Granskning av intern kontroll hos kommunstyrelse, nämnder och bolag

(1)

Granskning av intern kontroll hos kommunstyrelse, nämnder och bolag

Landskrona stad

Malin Odby, certifierad kommunal revisor Emma Ekstén, revisionskonsult

(2)

Innehållsförteckning

Inledning 4

1.1. Bakgrund 4

1.2. Syfte och revisionsfrågor 4

1.3. Revisionskriterier 4

1.4. Avgränsning 5

1.5. Metod 5

Styrdokument 6

2.1. Reglemente Intern kontroll och Riktlinjer Intern kontroll 6

Iakttagelser och bedömningar 7

3.1. Föreligger det en dokumenterad risk och väsentlighetsanalys? 7

3.1.1. Iakttagelser 7

3.1.2. Bedömning 9

3.2. Har det upprättats en intern kontrollplan? 9

3.2.2. Bedömning 14

3.3. Rapportering sker 15

3.4. Åtgärder vidtas utifrån rapporterade brister 16

Revisionell bedömning 18

4.1. Rekommendationer 19

(3)

Sammanfattning

Efter genomgång av granskningens samtliga revisionsfrågor gör vi den revisionella be- dömningen att kommunstyrelsen, styrelsen för Landskrona Energi AB, samtliga nämnder och överförmyndaren i allt väsentligt säkerställer en tillräcklig styrning, uppföljning och kontroll avseende arbetet med intern kontroll.

Vidare gör vi den revisionella bedömningen att styrelsen i AB Landskronahem inte helt säkerställer en tillräcklig styrning, uppföljning och kontroll avseende arbetet med intern kontroll. Detta grundar sig på att riskanalysen och interna kontrollplanen kan utvecklas med information kring hur riskerna ska hanteras/ genomföras, vem som är ansvarig för risken samt hur uppföljning av kontrollen skall ske. Vidare behöver arbetet med intern kontroll systematiseras ytterligare och förslagsvis innehålla årliga revideringar av riskanalysen samt uppföljningar kontrollmomenten.

Vi noterar även att bolagen i dagsläget inte rapporterar resultatet av sitt arbete med intern kontroll till kommunstyrelsen och ser det som positivt att de kommunala bolagen framåt kommer att inkluderas i reglementet för intern kontroll. Detta skapar enligt vår bedömning en enhetlig struktur för arbetet med intern kontroll inom koncernen och kan verka som stöd i kommunstyrelsens uppsiktsplikt. I syfte att skapa en enhetlig process och rapportering för intern kontroll ser vi det som fördelaktigt om även valnämndens arbete med intern kontroll samt krisledningsnämndens risk- och sårbarhetsanalys kan inkluderas i Stratsys.

Nedan följer en tabell med bedömningar för respektive revisionsfråga och nämnd/styrelse:

Dokumenterad risk-

och väsentlighets- analys

Upprättad internkon- trollplan

Rapportering Upprättat åtgärder vid brister Kommunstyrelsen

Individ- och familjenämnden

Kulturnämnden

Miljönämnden

Omsorgsnämnden

Stadsbyggnadsnämnden

(4)

Teknik- och fritidsnämnden

Utbildningsnämnden

Överförmyndaren

AB Landskronahem

Landskrona Energi AB

Rekommendationer

Mot bakgrund av vad som framkommit i rapporten rekommenderar vi att

• nämnderna, kommunstyrelsen och bolagsstyrelserna är än mer delaktiga i processen för framtagande av riskanalysen då de har ansvaret för den interna kontrollen.

• kommunstyrelsen inom ramen för sin uppsiktsplikt utvecklar en samlad bedömning av nämndernas och bolagens interna kontroll i samband med att den interna kontrollen bör avrapporteras i slutet av året. Detta i syfte att säkerställa att nämnderna och bolagens arbete med intern kontroll sker i linje med antaget reglemente.

• det skapas en sammanhållen process för den interna kontrollen i kommunkoncer- nen

• att bolagens arbete med intern kontroll utvecklas i linje med det arbete som sker med intern kontroll i staden

• att, inom ramen för kommunstyrelsens uppsiktsplikt, inkludera ett avsnitt i årsre- dovisningen om intern kontroll där en bedömning görs kring hur den interna kontrollen i koncernen fungerat.

• att rapportera krisledningsnämndens risk- och sårbarhetsanalys i Stratsys.

• att inkludera valnämnden och överförmyndaren i den interna kontrollrapportering- en i Stratsys.

(5)

Inledning

1.1. Bakgrund

Syftet med intern kontroll är att säkerställa att de av fullmäktige fastställda målen uppfylls.

Intern kontroll är därmed ett verktyg av väsentlig betydelse för såväl politiker som förvalt- ningsledning och omfattar alla system och rutiner/processer som syftar till att styra ekonomin och verksamheten.

Kommunstyrelsens har det övergripande ansvaret för intern kontroll. Nämndernas ansvar i arbetet med intern kontroll framgår av Kommunallagen 6 kap 6 §: ”Nämnderna skall, var och en inom sitt område, se till att verksamheten bedrivs i enlighet med de mål och riktlin- jer som fullmäktige bestämt samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt”.

En av revisionens uppgifter enligt kommunallagen 12 kap 1 § är att ”pröva om verksam- heten sköts på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande och om den interna kontrollen som görs inom nämnderna är tillräcklig.” Likaså har lekmannarevisorerna i bolagen till uppgift att pröva om den interna kontrollen i bolagen är tillräcklig. Med begreppet ”tillräcklig” avses en bedömning i förhål- lande till COSO-modellens fem kontrollkomponenter: kontrollmiljö, riskanalys, kontrollakti- viteter, information och kommunikation samt tillsyn.

Revisorerna har i sin analys av väsentlighet och risk identifierat behov att granska om den interna kontrollen är tillräcklig.

1.2. Syfte och revisionsfrågor

Syftet med granskningen är att bedöma om kommunstyrelsen, nämnderna och de kommunala bolagen säkerställer att styrning, uppföljning och kontroll avseende arbetet med intern kontroll är tillräcklig. De revisionsfrågor som ska besvaras i granskningen är:

• Föreligger det en dokumenterad risk och väsentlighetsanalys?

• Har det upprättats en internkontrollplan utifrån risk och väsentlighetsanalysen?

• Sker det en rapportering av genomförda kontroller?

• Vidtas åtgärder utifrån brister i den interna kontrollen?

1.3. Revisionskriterier

Revisionskriterierna för denna granskning har hämtats ur följande:

• Kommunfullmäktiges reglemente för intern kontroll

• Kommunallagen 6 kap 6 §

(6)

1.4. Avgränsning

Revisionsobjektet i granskningen är kommunstyrelsen, samtliga nämnder, överförmynda- ren samt de kommunala bolagen AB Landskronahem och Landskrona Energi AB. Val- nämnden och krisledningsnämnden omfattas inte av granskningen då krisledningsnämn- den är vilande fram tills det att beslut föreligger att nämnden ska träda i funktion och där- med begränsad verksamhet samt att valnämnden har en mindre och begränsad verksamhet. Valnämnden och krisledningsnämnden rapporterar inte in några risker i Stratsys.

Krisledningsnämnden tar dock i samband med ny mandatperiod fram en risk- och sårbar- hetsanalys som grund för kommande handlingsprogram.

1.5. Metod

Granskningen har skett genom analys av dokumenterad riskanalys, internkontrollplan, uppföljningar, åtgärdsplaner samt genomläsning av protokoll. Utöver detta har komplette- rande intervjuer genomförts med:

Stadsledningsförvaltningen:

Verksamhetscontroller/ central samordnare för intern kontroll samt ekonomichef Stadsbyggnadsförvaltningen:

Förvaltningschef samt avdelningschef för ekonomi/ administration Omsorgsförvaltningen:

Controller med ansvar för intern kontroll Teknik- och fritidsförvaltningen:

Controller med ansvar för intern kontroll Kulturförvaltningen:

Förvaltningschef samt chef för Stab- och utvecklingsavdelningen Miljöförvaltningen:

Förvaltningschef

Individ- och familjeförvaltningen:

Svar mailledes från avdelningschef (avdelningen för utveckling) Utbildningsförvaltningen:

Svar mailledes från biträdande förvaltningschef Överförmyndaren:

Svar mailledes från överförmyndarhandläggare Landskrona Energi AB:

Ekonomichef samt forsknings- och utvecklingskoordinator AB Landskronahem:

Ekonomichef

Rapporten har varit föremål för sakgranskning av de intervjuade.

(7)

Styrdokument

2.1. Reglemente Intern kontroll och Riktlinjer Intern kontroll Reglemente för intern kontroll med tillämpningsanvisningar

Inom ramen för granskningen har vi tagit del av Landskrona stads reglemente för intern kontroll vilket är beslutat av kommunfullmäktige 2008-01-28 § 9. I reglementet finns även tillhörande tillämpningsanvisningar.

Syftet med reglementet är att säkerställa att styrelse och nämnder upprätthåller en till- fredställande intern kontroll genom att säkerställa att följande mål uppnås:

• Ändamålsenlig och kostnadseffektiv verksamhet

• Tillförlitlig finansiell rapportering och information om verksamheten

• Efterlevnad av lagar, policys, föreskrifter, riktlinjer mm.

Kommunstyrelsen har enligt reglementet det övergripande ansvaret för att tillgodose att det upprätthålls en god intern kontroll. I ansvaret ligger att upprätta en internkontrollorga- nisation som tillgodoser kommunens kontrollbehov.

Nämnderna har det yttersta ansvaret för den interna kontrollen och dessa har till uppgift att upprätta en organisation för den interna kontrollen, besluta om regler och instruktioner och tillse att dessa följs. Enligt tillämpningsanvisningarna ska det för nämnderna finnas rutiner för tillvägagångssättet för intern kontroll vad gäller planering och rapportering samt att nyanställda ska få en introduktion om vad intern kontroll innebär.

Förvaltningscheferna är enligt reglementet ansvariga för att regler upprättas, att dessa antas av nämnden samt att leda arbetet med intern kontroll. Förvaltningschefen ska också kontinuerligt uppdatera nämnden om den interna kontrollen, vilket enligt tillämp- ningsanvisningarna innebär minst en gång om året. Överträdelser ska omedelbart rapporteras till nämnden.

Reglementet för intern kontroll från år 2008 riktas inte till kommunens bolag. Av bolagens ägardirektiv framgår att bolagen ska bedriva verksamheten i enlighet med av Landskrona stad antagna styrdokument, såsom värdegrund, policys och riktlinjer, i de delar som dessa är tillämpliga på bolagens verksamheter. Det framgår dock av reglementet för intern kontroll (§ 10) att kommunstyrelsen ska informera sig om hur den interna kontrollen fungerar i de kommunala företagen.

Av intervjuer har det framgått att det pågår ett arbete med att se över stadens styrdokument vilket även inkluderat reglementet för intern kontroll. Kommunfullmäktige behandlar 2020-06-17 ett reviderat reglemente för intern kontroll. Enligt tjänsteskrivelsen innehållet revideringen inga större förändringar men en del av revideringen är att reglementet även omfattar de kommunala bolagen.

(8)

Iakttagelser och bedöm- ningar

3.1. Föreligger det en dokumenterad risk och väsentlighetsanalys?

3.1.1. Iakttagelser

Samtliga nämnder ska dokumentera sina riskanalyser i verksamhetssystemet Stratsys.

Utifrån COSO-modellen ska nämnderna lägga in sina risker med tillhörande riskbedöm- ningar. Riskerna värderas efter sannolikhet och konsekvens med högsta värden på 4.

Om riskerna får en total bedömning på mer än 9 (sannolikhet x konsekvens) hamnar risken per automatik i internkontrollplanen. Nämnderna kan också besluta om att ta med andra risker med lägre riskvärden i internkontrollplanen om de anser att så behövs. Årlig- en genomförs en riskanalys över kommungemensamma kontrollområden vilka omfattar samtliga nämnder. I Landskrona stad finns det en grupp med internkontrollansvariga från respektive förvaltning som leds av en samordnare från stadsledningsförvaltningen. Inom gruppen diskuteras även de kommunövergripande risker och riskbedömningar görs.

Årligen samlar kommunstyrelsen in nämndernas bruttolistor av risker och deras internkontrollplaner. Kommunstyrelsen beslutade 2020-01-09 § 21 att godkänna sammanställning- en av nämndernas risker och vad som ska kontrolleras under år 2020.

Ovan förfarande gäller inte för de kommunala bolagen.

Samtliga framgår en beskrivning av processen för framtagandet av respektive styrelse/

nämnds riskanalys.

Kommunstyrelsen

För kommunstyrelsens räkning tar samordnaren fram en bruttolista på risker som gås igenom och värderas i ledningsgruppen. Kommunstyrelsens ledamöter är enligt intervju inte delaktiga i framtagandet av risk- och väsentlighetsanalys. Kommunstyrelsens arbetsutskott och kommunstyrelsen tar del av riskanalysen i samband med att internkontrollplanen beslutas.

I september eller oktober månad varje år diskuteras risker i förvaltningsledningen, både utifrån föregående års interna kontrollpunkter och eventuellt nya risker som uppdagats.

Verksamhetscheferna har före detta tillfälle lyft samma fråga i sina respektive lednings- grupper i syfte att upptäcka nya eventuella risker. Dessa risker sammanställs i en så kal- lad bruttolista. Denna bruttolista presenteras enligt intervju för nämnden i god tid innan själva planen tas upp för beslut i november varje år. Detta för att nämnden senare ska kunna ta ställning till det förslag på punkter som förvaltningen valt ut till granskning.

Kulturnämnden

Inom kulturnämnden genomförs det enligt intervjusvar först en riskanalys på tjänsteman- nanivå genom att ansvarig tjänsteperson för intern kontroll tar fram väsentliga risker. Ris- kerna diskuteras sedan i ledningsgruppen och nämnden får därefter ta del av bruttolistan med förslag på kontrollpunkter och utifrån det väljs vilka risker som ska tas med i internkontrollplanen. Detta är dock inte spårbart i nämndens protokoll annat än när internkontrollplanen antas.

(9)

Miljönämnden

I samband med att riskanalysen genomförs görs en översyn i tjänstemannaorganisation- en av tidigare risker för att se om några förändringar behöver genomföras. Nämnden får ta del av samtliga risker i samband med att de beslutar om internkontrollplanen men får inte möjlighet att påverka den riskbedömning som gjorts. Nämnden beslutar dock i samband med antagande av internkontrollplan 2020 att samtliga risker från föregående år ska behållas i listan.

Omsorgsnämnden

Riskvärderingarna görs av en controller på omsorgsförvaltningen som sedan har en av- stämning med förvaltningens ledningsgrupp och chefsgrupp. Framöver kommer control- lern enligt intervjusvar även att ha sittningar med områdescheferna för att gå igenom risker ute i verksamheterna. Enligt intervjusvar är tanken att nämnden ska vara aktiv och involveras i arbetet, men arbetet sker i dagsläget främst på tjänstemannanivå. Omsorgs- nämnden får ta del av bruttolistan i samband med att beslutet går upp i nämnd. Lednings- gruppen har förutom ovan avstämning av riskvärderingar varit behjälplig med framtagande av tänkbara risker. Arbetet med intern kontroll sker i många fall i andra verktyg än just intern kontroll och även dessa går upp i nämnd avseende bland annat kvalitetskon- troller och systematiskt arbetsmiljöarbete.

Tjänstepersoner på förvaltningen tar fram förslag på riskområden som görs till en bruttolista som presenteras för nämnden. Stadsbyggnadsnämnden får 2019-11-19 § 137 information om bruttolistan med risker för år 2020 och beslutar i enlighet med förvaltningens förslag.

En controller på förvaltningen tar fram en bruttolista med preliminära riskbedömningar.

Därefter gås denna igenom i ledningsgruppen och sedan i nämndens arbetsutskott som har möjlighet att komma med förslag på risker. Verksamheterna inom förvaltningen har också möjlighet att komma med synpunkter på riskerna under arbetsplatsträffar innan den slutliga planen går upp för beslut i nämnden.

Inom förvaltningen tar förvaltningschefen fram en bruttolista på risker som gås igenom och värderas i ledningsgruppen. Nämndens ledamöter är enligt intervju inte delaktiga i framtagandet av risk- och väsentlighetsanalys utan får ta del av denna först i samband med att nämnden beslutar om internkontrollplanen.

Överförmyndaren dokumenterar verksamhetens riskanalys i internkontrollplanen. Över- förmyndaren är involverad i arbetet med framtagande av risker.

AB Landskronahem har en framtagen risk- och väsentlighetsanalys som innehåller 26 olika typer av risker som består av både verksamhetsmässiga och ekonomiska risker.

Riskerna värderas utifrån nivån låg, medium och hög. I erhållen riskanalys är ingen risk bedömd som hög. Uppdatering av riskanalysen sker när exempelvis en ny lagstiftning kommer samt om någon risk identifieras i verksamheten. Riskanalysen är inte behandlad eller beslutad av bolagets styrelse.

(10)

Vid intervju lyfts det fram att bolaget tidigare haft en riskanalys och intern kontrollplan som grundade sig i stadens struktur för intern kontroll. Detta är inget som finns idag och var troligtvis något som följde med från staden vid bolagets bildande.

Idag arbetar bolaget systematiskt med att värdera olika typer av risker i verksamheterna vilket främst genomförs av bolagets internrevisor. Detta är något som krävs för att behålla specifika certifieringar både vad gäller arbetsmiljö och miljö som bolaget erhåller. I bolagets riskdokument identifieras olika risker som bedöms och värderas. Riskanalyserna genomförs i linjeorganisationerna som sedan följs upp i samverkansgrupper. Styrelsen är inte delaktiga i framtagandet av riskanalyserna men får information om dessa under sina sammanträden av bolagets internrevisor.

3.1.2. Bedömning

Vi bedömer att revisionsfrågan är uppfylld för samtliga revisionsobjekt.

Gällande bolagen ser vi att det finns dokumenterade risk- och väsentlighetsanalyser. Vi anser dock att styrelserna som är ytterst ansvariga för den interna kontrollen bör vara delaktiga i framtagandet av risk- och väsentlighetsanalysen. Det är även av vikt att bolagen framöver kommer in i den process som gäller för Landskrona stads interna kontroll så att kommunstyrelsen utifrån sin uppsiktsplikt kan följa den interna kontrollen i bolagsstyrelserna vilket inte skett i dagsläget.

Mot bakgrund av att även nämnderna och kommunstyrelsen är ytterst ansvariga för den interna kontrollen vad gäller deras egna verksamheter, anser vi att det är angeläget att nämnderna och kommunstyrelsen är delaktiga i framtagandet av riskanalysen.

3.2. Har det upprättats en intern kontrollplan?

3.2.1. Iakttagelser

Kommunstyrelsen beslutar årligen om kommungemensamma kontrollområden som ska gälla för samtliga nämnder. För år 2020 innefattar kontrollområdet att alla nämnder ska ta fram dokumenterade ändamålsenliga rutiner för ansökning av bidrag inom nämnden.

Inom ramen för kontrollen ska nämnderna dokumentera verksamheter och funktioner som berörs av bidrag inom nämndens område. Nämnderna ska även följa upp erhållna och förbrukade bidrag samt redogöra för bidrag som går att söka men som inte har sökts där motivering ska framgå. Denna gäller dock inte för bolagen.

Det genomförs även årligen en sammanställd plan av stadsledningskontoret där nämn- dernas kontroller för året framgår vilket följer de internkontrollplaner som beslutats i nämnderna.

Kommunstyrelsen

Kommunstyrelsen antog sin internkontrollplan för år 2020 vid sammanträdet 2019-11-28 § 201. Kommunstyrelsen beslutar om följande två kontrollmoment:

Kontrollmoment Vad

Kontroll av manuella utbetalningar Att inga utbetalningar beslutsattesteras av samma person som utlägget avser.

Att inget otillbörligt beslut har gjorts Granska myndighetsutövare

Beslutade kontrollmoment bygger på de riskområdena med högst risk i bruttolistan med risker. Av internkontrollplanen framgår kontrollmoment och vilken kontroll som ska ge-

(11)

nomföras. I Stratsys finns också information om hur kontrollen ska genomföras, med vilken frekvens eller vem som är ansvarig för kontrollen och uppföljning av densamma.

Nämnden antog sin internkontrollplan för år 2020 vid sammanträdet 2019-11-28 § 134.

Nämnden beslutar om följande 18 kontrollmoment:

Kontroll/risk Vad

Aktivt förlängningsbeslut Stickprovskontroll av överväganden Övervägande sker inte inom rätt tid Systemuppföljning, granskning

Vården bedrivs inte enligt vårdplanen Kontroll av att det finns en genomförandeplan.

Fel i akter Aktgranskning av kvalitetsstrateg tillsammans

med verksamheterna.

Utredningstiden överskrider lagens krav Kontroll av tid från det att utredning öppnas tills dess ett första beslut är taget.

Klienter avslutas ej Kontroll av om ärenden finns kvar i systemet trots att de borde vara avslutade.

Personal utsätts för hot Granskning av anmälningar i avvikelsesystemet Flexite.

Personal utsätts för våld Granskning av anmälningar i avvikelsesystemet Flexite.

Informationshanteringsprocess Granskning av avvikelser.

Intrång i journal Rutinkontroller av loggar i Procapita samt vid särskild misstanke.

GDPR efterlevnad Kontroll av att samtliga på förvaltningen ge- nomgått den obligatoriska utbildningen kring GDPR. Genomgång av avvikelser.

Hur många medarbetare har genomgått utbildning i vårt kvalitetssystem

Kontrollera hur många medarbetare som har genomgått utbildning i vårt kvalitetssystem Hur många medarbetare har kännedom om

och använder kvalitetssystemet

Kontroll av hur många medarbetare som fak- tiskt använder vårt kvalitetssystem

Kontroll av utbildning Kontroll att den årliga utbildningen kring Lex Sarah genomförts.

Kontroll av rutiner för återsökning av statliga schabloner

Det finns idag åtskilliga olika typer av kostnader som kan återsökas, samt ett antal olika schabloner som ska falla ut automatiskt. För att inte missa möjligheter till ersättning måste väl struk- turerade och kända rutiner finnas upprättade.

Processgranskning Granskning av ekonomiprocessen.

Kontroll av delegationsordning Delegationsordningen kontrolleras så att den är uppdaterad, aktuell och korrekt.

Granskning av fattade beslut Stickprovsundersökning av fattade beslut i för- valtningens olika sektioner.

Beslutade kontrollmoment bygger på de riskområden med högst risk i bruttolistan med risker. Av internkontrollplanen framgår kontrollmoment och vilken kontroll som ska ge- nomföras. I Stratsys finns också information om hur kontrollen ska genomföras, med vilken frekvens eller vem som är ansvarig för kontrollen och uppföljning av densamma.

Kulturnämnden

Noterbart är att nämndens kontrollmoment inte framgår i den sammanställda internkontrollplanen som finns för hela kommunen. Nämnden beslutar om följande 4 kontrollmoment:

(12)

Fakturabehandling Vem eller vad kan påverka information om ut- skickade fakturor.

Avstämning av intäkter Kontrollera och jämför flödesschema för intäk- ter i olika system, samt avstämning mellan dessa.

Jämförelse mellan intäkter och kostnader vid uthyrningstillfällen

Kontrollera bokningssystem med ekonomiintäk- ter.

Jämförelse mellan personaluthyrning och personalkostnader

Följer personalkostnaderna uthyrningstillfällen och avtal.

Beslutade kontrollmoment bygger på de riskområdena med högst risk i bruttolistan med risker. Av internkontrollplanen framgår kontrollmoment och vilken kontroll som ska ge- nomföras. I Stratsys finns också information om hur kontrollen ska genomföras, med vilken frekvens eller vem som är ansvarig för kontrollen och uppföljning av densamma.

Miljönämnden

Noterbart är att nämndens kontrollmoment inte framgår i den sammanställda internkontrollplanen som finns för hela kommunen. Nämnden beslutar om följande fyra kontrollmoment:

Kompetensförsörjningsplan Finns det en upprättad kompetensförsörjnings- plan utifrån centrala direktiv från personalav- delningen

Kompetensförsörjningsplan för åren 1-2 framåt

Har ni identifierat ert kompetensbehov för 1 - 2 år framåt.

Kompetensförsörjningsplan för åren 3-5 år framåt

Har ni identifierat ert kompetensbehov för 3 - 5 år framåt.

Kontroll av fakturor Representationsfakturor

Omsorgsnämnden

Nämnden beslutar om följande fem kontrollmoment:

Telefonkontroll Med hjälp av extern organisation/alt tjänstemän inom organisationen ringa in till verksamheten och se hur lång tid det tar att få svar. Upp till 2 arbetsdagar får anses som acceptabelt, om inte besked lämnats på svarare om frånvaro. Om frånvaro meddelats bör kontakt ske inom 2 dagar efter återkomst i tjänst.

Kontroll före utbetalning samt under hösten (aug och okt)

Kontroll av flexsaldon så att medarbetaren tar ut sina extratimmar och att utbetalning ej behö- ver ske vid tre tillfällen under året (feb, aug och okt)

Kontroll av större poster inom de olika verksamheterna

Genom att dra fram de större posterna och göra ett urval skall kontrolleras att poster ham- nat i rätt period.

Kontroll av dokumentation av förenklade upp- Dokumentation, finns det dokumentation avse-

(13)

handlingar. ende på vilka grunder valet gjorts? Var finns den och hur förvaras den?

Kontroll av samtliga ärenden inom Soc FB Kontroll att alla ärenden är korrekt betalda från FK.

Nämnden beslutar om följande två kontrollmoment:

Fakturahantering Integrera fakturasystemet med verksamhetssy-

stemet

Kontroll av skickad faktura Hur kontrollerar vi att faktura blir utförd och skickad (digitalt)

Nämnden beslutar om följande två kontrollmoment:

Kontrollera representationsfakturor Gör stickprov på representationsfakturor. Kon- trollera momsavdrag, bilagor (syfte, deltagare samt agenda) och beslutsattest.

Representationsrutiner Kontrollera att skriftliga rutiner kring represen- tation finns att tillgå.

Avtalade priser Kontrollera genom stickprov på aktuella leverantörer att de upphandlade priserna stämmer överens med priserna som finns i e-handelsmodulen

Behörighet att avropa Granska huruvida de utsedda beställarna har gått de grundläggande utbildningarna som krävs för att vara behörig avropare.

Nämnden beslutar om följande fyra kontrollmoment:

Månadsrapport per ansvarig chef Görs månadsuppföljning på varje ansvarig chef. Dokumenteras månadens resultat och prognos

(14)

Åtgärdsplan vid befarat underskott Vid befarat underskott på enhetsnivå ska en åtgärdsplan tas fram och dokumenteras Principer för fördelning Granska de nedtecknade principer, att de efter-

levs i resursfördelningen

Lika villkor Kontroll att resursfördelningsmodellen tar hän-

syn till lika villkor, att det är rätt belopp som betalas ut till både interna och externa aktörer Beslutade kontrollmoment bygger på de riskområdena med högst risk i bruttolistan med risker. Av internkontrollplanen framgår kontrollmoment och vilken kontroll som ska ge- nomföras. I Stratsys finns också information om hur kontrollen ska genomföras, med vilken frekvens eller vem som är ansvarig för kontrollen och uppföljning av densamma.

År 2020 års internkontrollplan är den första som överförmyndaren tagit fram och fastställ- des av överförmyndaren under hösten år 2019. Överförmyndaren beslutar om följande kontrollmoment:

Kontroll av ställföreträdare i utvalda register

Kontroll om ställföreträdare förekommer i Kro- nofogdens och/eller Rikspolisstyrelsens register. Enligt Föräldrabalken (FB) 11 kap 20§

framgår att ställföreträdare inte får hamna i ekonomiskt obestånd eller av någon annan orsak vara olämpliga för uppdraget.

Arvodesbeslut i godmanskap (FB 11:4) och förvaltarskap (FB 11:7).

Kontroll (A) om rätt ställföreträdare har arvode- rats efter granskning av redovisning. Kontroll (B) om arvode betalas ut för rätt omfattning i uppdraget. Gode män och förvaltare har rätt till ett skäligt arvode för uppdraget och ersättning för de utgifter som har varit skäligen påkallade för uppdragets fullgörande. Beslut om arvode och ersättning för utgifter fattas av överförmyn- daren (FB 12:16). Även SKR:s riktlinjer för ar- vodering (cirkulär 18:7) tjänar som utgångs- punkt för överförmyndarens beslut.

Förteckningar över tillgångar och skulder i godmanskap (FB 11:4) och förvaltarskap (FB 11:7) samt förmyndarskap.

Kontroll av granskning av förteckningar i 20 stycken slumpvis utvalda akter (aktiva eller under avslutande pga t ex myndighetsålder eller byte), fördelade på 10 i vuxenärenden och 10 i förmynderskapsärenden (ej ensamkom- mande barn). Enligt FB 16 kap. 3-4 §§ framgår att överförmyndaren skall granska förmynda- res, gode mäns och förvaltares verksamhet med ledning av de förteckningar, årsräkningar, sluträkningar samt andra handlingar och uppgifter angående förvaltningen som har läm- nats. Ställföreträdarnas inlämnade förteckning- ar är föremål för granskning och ska granskas på ett tillfredsställande sätt. Överförmyndaren skall också göra anteckning om verkställd granskning på granskade förteckningar.

Beslutade kontrollmoment bygger på de riskområdena med högst risk. Överförmyndaren antar inte de kommungemensamma kontrollerna och har en annan utformning på sin internkontrollplan jämfört med övriga nämnder.

(15)

I interkontrollplanen beskrivs utförligt varför det föreligger en risk samt hur granskningen ska ske.

Styrelsen för AB Landskronahem antar inte någon internkontrollplan. Av den framtagna riskanalysen framgår 26 risker som bolaget identifierat. För samtliga risker framgår hantering av risken, det framgår dock inte alltid hur den ska hanteras/genomföras, med vilken frekvens eller vem som är ansvarig för risken och uppföljning av densamma. Nedan följer ett utdrag från bolagets riskanalys.

Risk Förutsättningar Hantering Bedömd risk

Vakanser bostäder Efterfrågan på bostäder är stor i Landskrona. Någon stor risk för vakanser föreligger ej.

Bostäder som blir va- kanta hyrs ut omgående i de flesta fall.

Låg

Vakanser lokaler Den största risken för vakanser är på lokalsidan som utgör en mindre del av bolagets hyresintäkter.

Lokalvakanserna utgör den största delen av totala vakanser. Bolaget arbetar kontinuerligt med att begränsa vakanserna genom att hitta hyres- gäster med stabila verksamheter.

Medium

Kundförluster Historiskt sett så ligger ande- len kundförluster i relation till hyresintäkterna på en låg nivå.

Bolaget har under många år skött inkasso- hanteringen på egen hand vilket har gett ett visst mått av flexibilitet.

Löpande dialog förs med de hyresgäster som av någon anledning har svårt att betala hyran.

Låg

Vakanser bostäder Efterfrågan på bostäder är stor i Landskrona. Någon stor risk för vakanser föreligger ej.

Bostäder som blir va- kanta hyrs ut omgående i de flesta fall.

Låg

Som tidigare nämnts finns det inom bolaget ett antal olika riskanalyser där kontroller ska ske efter de områden som bedöms ha högst risk. Det finns en processkarta som beskriver när en risk ska kontrolleras och hur det ska göras samt hur det ska följas upp. Internrevi- sorn presenterar de risker som ska kontrolleras för styrelsen. Det finns dock ingen samlad internkontrollplan för samtliga av de kontroller som ska genomföras.

Vi bedömer att revisionsfrågan är uppfylld för kommunstyrelsen och samtliga nämnder samt överförmyndaren. Vi grundar vår bedömning på att det finns internkontrollplaner antagna för år 2020 för samtliga nämnder som också bygger på bruttolistorna av risker. Vi noterar dock att överförmyndaren inte antagit de kommungemensamma riskerna.

Revisionsfrågan bedöms som delvis uppfylld för bolagsstyrelserna då dessa inte har några antagna internkontrollplaner men riskanalyserna innehåller riskområden som kontrolleras och följs upp. Det är dock enligt vår mening inte tydligt vilka kontroller som ska genomföras i nuvarande riskanalyser vilket vi ser med fördel kan utvecklas. Avseende AB Landskronahem framgår inte heller vem som är ansvarig och hur ofta kontroller ska ge-

(16)

nomföras och rapporteras. Även när det gäller den interna kontrollplanen ser vi det som fördelaktigt om bolagen framåt även omfattas av stadens arbete med intern kontroll.

Vi noterar att den samlade internkontrollplanen för kommunen inte innehåller planen för miljönämnden.

3.3. Rapportering sker 3.3.1. Iakttagelser

Rapportering av den interna kontrollen sker för samtliga nämnder vid samma samman- träde som den interna kontrollplanen för nästkommande år beslutas. Detta innebär att nämnderna får rapportering om kontrollerna i november eller senast i december månad.

Av nämndernas uppföljningsrapporter framgår att kontrollerna har genomförts i enlighet med den beslutade planen. För kontrollmomenten görs en analys över hur kontrollmomenten genomförts. Samtliga nämnder beslutar att godkänna rapporteringen av den interna kontrollen. Det sker inte någon löpande rapportering av kontroller i nämnderna.

Inom omsorgsnämnden framhålls det dock att i de fall någonting anmärkningsvärt fram- kommer så sker rapportering till nämnden.

Då överförmyndaren för första gången antagit en internkontrollplan inför år 2020 har det ännu inte genomförts någon rapportering av den interna kontrollen. Den interna kontrollen ska hädanefter rapporteras i samband med verksamhetsberättelsen.

Kommunstyrelsen får rapportering av den interna kontrollen i nämnderna och fattar beslut om denna i januari månad. Enligt intervju får kommunstyrelsen inte någon rapportering från bolagsstyrelserna kring hur den interna kontrollen fungerar.

Styrelsen i Landskrona Energi AB får enligt intervju löpande information om den interna kontrollen genom internrevisorns sammanställningar och informationspunkter.

Styrelsen i AB Landskronahem erhåller enligt intervju inte någon information om uppfölj- ningen av momenten i riskanalysen. Information till styrelsen avseende intern kontroll handlar i stort om intern kontroll kopplat till ekonomin vilket granskats av bolagets auktori- serade revisor.

Vi bedömer att revisionsfrågan är uppfylld för samtliga revisionsobjekt utom AB Lands- kronahem där revisionsfrågan bedöms som ej uppfyllt. Bedömningen grundar vi på att rapportering av kontroller sker en gång om året för samtliga nämnder och kommer ske för överförmyndaren, vilket är i enlighet med gällande reglemente för intern kontroll. Vi noterar dock att rapporteringen beräknas ske något senare för överförmyndaren än för övriga nämnder. Avseende Landskrona Energi AB så sker återrapportering till styrelsen löpande under året.

I AB Landskronahem genomförs ingen rapportering till bolagets styrelse avseende ge- nomförda kontroller utifrån riskanalysen. Vi vill lyfta vikten av att bolagets styrelse som ytterst ansvariga för bolagets verksamhet erhåller uppföljningen av genomförda kontrollmoment.

Vi konstaterar även att kommunstyrelsen inom ramen för sin uppsiktsplikt begär in nämn- dernas rapportering av den interna kontrollen, men att motsvarande inte sker för bolagen.

Då årsredovisningen framåt ska ha ett större koncernperspektiv ser vi att det vore fördel- aktigt att, inom ramen för kommunstyrelsens uppsiktsplikt, inkludera ett avsnitt om intern

(17)

kontroll där en bedömning görs kring hur den interna kontrollen i koncernen fungerat.

3.4. Åtgärder vidtas utifrån rapporterade brister 3.4.1. Iakttagelser

I verksamhetssystemet Stratsys finns en kontrollfunktion som innebär att kontrollområdet kvarstår ifall brister påvisas inom ramen för den interna kontrollen. I systemet är det tvingande att ange åtgärder mot bakgrund av de brister som påvisats. I de årliga sam- manställningarna av den interna kontrollen för såväl kommunstyrelsen som nämnderna framgår också de åtgärder som vidtagits mot bakgrund av bristerna. Vi kan inte se i nämndernas protokoll att någon av nämnderna får fortlöpande information om brister för att på så vis kunna vidta direkta åtgärder.

Flera av nämnderna påvisar inte några brister alls för år 2019 och därmed har det inte heller funnits behov av åtgärder. Det är enbart individ- och familjenämnden som har påvi- sat större avvikelser under år 2019:

Kontroller Resultat Åtgärder Startdatum Slutdatum Status

Granskning Större avvikelse Analysgrupp avseende informationssäkerhet

2019-02-15 2019-07-31 Klar

Analys

Under 2019 har 7 avvikelser gällande informat- ionsläckage rapporterats, dessa gällde:

• Ett dokument som skrivits ut på en skri- vare som var placerad i annan verksamhet.

• En tolk som brutit tystnadsplikt.

• Utskrifter som legat utskrivna där obehö- riga haft tillgång.

• Fel namn är inskrivet i en utredning.

• Ett fall av borttappade handlingar.

• Ett ärende där föräldrar som inte var vårdnadshavare fick information om barnet.

• Ett ärende där ett placerats barns vistel- seort har röjts för vårdnadshavare.

Hur

Ett urval av personal från förvaltningen samlades för att gemensamt se över informationssäkerhet.

Varför

För att utreda och komma med förslag på lös- ningar gällande informationssäkerheten i förvalt- ningen.

Tekniska lösningar 2019-05-09 2019-05-09 Klar Hur

Infört användarbox/säker utskrift.

Varför

För att förhindra obehöriga åtkomst till utskrifter.

Aktskåp 2019-06-03 2019-08-30 Klar Hur

Varje socialsekreterare har tillgång till ett eget aktskåp på respektive arbetsplats.

Varför

Säkerställa att handlingar inte förvaras på fel ställen eller kommer bort.

Tolksekretess 2019-04-12 2019-05-31 Klar Hur

Rapporterat aktuell tolk till tolkförmedlingen samt blockerat tolken för vidare uppdrag i förvaltningen. Händelsen är rapporterad till central upphandlingsenhet.

Varför

För att förhindra liknande händelser i framtiden.

Enligt svaret från överförmyndaren kommer det i samband med uppföljningen att föreslås en åtgärdsplan och uppfyllandet av den ska rapporteras till överförmyndaren och redovi- sas i verksamhetsberättelsen för 2021.

(18)

AB Landskronahem genomför enligt intervju löpande åtgärder när nya risker identifieras och riskanalysen uppdateras. Det finns dock ingen formell rutin för hur detta skall ske.

Gällande Landskrona Energi AB vidtags åtgärder kontinuerligt. Då flera av bolagets riskanalyser görs utifrån olika former av certifieringar innebär det att bolaget också granskas av den certifierande instansen. Detta medför att åtgärder måste vidtas för att bolaget ska kunna behålla sina certifieringar.

Vi bedömer att revisionsfrågan är uppfylld för samtliga revisionsobjekt utom AB Lands- kronahem. Vi grundar vår bedömning på att åtgärder presenteras i samband med uppfölj- ningen av den interna kontrollen samt att det i verksamhetssystemet är tvingande att be- skriva åtgärder vid avvikelser. Vidare bedömer vi att styrelsen i Landskrona Energi AB löpande vidtar åtgärder inom ramen för den interna kontrollen vilket även krävs för att behålla nuvarande certifieringar.

Avseende AB Landskronahem bedöms revisionsfrågan som delvis uppfylld. Detta grundar sig på att det enligt intervju genomförs åtgärder i samband med att riskanalysen uppdateras. Vi ser dock att detta arbetssättet behöver formaliseras och systematiseras.

(19)

Revisionell bedömning

Granskningens syfte har varit: Säkerställer nämnderna, bolagen och styrelsen att styr- ning, uppföljning och kontroll avseende arbetet med intern kontroll är tillräcklig?

Efter genomgång av granskningens samtliga revisionsfrågor gör vi den revisionella be- dömningen att kommunstyrelsen, styrelsen för Landskrona Energi AB, samtliga nämnder och överförmyndaren i allt väsentligt säkerställer en tillräcklig styrning, uppföljning och kontroll avseende arbetet med intern kontroll.

Vidare gör vi den revisionella bedömningen styrelsen i AB Landskronahem inte helt sä- kerställer en tillräcklig styrning, uppföljning och kontroll avseende arbetet med intern kontroll. Detta grundar sig på att riskanalysen och interna kontrollplanen kan utvecklas med information kring hur riskerna ska hanteras/ genomföras, vem som är ansvarig för risken samt hur uppföljning av kontrollen skall ske. Vidare behöver arbetet med intern kontroll systematiseras ytterligare och förslagsvis innehålla årliga revideringar av riskanalysen samt uppföljningar kontrollmomenten.

Vi noterar även att bolagen inte rapporterar resultatet av sitt arbete med intern kontroll till kommunstyrelsen och ser det som positivt att de kommunala bolagen framåt kommer att inkluderas i reglementet för intern kontroll. Detta skapar enligt vår bedömning en enhetlig struktur för arbetet med intern kontroll inom koncernen och kan verka som stöd i kommunstyrelsens uppsiktsplikt.

Bedömningen görs mot bakgrund av utfallet av nedanstående revisionsfrågor:

Dokumenterad risk-

och väsentlighets- analys

Upprättad internkon- trollplan

Rapportering Upprättat åtgärder vid brister Kommunstyrelsen

Kulturnämnden

Miljönämnden

Omsorgsnämnden

(20)

4.1. Rekommendationer