklar + taggar) inte fungerar på grund av att rutiner för behörigheter inte följs vilket kan leda till att personer som slutat/bytt tjänst har tillgång till uppgifter, sekretess, lokaler som de inte ska ha.

Kommentar

Upphandling/Inköp

hantering Till plan

Risk för handel

utanför avtal 4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för köp av upphandlade varor och tjänster utanför avtal på grund av okunskap, t.ex. om byte av leverantör, vilket kan leda till ekonomiska konsekvenser och förtroendeskada.

Kommentar