Kommunfullmäktige Protokollsutdrag
Sammanträdesdatum
2019-03-21
Sida
1(2)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
§ 34
Granskningsrapport av intern styrning och kontroll 2018 (KSKF/2019:48)
Beslut
Granskningsrapport av intern styrning och kontroll 2018 godkänns och läggs till handlingarna.
Ärendebeskrivning
Kommunledningskontoret har inkommit med en skrivelse i ärendet daterad den 5 februari 2019. Av skrivelsen framgår bland annat att kommunfullmäktige beslutade vid sammanträdet den 23 november 2017, § 273, att under 2018 följa upp fyra koncerngemensamma kontrollmoment:
- Kontroll av att personuppgiftsansvariga (nämnder och bolagsstyrelser) har
säkerställt hanteringen av personuppgifter inom sitt ansvarsområde enligt den nya dataskyddsförordningen.
- Kontroll av it- och informationssäkerhet i samband med anskaffning/upphandling och uppdrag till externa leverantörer.
- Kontroll av hantering av statliga bidrag.
- Kontroll av otillbörlig påverkan, mutor och jävssituationer.
Riktlinjer, anvisningar och rutiner för respektive kontrollmoment är i stort ändamålsenliga. Samtliga kontrollmoment resulterade i olika grad av förslag till åtgärder. Nya riktlinjer, anvisningar och rutiner har större behov av åtgärder än äldre riktlinjer som har hunnit få bättre förankring. Slutsatsen är att den interna kontrollen generellt fungerar tillfredsställande i Eskilstuna kommunkoncern. Alla nämnder och styrelser arbetar systematiskt med att hantera risker, men de har kommit olika långt och djupt med att tillämpa anvisning och riktlinje för intern styrning och kontroll.
Gemensamma åtgärder görs inom ramen för budget (BAS överenskommelse med serviceförvaltningen). Varje nämnd och styrelse resursätter egna prioriterade åtgärder.
Kommunstyrelsens förslag till kommunfullmäktige Kommunstyrelsen föreslår i beslutet från den 5 mars 2019, § 36, att
granskningsrapport av intern styrning och kontroll 2018 godkänns och läggs till handlingarna.
______
Beslutet skickas till:
Kommunstyrelsen, kommunledningskontoret, ekonomi och planering Samtliga nämnder och bolag.
Kommunstyrelsen
Granskningsrapport av intern styrning och kontroll 2018 – sammanfattning av genomförda
kontrollmoment
Kommunkoncernen ska enligt kommunallagen och aktiebolagslagen ha en väl
fungerande intern styrning och kontroll. Det interna kontrollarbetet syftar till att säkra mål och verksamhet, men också att hitta förbättringsområden utifrån risker.
Varje nämnd och bolagsstyrelse har ansvar för det interna kontrollarbetet inom sitt verksamhetsområde. Åtgärder och internkontrollmoment tas fram av respektive nämnd och bolagsstyrelse och kompletteras med de gemensamma
internkontrollmomenten för kommunkoncernen. De gemensamma momenten följs upp av kommunledningskontoret och återrapporteras i en granskningsrapport för det interna kontrollarbetet i samband med årsberättelsen.
Kommunfullmäktige beslutade om fyra koncerngemensamma kontrollmoment.
Nedan beskrivs varje moment, genomförande, resultat och åtgärdsförslag.
Kontroll av att personuppgiftsansvariga (nämnder och bolagsstyrelser) har säkerställt hanteringen av personuppgifter inom sitt ansvarsområde enligt den nya
dataskyddsförordningen samt kontroll av it- och informationssäkerhet i samband med anskaffning/upphandling och uppdrag till externa leverantörer.
Bakgrund och genomförande
Dataskyddsförordningen ersätter personuppgiftslagen och innebär att nämnder och bolagsstyrelser behöver se över befintliga arbetssätt och rutiner utifrån den nya förordningen. Implementering av dataskyddsförordning har letts av
kommunledningskontoret, vilket har inneburit att ta fram verktygslådor, utbildningar, riktlinjer och information. I maj 2018 avslutades projektarbetet av
dataskyddsförordningen och efterlevnaden av förordningens regelverk lämnades över till respektive nämnd. Uppsiktsplikt och inbyggda dataskyddsarbetet leds fortsatt av kommunledningskontoret.
I samband med att verksamheter anskaffar/upphandlar nya system eller ger uppdrag till externa leverantörer behöver verksamhetsansvariga säkerställa att anskaffnings- och upphandlingskraven kring säkerhet tillämpas och att verksamheten följer rutinen
Eskilstuna kommun 2019-02-13 2 (7)
Vi gör Eskilstuna – tillsammans
så att konsultationer görs med it och informationsansvariga så att verkssamheten inte riskerar att lämna ut känslig information ur och om verksamhetens system.
Båda kontrollmomenten genomfördes november 2018 till januari 2019 och avsåg att följa upp hur dataskyddsarbetet har fortsatt hos respektive nämnd sedan juni 2018.
Vidare följdes tillämpningen av beslutade anskaffnings- och upphandlingskrav och rutiner upp. Ansvariga för att hålla ihop arbetet med kontrollmomentet var
kommunstrateg informationssäkerhet och it chef på kommunledningskontoret.
Kontrollmomentet bygger på semikvalitativ analys av tre delar:
Undersöka vilka faktiska diarieförda handlingar det finns inom respektive nämnd och styrelse.
Intervju med respektive kontaktansvarig för att få en statusuppdatering av dataskyddsarbetet inom nämnden.
Med hjälp av enkät undersöka hur övriga medarbetare upplever dataskyddsarbetet.
Resultat och åtgärdsförslag
Resultatet av diarieförda handlingar och intervjuer är att majoritet av kommunens nämnder har arbetat på likartade sätt och att styrelsernas dokumenthantering skiljer sig från nämndernas. Exempelvis har nämnder och styrelser olika diarieföringssystem, mallar för handlings- respektive åtgärdsplan.
Eftersom lagstiftningen är ny och organiseringen av arbetet inte är i full drift behöver en ny intern kontroll göras genom respektive dataskyddsombud. Det ingår i
dataskyddsombudens uppdrag att göra internkontroller på personuppgiftshanteringen.
En utmaning för flera nämnder är arbetstiden för uppdraget, organisering av arbeta med personuppgifter samt att få hela organisationen att förstå ansvaret. Gemensamt tycker ändå samtliga nämnder att dataskyddsarbetet har inneburit att de flesta har börjat organisera och strukturera data. Förslag till åtgärder är att förtydliga
arbetsfördelningen över det som behöver göras inom dataskydd samt förtydligande av nämndansvaret så att dataskyddsarbetet prioriteras samt integreras i verksamhetens arbete.
Resultatet från enkätundersökningen för medarbetarer, med 30 procent svarsfrekvens, är att dataskyddsarbetet på Eskilstuna kommun har varit märkbart. Majoriteten av kommunens anställda vet vem de ska vända sig till på sin nämnd, vilka styrdokument som finns samt hur de ska gå tillväga när en personuppgiftsincident inträffar. Det finns dock utrymme att utveckla och förtydliga kommunens dataskyddshantering.
Resultaten mellan bolagen skiljer sig. På en del bolag har det upplevts som märkbart och andra bolag som mindre märkbart dataskyddarbete. Det råder dock en större osäkerhet vem medarbetarna på bolagen ska vända sig till vid en
personuppgiftsincident, kännedomen om vilka styrdokument som råder samt tillvägagång vid en personuppgiftsincident.
Förslag till åtgärd för kommunens nämnder och styrelser är att förtydliga ansvaret och processen, skapa en kunskapsbank, fortsätta utbilda medarbetarna, sätta tydliga krav och ansvar vad gäller dokumentation.
Kommunens nämnder och styrelser behöver arbeta närmare tillsammans för att kvalitetssäkra dataskyddsarbetet.
Hantering av åtgärdsförslag
Förslagen till åtgärder som behöver samordnas, som inte är specifika för en viss nämnd eller styrelse, hanteras av det kommunövergripande forumet
”dataskyddssamordnargruppen” på initiativ av kommunledningskontorets informationssäkerhetsansvarig och it chef. Det innefattar även uppföljning av åtgärderna.
Se mer detaljerad rapport i bifogad bilaga 1 - Intern kontroll moment 2018.
Kontroll av hanteringen av statliga bidrag Bakgrund och genomförande
Under 2017 reviderade och beslutade respektive nämnd om enhetligare arbetssätt och rutiner för att säkra hanteringen statliga bidrag. Det innefattar att respektive
verksamhetsområde har kunskap om vilka bidrag som är möjliga att söka, säkrar att ansökan genomförs samt att redovisningen av ansökta medel sker enligt formella krav.
Kontrollen genomfördes genom en enkät till förvaltningarnas ekonomichefer i november 2018 till januari 2019. Kontrollen följde upp tillämpningen av beslutad arbetsprocess och rutiner. Ansvarig för kontrollmomentet var kommunsstrateg ekonomi på kommunledningskontoret.
Resultat
Nio förvaltningar av nio har svarat och alla uppger att det finns en fastställd rutin för ansökan inom förvaltningen. Det finns flera indikationer på att den
kommunövergripande rutinen från våren 2018 än inte är fullt implementerad. Bland avvikelser är följande;
- beslutet om att söka eller inte söka fattas inte alltid av nämnd, - motivering till varför man inte sökt vissa bidrag saknas, - dualitetsprincipen i handläggningen tillämpas inte alltid.
Hantering av åtgärdsförslag
Kommunledningskontoret, genom kommunstrateg ekonomi, kommer att stärka och utveckla dialogen i det kommunövergripande forumet, processledningsgrupp ekonomi där alla ekonomischefer möts, för samordning av riktade statsbidrag. Fokus kommer att vara att säkerställa efterlevnaden av gällande rutin genom stöd och
utbildningsinsatser på berörda förvaltningar samt ta fram förslag på hur bevakningen av statsbidrag kan förbättras.
Se undersökningsresultaten från de nio förvaltningarna i bilaga 2.
Eskilstuna kommun 2019-02-13 4 (7)
Vi gör Eskilstuna – tillsammans
Kontroll av otillbörlig påverkan, mutor och jävssituationer Bakgrund och genomförande
2012 beslutades Riktlinjer mot korruption, mutor och jäv. Redan 2013 gjordes den första interna kontrollen inom riskområdet. Även 2017 har en kontroll genomförts som visar att 75 procent har kunskap om riktlinjen, men 36 procent känner till att det finns rutiner för att lokalt förhindra och förebygga uppkomsten av korruption, mutor och jäv.
Kontrollerna har skett i form av telefonintervjuer och stickprov under december 2018 av en oberoende externt upphandlad konsult av tre områden:
Direktupphandling på Barn-och utbildningsförvaltningen, IT-enheten på konsult- och uppdragsförvaltningen.
Förenings-och sponsorbidrag på Kultur-och fritidsförvaltningen, Kommunledningskontoret, Eskilstuna Energi och Miljö AB, Eskilstuna Kommunfastigheter AB.
Etablering av företag/organisationer på Eskilstuna Logistik och Etablering AB, kommunledningskontorets näringslivsenhet samt fastighetsenhet.
Kommunstrateg ekonomi, chefjurist samt hr-strateg på kommunledningskontoret har ansvarat för kontrollen.
Direktupphandlingar
Upphandlingsenheten har framarbetat en kommunövergripande rutin för
direktupphandling per olika beloppsgränser. Upp till och med 10 tkr gäller inga direkta formkrav, men att en enkel pris och produktjämförelse alltid bör göras. Avseende beloppsgränsen 10-100 tkr ska en upphandlingsplan upprättas, i syfte att säkerställa de olika momenten. Konkurrensutsättning ska genomföras via en pris-och
produktjämförelse mellan minst tre leverantörer (om tre finns tillgängliga). Kontroll av att leverantören (betalt sina skatter, avgifter samt har en giltig f-skattsedel) ska
genomföras. Ett avtal bör tecknas.
Resultat och åtgärdsförslag
Konsultens bedömning är att den kommunövergripande rutinen för
direktupphandling är ändamålsenlig i direktupphandlingsförfarandet. Rutinen behöver kompletterande skrivningar rörande risk för korruption, mutor och jäv samt hur dessa risker ska minimeras. Den interna kontrollen och styrningen behöver stärkas i syfte att säkerställa en god efterlevnad av beslutad riktlinje genom utbildningen för beställare.
Förenings- och sponsorbidrag
Eskilstuna Kommunföretag AB har tagit fram en sponsringspolicy för företaget och dess dotterbolag där det framgår vilka typer av föreningar/evenemang som kan ansöka om sponsring samt i vilka fall kommunföretag med dotterbolag ska avstå från
sponsring, krav på mottagare av sponsring, motprestationer, beslutsgång och avtalsskrivning.
Beslut om sponsring av elitidrottsföreningar samt övrig sponsring som överstiger 50 000 kronor fattas av Kommunföretag ABs styrelse. Beslut om sponsring som understiger 50 000 kronor hanteras i respektive bolag enligt den beslutade ordning
som råder. I praktiken hanteras dessa ärenden i sponsringsgruppen där Eskilstuna Kommunföretag, Eskilstuna Energi och Miljö AB samt Eskilstuna Kommunföretag AB är representerade.
Utifrån perspektivet risk för korruption, mutor och jäv är det positivt att inga beslut rörande sponsring fattas av enskilda personer.
Kultur-och fritidsnämnden har tagit fram riktlinjer för föreningsbidrag som beskriver kriterier för stödberättigade föreningar samt kriterier för de olika bidrag som
föreningar kan ansöka om. Av nämndens delegationsordning framgår vilka typer föreningsbidrag som beslutas av handläggare och vilka bidrag som ska beslutas av nämnden.
Resultat och åtgärdsförslag
Konsultens bedömning är att rutinerna bör kompletteras med skrivningar rörande risk för korruption, mutor och jäv samt hur dessa risker ska minimeras. I dagsläget finns ingen tydlig koppling mellan styrdokumenten för sponsringsavtal och föreningsbidrag och kommunens riktlinjer mot korruption, mutor och jäv.
Etablering av företag/organisationer
Eskilstuna kommun har ett övergripande dokument som heter Plan för näringsliv och arbete och i det finns fem processmål för näringslivsutvecklingen i kommunen. Det framgår tydligt att ansvariga aktörer för att främja företagsetableringar är
kommunstyrelsen samt de kommunala bolagen Munktell Science Park och Eskilstuna Logistik och Etablering AB.
Resultat och åtgärdsförslag
Konsultens bedömning är att samtliga tre granskade organisationer har en
ändamålsenlig hantering av företagsetableringar. Önskvärt är mer formaliserade och detaljerade rutiner för hur kommunledningskontoret arbetar med etableringar av företag och organisationer. Även mer specifika riktlinjer för varje organisation hur man arbetar för att motverka mutor, jäv och korruption.
Konsultens sammanfattande bedömning och rekommendation:
Rutinen för att motverka korruption, mutor är inte tillräckligt känd inom samtliga delar av organisationen som granskats. Medvetenheten varierar vad gäller riskerna för mutor och jäv i de olika verksamheterna. Rekommendationer:
En regelbunden översyn av kommunens riktlinjer för att säkerställa att informationen är aktuell och i enlighet med gällande lagstiftning.
Säkerställ att nyanställda i samband med introduktion får kännedom om rutinen för att motverka korruption, mutor och jäv. (Utgångspunkt
kommunledningskontorets material).
Genomför en kommungemensam utbildning kring mutor och jäv som förslagsvis är obligatorisk för samtliga av kommunens politiker och anställda. (Utgångspunkt kommunledningskontorets material).
Risken för korruption, mutor och jäv bör bedömas som en del i den årliga riskanalysen.
Eskilstuna kommun 2019-02-13 6 (7)
Vi gör Eskilstuna – tillsammans
Överväg behovet av anpassade utbildningsinsatser samt kontrollaktiviteter som är specifika för varje verksamhet baserade på identifierade korruptionsrisker.
Överväg behovet av att införa dilemmadiskussioner kring mutor och jäv som ett återkommande inslag vid exempelvis arbetsplatsträffar.
Inför kommande granskningar föreslår konsulten att urvalet av granskningsobjekt sker antingen via t.ex. slumpmässiga urval alternativt via riktade urval utifrån specifika riskbedömningar.
Hantering av åtgärdsförslag
Förvaltningar och bolag tar själva ställning till hur de prioriterar och hanterar sina specifika åtgärdsförslag.
Åtgärdsförslag som behöver samordnas, hanteras i processledningsgrupp kvalitet, det gäller punkter som handlar om att säkerställa att riktlinjer och rutiner är uppdaterade, kända och kommunicerade exempelvis genom utbildning och dilemmadiskussioner.
Sista punkten gällande kommande granskningar hanteras under 2019 genom att direktupphandlingar granskas löpande utifrån slummässigt urval.
Kommunledningskontoret kommer att ge serviceförvaltningen i uppdrag säkerställa detta.
Se detaljerad rapport från KPMG i bilaga 3.
Bedömning och slutsats
Riktlinjer, anvisningar och rutiner för respektive kontrollmoment är i stort ändamålsenliga, men alla kontrollmoment resulterade i olika grad av förslag till åtgärder. Nya riktlinjer, anvisningar och rutiner för informationshantering och statsbidrag har större behov av åtgärder än den äldre riktlinjen mot
korruption, mutor och jäv som har hunnit få bättre förankring.
Förvaltningar och bolag tar själva ställning till hur de prioriterar och hanterar sina specifika åtgärdsförslag. Åtgärdsförslag som behöver samordnas hanteras i respektive stödprocess ledningsgrupp alternativt nätverk för sakområdet.
Kommunledningskontoret initierar arbetet i dessa forum för att prioritera och hantera åtgärdsförslagen.
Slutsatsen är att den interna kontrollen generellt fungerar tillfredsställande i Eskilstuna kommunkoncern. Alla nämnder och styrelser arbetar systematiskt med att hantera risker, men de har kommit olika långt och djupt med att tillämpa anvisning och riktlinje för intern styrning och kontroll.
Utvecklingsområden 2019
En självskattningsmodell som utvärderar det egna interna styrnings- och
kontrollarbetet testas i socialnämnden. Självskattningsmodellen utgår från COSO modellen och liknande modeller används av exempelvis Malmö. Om socialnämndens test faller väl ut möjliggörs för alla nämnder och styrelser att använda
självskattningsmodellen för att följa den egna progressionen för varje år och samtidigt ger det möjlighet att lära mellan nämnder och styrelser.
Ett samordningsbehov som har identifierats är att verksamheterna har flera
riskhanteringsmodeller att ta hänsyn till. Riskhanteringsmodellerna utgår från specifik lagsstiftning för arbetsmiljö, informationshantering, risk och sårbarhetanalyser för samhällsviktiga funktioner samt intern styrning och kontroll.
Kommunledningskontoret kommer att initiera ett arbete för att om möjligt samordna arbetsmoment och minska antalet riskhanteringsmodeller i syfte att förenkla och ta bort eventuellt merarbete för verksamheterna.
Ett tydligare och tidssatt arbetssätt med de koncerngemensamma kontrollmomenten inarbetas för att riskhanteringen ska få en bättre förankring samt följsamhet i
förvaltningarnas och bolagens planerings- och uppföljningsarbete.
