Revisionsrapport 2012
Genomförd på uppdrag av revisorerna Mars 2013
Vellinge kommun
Granskning av intern kontroll
Innehåll
1. Sammanfattning ...2
2. Inledning ...3
2.1. Bakgrund och syfte ...3
2.2. Revisionsfrågor ...3
2.3. Tillvägagångssätt ...3
2.4. Revisionskriterier ...3
3. Kommunstyrelse och nämnder ...4
3.1. Organisation och anvisningar ...4
3.2. Kommunstyrelsen...5
3.3. Utbildningsnämnden ...5
3.4. Omsorgsnämnden ...6
3.5. Nämnden för gemensam medborgarservice ...7
3.6. Miljö- och byggnadsnämnden ...7
4. Analys och bedömning ...8
Bilagor:
Bilaga 1. Källförteckning Bilaga 2. COSO-modellen
1. Sammanfattning
Ernst & Young har på uppdrag av de förtroendevalda revisorerna i Vellinge kommun genomfört en granskning av kommunens interna kontrollarbete som bedrivits huvudsakligen under 2012. Granskningens syfte har varit att belysa hur kommunstyrelsen leder det interna kontrollarbetet i fråga om planer, dokumentation och uppföljning samt granska hur nämnderna utför och följer upp sin interna kontroll.
Vår sammanfattande bedömning är att Vellinge kommun bedriver sitt interna kontrollarbete utifrån en god och tydlig struktur där återrapportering sker skriftligt till respektive nämnd som rapporterar vidare till kommunstyrelsen. Nämnderna tar ansvar för sitt interna kontrollarbete utifrån kommunens internkontrollreglemente och enligt vår bedömning har styrelsens och nämndernas dokumentation av den interna kontrollen utvecklats till att blir mer omfattande och systematisk, vilket skapar förutsättningar för att den interna kontrollen bidrar till verksamhetsutvecklingen. Vidare bedömer vi att kontrollmiljön förbättrats då kommunens internkontrollreglemente nu är beslutat av kommunfullmäktige.
Tidplan för det interna kontrollarbetet finns angiven i kommunens internkontrollreglemente och då det av granskningen framgår att viss försening förekommit måste styrelse och berörda nämnder framöver säkerställa att uttalad tidplan följs.
För att säkerställa att rätt kontroller inkluderas i internkontrollplanerna bör dokumenterade risk- och väsentlighetsanalyser upprättas och ligga till grund för de kontroller som genomförs.
I risk- och väsentlighetsanalyserna bör legala, ekonomiska samt verksamhetsmässiga risker övervägas. Sådana analyser har inte dokumenterats inför 2012 eller 2013. Vi noterar dock att kommunfullmäktige i det nya internkontrollreglementet tydligt uttalat vilka krav som ställs på styrelse och nämnder beträffande upprättandet av dokumenterade risk- och väsentlighetsanalyser. Det är således viktigt att kommunstyrelsen, inom ramarna för sin uppsiktsplikt, säkerställer att den interna kontrollen bedrivs i enlighet med kommunens nya reglemente för intern kontroll.
Vi har utifrån granskningen identifierat följande förbättringsområden:
u Samtliga nämnders interna kontrollplaner bör på ett tydligt sätt kopplas till väl utvecklade och dokumenterade risk- och väsentlighetsanalyser som utgår från verksamhetsmålen och där både legala, ekonomiska och verksamhetsmässiga risker övervägs.
u Kommunstyrelsen måste säkerställa att det nya internkontrollreglementet efterlevs, att uttalad tidplan följs och att dokumenterade risk- och väsentlighetsanalyser upprättas och ligger till grund för de kontroller som genomförs.
2. Inledning
2.1. Bakgrund och syfte
Ernst & Young har av de förtroendevalda revisorerna i Vellinge kommun fått i uppdrag att granska kommunens interna kontroll som bedrivits huvudsakligen under 2012.
Granskningens syfte har varit att belysa hur kommunstyrelsen leder det interna kontrollarbetet i fråga om planer, dokumentation och uppföljning samt granska hur nämnderna utför och följer upp sin interna kontroll.
2.2. Revisionsfrågor
u Hur har kommunstyrelsen organiserat det interna kontrollarbetet?
u Hur bedrivs det interna kontrollarbetet hos olika nämnder/förvaltningar?
u Bygger de interna kontrollplanerna på risk- och väsentlighetsanalyser?
u Hur har det interna kontrollarbetet dokumenterats?
u Hur sker sammanställning och uppföljning?
u Hur sker återrapportering och framförs förslag till förbättringar?
2.3. Tillvägagångssätt
Granskningen har skett genom dokumentstudier av aktuella dokument för styrelsens och nämndernas interna kontrollarbete samt genom intervju med ekonomidirektören. Dessutom har samtliga avdelningschefer ombetts att besvara ett antal frågor rörande den interna kontrollen 2012.
Ekonomidirektören och respektive avdelningschef har beretts tillfälle att faktagranska rapporten.
2.4. Revisionskriterier u Kommunallag (1991:900)
Kommunstyrelsen skall enligt 6 kap. 1 § kommunallagen (KL) leda och samordna förvaltningen av kommunens angelägenheter och ha uppsikt över övriga nämnders verksamhet. Av 6 kap. 2 § KL framgår att styrelsen uppmärksamt ska följa de frågor som kan inverka på kommunens utveckling och ekonomiska ställning. Styrelsen ska också hos fullmäktige, övriga nämnder och andra myndigheter göra de framställningar som behövs. I 4 § samma kapitel finns bestämmelser som anger styrelsens åtaganden att bereda eller yttra sig i ärenden som ska handläggas av fullmäktige. Vidare ska styrelsen verkställa fullmäktiges beslut och i övrigt fullgöra de uppdrag som fullmäktige har lämnat över till styrelsen.
Av 6 kap. 7 § KL framgår att nämnderna var och en inom sitt område ska se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som beslutats av fullmäktige samt de föreskrifter som gäller för verksamheten. Således stadgas att nämnderna har till uppgift att genomföra alla de beslut som fattas i kommunfullmäktige. Nämnderna skall också tillse att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt.
u Interna styrande dokument
Det interna kontrollarbetet utgår även under 2012 från det reglemente som antogs av kommunstyrelsen 2009 samt från kommunens nya reglemente för intern kontroll, antaget av kommunfullmäktige 2012-12-12.
u COSO-modellen
Den internationellt mest vedertagna metoden för att utveckla den interna styrningen och kontrollen är den s.k. COSO-modellen. Denna beskrivs i bilaga 2.
3. Kommunstyrelse och nämnder
3.1. Organisation och anvisningar
Organisationen av det interna kontrollarbetet är densamma som tidigare år, med varje nämnd som ansvarig inom sitt verksamhetsområde och kommunstyrelsen som övergripande ansvarig i kommunen. Den administrativa avdelningen är den sammanhållande parten inom förvaltningsorganisationen, med stöd av Serkon i Vellinge AB. Nämndernas planer och uppföljningar rapporteras till och sammanställs av ekonomidirektören för behandling i kommunstyrelsen.
Trots att den interna kontrollen 2011 visade på en del brister som behövde åtgärdas bedömdes den interna kontrollen i kommunens verksamhet som tillräcklig. I årsredovisningen 2011 påpekades dock att de riskbedömningar som ligger till grund för de interna kontrollplanerna bör genomföras på ett mer systematiskt sätt och att utbildningsinsatser i metodiken för att välja granskningsområden med hjälp av riskanalyser därför borde genomföras under 2012. I den kommunövergripande rapporten för 2012 som vid granskningstillfället ännu inte hanterats av kommunstyrelsen bedöms den interna kontrollen i kommunens verksamhet som tillräcklig.
Kommunfullmäktige beslutade 2012-12-12 om ett nytt reglemente för intern kontroll som trädde ikraft 1 januari 2013. Reglementet har anpassats till den nya organisationen och tilläggen i reglementet poängterar tydligt vikten av en systematisk och väl dokumenterad risk- och väsentlighetsanalys. Vidare finns ett tillägg i form av en ”whistleblower” funktion som innebär att anställda inom Vellinge kommun har en möjlighet att rapportera eventuella oegentligheter som har begåtts av personer inom organisationen, som är väsentliga och kan skada kommunens varumärke. Enligt reglementet ska sådan rapportering ske till kommunens verksamhetscontroller eller till de förtroendevalda revisorerna.
Under 2012 har tjänsten som verksamhetscontroller tillsatts och utbildningsinsatser i internkontroll har tillhandahållits berörda tjänstemän och politiker. Utbildningen tillhandahölls av en extern konsult och fokus uppges ha varit vikten av att ha en väl förankrad och dokumenterad risk – och väsentlighetsanalys.
I det nya reglementet ställs krav på att en systematiskt genomförd och dokumenterad risk- och väsentlighetsanalys ska ligga till grund för respektive internkontrollplan. Eftersom det nya reglementet antogs i december 2012 och utbildningen genomförts först under hösten 2012 uppger ekonomidirektören att dokumentationskravet på nämndernas risk- och väsentlighetsanalyser tidigast kan komma att efterlevas i arbetet med att ta fram 2014 års interna kontrollplaner.
Kommentar: Genom att kommunfullmäktige beslutat om det nya internkontrollreglementet bedömer vi att kommunens kontrollmiljö har förbättrats. Det är också positivt att kommunstyrelsen utvärderar kommunens övergripande system för intern kontroll i enlighet med internkontrollreglementets föreskrifter. Vidare bedömer vi att årets utbildningsinsatser i
kombination med de krav som ställs i det nya reglementet har stärkt förutsättningarna för fortsatt utveckling av kommunens interna kontroll.
3.2. Kommunstyrelsen
3.2.1. Kommunövergripande intern kontrollplan
Kommunstyrelsen fastställer varje år en kommunövergripande plan för intern kontroll. De kommunövergripande kontrollerna genomförs enligt uppgift i regel av Serkon i Vellinge AB.
Kommunstyrelsen beslutade 2012-03-27 om 2012 års interna kontrollplan innehållande följande två kommunövergripande granskningsprojekt; utbildningsinsatser i riskanalys för att kunna göra adekvata riskbedömningar inför arbetet med internkontrollplanerna 2013 samt kvalitetsprojekt inom förskoleverksamheten där resultatet ska relateras till ekonomi, kvalitet och prestationer samt till resultatet i liknande/närliggande kommuner. I planen ingick även följande två granskningsprojekt, specifika för kommunstyrelsens verksamhetsområde;
genomgång av att kommunens externa redovisning sker enligt gällande regelverk samt genomgång av inrapporteringsrutiner till statistiska centralbyrån avseende LSS- statistik.
Uppföljningen innehåller metodbeskrivning och resultatredogörelse för samtliga beslutade och genomförda kontroller och har vid granskningstillfället återrapporterats till kommunstyrelsen. Inför 2013 har valet av kontrollpunkter genomförts av kommunens ledningsgrupp och Serkon Vellinge AB uppges ha har biträtt i processen. I intervjun uppges att arbetssättet har utvecklats till att valda kontroller i allt större utsträckning kopplas till verksamhetens mål.
3.2.2. Intern kontrollplan för plan-, mark-, och exploateringsverksamhet
Kommunstyrelsen beslutade 2012-03-27 om en intern kontrollplan för 2012 innehållande följande två kontroller: kontroll av kvaliteten i rutinerna för handläggning av planärenden samt kvalitetskontroll av avtal inom balansräkningsenheten Mark och Exploatering. Vi noterar att den interna kontrollplanen 2012 innehåller kontroller som faller under miljö- och byggnämndens ansvarsområde men att det tydligt framgår vilka kontroller som ska avrapporteras till kommunstyrelsen respektive miljö- och byggnämnden. I planen framgår även tydligt vem som ansvarar för att kontrollerna genomförs samt att nämndssekreteraren ansvarar för att initiera granskningen samt begära in redovisning och sammanställa denna till berörd nämnd. Av granskningen framgår att samtliga kontroller har genomförts och dokumenterats. Dock har återrapportering till kommunstyrelsen inte ännu skett vid granskningstillfället.
Kommentarer: Metod och resultat för respektive kontroll i den kommunövergripande interna kontrollplanen finns tydligt dokumenterat vilket möjliggör för kommunstyrelsen att bedöma den interna kontrollen. Eftersom ingen av nämnderna tidigare grundat sitt interna kontrollarbete på dokumenterade risk- och väsentlighetsanalyser samt att behovet av utbildning i intern kontroll konstaterats av både kommunfullmäktige och kommunens revisorer är det mycket positivt att utbildningsinsats genomförts. Vi noterar att det finns angett en konsekvens- och sannolikhetsbedömning för de utvalda kontrollområdena i den interna kontrollplanen 2013.
3.3. Utbildningsnämnden
I den interna kontrollplanen 2012 ingår följande fem kontrollpunkter: uppföljning av verksamhetens arbete med den pedagogiska planen, uppföljning av elevhälsans tillgänglighet och kvalitet, uppföljning av drogförebyggande samtal som ska erbjudas
samtliga elever i årskurs 6, uppföljning av verksamhetens arbete med värdegrundfrågor, uppföljning av handlingsplan för grundläggande IKT- kunskaper.1
Under 2012 har fyra av fem kontroller genomförts. Återrapporteringen av kontrollen gällande IKT blev återremitterad från utbildningsnämndens arbetsutskott och uppföljningen ska hanteras på nytt av nämnden vid deras möte mars. Den interna kontrollplanen för 2013 beslutades av utbildningsnämnden 2012-11-19. Vi noterar att det i planen anges riskeffekter för varje utvald kontroll, dock finns ingen dokumenterad konsekvens- och sannolikhetsbedömning.
För de genomförda kontrollerna finns dokumenterade redogörelser för kontrollmetod och resultat. Då valda kontroller är av en beskrivande och informationsinhämtande karaktär identifieras inga konkreta avvikelser och således presenteras inga föranledda åtgärder.
Beträffande kontrollen av elevhälsan som inte genomförts under 2012 har utbildningsnämndens arbetsutskott föreslagit till utbildningsnämnden att besluta att uppdra åt utbildningsavdelningen att verkställa kontrollen 2013.
Kommentar: Vi kan konstatera att nämndens dokumentation är omfattande och systematisk, vilket ger god grund för att använda den som underlag i verksamhetsutvecklingen. Därtill noterar vi att nämndens interna kontroll är inriktad på kärnprocesser. Samtliga kontroller har inte genomförts under 2012 och vi bedömer att det finns utvecklingspotential när det gäller att bedöma den information som framkommer i kontrollen och ange huruvida resultatet föranleder några åtgärder/insatser.
3.4. Omsorgsnämnden
Omsorgsnämnden beslutade 2011-11-16 om intern kontrollplane för 2012 innehållande fyra kontroller inom området vård och omsorg och tre kontroller inom området individ och familj.
Kontrollerna var enligt följande: kontroll av att det finns en tydlig beställning från beställare/biståndshandläggare till leverantören, att det finns genomförandeplaner som upprättats i samråd med biståndstagaren utifrån beviljat bistånd, kontroll av att genomförandeplanen fungerar som uppföljningsunderlag för beställare/biståndshandläggare, att dokumentationen av händelser av betydelse följer gällande lagstiftning enligt SoL, att journalanteckningar förs löpande och skrivskyddas i enlighet med lagstiftning, kontroll av att färdiga utredningar är skrivskyddade/låsta i enlighet med lagstiftning samt kontroll av att förhandsbedömningar i barn- och ungdomsärenden görs skyndsamt.
Under 2012 har omsorgsnämnden i enlighet med tidigare beslut fått en lägesrapportering avseende den interna kontrollen. Samtliga kontroller har genomförts och i avrapporteringen framgår metod och resultat för kontrollen samt vilka åtgärder kontrollen föranlett.
I arbetet med att ta fram intern kontrollplan för 2013 deltog enligt uppgift avdelningschef, enhetschef, utvecklingssekreterare från avdelningen individuellt myndighetsutövning samt motsvarande kompetenser från avdelningen vård och omsorg. Ordförande för omsorgsnämnden deltog enligt uppgift även i arbetet och fokus uppgett ha varit att välja kontroller med koppling till målen i styrkortet. I planen anges en konsekvens- och sannolikhetsbedömning för respektive kontroll.
Kommentar: Vi kan konstatera att nämndens dokumentation av den interna kontrollen är omfattande och systematisk, vilket ger god grund för att använda den som underlag i verksamhetsutvecklingen. Därtill noterar vi att nämndens IK-arbete är inriktat på kärnprocesser samt att det i den interna kontrollplanen för 2013 finns angett en konsekvens- och sannolikhetsbedömning för de utvalda kontrollområdena.
1 IKT står för informations - och kommunikationsteknik
3.5. Nämnden för gemensam medborgarservice
Nämnden för gemensam service beslutade 2012-04-24 om en intern kontrollplane för 2012 innehållande följande tre kontroller: kontroll av att gällande säkerhetsrutiner och regelverk följs inom fritidsverksamheten, uppföljning av vilka rutiner som finns för inköp av konst inom kulturområdet samt genomgång av och eventuellt framtagande av rutiner för garanti - /besiktningar och garantitider. Därtill anges i planen att verksamheten och ekonomin löpande följs upp och redovisas till nämnden och kommunstyrelsen i tertialuppföljning, delårsrapport och bokslut. Förslaget till intern kontrollplane 2012 har enligt uppgift tagits fram av verksamhetschefer i samråd med enhetschefer, Serkon i Vellinge AB samt nämndens ordförande.
Samtliga kontroller har genomförts och resultatet av kontrollerna har dokumenterats och redovisats för nämnden.
Enligt uppgift har processen för att ta fram den interna kontrollplanen för 2013 utvecklats till att i allt större utsträckning utgå från verksamhetens huvud – och delprocesser samt riskområden. Respektive verksamhetschef fick i uppdrag att konkretisera formuleringar samt göra en risk och väsentlighetsbedömning. Därefter har avdelningschef tillsammans med respektive verksamhetschef analyserat och diskuterat de framtagna områdena och därefter sammanställt en gemensam internkontrollplan innehållande en konsekvens- och sannolikhetsbedömning för de utvalda kontrollområdena.
Kommentar: Kontrollmetod och resultat har dokumenterats och rapporterats skriftligen till nämnden, vilket är en förbättring sedan tidigare år. Vi kan konstatera att dokumentationen är omfattande och systematisk, vilket ger god grund för att använda den som underlag i verksamhetsutvecklingen. Dessutom noterar vi att det finns angett en konsekvens- och sannolikhetsbedömning för de utvalda kontrollområdena i den interna kontrollplanen för 2013.
3.6. Miljö- och byggnadsnämnden
Den interna kontrollplanen 2012, beslutad 2012-02-02, innehåller 9 kontrollpunkter, varav följande sju finns under miljö- och byggnämndens ansvarsområde: kontroll av kvaliteten i rutinerna för bygglovsärenden, kontroll av att debitering av bygglovs- och planavgifter sker enligt taxa, handläggningstider för bygglov, kontroll av uppföljningen av beslut enligt livsmedelslagen, kontroll av beslutskvaliteten enligt miljöbalken, handläggningstider för bostadsanpassningsärenden samt handläggningstid för nybyggnadskartor. Övriga två kontroller faller under kommunstyrelsens ansvar och hanteras således i stycke 3.2.2.
I den interna kontrollplanen specificeras kontrollmetod och vem som är ansvarig för kontrollen. Kontrollernas resultat rapporteras enligt fastställd mall, vilken undertecknas av kontrollansvarig och avdelningschef. Förslag på åtgärder till följd av påfunna brister lämnas. I uppföljningen av den interna kontrollen 2012 anges att inga väsentliga risker identifierats inom ramen för det interna kontrollarbetet men att vissa rutiner kommer att uppdaterats.
Kontrollmomenten i nämndens interna kontrollplan 2013 är med undantag för ett moment 2013 de samma som kontrollerna 2010, 2011 och 2012. En konsekvens och sannolikhetsbedömning framgår i den interna kontrollplanen för 2013.
Kommentar: Dokumentationen av den interna kontrollen är omfattande och systematiskt och i den interna kontrollplanen för 2013 finns det för varje kontroll en konsekvens- och sannolikhetsbedömning. Vi noterar att nämnden i 2010, 2011 och 2012 års uppföljning rapporterar att inga väsentliga risker identifierats. Det interna kontrollarbetet bör syfta till att minska verksamhetens risker och eftersom samma kontroller genomförts under ett antal år utan att uppvisa några väsentliga risker/avvikelser är det enligt vår bedömning av vikt att
nämnden riktar in arbetet på verksamhetsområden där risken bedöms som högre relativt andra områden.
4. Analys och bedömning
Vi bedömer att Vellinge kommun bedriver sin interna kontroll utifrån en god och tydlig struktur där återrapportering sker skriftligt till respektive nämnd som rapporterar vidare till kommunstyrelsen. Vi kan konstatera att nämnderna arbetat utifrån fastställda interna kontrollplaner för 2012 och med undantag för en kontroll i utbildningsnämndens interna kontrollplan så har samtliga kontroller genomförts. Utbildningsnämnden har dock beslutat att kontrollen ska genomföras 2013. Vi noterar även att överförmyndarens verksamhet inte finns med i kommunens interna kontroll.
Enligt vår bedömning har styrelsens och nämndernas dokumentation av den interna kontrollen utvecklats till att blir mer omfattande och systematisk vilket skapar förutsättningar för att det interna kontrollarbetet bidrar till verksamhetsutvecklingen. Vidare bedömer vi att kontrollmiljön förbättrats då kommunens internkontrollreglemente nu är beslutat av kommunfullmäktige.
I tabellen nedan finns en sammanställning av styrelsens och nämndernas interna kontrollarbete.
Teckenförklaring till tabell ovan: √ = föreligger, (√) = förslag ej antaget i nämnden, √* Samlad rapport för kommunens IK hanteras av kommunstyrelsen i slutet av mars.
Utifrån tabellen kan vi konstatera att den samlade rapporteringen av kommunens interna kontroll ännu inte rapporterats till kommunstyrelsen. Anledningen är att viss rapportering försenats. Tidplan för det interna kontrollarbetet finns angivet i kommunens internkontrollreglemente och styrelse och nämnder måste framöver säkerställa att uttalad tidplan följs.
För att säkerställa att rätt kontroller inkluderas i de interna kontrollplanerna bör dokumenterade risk- och väsentlighetsanalyser upprättas och ligga till grund för de kontroller som genomförs. I risk- och väsentlighetsanalyserna bör legala, ekonomiska samt verksamhetsmässiga risker övervägas. Sådana analyser har inte dokumenterats inför 2012 och det är därför mycket positivt att utbildning i intern kontroll har tillhandahållits berörda tjänstemän och politiker. Av tabellen ovan framgår att dokumenterade risk – och väsentlighetsanalyser saknas inför 2013 men enligt ekonomidirektören bör kravet på sådana analyser kunna efterlevas inför beslut om 2014 års interna kontrollplaner. Vi noterar dock att det i samtliga antagna interna kontrollplaner för 2013 ingår en dokumenterad konsekvens- och sannolikhetsbedömning för de utvalda kontrollområdena alternativt en dokumentation av riskeffekterna för kontrollområdet.
Genom att det i kommunens nya internkontrollreglemente ställs krav på att respektive nämnd ska upprätta en dokumenterad risk- och väsentlighetsanalys bedömer vi att förutsättningarna för en effektiv intern kontroll har förbättrats. Kommunfullmäktige har tydligt uttalat vilka krav som ställs på den interna kontrollen i kommunen och det är viktigt att kommunstyrelsen, inom ramarna för sin uppsiktsplikt, säkerställer att det interna kontrollarbetet bedrivs i enlighet med kommunens nya reglemente för intern kontroll.
Dokumenterad risk- och
väsentlighetsanalys 2012 IK-plan 2012 Rapport till egen styrelse/nämnd för IK 2012
Dokumenterad risk- och
väsentlighetsanalys 2013 IK-plan 2013
Kommunstyrelsen saknas √ (√)* saknas (√)
Utbildningsnämnden saknas √ (√) saknas √
Omsorgsnämnden saknas √ √ saknas √
Nämnden för gemensam medborgarservice saknas √ √ saknas √
Miljö- och byggnadsnämnden saknas √ √ saknas √
Vi har utifrån granskningen identifierat följande förbättringsområden:
u Samtliga nämnders interna kontrollplaner bör på ett tydligt sätt kopplas till väl utvecklade och dokumenterade risk- och väsentlighetsanalyser som utgår från verksamhetsmålen och där både legala, ekonomiska och verksamhetsmässiga risker övervägs.
u Kommunstyrelsen måste säkerställa att det nya internkontrollreglementet efterlevs, att uttalad tidplan följs och att dokumenterade risk- och väsentlighetsanalyser upprättas och ligger till grund för de kontroller som genomförs.
Vellinge, den 7 mars 2013
Sofie Bredberg Ernst & Young
Bilaga 1. Källförteckning
Intervjuade medarbetare:
Åke Grönvall, ekonomidirektör
Svarande på enkätfrågor rörande internkontrollarbetet 2012
Vensel Roskvist, avdelningschef, Individuell myndighetsutövning Charlotte Unosson, avdelningschef, Medborgarservice
Material:
Reglemente för intern kontroll beslutat 2009 Reglemente för intern kontroll beslutat 2012 Planer för intern kontroll 2012
Uppföljning av intern kontroll 2012 Planer för intern kontroll 2013 Årsredovisning 2011
Bilaga 2. COSO-modellen
Den internationellt mest vedertagna metoden för att utveckla den interna styrningen och kontrollen är den s.k. COSO-modellen2. Enligt COSO är intern kontroll definierat som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande kategorier:
• effektivitet och produktivitet i verksamheten
• tillförlitlig finansiell rapportering
• efterlevnad av tillämpliga lagar och regler.
För att förbättra den interna styrningen och kontrollen har fem centrala komponenter identifierats. För dessa redogörs kortfattat nedan. Hur dessa komponenter förhåller sig till varandra framgår av figuren.
Kontrollmiljön
Kontrollmiljön anger tonen i en organisation och påverkar kontrollmedvetenheten hos dess medarbetare. Det är grunden för alla andra komponenter inom intern kontroll och erbjuder ordning och struktur. Faktorer som innefattas av kontrollmiljön är integritet, etiska värden, kompetensen hos medarbetarna i organisationen, ledningens filosofi och ledarstil, det sätt på vilket ledningen fördelar ansvar och befogenheter och organiserar och utvecklar dess medarbetare samt den uppmärksamhet och vägledning som ledningen ger. Verksamhetens målformulering är en del av kontrollmiljön och har betydelse för identifieringen av risker.
Riskvärdering
Varje organisation möter många olika risker av externt och internt ursprung som måste värderas. En förutsättning för riskvärderingen är att etablerade mål finns knutna till olika nivåer som är internt konsistenta. Riskvärderingen är identifieringen och analysen av relevanta risker för att uppnå målen och utgör basen för att bestämma hur riskerna ska hanteras. Eftersom ekonomiska, branschmässiga, regleringsspecifika och verksamhetsmässiga villkor kommer att förändras, behövs mekanismer för att identifiera och hantera de särskilda risker som är förknippade med förändringar. Riskvärderingen bör alltid dokumenteras i syfte att förtydliga systematiken i internkontrollarbetet.
2 The Committee of Sponsoring Organizations of the Treadway Commission
Riskvärdering Kontrollaktivitet Uppföljning och
utvärdering
Kontrollmiljö
Information och kommunikation
Reglemente intern kontroll
Kontrollaktiviteter
Kontrollaktiviteter är de riktlinjer och rutiner som bidrar till att säkerställa att ledningens direktiv genomförs. De bidrar till att säkerställa att nödvändiga åtgärder vidtas för att hantera risker för att organisationens mål inte uppnås. Kontrollaktiviteter äger rum inom hela organisationen, på alla nivåer och i alla funktioner. De innefattar en rad aktiviteter av olika slag såsom godkännanden, attester, verifikationer, avstämningar, genomgångar av verksamhetens resultat, säkrandet av tillgångarna, samt åtskillnad av tjänsteroller och uppgifter.
Information och kommunikation
Relevant information måste identifieras, fångas, och förmedlas i en sådan form och inom en sådan tidsram att de anställda kan utföra sina uppgifter. Informationssystem genererar rapporter som innehåller verksamhetsmässig och finansiell information och uppgifter om regelefterlevnaden som gör det möjligt att driva och styra verksamheten. De anställda måste förstå sin egen roll i det interna styr- och kontrollsystemet samt hur enskilda aktiviteter påverkar andras arbete. De måste ha en kanal för att kommunicera betydelsefull information uppåt.
Uppföljning och utvärdering
Interna styr- och kontrollsystem behöver övervakas, följas upp och utvärderas – en process som bestämmer kvaliteten på systemets resultat över tiden. Det åstadkoms genom löpande övervakningsåtgärder och uppföljningar, separata utvärderingar eller en kombination av dessa. Löpande övervakningsåtgärder och uppföljningar äger rum under verksamhetens gång.
Det finns synergieffekter och kopplingar mellan de nämnda komponenterna, som formar ett sammanhållet system som reagerar dynamiskt på ändrade förutsättningar. Det interna styr- och kontrollsystemet är sammanhållet med organisationens verksamhet och finns till av grundläggande verksamhetsmässiga skäl. Intern styrning och kontroll blir effektivast om kontrollerna är inbyggda i organisationens infrastruktur och ingår som en väsentlig del av organisationen.
