Riskanalys 2019

(1)

Riskanalys 2019

Gymnasie- och vuxenutbildningsnämnden

(2)

Innehållsförteckning

Bruttolista ... 3

Verksamhet ... 3

Förtroende ... 7

Ekonomisk/Finansiell ... 9

HR... 11

Kommunikation ... 12

Informationssäkerhet ... 14

Upphandling/Inköp ... 15

Risker som ligger till grund för kommungemensamma granskningar ... 18

HR... 18

Informationssäkerhet ... 18

Upphandling/Inköp ... 18

(3)

Bruttolista

Här visas alla risker uppdelade utifrån de riskkategorier som används i Malmö stad. Alla riskkategorier visas oavsett om det finns risker kopplade till den eller ej.

Kommungemensamma risker finns under en separat rubrik.

Verksamhet

Risk Sannolikhet Konsekvens Riskvärde Vidare

hantering Till plan Risk för att alla elever

inte kan tas emot inom tre månader på sfi (svenska för invandrare)

3. Möjlig 3. Påtagligt 9 Accepteras Nej

Beskrivning av risk

Risk för att alla elever inte kan tas emot inom tre månader på sfi på grund av lokalbrist och/eller brist på sfi-lärare, vilket kan leda till fördröjd studiegång

Kommentar

Lokalförsörjning och rekrytering är ständigt pågående processer. Risken bedöms inte lämplig att hantera inom ramen för intern kontroll.

Tidsbrist vid antagning till

gymnasieskola 3. Möjlig 4. Allvarligt 12 Accepteras Nej

Beskrivning av risk

Risk för tidsbrist vid antagning till gymnasieskola på grund av senarelagd skolavslutning för grundskolan i kombination med bestämmelser om att antagningen ska vara klar första juli, vilket kan leda till handhavandefel vid antagningen.

Kommentar

För att risken ska kunna minimeras behöver antingen lagstiftningen ändras eller grundskolor inom samverkans- området ändra sina läsårstider. Risken är med andra ord inte möjlig att påverka utifrån förvaltningens befogenheter.

Bristfällig indatahantering i elevhanteringssystemet

2. Föga troligt 3. Påtagligt 6

Befintliga åtgärder/

inbyggda kontroller bedöms räcka

Nej

Beskrivning av risk

Risk för felaktig betygsstatistik på grund av bristfällig indatahantering i elevhanteringssystemet (felaktig inmatning, försenad inmatning eller ofullständig inmatning), vilket kan leda till att skolors/huvudmannens analysunderlag blir missvisande.

Kommentar

Förbättringsarbete pågår löpande via systemspecialister, t.ex. utbildningstillfällen, informationsutskick och rutinbeskrivningar.

(4)

Omfattande manuell hantering av utdata- system

2. Föga troligt 3. Påtagligt 6 Accepteras Nej

Beskrivning av risk

Risk för felaktig statistik på grund av omfattande manuell hantering av utdata-system, vilket kan leda till att skolors/huvudmannens analys blir felaktig.

Kommentar

Utvecklingsarbete sker successivt för att förbättra förvaltningens analysverktyg.

Bristande systemstöd för antagning till

vuxenutbildning 4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för omfattande manuell hantering vid antagning till vuxenutbildning på grund av att systemstödet inte är fullt anpassat till ny lagstiftning, vilket kan leda till handhavandefel och långa handläggningstider.

Kommentar

Risken skattas högre 2019 i och med att rättighetslagstiftningen utökats till att omfatta ännu fler utbildningsformer vilket förväntas öka antalet ansökningar. Detta medför handläggning av fler ärenden, vilket gör systemstödet allt viktigare.

Lokaler uppfyller inte

myndighetskrav 3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för att lokalernas fulla kapacitet inte utnyttjas på grund av att de inte uppfyller myndighetskraven, vilket kan leda till att delar av fastigheter behöver stängas alternativt lämnas helt.

Kommentar

Kapacitetskontroll ingår i all lokalplanering.

Otydliga beslutsprocesser och

otydligt ansvar 3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för att beslutsprocesser inte följs i förhållande till mandat på grund av otydlig delegationsordning, vilket kan leda till felaktiga beslut.

Kommentar

Beslutsprocessens olika steg syftar till att minimera risken för felaktiga beslut.

(5)

Otydlig förankrings- process och nyttjande

av lokalers kapacitet 3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för suboptimalt lokalutnyttjande på grund av okunskap om lokalernas kapacitet, vilket kan leda till att dessa inte används fullt ut och i förlängningen att lokalkostnaderna drivs upp.

Kommentar

Information om lokalkapaciteten för respektive verksamhet tillgängliggörs och uppdateras kontinuerligt.

Mottagande till

gymnasiesärskola 3. Möjlig 4. Allvarligt 12 Direktåtgärder Ja

Beskrivning av risk

Risk för försening i mottagande till gymnasiesärskolan på grund av oklarhet om utredningars aktualitet (gäller främst psykologutredningar).

Kommentar

Risken är föremål för en direktåtgärd i internkontrollplanen för 2019.

Felaktiga personuppgifter för sökande utan fullständigt personnummer

3. Möjlig 4. Allvarligt 12 Direktåtgärder Nej

Beskrivning av risk

Risk för felaktiga personuppgifter för elever utan fullständigt personnummer, eftersom de inte har någon koppling till folkbokföringsregistret, vilket kan leda till att eleven antas eller nekas antagning på felaktiga grunder.

Kommentar

En överenskommelse om att arbeta efter samma rutiner har tagits fram inom samverkansområdet. Förvaltningen kommer att fortsätta arbetet med att via Kommunförbundet Skåne driva frågan om att samordningsnummer hanteras av Skatteverket för att kunna identifiera personer utan personnummer.

Bristfälligt enkät-

genomförande 4. Troligt 2. Kännbart 8

Nej

Beskrivning av risk

Risk för otillförlitliga enkätresultat på grund av att skolor och huvudman brister i att organisera/skapa förutsättningar för elever att besvara enkäterna och motivera enkäternas syfte/legitimitet, vilket kan leda till missvisande analys och felaktiga eller uteblivna prioriteringar.

Kommentar

Huvudmannen skickar ut instruktioner/anvisningar kring enkätgenomförandet till skolorna och följer kontinuerligt upp svarsfrekvensen under enkätperioden. Inom gymnasieutbildningsområdet får skolledningarna listor över de elever som inte besvarat enkäten. Dessa elever får också automatiserade påminnelser. Inom vuxenutbildningsområdet ansvarar skolledningarna för distributionen av enkäten till eleverna, men även här följs svarsfrekvensen upp

kontinuerligt. Huvudmannen behöver dock verka för att förtydliga syftet med enkäterna, samt stödja skolorna i deras arbete med analysen.

(6)

Bristande systematik i huvudmannens olika delar av kvalitetsarbetet

4. Troligt 3. Påtagligt 12 Accepteras Nej

Beskrivning av risk

Risk för felprioriteringar eller uteblivna insatser på grund av otillräcklig analys utifrån skolornas samlade resultatbild, vilket kan leda till att resurserna inte används på ett ändamålsenligt sätt.

Kommentar

Huvudmannen jobbar kontinuerligt för att utveckla sina resultatanalyser. Dessa bygger dels på den övergripande måluppfyllelsen och dels på aggregering av skolornas analyser. Under 2018 har huvudmannen utvecklat mallar för gymnasieskolornas lägesrapporter formade utifrån läroplansområdena. En gemensam struktur för lägesrapporterna syftar bl.a. till att förenkla aggregeringen av skolornas prioriteringar och utvecklingsbehov. Huvudmannen kommer att se över och utveckla mallarna för vuxenutbildningsområdets lägesrapporter.

Otillräckligt stöd från huvudmannen rörande systematiskt kvalitetsarbete på skolnivå

4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för icke-fungerande stöd på skolnivå på grund av att huvudmannen inte givit tillräckligt bra förutsättningar (t.ex.

i form av kompetensutveckling), vilket kan leda till felaktiga prioriteringar och att elevernas måluppfyllelse blir lidande.

Kommentar

Utvecklingsarbete pågår med att skapa stöd för rektors systematiska kvalitetsarbete, vilket knyter an till utvecklingen av funktioner/roller inom avdelningen för kvalitet och utveckling.

Otillräcklig

prioritering av olika skolformer

3. Möjlig 3. Påtagligt 9 Accepteras Nej

Beskrivning av risk

Risk för att de olika skolformerna inte prioriteras och beaktas likvärdigt i det systematiska kvalitetsarbetet, vilket kan leda till otillräcklig uppföljning och att viktiga utvecklingsinsatser inte sätts in.

Kommentar

Resurser har tillsatts för att stärka analysen på huvudmannanivå. Denna analys beaktar även ett likvärdighets- perspektiv.

Otydlig status på

styrdokument 4. Troligt 3. Påtagligt 12 Granskning Ja

Beskrivning av risk

Risk för otydligt styr- och ledningssystem på grund av att förvaltningens styrdokument inte konsekvent utgår ifrån Malmö stads mall, vilket kan leda till osäkerhet kring styrdokumentens status/urkund/ägare/giltighet och i förlängningen till bristande följsamhet.

Kommentar

Risken är föremål för en granskning i internkontrollplanen för 2019.

(7)

Bristande servicenivå och tillgänglighet i samband med utbyggnaden av vuxenutbildningen

3. Möjlig 2. Kännbart 6 Granskning Ja

Beskrivning av risk

Risk för ojämn servicenivå i samband med vuxenutbildningens utökning på grund av att infrastrukturen inte byggts ut fullt i samband med att förvaltningen tagit nya lokaler i anspråk, vilket kan leda till sämre tillgänglighet av stödfunktioner (kurator, studie- och yrkesvägledare, specialpedagog och skolbibliotek).

Kommentar

Risken är föremål för en granskning i internkontrollplanen för 2019. Motivet till att risken väljs ut för granskning är att situationer där förvaltningen tar temporära lokaler i bruk förväntas återkomma. Därmed finns möjlighet till ett långsiktigt lärande.

Förtroende

hantering Till plan Verksamheter följer

inte Malmö stads policy vid publicering i egna kanaler

4. Troligt 4. Allvarligt 16

Nej

Beskrivning av risk

Risk för felaktig eller värdeladdad information på grund av att verksamheterna skapar innehåll i strid med Malmö stads policy genom egna kanaler (webb, sociala medier m.m.), vilket kan leda till bristande förtroende för varumärket Malmö stad.

Kommentar

Risken är föremål för kontinuerlig bevakning hos förvaltningens kommunikationsavdelning.

Under 2019 kommer samtliga nämnder att genomföra granskning av serviceskyldigheten i sociala medier (se riskavsnittet "Informationssäkerhet"), vilket delvis berör samma område.

Osäker hantering av elevuppgifter i kontakt med externa anordnare

2. Föga troligt 2. Kännbart 4 Accepteras Nej

Beskrivning av risk

Risk för felaktiga elevuppgifter gällande upphandlad vuxenutbildning på grund av omfattande manuell elevadministration, vilket kan leda till felaktig resurstilldelning och felaktig hantering av personuppgifter.

Kommentar

Förvaltningen påbörjade under 2018 ett arbete för att externa utbildningsanordnare skulle beredas tillgång till Dexter (e-tjänst för delar av elevadministrationen) i vilket man ska kunna hantera närvaro, frånvaro, betyg och avbrott. Behörighetstilldelningen syftade också till att säkerställa utbildningsanordnarnas rapportering av antal elever i utbildning. Systemleverantören har på förvaltningens begäran skapat ny funktionalitet för att stödja rapport- uttag baserat på de externa utbildningsanordnarnas registreringar i systemet, en funktionalitet som finns på plats fr.o.m. februari 2019.

(8)

Brister vid manuell

antagning till Lärvux 3. Möjlig 3. Påtagligt 9 Accepteras Nej

Beskrivning av risk

Risk för felbedömningar, brister i rättssäkerhet och likvärdighet på grund av manuell antagning till Lärvux, vilket kan leda till konsekvenser för enskilda (blivande) elever.

Kommentar

Risken bedöms inte lämplig att hantera inom ramen för intern kontroll.

Processer för

elevärenden följs inte 3. Möjlig 4. Allvarligt 12 Direktåtgärder Nej Beskrivning av risk

Risk för att ärendeprocesserna "Avstängning av elev", "Särskilt stöd (åtgärdsprogram)", och "Tillbud/olycksfall elev"

inte följs på grund av komplicerade processer och lagkrav, vilket kan leda till bristande rättssäkerhet för eleverna.

Kommentar

Myndighetsavdelningen kommer att göra en genomgång och uppdatering av rutiner och processbeskrivningar för att förenkla hanteringen, samt genomföra utbildning av rektorer och administrativ personal som ansvarar för beslut och underlag för beslut.

Allmänna handlingar lämnas inte ut

skyndsamt 3. Möjlig 3. Påtagligt 9 Direktåtgärder Nej

Beskrivning av risk

Risk för att allmänna handlingar inte lämnas ut skyndsamt på grund av otillräcklig kunskap om regler kring utlämnande och svårighet att lokalisera begärda handlingar, vilket kan leda till brott mot tryckfrihetsförordningen och bristande insyn för allmänheten.

Kommentar

Myndighetsavdelningen kommer att göra en genomgång och uppdatering av rutiner, samt genomföra utbildning av den administrativa personal som hanterar utlämnanden.

Inkommen e-post till funktionsbrevlådor besvaras inte skyndsamt

4. Troligt 3. Påtagligt 12 Direktåtgärder Ja

Beskrivning av risk

Risk för att e-post inkommen till funktionsbrevlådor inte besvaras skyndsamt på grund av tidsbrist eller otydlighet i ansvarsförhållanden, vilket kan leda till att förvaltningen inte uppfyller serviceskyldigheten i förvaltningslagen.

Kommentar

Risken är föremål för en direktåtgärd med tillhörande kontroll i internkontrollplanen för 2019.

(9)

Ekonomisk/Finansiell

hantering Till plan

Avtalshandlingar diarieförs inte eller diarieförs felaktigt

3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för att avtal inte dokumenteras och att förvaltningen då inte kan komma åt handlingarna vid behov, vilket kan leda till bristande sökbarhet och i förlängningen till osäkerhet om avtalets innehåll.

Kommentar

Regelbundna kontroller utförs av att avtal är dokumenterade.

Felaktig gräns- dragning mellan investerings- kostnader och driftskostnader

4. Troligt 2. Kännbart 8

Nej

Beskrivning av risk

Risk för att inköp som uppfyller kraven för investering av misstag kostnadsförs som kopplade till drift, vilket kan leda till att inköpet hanteras som en driftskostnad innevarande år istället för att avskrivas över ett antal år.

Kommentar

Redovisningsenheten kontrollerar merparten av förvaltningens utbetalningar så att fakturorna hanteras korrekt som investering eller drift. Utöver detta är samtliga budgetansvariga informerade om gränsdragningen.

Felaktiga behörigheter i ekonomisystemet

3. Möjlig 2. Kännbart 6

Nej

Beskrivning av risk

Risk för att användare registreras felaktigt i ekonomisystemet (EKOT) på grund av handhavandefel, vilket kan leda till att denne kan få åtkomst till för mycket eller för lite information.

Kommentar

Behörigheter stäms löpande av mot gällande attestförteckning. Endast redovisningsenheten har möjlighet att registrera behörigheter i ekonomisystemet och alla attestbehörigheter ska godkännas av förvaltningens redovisnings- ansvarig.

Efterlevnad av representations- reglerna

Nej

Beskrivning av risk

Risk för att reglerna för representation inte efterföljs på grund av okunskap, vilket t.ex. kan leda till att kommunens medel används till inköp som borde bekostas av den enskilde medarbetaren.

Kommentar

Redovisningsenheten kontrollerar samtliga utbetalningar från förvaltningen så att ingen faktura innehållande felaktig representation går till betalning.

(10)

Stöldbegärlig

egendom 4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för att elektronisk utrustning hamnar på villovägar på grund av avsaknad av eller brister i register eller bristande rutiner, vilket kan leda till ekonomisk skada och förtroendeskada.

Kommentar

Verksamheterna upprätthåller och uppdaterar löpande register över stöldbegärlig utrustning. Under 2018 har en kommunövergripande granskning genomförts inom ramen för intern kontroll, vilken visade på att enheternas befintliga rutiner och register över utlåning och återlämning av elektronisk utrustning överlag fungerar tillfreds- ställande.

Fr.o.m. mitten av juni 2018 har Malmö stad en leverantör för datorer, surfplattor och mobiltelefoner som också tillhandahåller ett register för denna utrustning. Detta register inkluderar per automatik alla inköp fr.o.m. 22 juni 2018 och innehåller stöd för att retroaktivt registrera tidigare inköpt utrustning, om förvaltningen beslutar att göra detta.

Felaktig

periodisering och kontering av fakturor

Nej

Beskrivning av risk

Risk för att betalning av fakturor sker på fel period (t.ex. hyreskostnader) på grund av handhavandefel, vilket kan leda till kan påverka förvaltningens budgetuppföljning.

Kommentar

Redovisningsenheten kontrollerar merparten av utbetalningarna från förvaltningen så att fakturorna inte ska gå in på fel period.

Felaktig registrering av orienteringskurser inom vuxen-

utbildningen

4. Troligt 2. Kännbart 8 Granskning Nej

Beskrivning av risk

Risk för felaktig registrering och användning av orienteringskurser på grund av att kurserna inte följer Skolverkets riktlinjer, vilket kan medföra felaktig finansiering eller avsaknad av finansiering för registrerade kurser.

Kommentar

Information, utbildning och riktlinjer till ansvariga inom berörd verksamhet ska tas fram på gemensamma driftsmöten samt fortsatt kompetenshöjning av berörda administratörer för säkrare registerkvalitet. Vid varje driftsmöte görs en enkel kontroll av registrerade kurser, vilket innebär fem tillfällen under 2019.

Avsaknad av beslut gällande inter- kommunal ersättning för grundläggande vuxenutbildning

3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för avsaknad av beslut vid antagning/uppflyttning till nästa kursnivå inom grundläggande vuxenutbildning för elever som varit antagna till kurser på grundläggande nivå men som under studietiden flyttat till annan kommun.

(11)

HR

hantering Till plan Otillräcklig

anpassning till ny diskriminerings- lagstiftning

2. Föga troligt 4. Allvarligt 8

Nej

Beskrivning av risk

Risk för bristande efterlevnad av nya diskrimineringslagen på grund av nytt arbetssätt med aktiva åtgärder, vilket kan leda till att diskriminering förekommer och att brott mot diskrimineringslagen begås.

Kommentar

Sannolikheten för risken skattas lägre 2019 än 2018 p.g.a. förvaltningens arbete inom området. Förvaltningen har under 2018 arbetat inom Malmö stads ramverk "Aktiva åtgärder - Årlig workshop i alla ledningsgrupper med start 2018" (KS 2018-01-10 §7). Inom ramarna för aktiva åtgärder ska alla ledningsgrupper genomföra återkommande workshops där verksamheten analyseras. Resultaten av dessa workshops och eventuella åtgärder sammanställs i arbetsplatsspecifika handlingsplaner som sedan samverkas med lokala fackliga representanter. Förvaltningens HR-avdelning har - med utgångspunkt i de lokala handlingsplanerna - tagit fram en förvaltningsövergripande handlingsplan, vilken beslutas av nämnd i februari 2019.

Risk för att

rekryteringar i Visma Recruit inte avslutas korrekt

4. Troligt 3. Påtagligt 12 Granskning Nej

Beskrivning av risk

Risk för att rekryteringar inte avslutas korrekt i Visma Recruit på grund av otydlig ansvarsfördelning och/eller bristfälliga rutiner, vilket kan leda till att kandidater ej får information i tid. Detta kan i sin tur försvåra rekryterings- och anställningsprocesser vid t.ex. överklagande av rekrytering.

Kommentar

Förvaltningen ser behov av att göra en översyn av alla slutförda men ej avslutade rekryteringar, för att identifiera var i organisationen som en eventuell åtgärd - i form av rutiner och ansvarsfördelning - behöver riktas.

Risk för att del av rekryteringsprocess ej genomförs eller genomförs bristfälligt

3. Möjlig 4. Allvarligt 12 Direktåtgärder Nej

Beskrivning av risk

Risk för att del av rekryteringsprocess ej genomförs eller genomförs bristfälligt på grund av avsaknad av rutiner, vilket kan leda till felrekryteringar och förseningar i rekryteringar.

Kommentar

Översyn av ansvarsfördelning och rutiner kopplade till rekryteringsprocessen genomförs av HR-avdelningen under 2019.

(12)

Risk att löne- ändringar genom tidsbegränsade lönetillägg görs på olika bedömnings- grunder

4. Troligt 3. Påtagligt 12 Granskning Ja

Beskrivning av risk

Risk att löneändringar genom beslut om tidsbegränsat lönetillägg sker utan förankring med HR-avdelningen, vilket kan leda till att stadens löneinriktning inte efterlevs.

Kommentar

Införandet av nya rutiner gällande processen

"Anställning och lön"

3. Möjlig 3. Påtagligt 9 Granskning Nej

Beskrivning av risk

Risk för att delegationsordning gällande beslut av anställning inte följs på grund att HR-rapportörer inte får skriftligt anställningsunderlag från chef vilket kan leda till felaktiga villkor i anställningar.

Kommentar

Under 2019 genomförs en kommunövergripande granskning kopplad till löneskuld inom ramen för intern kontroll (se avsnittet "Risker som ligger till grund för kommungemensamma granskningar"). Denna granskning anknyter till processen "Anställning och lön".

Sedan 2018 bedrivs också ett kommungemensamt förändringsprojekt kopplat till samma HR-process, inom vilket det genomförs ett antal mätningar under 2019 för att värdera hur väl målen kopplade till de förändrade arbetssätten uppfylls. Den uppföljningen bedöms svara väl mot den identifierade risken.

Risk för att ändring av grundlön görs mot olika bedömnings- grunder

2. Föga troligt 3. Påtagligt 6 Accepteras Nej

Beskrivning av risk

Risk för att ändring av grundlön utanför lönerevision sker mot olika bedömningsgrunder på grund av att förankring med HR-avdelningen uteblivit, vilket kan leda till att stadens löneinriktning inte efterlevs.

Kommentar

Risken för att ändring av grundlön utanför löneöversyn sker utan förankring med HR-avdelningen bedöms som mindre än att motsvarande förankring saknas i samband med löneändringar genom tidsbegränsade lönetillägg utanför löneöversyn. Den senare risken är föremål för en granskning under 2019.

Kommunikation

hantering Till plan

Förtroendekris 4. Troligt 4. Allvarligt 16 Granskning Nej

Beskrivning av risk

Risk för otillräcklig beredskap för att hantera negativa reaktioner och uppmärksamhet gällande beslut och processer

(13)

hantering Till plan Otillräcklig

information för ungdomar som är aktuella för introduktionsprogram

4. Troligt 4. Allvarligt 16

Nej

Beskrivning av risk

Risk för att elever läser fel introduktionsprogram på grund av bristande informationsunderlag om utbudet, vilket kan leda till lång väg till självförsörjande för eleverna.

Kommentar

Det pågår inom kommunikationsavdelningen en genomlysning av förvaltningens information om utbud av introduktionsprogram, vilket ska fungera som ett underlag till vägledning för primärt studie- och yrkesvägledare, Vägledningscentrum och UngMalmö.

Felaktig dubbel- publicering av intern information i olika system (Komin och MaApps)

4. Troligt 3. Påtagligt 12 Direktåtgärder Ja

Beskrivning av risk

Risk för att intern information publiceras i olika system på grund av att kunskap saknas om vilken information som ska publiceras var, vilket kan leda till dubbelarbete, att felaktiga information förekommer, oklarhet om var information finns och att medarbetare missar viktig information.

Kommentar

Felaktig eller värde-

laddad information 4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för felaktig eller värdeladdad information på grund av att verksamheterna skapar innehåll i strid med Malmö stads policy genom egna kanaler (webb, sociala medier m.m.), vilket kan leda till bristande förtroende för varumärket Malmö stad.

Kommentar

Risken är under kontinuerlig bevakning hos kommunikationsavdelningen.

Under 2019 kommer samtliga nämnder att genomföra granskning av serviceskyldigheten i sociala medier (se avsnittet

"Risker som ligger till grund för kommungemensamma granskningar").

(14)

Informationssäkerhet

hantering Till plan Sekretessreglerade

uppgifter förekommer i offentliga handlingar

3. Möjlig 4. Allvarligt 12

Nej

Beskrivning av risk

Risk för att känsliga uppgifter om elever skrivs i offentliga beslut på grund av bristande kunskap om hantering av sekretess, vilket kan leda till att elevernas integritet inte skyddas.

Kommentar

Myndighetsavdelningen kommer att göra en genomgång och uppdatering av rutiner, samt genomföra utbildning av den administrativa personal som gör underlag för beslut.

Osäker hantering av dokument/filer i den nya IT-plattformen

2. Föga troligt 2. Kännbart 4 Accepteras Nej

Beskrivning av risk

Risk för osäker hantering av dokument/filer på grund av bristande kunskap om den nya plattformen, vilket kan leda till oönskade konsekvenser.

Kommentar

Risken har varit föremål för en direktåtgärd under 2018 där utbildningskontorets personal tagit del av webinarer genom Malmö stads utbildningscenter för den digitala arbetsplatsen. Sannolikheten skattas också lägre 2019 till följd av att personalen utvecklat en förtrogenhet med den nya IT-plattformen.

Undermåligt brandskydd i förvaltningens arkivlokaler

2. Föga troligt 5. Synnerligen

allvarligt 10 Direktåtgärder Nej

Beskrivning av risk

Risk för förlust av bevarandevärda arkivhandlingar (t.ex. slutbetyg) på grund av undermåligt brandskydd i förvaltningens arkivlokaler, vilket kan leda till att nämnden inte följer kommunstyrelsens anvisningar samt brott mot arkivlagen och offentlighetsprincipen (på grund av att rätten att ta del av allmänna handlingar inte uppfylls).

Kommentar

Förvaltningen har genomfört en inventering av arkivlokaler. Respektive enhet ansvarar - vid konstaterat behov - för att omlokalisera sitt arkiv alternativt köpa in brandsäkra skåp för att uppfylla kraven.

Avsaknad av gallringsfunktion i digitala system

5. Nästintill

säkert 2. Kännbart 10 Accepteras Nej

Beskrivning av risk

Risk för att dokument bevaras utan laglig grund på grund av att flertalet digitala system saknar gallringsfunktion, vilket kan leda till att vi bryter både mot arkivlagen och dataskyddsförordningen (GDPR).

Kommentar

Förvaltningen har kartlagt de digitala systemen och initierat upphandling för de mest känsliga systemen. De flesta

(15)

Otillåten gallring 4. Troligt 3. Påtagligt 12 Direktåtgärder Ja Beskrivning av risk

Risk för otillåten gallring när exempelvis inkomna pappersoriginal gallras efter inskanning i dokument- och ärendehanteringssystemet på grund av bristande rutiner, vilket kan leda till att förvaltningen inte hanterar allmänna handlingar på ett korrekt sätt och bryter mot arkivlagen.

Kommentar

Bristfällig hantering av sekretesshandlingar

2. Föga troligt 5. Synnerligen

allvarligt 10

Nej

Beskrivning av risk

Risk för att elever eller personal utan behörighet får tillgång till sekretesshandlingar på grund av att de förvaras i olåsta utrymmen eller utrymmen som större delen av personalen har tillgång till, vilket kan leda till att förvaltningen inte skyddar elevernas integritet samt bryter mot offentlighets- och sekretesslagen.

Kommentar

Under våren 2019 kommer förvaltningen att ta fram riktlinjer för hantering av sekretesskyddad information, vilket även inkluderar skyddade personers uppgifter. Förvaltningen bedriver även kompetenshöjande insatser ute i verksamheterna samt arrangerar föreläsningar i offentlighet och sekretess för administrativ personal.

Underprioriterat ordningsarbete i förvaltningens arkiv

3. Möjlig 2. Kännbart 6 Direktåtgärder Nej

Beskrivning av risk

Risk för att ordningsarbete inte utförs regelbundet på skolorna och arkivredovisningen inte efterlevs på grund av avsaknad av resurser för och prioritering av arkivarbete, vilket kan leda till brott mot arkivlagen genom bristande insyn för allmänheten, brott mot dataskyddsförordningen (GDPR) samt offentlighets- och sekretesslagen.

Kommentar

Myndighetsavdelningen kommer att göra en genomgång och uppdatering av rutiner, samt genomföra utbildning av arkivansvariga på respektive enhet. Därtill rekryteras studentmedarbetare för att bistå arbetet under våren 2019.

Upphandling/Inköp

hantering Till plan Leverantörsfakturor

betalas för sent 3. Möjlig 3. Påtagligt 9 Granskning Ja

Beskrivning av risk

Risk för att fakturor inte attesteras i tid på grund av oklart betalningsansvar, vilket kan leda till att förvaltningen får påminnelser, förseningsavgifter och att fakturor går vidare till inkasso.

Kommentar

(16)

Överskridande av gränsvärde för

direktupphandling 3. Möjlig 3. Påtagligt 9

Nej

Beskrivning av risk

Risk för att direktupphandlingar som avser samma vara/tjänst genomförs samtidigt av olika personer inom förvaltningen på grund av bristande kommunikation/parallella processer, vilket kan leda till att gränsvärde för direktupphandling överskrids.

Kommentar

Under 2019 kommer information om förvaltningens regelverk för direktupphandling gå ut till budgetansvariga och övriga tjänstemän som är involverade vid direktupphandlingar med syfte att tydliggöra dessa bestämmelser. Utöver denna åtgärd arbetar förvaltningen med att starta upp en ny inköpsorganisation vilken innefattar en begränsning av antalet inköpare, med syftet att förvaltningen ska ha ett fåtal inköpare som är specialister på hela inköpsledet (vilket även innefattar direktupphandlingarna).

Felaktig hantering

vid e-handel 4. Troligt 3. Påtagligt 12

Nej

Beskrivning av risk

Risk för att användare gör en felaktig beställning vilket kan leda till att beställningen inte går iväg och varan/tjänsten därmed inte levereras.

Kommentar

Det finns rutiner för bevakning av att inleverans sker i tid så att inte e-handelsfakturor blir sena till betalning. Löpande håller redovisningsenheten utbildning och även informerar om vikten av att följa upphandlingsavtalen och att an- vända e-handeln.

Avsaknad av

F-skattsedel 2. Föga troligt 3. Påtagligt 6

Nej

Beskrivning av risk

Risk för att förvaltningen gör utbetalning för tjänster till leverantör som saknar F-skattsedel.

Kommentar

Redovisningsenheten kontrollerar alla leverantörer så att de har F-skattsedel.

Betalning till fel bankgiro/postgiro/

konto eller till blufföretag

2. Föga troligt 4. Allvarligt 8

Nej

Beskrivning av risk

Risk för att utbetalningar går till fel bankgiro/postgiro/konto vilket medför att fel leverantör får betalt.

Kommentar

Redovisningsenheten kontrollerar så att alla fakturor har ett bankgiro/postgiro/konto som är direkt kopplat till

(17)

Ofullständiga

fakturor 4. Troligt 3. Påtagligt 12 Granskning Ja

Beskrivning av risk

Risk för att fakturor saknar underlag som förklarar vad fakturan avser. Brister i underlaget kan leda till att förvaltningen utför felaktiga utbetalningar och inte i efterhand kan följa upp vad fakturan avser.

Kommentar

(18)

Risker som ligger till grund för kommungemensamma granskningar

HR

hantering Till plan

Löneskuld 4. Troligt 3. Påtagligt 12 Granskning Ja

Beskrivning av risk

Risk för att löneskuld uppstår på grund av okunskap och bristande följsamhet av anställning- och lön processen vid registrering av semester, vård av barn, sjukfrånvaro och annan frånvaro vilket kan leda till att felaktig lön utbetalas och att extra kostnader uppstår.

Kommentar

Risken har identifierats och skattats av stadskontoret (STK-2018-913) och avser en samlad bedömning för hela Malmö stad. Risken är föremål för en kommunövergripande granskning under 2019.

Informationssäkerhet

hantering Till plan Bristande service-

skyldighet

5. Nästintill

säkert 4. Allvarligt 20 Granskning Ja

Beskrivning av risk

Risk för att kommunen inte klarar att leva upp till serviceskyldigheten i förvaltningslagen på grund av felaktig hantering av sociala medier, vilket kan leda till att medborgare inte får den service de förväntar sig och har rätt till, sekretessbelagd information röjs eller medborgare blir kränkta etc.

Kommentar

Risken har identifierats och skattats av stadskontoret (STK-2018-913) och avser en samlad bedömning för hela Malmö stad. Risken är 2019 kopplad till en uppföljning av en kommungemensam granskning som initialt genomfördes verksamhetsåret 2016. Den granskningen visade på brister hos förvaltningens verksamheter i efterlevnaden av Malmö stads policy för sociala medier.

Upphandling/Inköp

hantering Till plan Bristande avtals-

hantering 4. Troligt 3. Påtagligt 12 Granskning Ja

Beskrivning av risk

Risk för att Malmö stad sluter felaktiga eller bristfälliga avtal och bryter mot gällande rätt på grund av bristande styrning och okunskap vilket kan leda till förtroendeskada och ekonomiska konsekvenser såväl direkt (dåliga villkor) som indirekt (upphandlingsskadeavgift/ skadestånd).

Kommentar

Risken har identifierats och skattats av stadskontoret (STK-2018-913) och avser en samlad bedömning för hela Malmö