Saksliste Saker til behandling 1/18 Forvaltningsrevisjon IKT sikkerhet og drift 3 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet 43 3/1

Transkript

1 MØTEINNKALLING Frogn kontrollutvalg Dato: kl. 14:00 Sted: Frogn rådhus - møterom Oscarsborg Møtet er åpent for publikum i alle saker med mindre saken er unntatt offentlighet. Møtedokumenter er publisert på Saker til behandling 1/18 Forvaltningsrevisjon IKT sikkerhet og drift 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet 3/18 Tema forvaltningsrevisjon /18 Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt 5/18 Kontrollutvalgets årsrapport /18 Orienteringssaker Eventuelt Eventuelle forfall eller inhabilitet meldes til sekretæren. Varamedlemmer møter etter særskilt innkalling. Ås, Knut Erik Robertsen/s./ leder Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no Lene H. Lilleheier/s./ sekretær

2 Saksliste Saker til behandling 1/18 Forvaltningsrevisjon IKT sikkerhet og drift 3 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet 43 3/18 Tema forvaltningsrevisjon /18 Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt 131 5/18 Kontrollutvalgets årsrapport /18 Orienteringssaker Eventuelt 142

3 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjon IKT sikkerhet og drift KONTROLLUTVALGET I FROGN Sak 1/18 Forvaltningsrevisjon IKT sikkerhet og drift Saksbehandler: Lene H. Lilleheier Behandlingsrekkefølge Frogn kontrollutvalg Saksnr.: 17/ Møtedato: Sekretariatets innstilling: Forvaltningsrevisjonsrapporten om IKT sikkerhet og drift oversendes kommunestyret med følgende innstilling: I Kommunestyret merker seg at revisjonen anbefaler at Frogn kommune setter i verk følgende tiltak: 1. Utarbeider skriftlige rutiner som dekker alle sentrale arbeidsprosesser for styring av IKT-funksjonen. 2. Gjennomfører systematiske kartlegginger og analyser av hvor i kommunens IKT-systemer og -løsninger det foreligger risiko for feil, mangler eller svikt, herunder driftsstans, nedetid mv., samt når dette kan inntreffe. 3. Gjennomgår styringssystemet for informasjonssikkerhet, og sikrer at det oppfyller gjeldende krav i regelverket til behandling av personopplysninger, herunder; a. Etablerer system og rutiner for å sikre at oversiktene over personalopplysninger som behandles er oppdatert og fullstendig, og at all relevant informasjon om personopplysninger som behandles blir registrert. b. Sikrer at det blir gjennomført systematiske risikoanalyser opp mot fastsatte akseptkriterier, knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger. c. Sikrer at det blir meldt avvik knyttet til eventuell mangelfull behandling av personopplysninger, og at meldte avvik følges opp og lukkes. d. Sikrer at det blir etablert tilstrekkelig rutiner for tildeling og kontroll av ansattes til personopplysninger som blir behandlet i fag- og fellessystemer. II Kommunestyret ber rådmannen følge opp anbefalingene og melde tilbake til kontrollutvalget om resultatet innen tolv måneder. Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no

4 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjon IKT sikkerhet og drift Vedlegg: Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift SAKSUTREDNING: Kontrollutvalget vedtok 28. august 2017 jf. sak 19/17 prosjektplan for forvaltningsrevisjonsprosjektet «IKT sikkerhet og drift.» Formålet med prosjektet har vært å kartlegge og vurdere kommunens sentrale IKTfunksjoner med fokus på sikkerhet, drift og overordnede målsetninger og rutiner. Sekretariatet mener revisjonen har fulgt opp kontrollutvalgets bestilling gjennom å svare på problemstillingene som ble vedtatt av kontrollutvalget. Revisjonens metode i prosjektet har vært dokumentanalyse og intervjuer. Rapportens konklusjoner og anbefalinger står på side 29 i rapporten. Oppsummering av rapportens svar på problemstillingene: 1) I hvilken grad har kommunen klare strategier og planer knyttet til investeringer innenfor IKT-området, og hvordan etterleves disse? Kommunen har gjennom sin digitaliseringsstrategi definert mål og strategier for utvikling av IKT-området. Behov for investeringer går tydelig fram av planer. I kommunens budsjett er det satt av midler til finansiering og oppfølging av strategiene som er definert. Det er en etablert praksis i IKT-enheten for å følge opp og gjennomføre prosjektene politikerne vedtar. Revisor mener at kommunen har foretatt en tydelig oppfølging av strategiene som sikrer at disse blir etterlevd. 2) Har kommunen tilfredsstillende systemer og rutiner for å avdekke, redusere og forhindre potensielle IKT-risikoer? Herunder: a. Rutiner for sikkerhet, drift og vedlikehold av IKT-systemer? b. Rutiner for å gjenoppta normal drift etter en driftsstans. Kommunen har et system for overordnet styring av IKT funksjonen, som baserer seg på anerkjente rammeverk. Revisjonen mener at kommunen gjennom dette i utgangspunktet har satt i verk gode tiltak for å avdekke, redusere og forhindre IKTrisikoer. Samtidig mener revisjonen at kommunen ikke i tilstrekkelig grad har utarbeidet skriftlige rutiner for å redusere og forhindre avdekte IKT-risikoer. Manglende skriftlige rutiner er en risiko for at arbeidet med å redusere og forhindre risiko knyttet til IKT-systemene fører til at oppfølgingen blir personavhengig. Det gjennomføres ikke systematiske risikoanalyser knyttet til hvor i kommunens IKTsystemer det foreligger risiko for feil, mangler eller svikt. Revisor understreker at risikoanalyser er sentralt for å sikre god internkontroll. Kommunen har ikke satt kriterier for akseptabel risiko innenfor IKT-området. Kommunen har beredskapsplan for IKT og service og det er utarbeidet skriftlige rutiner for å gjenoppta normal drift etter driftsstans. Side 2 av 3

5 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjon IKT sikkerhet og drift Kommunen har i liten grad hatt utfordringer knyttet til nedetid på datasystemer de siste årene. Revisor mener kommunen har tilstrekkelige systemer og rutiner for å gjenoppta normal drift og opprettholde sikkerheten i informasjon, infrastruktur og applikasjoner. Dette i tråd med anerkjent praksis og kommunelovens 23 om internkontroll. 3) Har kommunen etablert et styringssystem for informasjonssikkerhet som tilfredsstiller krav i regelverket? Kommunen har etablert en sikkerhetsorganisasjon tilpasset kommunens sikkerhetsstrategi, som etter revisjonens vurdering fremstår som tydelig. Det er kartlagt hvilke opplysninger som behandles gjennom fag- og fellessystemer, men det er ikke etablert system og rutiner for å sikre at oversiktene over personopplysninger som behandles er oppdatert og fullstendig. Gjennom databehandleravtaler sikrer kommunen at det er oversikt over hvem som behandler personopplysninger på vegne av kommunen. Det blir ikke utført systematiske risikoanalyser angående hvor og når det kan forekomme feil og mangler i forhold til informasjonssikkerhet og behandling av personopplysninger. Kommunens avvikssystem er tilrettelagt for å melde avvik om informasjonssikkerhet, revisjonen mener at antall meldte avvik fremstår som lavt og at avviksmodulen ikke er gjort tilstrekkelig tydelig for at ansatte kan melde avvik på dette området. Det er etablert skriftlige rutiner for tilganger til ansatte i forbindelse med oppstart og slutt av arbeidsforhold. Rutiner rundt ansatte som skifter jobb internt i kommunen er ikke etablert. Revisor mener at kommunens arbeid med informasjonssikkerhet på flere området bryter med sentrale krav i lov og forskrift når det gjelder sikkerhet ved behandling av personopplysninger. Rådmannens høringssvar til rapporten er tatt inn på side 31. Rådmannen bemerker at han gjennom prosjektet «Orden i eget hus» jobber med å styrke internkontrollen i hele organisasjonen. Rapportens konklusjoner og anbefalinger vil blir tatt med i det videre arbeidet med å imøtekomme kravene i den nye personvernforordningen fra EU. Ås, 15. januar 2018 Lene H. Lilleheier/s./ rådgiver Side 3 av 3

6 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Forvaltningsrevisjon Frogn kommune IKT sikkerhet og drift Januar 2018

7 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift «Forvaltningsrevisjon av IKT sikkerhet og drift» Januar 2018 Rapporten er utarbeidet for Frogn kommune av Deloitte AS. Deloitte AS Postboks 6013 Postterminalen, 5892 Bergen tlf: forvaltningsrevisjon@deloitte.no

8 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Sammendrag I samsvar med bestilling fra kontrollutvalget i Frogn kommune, har Deloitte gjennomført en forvaltningsrevisjon av IKT sikkerhet og drift i kommunen. Formålet med forvaltningsrevisjonen har vært å kartlegge og vurdere kommunens sentrale IKT-funksjoner med fokus på sikkerhet, drift og overordnede målsetninger og rutiner. Revisjonen har gått gjennom relevant dokumentasjon fra kommunen, og det er gjennomført intervju med til sammen seks personer. Forvaltningsrevisjonen viser at Frogn kommune har definert mål og strategier for utvikling av IKT-området, som inkluderer planer for investeringer i IKT-systemer. Planene omfatter utvikling av IKT-området både på overordnet nivå (utvikling av fag- og fellessystemer) og for mer spesifikke prosjekter som digitalisering av Frognskolen, og blir finansiert av kommunestyret med bevilgninger i kommunens investeringsbudsjett. Planene for utvikling av IKT-systemer følges opp i samsvar med de strategiene som er lagt, og rapporteres på i månedlig økonomirapportering, og i forbindelse med tertialrapportering. Videre har kommunen, i samsvar med anerkjent praksis, utarbeidet system for overordnet styring av IKT-funksjonen, samt skriftlige rutiner knyttet til sikkerhet, drift og vedlikehold av IKT-systemer, og rutiner for å forhindre driftsstans og for å gjenoppta normal drift etter eventuell driftsstans. Samtidig viser forvaltningsrevisjonen at Frogn kommune ikke i tilstrekkelig grad har utarbeidet rutiner for å redusere og forhindre avdekte IKT-risikoer. Etter revisjonens vurdering medfører dette risiko for feil og mangler i kommunens arbeid med å forhindre IKT-risikoer, samt risiko for at arbeidet blir avhengig av enkeltpersoner og dermed sårbart for utskiftninger i personale, sykdom mv. Av undersøkelsen går det frem at det heller ikke gjennomføres systematiske risikoanalyser knyttet til hvor i kommunens IKT-systemer det foreligger risiko for feil, mangler og svikt, herunder risiko for stans eller nedetid på IKT-løsninger. Revisjonen vil understreke at systematiske risikoanalyser er et sentralt element for å sikre god internkontroll, når det gjelder å avdekke aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse, manglende etterleving av rutiner og regelverk, eller svikt i drift av sentrale løsninger og systemer som vil kunne påvirke de tjenestene kommunen tilbyr. Forvaltningsrevisjonen viser at Frogn kommune har et styringssystem for informasjonssikkerhet. Kommunen har etablert både sikkerhetsmål og sikkerhetsstrategi gjeldende for kommunens arbeid med informasjonsbehandling, og har også kartlagt hvilke personopplysninger som behandles gjennom ulike fagog fellessystemer. Kommunen har imidlertid ikke etablert system og rutiner for å sikre at oversiktene over personopplysninger som behandles er oppdatert og fullstendig, eller at all relevant informasjon om personopplysningene som behandles blir registrert, herunder informasjon om formålet med behandlingen. Det blir videre ikke gjennomført systematiske risikoanalyser knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger, og det er ikke sikret en fullstendig praksis for å melde avvik knyttet til mangelfull behandling av personopplysninger. Når det gjelder kontroll av ansattes tilgang til systemer der personopplysninger blir behandlet, er det ikke etablert rutiner for å gjøre endringer i tilganger for ansatte som bytter jobb internt, og det føres ikke kontroll eller tilsyn med at de tilganger til systemer der personopplysninger blir behandlet som er gitt, er korrekte og i samsvar med faktisk behov ansatte har i forbindelse med utføring av egne arbeidsoppgaver. Etter revisjonens vurderinger er flere av funnene knyttet til kommunens arbeid med informasjonssikkerhet ikke i samsvar med gjeldende regelverk, og revisjonen mener at kommunen med dette bryter med flere sentrale krav i lov og forskrift når det gjelder sikkerhet ved behandling av personopplysninger. Basert på det som kommer frem i forvaltningsrevisjonen, kommer revisjonen med noen anbefalinger til Frogn kommune. Disse fremgår av kapittel 6 Konklusjon og anbefalinger. 3

9 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Innhold Sammendrag 3 1. Innledning 6 2. Om tjenesteområdet 7 3. Strategier og planer for investeringer 8 4. System og rutiner for håndtering av IKT-risiko Informasjonssikkerhet Konklusjon og anbefalinger 29 Vedlegg 1: Høringsuttalelse 31 Vedlegg 2: Revisjonskriterier 32 Vedlegg 3: Sentrale dokumenter og litteratur 36 4

10 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Detaljert innholdsfortegnelse Sammendrag 3 1. Innledning Bakgrunn Formål og problemstillinger Metode Revisjonskriterier 2. Om tjenesteområdet 7 3. Strategier og planer for investeringer Problemstilling Revisjonskriterier Datagrunnlag Vurdering System og rutiner for håndtering av IKT-risiko Problemstilling Revisjonskriterier Rutiner for sikkerhet, drift og vedlikehold Rutiner for gjenopptakelse av drift etter driftsstans Informasjonssikkerhet Problemstilling Revisjonskriterier Datagrunnlag Vurdering Konklusjon og anbefalinger 29 Vedlegg 1: Høringsuttalelse 31 Vedlegg 2: Revisjonskriterier 32 Vedlegg 3: Sentrale dokumenter og litteratur 36 5

11 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift 1. Innledning 1.1 Bakgrunn Deloitte har gjennomført en forvaltningsrevisjon av IKT sikkerhet og drift i Frogn kommune. Prosjektet ble bestilt av kontrollutvalget i Frogn kommune i sak 19/17, 28. august Formål og problemstillinger Formålet med forvaltningsrevisjonen har vært å kartlegge og vurdere kommunens sentrale IKT-funksjoner med fokus på sikkerhet, drift og overordnede målsetninger og rutiner. Med bakgrunn i formålet ble det utarbeidet følgende problemstillinger: 1. I hvilken grad har kommunen klare strategier og planer knyttet til investeringer innenfor IKTområdet, og hvordan etterleves disse? 2. Har kommunen tilfredsstillende systemer og rutiner for å avdekke, redusere og forhindre potensielle IKT-risikoer? Herunder: a. Rutiner for sikkerhet, drift og vedlikehold av IKT-systemer? b. Rutiner for å gjenoppta normal drift etter en driftsstans? 3. Har kommunen etablert et styringssystem for informasjonssikkerhet som tilfredsstiller krav i regelverket? 1.3 Metode Dokumentanalyse Rettsregler og relevante kommunale styringsdokumenter har blitt gjennomgått og benyttet som revisjonskriterier. Videre har revisjonen samlet inn og gått gjennom dokumentasjon fra kommunen. Dette inkluderer blant annet kommuneplan, handlingsprogram for , virksomhetsplan for enhet for IKT og service, budsjett og regnskap fra enhet for IKT og service, rutiner knyttet til sikkerhet og drift av IKTsystemer og løsninger, og mål og strategier for arbeid med informasjonssikkerhet Intervju Revisjonen har gjennomført intervjuer med utvalgte personer i Frogn kommune som er involvert i kommunens arbeid med sikkerhet, drift og vedlikehold av kommunens IKT-systemer, samt kommunens arbeid med informasjonssikkerhet. Dette inkluderer enhetsleder for enhet for IKT og service, beredskapskoordinator (som også fungerer som sikkerhetsleder), arkivleder, konstituert kommunalsjef for helse, samt enhetsleder for hjemmetjenester og systemansvarlig for Gerica (fagsystem innen helse og omsorg). Totalt er det gjennomført fire intervjuer med seks personer Verifiseringsprosesser Oppsummering av intervju er sendt til de som er intervjuet for verifisering og det er informasjon fra de verifiserte intervjureferatene som er benyttet i rapporten. Datadelen av rapporten er sendt til rådmannen for verifisering og høring. På bakgrunn av verifiseringssvar fra rådmannen, har revisjonen rettet opp mindre faktafeil. Rådmannens høringsuttalelse er lagt ved den endelige rapporten. 1.4 Revisjonskriterier Revisjonskriterier er de krav og forventninger som forvaltningsrevisjonsobjektet skal bli vurdert opp mot. Kriteriene er utledet fra autoritative kilder i samsvar med kravene i gjeldende standard for forvaltningsrevisjon. I dette prosjektet er revisjonskriteriene i hovedsak hentet fra kommuneloven, personopplysningsloven og forskriften og anerkjente rammeverk for styring av IKT-funksjonen. Kriteriene er nærmere presentert innledningsvis under hvert tema, og i vedlegg 2 til rapporten. 6

12 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift 2. Om tjenesteområdet Innenfor IKT-området er Frogn kommune organisert med en egen enhet som omfatter IKT og service, og som sorterer i direkte linje under rådmannen. Enhetsleder for IKT og service inngår i rådmannens ledergruppe, og rapporterer direkte til rådmann. Enhetsleder fungerer som både strategisk leder og operativ IKT-sjef i kommunen, med ansvar for hele kommunens IKT-portefølje. Det er ikke ansatt egen driftssjef eller sikkerhetssjef innenfor IKT i Frogn kommune. Enhet for IKT og service innehar flere ulike roller når det kommer til arbeid med og oppfølging av IKT i kommunen. Enheten har en bestillerrolle, med ansvar for utarbeidelse av kravspesifikasjoner og tilbudsforespørsler i forbindelse med anskaffelser innen IKT og telefoni, samt oppfølging av leveranser til kommunen innen IKT og telefoni for alle kommunens virksomheter. Videre har enhetene en styringsrolle innen Frogn kommunes arbeid med IKT. Dette omfatter arbeid med og oppfølging av strategier på IKT-området og kommunale digitaliseringsprosesser, forvaltning og oppfølging av avtaleverk innen IKT og telefoni, lisensadministrasjon, prosjektstyring og IKT-sikkerhet, ansvar for å utnytte teknologiske trender og muligheter og for å utvikle egen teknologi og systemportefølje, samt ivareta gjeldende standarder, lovverk, retningslinjer og føringer knyttet til IKT. I tillegg har enhet for IKT og service en leverandørrolle på IKT-området i kommunen. Denne rollen omfatter drift og vedlikehold av felles- og fagsystemer, samt teknisk infrastruktur innen IKT og telefoni for alle virksomheter i kommunen. Leverandørrollen omfatter også blant annet klargjøring/installasjon av leveranser innen IKT og telefoni, brukerstøtte og opplæring, og deltakelse i interne kommunale prosjekter som inkluderer IKT-komponenter. Frogn kommune deltar i det administrative samarbeidet IKT Follo, sammen med kommunene Oppegård, Ski, Vestby, Nesodden og Ås. IKT Follo er et administrativt samarbeid som har som formål å sikre enhetlig og trygg drift av den felles infrastruktur som er etablert for å ivareta ulike systemområder i IKT Follos samarbeidsflate. Dette omfatter blant annet portalløsninger, kartsystemer, økonomisystem og sak- og arkivsystem. Samarbeidet er organisert som et vertskommunesamarbeid med Ski og Frogn kommuner som vertskommuner, og rådmannskollegiet i alle samarbeidskommunene som styringsgruppe. I samarbeidet er Frogn kommune vertskap for Agresso ERP-systemet samarbeidskommunene benytter, samt sak- og arkivsystemet (Public 360). 7

13 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift 3. Strategier og planer for investeringer 3.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling: I hvilken grad har kommunen klare strategier og planer knyttet til investeringer innenfor IKT-området, og hvordan etterleves disse? 3.2 Revisjonskriterier Kommuner er pålagt å planlegge sin virksomhet. Det går frem av kommuneloven 5 at «kommunen skal utarbeide en samordnet plan for den kommunale virksomhet.» Kommunen sin plikt til og formål med å utarbeide planer går også frem av plan- og bygningsloven 3-2, 3-3 og 11-2 andre ledd. Planleggingen skal fremme helhet ved at sektorer, oppgaver og interesser på et område blir sett i sammenheng gjennom samordning og samarbeid om oppgaveløsing mellom sektormyndigheter og mellom statlige, regionale og kommunale organ, private organisasjoner og institusjoner, og allmenheten, jf. planog bygningsloven 3-1. Av kommuneloven 44 om økonomiplan, går det frem at kommunestyret en gang i året skal vedta en rullerende økonomiplan, som omfatter hele kommunens virksomhet og gir «en realistisk oversikt over sannsynlige inntekter, forventede utgifter og prioriterte oppgaver i planperioden.» Videre går det frem at 45 i samme lov at kommunestyret innen årets utgang skal vedta budsjett for det kommende kalenderår, og av kommuneloven 46 går det frem at dette budsjettet skal omfatte hele kommunens virksomhet, samt være inndelt i en driftsdel og en investeringsdel. Bevilgninger i årsbudsjettet er bindende for underordnede organer, jfr. kommuneloven 47: «Kommunestyrets ( ) bevilgninger i årsbudsjettet er bindende for underordnede organer. Dette gjelder ikke for utbetalinger kommunen ( ) er rettslig forpliktet til å foreta, jf. 46 nr. 1 tredje punktum. Skjer det endringer i løpet av budsjettåret som kan få betydning for de inntekter og utgifter som årsbudsjettet bygger på, skal administrasjonssjefen, kommunerådets leder ( ) gi melding til kommunestyret ( ). Får kommunestyret ( ) melding etter nr. 2 foran, skal det foreta nødvendige endringer i budsjettet. Det samme gjelder når det på annen måte gjøres kjent med forhold som kan bety vesentlig svikt i inntektene eller en vesentlig økning i utgiftene i forhold til budsjettet.» I forskrift om årsbudsjett (for kommuner og fylkeskommuner) er det i 10 stilt følgende krav til budsjettstyring: «Administrasjonssjefen, eventuelt kommunerådet, skal gjennom budsjettåret legge fram rapporter for kommunestyret som viser utviklingen i inntekter og innbetalinger og utgifter og utbetalinger i henhold til det vedtatte årsbudsjett. Dersom administrasjonssjefen eller kommunerådet finner rimelig grunn til å anta at det kan oppstå nevneverdige avvik i forhold til vedtatt eller regulert årsbudsjett, skal det i rapportene til kommunestyret eller fylkestinget foreslås nødvendige tiltak.» Se vedlegg 2 for utfyllende revisjonskriterier. 3.3 Datagrunnlag Mål og strategier for utvikling av IKT-området Frogn kommunens handlingsprogram for inneholder et eget kapittel knyttet til kommunikasjon og interne systemer, som omhandler Frogn kommunes overordnede digitaliseringsstrategi, og som også 1 Vedtatt i kommunestyret 12. desember 2016, sak 156/16. 8

14 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift angir mål og styringsindikatorer for digitaliseringsarbeidet, samt ulike strategier for hvordan digitaliseringsmålene skal nås. Av handlingsprogrammet går det frem at det overordnede målet for Frogn kommunes digitaliseringsstrategi er at: «Frogn kommune leverer digitale tjenester som gir innbyggere og næringslivet et reelt digitalt førstevalg og bidrar til en effektiv tjenesteproduksjon.» Blant strategiene som skal bidra til å nå det overordnede målet i handlingsprogrammet, finner man at Frogn kommunes ledelse skal ha IKT som en del av det strategiske planarbeidet, og at IKT skal benyttes for styringsdata om økonomi, kvalitet og produktivitet. Som en del av denne strategien skal kommunen «innarbeide IKT-investeringer og bruk som en del av de strategiske beslutninger som tas», samt «innføre IKT-systemer som organisasjonsprosjekt og ha fokus på gevinst og gevinstrealisering». En annen strategi for å nå det overordnede målet i handlingsprogrammet er at Frogn kommune skal ha en sikker og stabil infrastruktur med gode fag- og støttesystemer som utveksler informasjon seg imellom og på tvers av forvaltningsnivå. Dette skal oppnås gjennom blant annet å «videreutvikle og fornye fag- og fellessystemer». Videre går det frem at en ytterligere strategi for å nå målet om å levere digitale tjenester som blant annet gir innbyggere og næringsliv et reelt digitalt førstevalg, er å sørge for at barnehager og skoler i kommunen benytter gode og fleksible digitale læremidler, bygget på en sikker og stabil teknisk plattform. Dette skal oppnås ved å etablere disse læremidlene gjennom egne prosjekter i skolene med fokus på blant annet teknisk fornyelse. I intervju blir det opplyst at hvilke IKT-investeringer som skal prioriteres og bevilges midler til i Frogn kommune, avgjøres som en del av den årlige prosessen rundt budsjett og handlingsprogram. I denne prosessen kommer administrasjonen, gjennom forslag til budsjett og handlingsprogram, med anbefalinger til kommunestyret om hvilke systemer og løsninger kommunen bør satse på og investere i, ut fra de målene kommunen har definert i kommuneplanen og andre politiske føringer, kommunens satsings- og utviklingsområder, samt innmeldte behov fra enhetsleder i de ulike enhetene i kommunen knyttet til teknologi og IKT-løsninger. Forslag fra administrasjonen blir vurdert av politikerne i forbindelse med behandlingen i kommunestyret, og velger løsninger og bevilger midler gjennom vedtaket som fattes årlig i egen sak om budsjett og handlingsprogram. Strategier og planer for investeringer innen IKT I handlingsprogrammet er investeringer innenfor IKT-området omtalt som en del av kapittelet om kommunale investeringer som helhet. Her går det frem at investeringsnivået for IKT for perioden er satt i samsvar med kapittelet om kommunikasjon og interne systemer, og at et viktig mål for IKTinvesteringen er økt digitalisering og forenkling slik at kommunale ressurser kan brukes mer effektivt. Investeringsbudsjettet for perioden viser at det er satt av kr. 1,5 millioner per år til IKTinvesteringer i Frogn kommune, totalt kr. 6 millioner for perioden til investeringer innenfor IKT. Videre blir det i handlingsprogrammet vist til at kommunen i gjennomførte et pilotprosjekt for digital skole, som omhandlet teknisk og pedagogisk fornyelse ved to skoler i kommunen. I perioden skal prosjektet gjennomføres ved de resterende skolene i kommunen. Som en del av prosjektet skal elever og lærer utstyres med eget læringsbrett (nettbrett), samtidig som IKT-infrastrukturen knyttet til Frognskolen oppgraderes til å håndtere bruken av læringsbrett og tilhørende ny teknisk plattform. I investeringsbudsjettet er det for perioden satt av midler til Digital skole-prosjektet på kr. 10 millioner. I tillegg blir det i kapittelet om IKT-investeringer vist til at innenfor Agresso-samarbeidet med de øvrige kommunene i IKT Follo, erfaringsmessig foreligger et løpende behov for oppgraderinger og utvikling, særlig med hensyn til økt digitalisering og selvbetjening ute i de ulike enhetene som benytter systemene. I 2017 er det derfor satt av egne midler til videreutvikling av Agresso-samarbeidet, blant annet når det gjelder å ta i bruk digitale løsninger for reiseregninger og utlegg. I investeringsbudsjettet er det for perioden satt av midler til utvikling i Agresso på kr. 4 millioner. I intervju blir det opplyst investeringer innenfor IKT-området som hovedregel inngår i større prosjekter, der IKT håndterer de delene av prosjektet som knytter seg til IKT-systemer og løsninger. Typiske 9

15 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift eksempler på dette er Digital skole-prosjektet, kommunens prosjekter for bygging av badeanlegg og nytt helsebygg; i disse prosjektene har IKT-enheten en sentral rolle i utvikling av de tekniske leveransene. For disse prosjektene er det utarbeidet egne prosjektplaner som beskriver hva som skal gjennomføres og hvem som har ansvar for hva, med fremdrifts- og milepælplaner for de ulike leveransene. For prosjektene er det også opprettet styringsgrupper og prosjektgrupper bestående av personer fra de ulike områdene i kommunen som er involvert. For eksempel har man i forbindelse med digitaliseringsprosjekt innenfor skole en styringsgruppe med deltakere både fra rådmannsnivået, skoleområdet og IKT, samt egne prosjektgrupper for både skole- og IKT-området. Oppfølging av planer for investeringer innenfor IKT-området I intervju opplyser enhetsleder for IKT og service at når handlingsprogram er vedtatt i kommunestyret, og enhetens økonomiske investeringsrammer er bekreftet gjennom vedtatt budsjett, gjennomgår IKTenhetene de investeringsprosjektene som er skissert og foreslått i administrasjonens forslag til handlingsprogram, og spesifiserer og justerer de konkrete tiltakene og aktivitetene som er planlagt gjennomført av enhet for IKT innenfor hvert prosjekt, slik at de er i samsvar med politikernes prioriteringer i handlingsprogrammet og innenfor rammene av tildelt budsjett. Tiltak og aktiviteter IKT-enheten skal gjennomføre i prosjekter de er en del av, legges inn i virksomhetsplanen for enheten. Tiltak og aktiviteter i virksomhetsplanen blir videre brutt ned i mindre arbeidsmål, og fordelt til ansatte i enhet for IKT og service for oppfølging og gjennomføring. I intervju opplyser intervjuede enhetsledere og kommunalsjef at de opplever at det i stor grad er samsvar mellom de overordnede planene og strategiene kommunen har vedtatt for investeringer innen IKTområdet, og hvordan dette følges opp gjennom de investeringsprosjektene som faktisk gjennomføres. De styringssignalene kommunestyret gir for investeringer innenfor IKT-området gjennom budsjett og handlingsprogram blir opplevd som tydelige, og det blir pekt på at de aktivitetene som blir prioriterte gjennom tildeling av midler over årlig budsjett i stor grad blir fulgt opp og iverksatt. I tillegg til oppfølging av investeringer innenfor IKT-området gjennom større prosjekter, gjøres det kontinuerlig investeringer knyttet til IKT-plattformen i kommunen, både for å opprettholde drift av kommunens fagsystemer og sørge for tilstrekkelig datasikkerhet. I intervju blir det opplyst at dette krever mye arbeid og oppfølging fra IKT-enheten. Av større investeringer innenfor dette feltet de siste årene blir det pekt på etablering av nødstrømanlegg til datarommet ved rådhuset som sikrer at alle systemer vil fungere upåvirket av strømbrudd eller andre feil på strømnettet, etablering av nytt system for sikkerhetskopiering av data med dobbel sikkerhetskopi på alternativ lokasjon for å sikre rask gjenoppretting av data dersom det skulle oppstå en feil, og etablering av fullverdig alternativt driftssted som skal dekke kommunens IKT-behov dersom ordinært driftssted ved Frogn rådhus blir satt ut av drift.2 Når det gjelder rapportering på arbeid med investeringer innen IKT-området, rapporterer IKT-enheten til rådmann i forbindelse med tertial- og årsrapportering, før rådmann setter dette sammen til en samlet rapport for kommunen som legges frem for kommunestyret. I tertial- og årsrapportene blir det rapportert på alle styringsindikatorer innenfor IKT-området slik disse også fremgår i handlingsprogram, herunder status for investeringsprosjekter som for eksempel Digital skole-prosjektet. I tillegg rapporterer IKTenheten på økonomi til rådmann hver måned med hensyn til budsjett og måloppnåelse på utvalgte mål. Ev. avvik eller andre relevante forhold knyttet til investeringer og investeringsprosjekter som rådmann må kjenne til, inngår i denne rapporteringen. 3.4 Vurdering Undersøkelsen viser at Frogn kommune gjennom sin digitaliseringsstrategi har definert mål og strategier for utvikling av IKT-området, som inkluderer planer for investering i IKT-systemer. Planene omfatter utvikling av IKT-området både når det gjelder IKT-systemer på overordnet nivå, herunder utvikling av fagog fellessystemer, og for spesifikke prosjekter knyttet til for eksempel digitalisering av læremidler i Frognskolen. I disse planene går eventuelle behov for investeringer tydelig frem. Gjennom budsjett og handlingsplan for Frogn kommune er det satt av midler til å finansiere og følge opp de strategiene som er I forbindelse med verifisering av rapportens datagrunnlag, opplyser Frogn kommune at arbeidet med etablering av fullverdig alternativt driftssted ikke er fullført på tidspunktet for forvaltningsrevisjonen. 2 10

16 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift definert for utvikling av IKT-området i kommune, og undersøkelsen viser at det er etablert praksis i IKTenheten for å følge opp og gjennomføre prosjektene politikerne vedtar, samt rutiner for å rapportere jevnlig på status for utviklingsprosjekter med tilhørende investeringer til ledelsen i administrasjonen og videre til politisk nivå. Etter revisjonens vurdering har Frogn kommune gjennom strategi for digitalisering med tilhørende mål og strategier for utvikling av IKT-området sørget for en tilstrekkelig planlegging av virksomheten som også blir sett i forhold til planer for den kommunale virksomheten for øvrig. Gjennom den operasjonaliseringen og realiseringen av strategier og planer som skjer i administrasjonen, samt gjennom budsjett og handlingsprogram der det er utarbeidet oversikt over hvilke oppgaver som skal prioriteres og gjennomføres og satt av midler til denne oppfølgingen, er det etter revisjonens vurdering også foretatt en tydelig oppfølging av kommunens strategier som sikrer at disse blir etterlevd. 11

17 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift 4. System og rutiner for håndtering av IKTrisiko 4.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling med underproblemstillinger: Har kommunen tilfredsstillende systemer og rutiner for å avdekke, redusere og forhindre potensielle IKTrisikoer? Herunder: Rutiner for sikkerhet, drift og vedlikehold av IKT-systemer? Rutiner for å gjenoppta normal drift etter en driftsstans? 4.2 Revisjonskriterier I kommuneloven 23 framgår følgende krav til administrasjonssjefen: 1. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I Ot.prp.nr.70 ( )3 står følgende kommentar til kravet om betryggende kontroll i kommuneloven 23: Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som blant annet skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. I Ot.prp.nr.70 ( ) blir det videre vist til at internkontroll først og fremst er et ledelsesverktøy, og ( ) er en integrert del av ledelsens styring av organisasjonen. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Det er flere anerkjente rammeverk som beskriver grunnprinsipp for god internkontroll. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen.4 Hovedelementene i COSO-modellen er felles for flere av de ulike rammeverkene for internkontroll. De viktigste elementene er: kontrollmiljø risikovurdering kontrollaktiviteter Ot.prp.nr.70 ( ). Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon). 4 COSO: Internal Control Integrated Framework (2013). 3 12

18 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift kommunikasjon og informasjon ledelsesoppfølging COBIT 5 er et internasjonalt anerkjent rammeverk for styring av IKT-funksjonen i virksomheter utviklet av organisasjonen ISACA.5 Rammeverket tar utgangspunkt i at IKT-funksjonen på en effektiv og god måte skal underbygge og bidra til at virksomheten når sine overordnede mål. Med bakgrunn i dette er det identifisert og definert en rekke mål og prosesser for IKT-funksjonen. Eksempelvis sier rammeverket at dersom det er et overordnet mål for virksomheten å etterleve lover og reguleringer må man bl.a. sette følgende mål for IKT-funksjonen: IKT-funksjonen reguleringer. IKT-funksjonen IKT-funksjonen IKT-funksjonen IKT-funksjonen IKT-funksjonen skal selv etterleve, og skal hjelpe virksomheten ellers i å etterleve, lovkrav og skal skal skal skal skal opprettholde sikkerhet i informasjon, infrastruktur og applikasjoner. håndtere IKT-relatert risiko. levere tjenester i samsvar med virksomheten sine behov. ha pålitelig og nyttig informasjon til å fatte beslutninger. etterleve interne retningslinjer. Se vedlegg 2 for utfyllende revisjonskriterier. 4.3 Rutiner for sikkerhet, drift og vedlikehold Datagrunnlag Overordnet styringssystem for IKT Frogn kommune har utarbeidet et eget dokument som beskriver styringssystemet innenfor IKT-området i kommunen. Av dokumentet går det frem at god dokumentasjon av Frogn kommunes IKT-infrastruktur og systemer, med tilhørende god forvaltning av dokumentasjonen med klare oppgaver, ansvar og internkontroll, skal sikre forsvarlig bruk, drift og vedlikeholde av IKT-systemene. Dette skal igjen bidra til å imøtekomme krav som stilles i lover, forskrifter og allment aksepterte standarder knyttet til infrastruktur og systemforvaltning innen IKT. Styringssystemet for IKT i Frogn kommune består av et rammeverk som omfatter følgende elementer: «planlegging og organisering», «anskaffelse og implementering», «driftsleveranse og støtte», og «monitorering og evaluering». For hvert av disse elementene er det utarbeidet mer spesifikk dokumentasjon og rutiner, som tydeliggjør hvordan det skal jobbes med å følge opp de ulike delene av rammeverket for styring av IKT-funksjonen i Frogn. I intervju opplyser enhetsleder for IKT og service at måten Frogn kommune har valgt å organisere sitt styringssystem for IKT-funksjonen på, er lagt tett opp mot COBIT-standarden og elementene denne inneholder. Det blir imidlertid pekt på at ikke alle elementene i standarden har blitt fulgt opp like aktivt, men at dette særlig har vært en god måte å tilnærme seg organisering av drift av IKT på. En gjennomgang av dokumentasjon og rutiner for IKT som ligger i kommunens kvalitetssystem (Compilo), bekrefter opplysninger fra enhetsleder om at ikke alle elementer i standarden er fulgt opp like aktivt. For elementene «anskaffelse og implementering» og «monitorering og evaluering» er det kun i noen grad utarbeidet spesifikke dokumentasjon og rutiner for å styre IKT-funksjonen, og det er ikke utarbeidet dokumenter og/eller rutiner som beskriver alle momenter i standarden som sorterer under hvert element. I mappen i kvalitetssystemet for «anskaffelse og implementering» i kvalitetssystemet, ligger tre dokumenter: innkjøpshåndbok for Frogn kommune, retningslinjer for anskaffelser i Frogn kommune, samt lenke til kommunens felles innkjøpskontor sin innkjøpsportal. I mappen i kvalitetssystemet for «monitorering og evaluering» ligger ett dokument, knyttet til overvåking og vurdering av IT-ytelse. For de to elementene «planlegging og organisering», og «driftsleveranse og støtte», er det i vesentlig større grad utarbeidet dokumentasjon og rutiner. I kvalitetssystemets mappe for «planlegging og organisering» ligger det blant annet dokumentasjon som beskriver overordnede mål for styring av IKTvirksomheten, helhetlig kvalitetsstrategi og retningslinjer for gjennomføring av IKT-prosjekter, samt rutiner 5 ISACA er en internasjonal forening som fokuserer på styring og kontroll innenfor IKT-sektoren. 13

19 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift for egenkontroll knyttet til IKT-sikkerhet, risikovurdering ved bruk av skytjenester og avvikshåndtering innenfor IKT. I mappen for «driftsleveranse og støtte» ligger blant annet beredskapsplan for IKT, beredskapsplan for alternativt administrasjonssenter for rådhuset, samt rutiner blant annet for å definere og styre servicenivået, styre tjenester fra eksterne IT-leverandører, styring av ytelse og kapasitet, sikre kontinuerlig service- og kriseplanlegging og for å sikre systemsikkerhet. Enhetsleder for IKT og service opplyser at IKT-enheten i Frogn per i dag er bemannet med ressurser som er flinke til å være tett på det arbeidet som gjøres innenfor IKT-drift. Kommunen har heller ikke uforholdsmessig mange driftsavtaler å følge opp, og de har etablert gode målepunkter knyttet til driftsstatus (se neste avsnitt, samt kapittel 4.4.1), og får raskt tilbakemeldinger dersom elementer i IKTsystemet ikke fungerer slik de skal. Dette gjør det videre mulig å følge opp og lukke feil, mangler og avvik knyttet til kommunens IKT-drift raskt og effektivt. Enhetsleder peker på at på bakgrunn av dette har det ikke blitt opplevd som et behov å ha skriftlige rutiner knyttet til alle elementer i COBIT-standarden.6 Rutiner for sikkerhet, drift og vedlikehold av systemer En gjennomgang av de rutinene som ligger i kvalitetssystemet under «planlegging og organisering» og «driftsleveranse og støtte», viser at Frogn kommune har opprettet en skriftlig rutine for sikkerhet, drift og vedlikehold av systemer, som ligger tilgjengelig for alle ansatte. Rutinen, som omfatter alle IKT-systemer som er i bruk i kommunen, beskriver hvilke aktiviteter som skal utføres med hensyn til oppdatering av systemer, gjennomføring av sikkerhetsrevisjoner, sårbarhetsanalyser, samt fortløpende vurderinger knyttet til IKT-sikkerhet og til enhver tid gjeldende trusselbilde. I rutinen er det spesifisert hvordan oppdatering av kommunens IKT-systemer skal gjøres, samt når oppdateringene skal gjennomføres (fortløpende etter hvert som nye pakker, versjoner, patcher mv. gjøres tilgjengelig gjennom de systemer kommunen har lisenser for/abonnerer på). Av rutinen går det videre frem at når det gjelder sikkerhetsrevisjoner, skal det det hvert halvår gjennomføres revisjon av brannmurløsning, og regelsett i både indre og ytre brannmur, for å sikre at åpninger i brannmuren ligger på et minimumsnivå ut fra hva som er nødvendig. Revisjonene av regelsett i brannmur skal gjennomføres sammen med leverandør av brannmurløsningen. Kommunen abonnerer på sårbarhetsanalyser fra Helsecert. Av rutinen for sikkerhet, drift og vedlikehold går det frem at kommunen mottar rapporter fra Helsecert når det oppstår endringer i trusselbildet for IKTtjenester som det må tas hensyn til. I intervju blir det også opplyst at IKT-enheten mottar regelmessige rapporter fra Helsecert med varsler om potensielle risikoer som hull i brannmur mv. I tillegg benytter kommunen Qualys SSL Labs for jevnlig å teste sårbarhet på de av kommunens tjenester som er eksponert mot internett. Ved avdekking av sårbarheter gjennom analyser Helsecert og Qualys SSL Labs, settes det i verk tiltak for å utbedre for å utbedre sårbarheter og lukke mulighetsrom for at uønskede hendelser inntreffer. I intervju opplyser enhetsleder for IKT og service at den eksterne monitorering av kommunens systemet utgjør et nyttig verktøy for å kunne sette inn tiltak for å motvirke og forhindrer risiko. Videre har kommunen etablert flere andre skriftlige rutiner som knytter seg til sikkerhet, drift og vedlikehold av IKT-miljøer og løsninger i kommunen. Dette inkluderer en egen rutine for egenkontroll av IKT-sikkerhet, tilgjengelig for ansatte i kvalitetssystemet. Formålet med rutinen er å sikre at mål, rutiner og retningslinjer knyttet til IKT-drift og sikkerhet etterleves. Rutinene inneholder en plan for egenkontrollaktiviteter, med egenkontrolltiltak som skal gjennomføres, beskrivelse av hvem som eier aktiviteten og dermed er ansvarlig for å gjennomføre den, samt når og hvor ofte kontrollen skal utføres. I planen er det også satt av et blankt felt, der resultat fra gjennomførte kontroller kan påføres. Av egenkontrolltiltak som er inkludert i rutinene, finner man blant annet gjennomgang av tilgangsrettigheter for brukere og administratorer, kontroll av fysisk tilgang til lokaler og områder for IKT-virksomheten, skifting av administratorpassord, verifikasjon og ev. oppdatering av konfigurasjonsplan for nettverk (IP- I forbindelse med verifisering av rapportens datagrunnlag, opplyser Frogn kommune følgende når det gjelder rutinemessig oppfølging av kommunens IKT-drift: «Vårt ITIL baserte oppgaveregistrerings- og oppfølgingssystem (Pureservice) er en sentral faktor i å motta, følge opp, lukke og analysere feilsituasjoner. Systemets FAQ modul bidrar til selvhjelp for brukere basert på tidligere løste oppgaver. Systemets erfaringsbase er også et viktig hjelpemiddel til å forhindre at samme feil oppstår igjen.» 6 14

20 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift plan), sikkerhetsgjennomgang av brannmur, kontroll av versjonsstatus og oppdateringsplan for lagringsog kjernesystemer, og verifisering av sikkerhetsnivå på nettverk og nettverkskomponenter. Kommunen har etablert en egen rutine for å sikre systemsikkerhet, som omfatter oversikt over sikkerhetstiltak innenfor sentrale områder som nettverk, servere og klienter, samt sikkerhet knyttet til fysisk infrastruktur. Kommunen har også utarbeidet et dokument som beskriver arbeids- og møtestrukturer for arbeid knyttet til drift, vedlikehold og risikovurderinger av kommunens IKT-miljø. Dette inkluderer blant annet ukentlige møter med fast agenda (gjennomgang av hastesaker/prioriterte oppgaver, planlegging av arbeid fremover, gjennomgang av trusselbilde og aktuelle risikoer), samt månedlig vedlikeholds- og oppdateringsdagen. I intervju blir det opplyst at for å sikre at man har god nok oversikt over alle relevante problemstillinger i driften, er alle de ansatte involvert i det ukentlige driftsmøtet som gjennomføres i IKTenheten. I intervju blir det pekt på at Frogn kommune, i tillegg til det overordnede styringssystemet for IKT-funksjon og de rutinene som er utarbeidet for sikkerhet, drift og vedlikehold av IKT-systemene, har gode avtaler med leverandører når det gjelder beskyttelse av servere og klienter. Avtalene omfatter regelmessige oppdateringer av både servere og klienter, og kommunen mottar skriftlige rapporter fra alle oppdateringsrunder, med informasjon om blant annet tilstand ute på klient og at oppdateringer har skjedd til riktig tid på riktig måte. Videre blir det opplyst at kommunen også har en nettleverandør som følger aktivt med på mulige risikoer, gjeldende trusselbilde og eventuelle hendelser som inntreffer. Eksempelvis var nettleverandøren involvert i dialog med kommunen høsten 2017, i forbindelse med avdekkede risikoer knyttet til WPA2-protokoll7 og sikring av trådløse nettverk. I intervju blir det pekt på at kommunen i stor grad har håndtert de utfordringene og problemene som ble avdekt i WPA2-protokollen høsten 2017, gjennom direkte oppfølging av utfordringene i kombinasjon med andre sikkerhetskontroller kommunen har for å hindre at eksterne skal komme seg inn på innsiden av kommunens systemer. Bruk av risikoanalyser Revisjonen får opplyst at det ikke blir gjennomført systematiske og dokumenterte risikoanalyser for alle driftsprosesser innenfor IKT. Det blir opplyst at dette blant annet skyldes at gjennomføring av slike analyser er omfattende både tids- og ressursmessig, med tanke på IKT-enhetens størrelse og bemanning. Det har imidlertid blitt gjennomført flere enkeltstående risikoanalyser innenfor IKT-området i kommunen. Dette omfatter risikoanalyse knyttet til etablering av skytjenester og risikoanalyse av uønskede hendelser knyttet til informasjonssikkerhet (i forbindelse med felles risiko- og sårbarhetsanalyse for Frogn kommune for 2015). For risikoanalyser knyttet til etablering av skytjenester er det etablert en egen rutiner som ligger i kvalitetssystemet. I rutinen er det definert hva som er formålet med risikoanalyse (forebygge, avdekke og håndtere hendelser som kan føre til brudd på personopplysningers konfidensialitet, integritet eller tilgjengelighet for opplysninger som oppbevares i skyløsninger), hvordan selve risikoanalysen skal gjennomføres, og hvilke spørsmål det er viktig at blir stilt i forbindelse med vurdering av bruk av skyløsninger til oppbevaring av opplysninger. I tillegg gjennomfører IKT-enhetene mer kontinuerlige risikovurderinger knyttet til løpende drift (oppdateringer, endringer, nyinnføring/-installasjoner) og med hensyn til det til enhver tid gjeldende trusselbildet innenfor IKT-området. Disse løpende vurderingene av driftsrisiko er omtalt under forrige overskrift («Rutiner for sikkerhet, drift og vedlikehold av systemer»). Revisjonen får opplyst at Frogn kommune ikke har definert skriftlige akseptkriterier knyttet til hvilken risiko som skal aksepteres innenfor ulike systemer med hensyn til feil, mangler og avvik i driften. Det blir opplyst i intervju at hovedlinjen er at ingen risiko er akseptert, men at dette er ikke definert eller formalisert noe sted. Når det gjelder arbeid med å avdekke, redusere og forhindre IKT-risikoer i Frogn, opplyser enhetsleder for IKT at IKT-enheten har generelt høy driftskompetanse. Enheten er slik enhetsleder vurderer det, bemannet med ansatte med solid kompetanse og erfaring fra større driftsmiljøer, noe som bidrar til å sikre tilfredsstillende drift, vedlikehold og sikkerhet i IKT-systemene. Det blir også pekt på i intervju at man 7 Mye brukt krypteringsmetode for trådløse nettverk. 15

21 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift i organisasjonen er opptatte av og bevisste på risiko, og at det arbeides kontinuerlig med å avdekke risiko og sikre kvalitet i driften Vurdering Frogn kommune har utarbeidet et system for overordnet styring av IKT-funksjonen som baserer seg på COBIT-rammeverket, og som er organisert med hensyn til å dekke de fire sentrale områdene i rammeverket. Innenfor disse områdene har kommunen utarbeidet skriftlige rutiner for sikkerhet, drift og vedlikehold av systemer, som definerer gjennomføring av ulike sikkerhetsrelaterte aktiviteter, herunder gjennomføring av systemoppdatering, sikkerhetsrevisjoner og sårbarhetsanalyser, og fortløpende vurderinger/analyser av IKT-sikkerhet og trusselbilder. Samtidig viser undersøkelsen at det ikke er utarbeidet skriftlige rutiner knyttet til alle områdene og elementene i COBIT-rammeverket for styring av IKT-funksjonen. Undersøkelsen viser videre at det ikke blir gjennomført systematiske og dokumenterte risikoanalyser for alle driftsprosesser innenfor IKT, med formål om å avdekke risiko for hvor det kan forekomme feil eller mangler eller svikt i kommunens IKTsystemer/-løsninger. Revisjonen mener at Frogn kommune gjennom å organisere oppfølgingen av egne IKT-systemer i kommunen etter anerkjente rammeverk for styring av IKT-funksjonen, i utgangspunktet har satt i verk gode tiltak for å systematisere arbeidet med å avdekke, redusere og forhindre potensielle IKT-risikoer. Denne måten å organisere arbeidet på bidrar etter revisjonens vurdering til å sikre at IKT-funksjonen underbygger kommunens overordnede mål og virksomhet. Etter revisjonens vurdering har Frogn kommune imidlertid ikke i tilstrekkelig grad fulgt opp de rammene som er lagt for organisering og styring av IKT-funksjonen, med hensyn utarbeidelse av tilstrekkelig med rutiner for å redusere og forhindre avdekte IKT-risikoer. Mangel på skriftlige rutiner medfører etter revisjonens vurdering risiko for at arbeidet med å redusere og forhindre risikoer knyttet til kommunens IKT-systemer blir personavhengig, samt risiko for feil og mangler i forbindelse med oppfølging av IKTrisikoer. Revisjonen mener derfor at Frogn kommune bør vurdere å utarbeide skriftlige rutiner som dekker alle sentrale arbeidsprosesser for styring av IKT-funksjonen. Hvilke arbeidsprosesser kommunen bør vurdere å utarbeide skriftlige rutiner for, kan etter revisjonens vurdering med fordel sees i sammenheng med gjennomføring av risikoanalyser knyttet til hvor i kommunens IKT-systemer det foreligger risiko for feil, mangler og svikt (se neste avsnitt). Videre er det revisjonens vurdering at det ikke er tilfredsstillende at Frogn kommune ikke gjennomfører systematiske risikoanalyser knyttet til hvor i kommunens IKT-systemer det foreligger risiko for feil, mangler og svikt, herunder risiko for stans eller nedetid på IKT-løsninger. Revisjonen vil peke på at gjennomføring av systematiske risikoanalyser er et sentralt element for å sikre god internkontroll, når det gjelder å avdekke aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse, manglende etterleving av rutiner og regelverk, eller svikt i drift av sentrale løsninger og systemer som vil kunne påvirke de tjenestene kommunen tilbyr. For å sikre tilstrekkelig oversikt over hvor og når det kan være risiko for blant annet feil, mangler eller svikt i kommunens IKT-systemer, bør Frogn kommune etter revisjonens vurdering sikre at det blir gjennomført systematiske kartlegginger og analyser av hvor i kommunens systemer og løsninger det foreligger risiko for driftsstans, nedetid mv., samt når dette kan inntreffe (i hvilke situasjoner og på hvilke tidspunkt). Revisjonen merker seg at Frogn kommune ikke setter kriterier for hva som er akseptabel risiko innenfor IKT-området. Uten slike kriterier, har ikke kommunen grunnlag for å vurdere om risikoer for uønskete hendelser innenfor IKT-området er akseptable eller ikke, og kommunen har derfor heller ikke noe grunnlag for å vurdere når risikoreduserende tiltak må settes i verk. Etter revisjonens vurdering vil økt bruk av systematiserte risikovurderinger, med tilhørende utarbeidelse av skriftlige rutiner for sentrale arbeidsprosesser, samlet sett bidra til at kommunens IKT-funksjon i større grad blir styrt i samsvar med anerkjent praksis på området, og i samsvar med krav i kommuneloven 23 om betryggende kontroll og god praksis for internkontroll. 16

22 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift 4.4 Rutiner for gjenopptakelse av drift etter driftsstans Datagrunnlag Beredskapsplan for IKT og service Som det går frem av kapittel 4.3.1, har Frogn kommune utarbeidet en beredskapsplan for IKT og service.8 Planen er ment å benyttes dersom det oppstår kriser knyttet til IKT og service, og har følgende formål: Definere tiltak som reduserer de uønskede konsekvenser ved kriser Gi oversikt over den organisasjon som trer inn under eventuelle kriser Gi sjekklister for hjelp ved kriser Gjenopprette normal drift av forvaltede systemer så raskt som mulig etter at en krise er oppstått. Videre går det frem at dersom kriser knyttet til IKT og service inntreffer, skal IT-driften i størst mulig grad og så raskt som mulig reetableres. Dette innebærer at normal drift skal gjenopprettes hurtigst mulig i egne lokaler i rådhuset. Dersom rådhuset er satt ut av drift, skal det etableres et alternativt driftssted, jf. beredskapsplan for alternativt administrasjonssenter (se også kapittel 4.3.1). I beredskapsplan er det videre spesifisert at planen primært skal benyttes ved akutte situasjoner (når en krise er et faktum). For å forhindre og forebygge at slike kriser oppstår, legges det i beredskapsplanen opp til at IKT-enheten skal ha driftsdokumentasjon (rutiner og prosedyrer) for både skadeforebygging og skadebegrensning. Når det gjelder skadeforebyggende rutiner og prosedyrer knyttet til IKT-området i Frogn kommune, er disse gjennomgått i kapittel 4.3.1, som omhandler rutiner for sikkerhet, drift og vedlikehold av IKT-systemer. Skadebegrensende rutiner for IKT-systemer Undersøkelsen viser at enhet for IKT og service har utarbeidet flere skriftlige rutiner for å gjenoppta normal drift av kommunens IKT-systemer etter driftsstans. Dette omfatter rutine for restore, rutine for backup og rutine ved strømbrudd. Kommunens rutine for restore omtaler hvordan gjenopprettelse av ulike systemer, enkeltfiler og filer i virtuelle maskiner skal gjennomføres dersom det er behov for å tilbakestille/gjenopprette system og data til den tilstand eller status det var i før feil eller stans inntraff. Av rutinen går det frem hvem som har ansvar for arbeidet, og det er gitt beskrivelser av ulike måter å gjenopprette data på for ulike systemer ved hjelp av ulike grensesnitt. Rutine for backup beskriver hvordan og når enhet for IKT skal kontrollere at alle sikkerhetskopieringsjobber som utføres for data lagret gjennom de kommunale IKT-løsningene går som planlagt.9 Rutinene definerer hvem som har ansvar for å gjennomføre kontrollene (fagansvarlig for backup), hvordan logg for gjennomførte sikkerhetskopieringsjobber kan kontrolleres, samt hvor ofte IKT-enheten mottar e-poster med automatisk rapportering på backup-jobber og hvordan disse skal håndteres og følges opp. Kommunens rutine ved strømbrudd beskriver hvilke aktiviteter som iverksettes ved strømbrudd både på Frogn rådhus og Ullerud helsebygg. Av rutinene går det frem at dieselaggregat automatisk slås på ved strømbrudd ved begge lokasjoner, og at de IKT-ansatte i kommunen ved strømbrudd mottar varsel via SMS og e-post, slik at de kan være i beredskap. I rutinen er det opplyst om at det ved langvarig strømbrudd vil kunne være behov for påfyll av diesel på aggregatet, og at den IKT-ansatte som til enhver tid er vakthavende, er ansvarlig for å følge opp dette og om nødvendig ta kontakt med vaktmestertjenesten på telefon. I intervju opplyser enhetsleder for IKT og service at de rutinene som er etablert knyttet til gjenopptakelse av drift etter driftsstans fungerer godt etter intensjonen. Annen oppfølging av driftsstans og nedetid Revisjonen får opplyst i intervju at når det gjelder sikkerhet ved driftsstans, har kommunen etablert flere spesifikke løsninger for å motvirke nedetid og opphold i driften, og for å sikre at de systemer som er i bruk i minst mulig grad påvirkes av eventuell driftsstans. Disse løsningene inkluderer: Frogn kommune: Beredskapsplan IKT og service. Sist revidert Arbeid med sikkerhetskopiering av data er i stor grad automatiserte prosesser, og rutiner for backup knytter seg følgelig til å kontrollere at disse prosessene har blitt gjennomført i samsvar med plan

23 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Nødstrømsbatterier og dieselaggregat til datarom, IKT-lokaler og beredskapslokaler på rådhuset Tre separate kjøleanlegg i datarom Virtuelle serverfarmer som gjør det mulig å gjennomføre vedlikehold uten å måtte ta ned systemer, og som sikrer kontinuerlig oppetid selv om enkeltservere feiler Duplisering av kritiske nettverkskomponenter og brannmurer Vaktordning for IKT 24 timer i døgnet, syv dager i uken Sikkerhetskopier av systemer og data, som oppbevares utenfor rådhuset på annen lokasjon. I intervju opplyses det videre at IKT-enheten arbeider med å bygge opp en komplett speilet løsning av kommunens IKT-systemer og -løsninger på et alternativt driftssted, som et middel for å motvirke ytterligere driftsstansproblematikk. Dette er kun delvis etablert gjennom de løsningene kommune har per i dag, og IKT-enhetene ønsker en full speilet ordning for å sikre enda raskere gjenopptakelse av drift ved driftsstans og redusere nedetid på kommunens systemer ytterligere. Videre viser undersøkelsen at det er etablert en rekke målepunkter knyttet til de IKT-systemene som er i bruk innenfor kommunens nettverk, samt for systemer som kommunen drifter og som også blir benyttet utenfor kommunen gjennom IKT Follo, slik som Agresso og Public360. Gjennom målepunktene som er etablert, får IKT-enheten god innsikt i relevante utfordringer og problemstillinger knyttet til drift, slik at man kan fange opp hendelser og situasjoner knyttet til avvik, feil og mangler, og sette inn relevante tiltak der det skulle være behov for det. Blant annet blir alle bygg i kommunen med datatilknytning målt og kontrollert. Dette gjør at IKT-enheten umiddelbart vil kunne se om nettverket til for eksempel en barnehage eller skole er nede, og dermed raskt vil kunne starte feilsøking og feilretting. Videre monitoreres tilgjengelig plass på harddisk på både servere og databaser, og IKT-enheten får varsel dersom lite diskplass, slik at man kan sette inn tiltak før dette får konsekvens for driften. Tilsvarende måles minneforbruk på servere, og ved høyt minneforbruk blir IKT-enheten varslet slik at den kan sette inn tiltak før det får konsekvenser for systemene som kjører. Videre overvåkes alle kritiske prosesser knyttet til drift av IKT-systemer og løsninger i kommunen, slik at det umiddelbart kan settes inn tiltak dersom en pågående prosess feiler. Feilsituasjoner knyttet til kritiske prosesser i driften vises på en stor skjerm i IKT-enhetens lokaler, og ved feil og kritiske hendelser mottar også den enkelte IKT-medarbeider med systemansvar varsel direkte. Når det gjelder nedetid, får revisjonen opplyst at Frogn kommune gjennomfører kontinuerlig måling av tilgjengeligheten til kommunens nettsider. Nettsiden driftes internt av IKT-enheten, og er avhengig av at de sentrale IKT-systemene og -infrastrukturen er oppe for å fungere. Tilgjengeligheten til kommunens nettsider er derfor et godt mål på oppe-/nedetid for kommunens sentrale systemer og løsninger for IKT. Tabellen under viser den prosentvise oppetiden for kommunes nettside for perioden : Tabell 1: Prosentvis oppetid for nettsiden for perioden (Kilde: Frogn kommune)10 Prosentvis oppetid for ,57 99,72 98,8 99,7 99,94 I intervju blir det opplyst av enhetsleder for helsetjenester og systemansvarlig i kommunen for det elektroniske pleie- og omsorgssystemet Gerica, at man innen helsetjenestene i liten grad har utfordringer med nedetid og driftsstans. Nedetid i Gerica inntreffer i all hovedsak i forbindelse med oppdateringer i systemet, og disse blir alltid varslet på forhånd fra IKT-enheten. Dersom det likevel skulle oppstå akutte situasjoner der for eksempel systemet går ned, er det imidlertid etablert et direkte-nødnummer til IKTenhetens heldøgnsbemannede vaktordning, som Gerica-brukerne kan benytte seg av. Det blir opplyst at Det blir opplyst at disse tallene også omfatter planlagt nedetid i forbindelse med oppdateringer, vedlikehold av systemer mv

24 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift man på denne måten raskt kan få kontakt med IKT, og sikre at nedetid i så liten grad som mulig går utover pasienter og brukere. Avviksmelding knyttet til drift av IKT-systemer Frogn kommune har etablert system for å melde avvik knyttet til IKT-systemer, gjennom både en egen Helpdesk som IKT-enheten drifter og gjennom kommunens ordinære avvikssystem som inngår i det elektroniske kvalitetssystemet. Begge disse systemene kan benyttes av ansatte som bruker de ulike IKTsystemene til å melde inn feil, mangler og avvik knyttet til systemene, herunder avvik knyttet til sikkerhet, drift og vedlikehold. I intervju blir det opplyst at hovedvekten av feil- og avviksmeldinger fra brukere av IKT-systemer i Frogn kommune, kommer inn til enhet for IKT og service via Helpdesken, og blir fulgt opp og håndtert der. Det blir i liten grad meldt inn avvik knyttet til funksjoner og drift av IKT-systemer i det ordinære avvikssystemet til kommunen. De få avvikene som blir meldt inn her som angår IKT, omhandler gjerne forhold som ikke knytter seg til selve systemene og løsningene, men heller organisatoriske forhold som for eksempel at man ved behov ikke tidsnok har fått tilgang til IKT-vakt utenfor ordinær arbeidstid Vurdering Undersøkelsen viser at Frogn kommune har utarbeidet en beredskapsplan for IKT og service, for å beskytte kommunen mot kriser knyttet til drift av området. Det er også utarbeidet skriftlige rutiner for å gjenoppta normal drift etter driftsstans. I tillegg har kommunene satt i verk en rekke tiltak for å sikre at IKT-systemer og løsninger ikke påvirkes at eventuell driftsstans, og for å motvirke og redusere nedetid på enkeltstående systemer. Tall fra IKT-enheten indikerer at Frogn kommune i liten grad har hatt utfordringer knyttet til nedetid på systemer de senere årene. Etter revisjonens vurdering fremstår de planer, rutiner og tiltak som Frogn kommune har etablert som hensiktsmessige for å forhindre driftsstans og for å gjenoppta normal drift etter eventuell stans. Revisjonen mener også at de tiltakene kommunen har etablert for å sikre at systemer ikke blir påvirket av driftsstans er gode, og at disse fremstår som hensiktsmessige når det gjelder å unngå at data går tapt dersom enkeltløsninger feiler. Etter revisjonens vurdering, bidrar system og rutiner som er etablert for å gjenoppta normal drift til å opprettholde sikkerhet i informasjon, infrastruktur og applikasjoner, og dermed til å underbygge den kommunale virksomheten, i samsvar med anerkjent praksis fra COBIT-rammeverket. Rutinene som er etablert på dette området, bidrar slik revisjonen ser det også til å sikre betryggende kontroll i samsvar med kommuneloven

25 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift 5. Informasjonssikkerhet 5.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling: Har kommunen etablert et styringssystem for informasjonssikkerhet som tilfredsstiller krav i regelverket? 5.2 Revisjonskriterier Informasjonssikkerhet handler om sikring av informasjon med hensyn til konfidensialitet, integritet og tilgjengelighet. Å sørge for konfidensialitet innebærer å hindre ikke-autorisert innsyn i informasjon som ikke skal være tilgjengelig for alle; å sørge for integritet innebærer å hindre ikke-autorisert endring og sletting av informasjon; å sørge for tilgjengelighet innebærer å sikre tilgang til informasjon ved behov for tilgang. Personopplysningsloven og -forskriften Regelverket knytt til informasjonssikkerhet omfatter blant annet personopplysningsloven og -forskriften. Jf. personopplysningsloven 13 første ledd, skal den behandlingsansvarlige11 og databehandleren12 «gjennom planlagt og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.» I kommunen er det rådmannen som er behandlingsansvarlig.13 Databehandlere er eventuelle tjenesteleverandører til kommunen som behandler personopplysninger, som f.eks. leverandør av lønn- og personalsystem. Ved bruk av databehandler skal det jf. personopplysningsloven 15 og personopplysningsforskriften 2-15, skrives avtale med behandlingsansvarlig. Kapittel 2 i personopplysningsforskriften stiller utfyllende krav til informasjonssikkerhet i virksomheter som behandler personopplysninger. Kapittelet pålegger blant annet slike virksomheter å: fastsette sikkerhetsstrategi for virksomheten ( 2-3) gjennomføre risikovurderinger etter fastsatte kriterier ( 2-4) etablere klare ansvars og myndighetsforhold for bruk av informasjonssystem ( 2-7) etablere fysiske og tekniske tiltak for informasjonssikkerhet ( 2-10 til 2-14) sørge for at de ansatte har tilstrekkelig kunnskap om informasjonssikkerhet ( 2-8) behandle uønskede hendelser i informasjonssystemet som avvik ( 2-6) sikre at det ikke blir overlevert personopplysninger elektronisk til andre virksomheter dersom disse ikke tilfredsstiller kravene i sikkerhetsføringene, samt etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører gjennom særskilt avtale ( 2-15) Personopplysningsloven 14 pålegger den behandlingsansvarlige å «etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller medhold av denne loven, herunder sikre personopplysningenes kvalitet», altså et internkontrollsystem. Personopplysningsforskriften kapittel 3 stiller utfyllende krav til omfanget og rutinene i den påkrevde internkontrollen. Krav til styringssystem for informasjonssikkerhet Et styringssystem for informasjonssikkerhet er et system som samler prosedyrer, rutiner og dokumentasjon knyttet til informasjonssikkerhet. Kommunen er bl.a. gjennom eforvaltningsforskriften 15 forpliktet til å ha en internkontroll basert på anerkjente standarder for styringssystem for informasjonssikkerhet: Personopplysningsloven 2 fjerde ledd definerer behandlingsansvarlig som «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes». 12 Personopplysningslova 2 femte ledd definerer databehandler som «den som behandler personopplysninger på vegne av den behandlingsansvarlige». 13 Jf. En veiledning om internkontroll og informasjonssikkerhet (Datatilsynet 2009, s. 11)

26 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Direktorat for forvaltning og IKT (Difi) er utpekt som ansvarlig for å gi tilrådinger knytt til hvilke styringssystem for informasjonssikkerhet som bør brukes. Difi anbefaler at offentlige virksomheter legger seg på ISO/IEC 27001:2013, som er en internasjonal standard for styringssystem for informasjonssikkerhet. Se vedlegg 2 for utfyllende revisjonskriterier. 5.3 Datagrunnlag Styrende dokumenter for informasjonssikkerhet Frogn kommune har utarbeidet egne sikkerhetsmål14 gjeldende for kommunens arbeid med informasjonsbehandling, som ligger tilgjengelig for ledere og ansatte i kommunens elektroniske kvalitetssystem. Av dokumentet går det frem at formålet med kommunens sikkerhetsmål er å støtte og sikre kommunens drift, allmenne tillit og omdømme i det offentlige rom, gjennom å forebygge og avgrense konsekvensene av uønskede hendelser knyttet til informasjonsbehandling. Videre er det spesifisert at det overordnede sikkerhetsmålet for Frogn kommune er å verne informasjon som blir behandlet mot interne og eksterne trusler, og hindre at kommunens behandling av personopplysninger bryter med grunnleggende rett til personvern. Kommunens overordnede sikkerhetsmål er videre brutt ned i en rekke mindre sikkerhetsmål. I disse går det frem at: «14 Kommunen skal sikre at informasjon blir behandlet i tråd med kravene i relevante lover og forskrifter. Sikkerheten i kommunen skal ha forankring i ledelsen i kommunen. Sikkerhet skal ivaretas som en integrert del av hele kommunen sin organisasjon. Den fysiske sikkerheten ved kommunen skal hindre at uautoriserte får adgang til lokaler der sensitive personopplysninger og annen informasjon som ikke skal offentliggjøres, blir lagret og behandlet. Tilgang til system og informasjon skal bare gis til medarbeidere etter behov (Need to Know). Tilgang til system og informasjon for uvedkommende skal forhindres. Kommunen skal sikre at informasjonsbehandlingen er korrekt og at informasjon ikke kan forandres uten lovlig tilgang. Kommunen skal sikre adgang til system, tjenester og informasjon til rett tid for de personer som er autorisert. Det skal være mulig å spore uønskede hendelser. Prosedyrer for å håndtere uønskede hendelser skal være oppdatert og kjente. Vi skal lære av uønskede hendelser slik at sannsynligheten for tilsvarende eller gjentatte hendelser blir redusert. Personer eller system hos kommunen skal ikke - bevisst eller ubevisst - være årsak til at sikkerhetsmessig uønskede hendelser som truer informasjonssikkerheten til egen eller andre sin virksomhet eller privatpersoner. Kommunen skal sikre at medarbeidere som nytter kommunen sine informasjonssystem har tilstrekkelig kompetanse for å ivareta virksomheten sitt sikkerhetsbehov/-krav. Frogn kommune: Sikkerhetsmål

27 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Kommunen skal til enhver tid ha sikkerhet på sine IKT-systemer som gir: Rett informasjon - Til rett tid - Til rett person o Rett informasjon: De data som ligger på kommunens datasystemer skal til enhver tid være oppdaterte med riktig informasjon. o Til rett tid: Systemene skal være tilgjengelige i kommunens åpningstid. o Til rett person: Kommunen skal gjennom sitt sikkerhetsarbeid sørge for at brukere får tilgang til de opplysninger som er ment for dem.» Videre har kommunen utarbeidet en sikkerhetsstrategi15, som tar utgangspunkt i de sikkerhetsmålene som er definert. Strategien skal angi de overordnede valg og prioriteter i arbeidet med informasjonssystem og sikkerhet, og på et overordnet nivå beskrive ansvars- og myndighetsforhold, forhold til partnere og leverandører, samt organisatoriske og tekniske sikkerhetstiltak. I strategien er det redegjort for hvem som har ansvar for hvilke oppgaver med hensyn til oppfølging av kommunens IKT-løsninger, samt sikkerhetsarbeidet i og rundt disse løsningene. Videre er det beskrevet en rekke aktiviteter for hvordan Frogn kommune skal arbeid med informasjonssikkerhet. Dette omfatter blant annet arbeid med egenkontroll av sikkerhetsnivå, sikkerhetskopiering, taushetsplikt og bruk av taushetserklæringer, opplæring i systemer og gjennomføring av sikkerhetskurs, tiltak for fysisk sikkerhet (soneinndeling og adgangskontroll), tilgang til informasjonssystem, konfigurasjons- og endringskontroll og avvikshåndtering. I intervju opplyser enhetsleder for IKT at Frogn kommune har lagt seg opp mot ISO27001-standarden når det gjelder systematisering av arbeid med informasjonssikkerhet. Kommunen benytter sjekkliste fra Datatilsynet til å gjennomgå hvor mange av komponentene i systemet som er tilstrekkelig på plass, og enhetsleder opplyser at kommunen ved siste gjennomgang oppfyller standardens krav på de fleste sentrale punkter. De kravene kommunen på revisjonstidspunktet ikke har tilstrekkelig kontroll på ihht. sjekklisten fra Datatilsynet for informasjonssikkerhet, knytter seg til egenkontroll av informasjonssikkerhetsarbeidet, herunder bruk av risikovurderinger mv Rutiner og ansvarsforhold knyttet til informasjonssikkerhet Organisering av ansvarsforhold Frogn kommune har utarbeidet en egen oversikt for sikkerhetsorganisasjonen når det kommer til arbeid med informasjonssikkerhet. Oversikten beskriver de funksjoner, ansvar og organisering som er etablert for arbeidet, og skal bidra til å sikre at krav til integritet, tilgjengelighet og konfidensialitet i forbindelse med sikring av informasjon. Av organisasjonsoversikten går det frem at det er rådmann som er behandlingsansvarlig for informasjonsbehandling i kommunen. Rådmann har også det overordnede ansvar for at kommunen følger de krav som stilles om tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Videre har kommunen en egen sikkerhetsleder, som har det overordnede operative ansvaret for arbeid med informasjonssikkerhet i Frogn kommune. Dette inkluderer blant annet å lede kommunens sikkerhetsarbeid, fordele ansvar, følge opp rutiner og bruken av disse, sørge for tilstrekkelig avviksbehandling, holde seg orientert om utviklingen innen personvernområdet og sørge for at system for internkontroll tilfredsstiller kravene i personopplysningsloven. Rollen som sikkerhetsleder er bemannet av kommunens beredskapskoordinator. Oversikten angir videre øvrige involverte i sikkerhetsorganisasjonen, og hvilke ansvar og oppgaver som ligger til de ulike rollene. Tabellen under oppsummerer organiseringen med hensyn til arbeid med informasjonssikkerhet: 15 Frogn kommune: Sikkerhetsstrategi

28 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Tabell 2: Ansvar og oppgaver knyttet til informasjonssikkerhet slik det fremgår av organisasjonsoversikt for sikkerhetsorganisasjonen (Kilde: Frogn kommune) Stilling Ansvar og oppgaver knyttet til informasjonssikkerhet Rådmann (behandlingsansvarlig) Øverste ansvarlige i kommunen. Organisere ansvar, roller og oppgaver innenfor arbeidet med informasjonssikkerhet. Fastsette krav til sikkerhetsnivå, oppnevne sikkerhetsleder og medlemmer til sikkerhetsutvalg. Sørge for at kommunen gjennomfører nødvendige sikkerhetstiltak, og for at informasjonssikkerhet er klart og entydig definert og forholdene lagt til rette for gjennomføring. Lage mål og strategiplaner for informasjonssikkerhet. Gjennomføre ledelsens årlige gjennomgang av informasjonssikkerhet og delta i sikkerhetsrevisjon. Sikkerhetsleder Overordnet operativt ansvar og leder av sikkerhetsutvalget i kommunen, rapporterer direkte til rådmann. Beskrive sikkerhetsmål og lede sikkerhetsarbeidet, dokumentansvarlig, ansvarlig for å ha oversikt over og oppfylle plikten til å melde fra til Datatilsynet om kommunens behandlinger hvert tredje år, sørge for at internkontrollsystem tilfredsstiller kravene i personopplysningsloven, rapportere alvorlige brudd på regler om behandling av personopplysninger til rådmann/datatilsynet, kontrollere av retningslinjer for avvik fungerer som planlagt, og sørge for at det foretas årlige revisjoner av sikkerhetsarbeidet. Enhetsledere (daglig ansvarlige) Ansvar for sin tjenestes sikkerhetsløsning i det daglige arbeidet, rapporterer til sikkerhetsleder. Sikre at personopplysninger behandles forsvarlig enten det er i eget datasystem eller i papirform. Spre informasjon til ansatte om sikkerhetsopplegg, opprettholde fokus på informasjonssikkerhet. Sørge for at sikkerhets-/sikringstiltak er forstått av ansatte, og at tiltakene følges. Melde endringer i behov for tilganger mv. til systemansvarlig og IKT-koordinator. Sikkerhetsutvalg Samarbeidsteam som sammen ivaretar informasjonssikkerheten for hele kommunen. Rådmann og sikkerhetsleder deltar. Ansvar for å revidere kommunens informasjonssikkerhetspolitikk. Ansvar for å overvåke kommunens eksponering mot relevante trusler mot informasjonsverdier og teknisk utstyr. Ansvar for å overvåke sikkerhetsbrudd. Ansvarlig for teknisk løsning Enhetsleder for IKT, rapporterer til nærmeste overordnede leder (rådmann). Ansvar for sikkerhetsarbeid i kommunen når det gjelder tekniske løsninger, IKT-systemer mv. Sørge for tilganger i fagsystemer, føre kontroll med leseog skrivetilganger. Avslutte brukerkonti ved opphør av arbeidsforhold. Gjennomføre jevnlige kontroller av at ingen personopplysninger ligger åpent i systemene. Gjennomføre nødvendig opplæring og brukerveiledning i aktuelle fagprogram. Arkivleder Ansatt arkivleder i kommunen, rapporterer til nærmeste overordnede leder. Gjennomføre jevnlige kontroller av at personopplysninger ikke er tilgjengelige for uvedkommende. Sørge for at informasjonssikkerhet er en overordnet oppgave i all arkiv- og dokumentbehandling. I intervju blir det opplyst at ansvar og oppgaver knyttet til informasjonssikkerhet oppleves som tydelig fordelt og delegert. Både beredskapskoordinator (som fungerer som sikkerhetsleder) og enhetsleder for IKT, som fungerer som ansvarlig for teknisk løsning, peker på at det er godt beskrevet hvem som har ansvar for hvilke oppgaver og for oppfølging av hvilke personopplysninger. Begge opplever også at de ulike 23

29 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift lederne tar det ansvaret de har fått tildelt, og at ansatte har god kunnskap om behandling av personopplysninger i de delen av kommunen der slike opplysninger særlig behandles, innenfor for eksempel helse og omsorg. Oversikt over personopplysninger som blir behandlet Frogn kommune har gjennomgått og kartlagt hvilke personopplysninger som blir behandlet i de ulike delene av virksomheten, og ført dette i en egen oversikt som ligger lagret i kvalitetssystemet. Oversikten viser hvilken opplysninger som behandles, hvor stort omfanget er, i hvilken enhet de behandles, hvilket fagsystem det gjelder, hvem som er behandlings- og systemansvarlig, lovhjemmel/konsesjon for å behandle opplysningene, hvorvidt opplysningene er sensitivt eller ikke, hvilke sikringstiltak som er satt i verk for å sikre opplysningene, samt hvor opplysningene lagres. I intervju opplyser beredskapskoordinator at han føler seg trygg på at kommunen gjennom denne kartleggingen har sikret oversikt over hvilke personopplysninger den behandler, og at han ville blitt overrasket om det ble avdekt behandling av personopplysninger som systemansvarlige i kommunen ikke kjente til. Samtidig blir det i intervju pekt på at oversikten ikke inneholder informasjon om formålet med behandlingen av de ulike personopplysningene, og at kommunen bør inkludere en egen kolonne i oversikten der dette går frem. I intervju kommer det videre frem at kommunen ikke har etablert egne rutiner for å oppdatere oversikter over personopplysninger kommunen behandler eller for å kontrollere at man har klart å fange opp alle personopplysninger som blir behandlet i kommunen og sikre at disse er ajourførte. Oppdatering av data i oversikten har i hovedsak vært en oppgave som den enkelte systemansvarlige har besørget, innenfor det systemet/de systemene vedkommende har ansvar for. Databehandleravtaler Revisjonen får opplyst at Frogn kommune har inngått databehandleravtaler med alle eksterne leverandører som behandler personopplysninger på vegne av kommunen, totalt 15 leverandører. Oversikt over databehandleravtaler som er inngått ligger tilgjengelig i kvalitetssystemet, mens selve avtalene er arkivert i kommunens sak- og arkivsystem. Beredskapskoordinator opplyser i intervju at det etter det han er kjent med er inngått tilstrekkelige databehandleravtaler for å sikre at personopplysninger blir behandlet i samsvar med regelverket. Oppfølging av leverandører og databehandleravtaler med disse, er en oppgave som kommunen legger opp til at i tiden fremover skal håndteres av Frogn kommunes personvernombud. Rollen som personvernombud er en rolle som skal innføres i kommunen i forbindelse med innføringen av ny personvernlovgivning 1. mai Beredskapskoordinator i kommunen er tiltenkt også å inneha rollen som personvernombud Kontroll og etterprøving av informasjonssikkerhet Overordnet kontroll av arbeid med informasjonssikkerhet Undersøkelsen viser at Frogn kommune har utarbeidet en felles helhetlig kvalitetsstrategi 16, som omtaler hvordan det i kommunen skal arbeides kontinuerlig med forbedringsarbeid for å sikre best mulig tjenester innenfor de rammene kommunen har. Strategien omtaler blant annet mål for kvalitetsarbeidet, ledelsens ansvar og organisering av kvalitetsarbeidet. I strategien er det også definert innsatsområder for kommunens arbeid med kvalitetsforbedring, herunder utvikling av styrende dokumenter, organisering av internkontroll i kvalitetssystem, avvikshåndtering og ledelsens gjennomgang. Videre viser undersøkelsen at Frogn kommune har utarbeidet overordnede retningslinjer for internkontroll som ligger tilgjengelig i kvalitetssystemet. Her går det blant annet frem hvilke aktiviteter som skal gjennomføres som en del av internkontrollen i den enkelte virksomheten, og at det er den enkelte enhetsleder som har ansvar for at enheten følger lover og regler knyttet til sin enhets tjenester. Når det gjelder internkontroll knyttet til informasjonssikkerhet, får revisjonen opplyst at Frogn kommune i liten grad har sikret sentralisert kontroll av om kommunen behandler og sikrer personopplysninger slik de skal i henhold til regelverk og krav. Det blir pekt på at kommunen ikke har etablert et helhetlig og overordnet styringssystem for informasjonssikkerhet, som sikrer at det arbeidet som gjøres med hensyn 16 Frogn kommune: Helhetlig kvalitetsstrategi

30 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift til personvern og behandling av personopplysninger er tilstrekkelig dokumentert og at det er gjenstand for nødvendig oppfølging og kontroll. Både enhetsleder for IKT og beredskapskoordinator opplyser at det på fagsystemnivå blir arbeidet godt med egenkontroll, og at mange av virksomhetene som behandler personopplysninger gjennom fagsystemene har etablert gode rutiner for eksempelvis tilgangsstyring og opplæring i systembruk, samt for å kontrollere at disse rutinene fungerer etter intensjonen. På grunn av manglende dokumentasjon og sentralisert kontroll, blir det imidlertid pekt på at det kan være vanskelig for kommunen sentralt å være trygg på om arbeidet er godt nok og om det tilfredsstiller kravene i regelverket. Beredskapskoordinator trekker frem at dette er et viktig område for kommunen å følge opp fremover, og at han i rollen som personvernombud vil ha et særlig ansvar for å sikre at kommunen fører tilstrekkelig kontroll med at informasjonssikkerhetsarbeidet som foregår ute i enhetene er i samsvar med regelverket og sikrer at arbeidet blir tilstrekkelig dokumentert. Når det gjelder kompetanse innenfor informasjonssikkerhet, mener beredskapskoordinator at de ansatte som behandler personopplysninger, får god opplæring både i systemene de benytter og de rutinene de enkelte enhetene har utarbeidet for behandling av personopplysninger. Det blir pekt på at kommunen har hatt en ambisjon om bruk av leselister for den enkelte ansatte, der det angis hvilke rutiner den enkelte skal ha satt seg inn, og der hver enkelt skal gå gjennom rutinene og kvittere for at disse er lest og forstått. Disse leselistene blir imidlertid i varierende grad benyttet, og ikke alle enhetsledere har prioritert å følge opp og dokumentere opplæring av ansatte i behandling av personopplysninger. Det blir pekt på at det som en del av beredskapskoordinators arbeidsoppgaver fremover, vil være viktig å sikre at ledere har felles forståelse for hvordan de skal jobbe på ledernivå for å formidle krav og forventninger og for å sikre at alle ansatte tilegner seg den riktig kompetansen om system og rutiner knyttet til informasjonssikkerhet og behandling av personopplysninger. Risikoanalyser knyttet til informasjonssikkerhet Undersøkelsen viser at det i 2015 ble gjennomført en risikoanalyse av uønskede hendelse knyttet til informasjonssikkerhet i Frogn kommune. Risikoanalysen fokuserte på vurderinger av sannsynlighet for og konsekvenser av at informasjon kommer på avveie, informasjon blir fjernet for godt eller går tapt, uønskede endringer av kommunens informasjon og nedetid på IKT-systemer. Som det går frem av kapittel 4.3.1, har kommunen også utarbeidet rutiner for og gjennomført risikoanalyser i forbindelse med bruk av skytjenester, med hensyn til å forebygge, avdekke og håndtere hendelser som kan føre til brudd på personopplysningers konfidensialitet, integritet eller tilgjengelighet for opplysninger som oppbevares i skyløsninger. Utover dette får revisjonen opplyst at det i liten grad gjennomføres systematiske risikoanalyser i Frogn kommune knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger. Beredskapskoordinator opplyser i intervju at han etter at han begynte i stillingen (mars 2016), ikke har funnet dokumentasjon på at det har blitt gjennomført risikovurderinger knyttet til informasjonssikkerhet. Avvikshåndtering Gjennom kommunens systemet for avviksmelding, tilgjengelig for ansatte som en del av det elektroniske kvalitetssystemet, er det mulig å melde inn avvik knyttet til informasjonssikkerhet og behandling av personopplysninger. Undersøkelsen viser imidlertid at det i systemet med tilhørende dokumentasjon i liten grad er informert om at dette også er tema det kan meldes avvik knyttet til. I intervju blir det opplyst fra brukere av et av kommunens største fagsystemer (Gerica) at det i avvikssystemet ikke er spesifisert at avvik knyttet til informasjonssikkerhet kan og skal meldes inn, utover at det går frem at man kan melde avvik som relaterer til de kravene som gjelder innenfor ulike fagområder i kommunen (som for eksempel krav i helselovgivning, herunder journalføring mv.) Revisjonen får opplyst at det i perioden fra til utgangen av september 2017 ble det registrert syv avvik knyttet til informasjonssikkerhet, hvorav seks var feilregistreringer, mens ett avvik knyttet seg til brudd på konfidensialitet og vern av personopplysninger. Beredskapskoordinator peker i forbindelse med dette på at antall avvik knyttet til informasjonssikkerhet fremstår som lavt. Videre blir det pekt på at en 25

31 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift prioritert oppgave for kommunen i arbeidet med kontroll av informasjonssikkerhetsarbeid fremover, vil være å tilpasse avviksmodulen i kvalitetssystemet på en slik måte at den blir enklere og mer intuitiv å bruke for de ansatte. Det er også planlagt at det skal gjennomføres mer opplæring knyttet til avviksmelding og avvikshåndtering blant de ansatte, for å sikre mer kompetanse rundt dette i organisasjonen. I undersøkelsen kommer det videre frem at det varierer en del mellom ulike virksomheter og avdelinger i kommunen hvorvidt det er kultur for å melde avvik, og med hensyn til hvilke tema det er forståelse for at det skal meldes avvik knyttet til. Tilgangskontroll Frogn kommune har etablert skriftlige rutiner for tilgangskontroll både når det det gjelder å gi tilgang til nyansatte til relevante systemer der personopplysninger behandles (for eksempel Gerica), og når det gjelder å stanse tilganger dersom ansatte slutter. Når en ansatt i kommunen slutter, blir det produsert en sluttmelding i sak- og arkivsystemet, der systemansvarlig for fagsystemer i enheten der vedkommende arbeider legger inn opplysninger om hvilke tilganger som skal stanses. Meldingen sendes til IKT, som da får beskjed om hvilke tilganger i fagsystemer som skal avsluttes, og hvilke tilganger til hjemmeområder på klienter som skal stoppes. I intervju som er gjennomført i forbindelse med forvaltningsrevisjonen, er de intervjuede samstemte om at rutinene for styring av tilganger til ulike systemer som inneholder personopplysninger om brukere og ansatte er tydelige. Videre blir det vist til at kommunen i hovedsak har god kontroll på styring av tilganger til elektroniske systemer i situasjoner der noen begynner eller slutter i jobb hos Frogn kommune. Revisjonen får videre opplyst at når det gjelder å sikre at alle tilganger er oppdatert og riktig avgrenset for ansatte som ev. bytter stilling eller arbeidssted internt i kommunen, blir dette ivaretatt gjennom de rutinene som er etablert for tilgangsstyring i form av sluttmelding fra systemansvarlig og endring av tilganger hos IKT. Det er imidlertid ikke etablert egne rutiner for å gjøre endringer i tilganger i slike situasjoner. At tilganger endres og tilpasses i forbindelse med bytte av stilling av arbeidssted, er avhengig av at leder fanger opp endringsbehovet og følger opp systemansvarlig i IKT-enheten med en sluttmelding, for å sikre at tilganger i systemene blir endret. I undersøkelsen kommer det videre frem at det i liten grad er etablert formelle kontrollrutiner for jevnlig oppfølging av om alle tilganger som er gitt til ansatte i ulike fagsystemer er korrekte, eller om ansatte har tilganger de ikke burde ha. I flere av systemene (som for eksempel Gerica som benyttes innen helse og omsorg) er det mulig å ta ut rapporter som viser tilganger i systemet per avdeling, med oversikt over hvem som har tilgang til hva og når tilgangen utløper. Det foregår imidlertid ingen formalisert rapportering eller oppfølging av dette, herunder stikkprøver eller liknende av om ansatte som i utgangspunktet ikke skal ha tilgang, likevel har tilgang i systemene. Revisjonen får samtidig opplyst fra enhetsleder for IKT at systemansvarlige på generell basis oppleves å ha fokus på tilganger. Oppfølgingen og kontroll av eksisterende tilganger er imidlertid ikke formalisert på samme måte som oppfølging av endringer i tilganger, der det skal sendes sluttmelding til IKT innen en gitt tidsfrist. 5.4 Vurdering Undersøkelsen viser at Frogn kommune har etablert både sikkerhetsmål og sikkerhetsstrategi gjeldende for kommunens arbeid med informasjonsbehandling. Det er også etablert en sikkerhetsorganisasjon tilpasset kommunens sikkerhetsstrategi, der ansvar og oppgaver knyttet til informasjonssikkerhet er fordelt mellom de ulike rollene som inngår i organisasjonen. Etter revisjonens vurdering fremstår denne organiseringen som tydelig, og som i stor grad i samsvar med krav i personopplysningsforskriften til etablere klare ansvars og myndighetsforhold for bruk av informasjonssystem ( 2-7). Etablering av sikkerhetsstrategi for Frogn kommune, er etter revisjonens vurdering i samsvar med krav som går frem av personopplysningsforskriften 2-3. Videre viser undersøkelsen at kommunen har kartlagt hvilke opplysninger som behandles gjennom ulike fag- og fellessystemer, og at man i hovedsak opplever å ha oversikt over de personopplysninger kommunen behandler og sentrale karakteristika knyttet til disse (hvilke opplysninger som behandles, omfang, lovhjemmel/konsesjon for behandlingen, hvorvidt det er snakk om sensitive personopplysninger mv.). Undersøkelsen viser samtidig at kommunen ikke har utarbeidet styringssystem for informasjonssikkerhet som sikrer sentralisert kontroll av om kommunen behandler og sikrer personopplysninger slik de skal i henhold til regelverk og krav. Det er ikke etablert system og rutiner for å sikre at oversiktene over 26

32 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift personopplysninger som behandles er oppdatert og fullstendig, og at all relevant informasjon om personopplysningene som behandles blir registrert (formålet med behandlingen). Etter revisjonens vurdering medfører mangel på rutiner for å holde fullstendig oversikt over personopplysninger risiko for at Frogn kommune behandler personopplysninger utenfor oversikten som blir ført. Dette bryter etter revisjonens vurdering både med kravet om at det skal føres oversikt over personopplysninger som blir behandlet, jf. personopplysningsforskriften 2-4 første ledd, og det mer generelle kravet om å dokumentere all informasjon som har betydning for informasjonssikkerheten, jf. personopplysningsforskriften Manglende rutiner for å sikre oversikt over hvilke personopplysninger som blir behandlet, gjør også at kommunen bryter med personopplysningsforskriften 3-1 tredje ledd a) til f), der det stilles krav til kommunen om å ha systematiske rutiner for å kunne oppfylle sine plikter og de registrertes rettigheter til enhver tid. Når det gjelder databehandleravtaler, er det revisjonens vurdering at kommunen gjennom de databehandleravtaler som er inngått og arkivert, i all hovedsak har sikret at det blir holdt oversikt over hvem som behandler personopplysninger på vegne av kommunen. Dette gjør det mulig for kommunen å kontrollere at personopplysninger kommunen er behandlingsansvarlig for, blir behandlet av databehandlere i samsvar med krav i lov og forskrift til behandling av personopplysninger. Revisjonen vil likevel peke på at det er viktig at planene kommunen har om å følge opp og kontrollere leverandører som behandler data på vegne av Frogn kommune, blir fulgt opp, og at kommunen forsikrer seg om at databehandlere man har avtale med opprettholder tilfredsstillende informasjonssikkerhet, jf. personopplysningsforskriften 2-15 femte ledd. Revisjonen vil understreke at det er viktig at dette blir fulgt opp også i perioden frem til 1. mai 2018, da kommunen har planlagt å innføre en personvernombudsrolle som også skal håndtere kommunens oppfølging av databehandleravtaler med leverandører. Frogn kommune har gjennomført enkeltstående risikoanalyser som i noen grad også berører informasjonssikkerhet. Det blir imidlertid ikke utført systematiske risikoanalyser knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger. Revisjonen mener dette medfører risiko for manglende oversikt over hvilke risikoer kommunen står overfor i forbindelse med behandling av personopplysninger, og for at kommunen ikke har et tilstrekkelig godt kunnskapsgrunnlag til å kunne gjøre justeringer i styringssystemet for informasjonssikkerhet basert på endringer i trusselbildet og avdekte behov. Etter revisjonens vurdering er dette ikke i samsvar med krav i personopplysningsforskriften 2-4 andre ledd. Det er etablert et avvikssystem i Frogn kommune som også gjør det mulig å melde inn avvik knyttet til informasjonssikkerhet og behandling av personopplysninger. Antallet meldte avvik knyttet til dette temaet fremstår etter revisjonens vurdering som lavt. Undersøkelsen indikerer at det i avviksmodulen kommunen benytter, ikke er gjort tilstrekkelig tydelig for ansatte at avvik knyttet til behandling av personopplysninger skal meldes. Undersøkelsen indikerer også at kulturen i kommunen knyttet til melding av avvik, varierer mellom ulike avdelinger og enheter, og at det heller ikke er etablert en felles forståelse for hvilke tema det skal meldes avvik om. Revisjonen mener at kommunens praksis på området ikke er i samsvar med personopplysningsforskriften 2-6, og vil peke på at mangelfull rapportering av avvik kan øke risikoen for at avvik knyttet til mangelfull behandling av personopplysninger ikke blir fanget opp og tatt tak i, noe som igjen kan bidra til at eventuell mangelfull praksis vedvarer og at relevant forbedringsarbeid ikke blir iverksatt. Når det gjelder tilgangskontroll, viser undersøkelsen at det er etablert skriftlige rutiner for å gi og avslutte tilganger til ansatte som starter eller slutter i kommunen, og at kommunen opplever å ha god kontroll med tilgang til systemer der det blir behandlet personopplysninger i forbindelse med at noen begynner eller slutter i jobb i Frogn kommune. Det er imidlertid ikke etablert egne rutiner for å gjøre endringer i tilganger for ansatte som bytter jobb internt. Det blir heller ikke ført jevnlig kontroll eller tilsyn med at de tilganger til systemer der personopplysninger blir behandlet er korrekte, og av at de ansatte som har tilgang er de som behøver det. Etter revisjonens vurdering kan dette medføre risiko for at ansatte ikke får tilgang til den informasjonen de trenger når de har behov for den, samt risiko for at ansatte har eller kan få tilgang til personopplysninger de ikke skal ha tilgang til. Mangelfulle rutiner og kontroll av tilganger for ansatte til personopplysninger som blir behandlet i fag- og fellessystemer, er etter revisjonens vurdering ikke i samsvar med bestemmelsene i personopplysningsloven 13 første ledd eller 2-8 første ledd og 2-12 i personopplysningsforskriften, knyttet til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 27

33 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift På bakgrunn av vurderingene over, mener revisjonen at Frogn kommune bør gjennomgå styringssystemet for informasjonssikkerhet, og sikre at det oppfyller gjeldende krav i regelverket til behandling av personopplysninger. 28

34 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift 6. Konklusjon og anbefalinger Forvaltningsrevisjonen viser at Frogn kommune har definert mål og strategier for utvikling av IKT-området, som inkluderer planer for investeringer i IKT-systemer. Planene omfatter utvikling av IKT-området både på overordnet nivå (utvikling av fag- og fellessystemer) og for mer spesifikke prosjekter som digitalisering av Frognskolen, og blir finansiert av kommunestyret med bevilgninger i kommunens investeringsbudsjett. Planene for utvikling av IKT-systemer følges opp i samsvar med de strategiene som er lagt, og rapporteres på i månedlig økonomirapportering, og i forbindelse med tertialrapportering. Videre har kommunen, i samsvar med anerkjent praksis, utarbeidet system for overordnet styring av IKT-funksjonen, samt skriftlige rutiner knyttet til sikkerhet, drift og vedlikehold av IKT-systemer, herunder rutiner for gjennomføring av ulike sikkerhetsrelaterte aktiviteter som systemoppdatering, sikkerhetsrevisjoner og sårbarhetsanalyser, fortløpende vurderinger/analyser av IKT-sikkerhet og trusselbilder, og rutiner for å forhindre driftsstans og for å gjenoppta normal drift etter eventuell driftsstans. Samtidig viser forvaltningsrevisjonen at Frogn kommune ikke i tilstrekkelig grad har utarbeidet rutiner for å redusere og forhindre avdekte IKT-risikoer. Etter revisjonens vurdering medfører mangel på rutiner risiko for feil og mangler i kommunens arbeid med å forhindre IKT-risikoer, samt risiko for at arbeidet blir avhengig av enkeltpersoner og dermed sårbart for utskiftninger i personale, sykdom mv. Av undersøkelsen går det frem at det heller ikke gjennomføres systematiske risikoanalyser knyttet til hvor i kommunens IKTsystemer det foreligger risiko for feil, mangler og svikt, herunder risiko for stans eller nedetid på IKTløsninger. Revisjonen mener systematiske risikoanalyser er et sentralt element for å sikre god internkontroll, når det gjelder å avdekke aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse, manglende etterleving av rutiner og regelverk, eller svikt i drift av sentrale løsninger og systemer som vil kunne påvirke de tjenestene kommunen tilbyr. Forvaltningsrevisjonen viser at Frogn kommune har utarbeidet et styringssystem for informasjonssikkerhet. Kommunen har etablert både sikkerhetsmål og sikkerhetsstrategi gjeldende for kommunens arbeid med informasjonsbehandling, og har også kartlagt hvilke personopplysninger som behandles gjennom ulike fagog fellessystemer. Kommunen har imidlertid ikke etablert system og rutiner for å sikre at oversiktene over personopplysninger som behandles er oppdatert og fullstendig, eller at all relevant informasjon om personopplysningene som behandles blir registrert, herunder informasjon om formålet med behandlingen. Det blir videre ikke gjennomført systematiske risikoanalyser knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger, og det er ikke sikret en fullstendig praksis for å melde avvik knyttet til mangelfull behandling av personopplysninger. Når det gjelder kontroll av ansattes tilgang til systemer der personopplysninger blir behandlet, er det ikke etablert rutiner for å gjøre endringer i tilganger for ansatte som bytter jobb internt, og det føres ikke kontroll eller tilsyn med at de tilganger til systemer der personopplysninger blir behandlet som er gitt, er korrekte og i samsvar med faktisk behov ansatte har i forbindelse med utføring av egne arbeidsoppgaver. Etter revisjonens vurderinger er flere av funnene knyttet til kommunens arbeid med informasjonssikkerhet ikke i samsvar med gjeldende regelverk, og revisjonen mener at kommunen med dette bryter med flere sentrale krav i lov og forskrift når det gjelder sikkerhet ved behandling av personopplysninger. Basert på det som kommer frem i undersøkelsen anbefaler revisjonen at Frogn kommune setter i verk følgende tiltak: 1. Utarbeider skriftlige rutiner som dekker alle sentrale arbeidsprosesser for styring av IKT-funksjonen. 2. Gjennomfører systematiske kartlegginger og analyser av hvor i kommunens IKT-systemer og -løsninger det foreligger risiko for feil, mangler og svikt, herunder driftsstans, nedetid mv., samt når dette kan inntreffe. 3. Gjennomgår styringssystemet for informasjonssikkerhet, og sikrer at det oppfyller gjeldende krav i regelverket til behandling av personopplysninger, herunder: 29

35 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift a. Etablerer system og rutiner for å sikre at oversiktene over personopplysninger som behandles er oppdatert og fullstendig, og at all relevant informasjon om personopplysningene som behandles blir registrert. b. Sikrer at det blir gjennomført systematiske risikoanalyser opp mot fastsatte akseptkriterier, knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger. c. Sikrer at det blir meldt avvik knyttet til eventuell mangelfull behandling av personopplysninger, og at meldte avvik følges opp og lukkes. d. Sikrer at det blir etablert tilstrekkelig rutiner for tildeling og kontroll av ansattes til personopplysninger som blir behandlet i fag- og fellessystemer. 30

36 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Vedlegg 1: Høringsuttalelse 31

37 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Vedlegg 2: Revisjonskriterier Revisjonskriteriene vil bli hentet fra og utledet av autoritative kilder, rettsregler, politiske vedtak og fastsatte retningslinjer. Revisjonskriteriene under er ikke uttømmende for hva som kan være relevant i forvaltningsrevisjonen. Andre kriterium vil kunne komme til dersom det skulle være nødvendig for å få en fullstendig undersøkelse og vurdering av problemstillingene. Kommunal planlegging Kommuner er pålagt å planlegge sin virksomhet. Det går frem av kommuneloven 5 at «kommunen skal utarbeide en samordnet plan for den kommunale virksomhet.» Kommunen sin plikt til, og formål med å utarbeide planer går også frem av plan- og bygningsloven 3-2, 3-3 og 11-2, andre ledd. Planleggingen skal fremme helhet ved at sektorer, oppgaver og interesser på et område blir sett i sammenheng gjennom samordning og samarbeid om oppgaveløsing mellom sektormyndigheter og mellom statlige, regionale og kommunale organ, private organisasjoner og institusjoner, og allmenheten, jf. planog bygningsloven 3-1. Av kommuneloven 44 om økonomiplan, går det frem at kommunestyret en gang i året skal vedta en rullerende økonomiplan, som omfatter hele kommunens virksomhet og gir «en realistisk oversikt over sannsynlige inntekter, forventede utgifter og prioriterte oppgaver i planperioden.» Videre går det frem at 45 i samme lov at kommunestyret innen årets utgang skal vedta budsjett for det kommende kalenderår, og av kommuneloven 46 går det frem at dette budsjettet skal omfatte hele kommunens virksomhet, samt være inndelt i en driftsdel og en investeringsdel. Bevilgninger i årsbudsjettet er bindende for underordnede organer, jfr. Kommuneloven 47: «Kommunestyrets ( ) bevilgninger i årsbudsjettet er bindende for underordnede organer. Dette gjelder ikke for utbetalinger kommunen ( ) er rettslig forpliktet til å foreta, jf. 46 nr. 1 tredje punktum. Skjer det endringer i løpet av budsjettåret som kan få betydning for de inntekter og utgifter som årsbudsjettet bygger på, skal administrasjonssjefen, kommunerådets leder ( ) gi melding til kommunestyret ( ). Får kommunestyret ( ) melding etter nr. 2 foran, skal det foreta nødvendige endringer i budsjettet. Det samme gjelder når det på annen måte gjøres kjent med forhold som kan bety vesentlig svikt i inntektene eller en vesentlig økning i utgiftene i forhold til budsjettet.» I forskrift om årsbudsjett (for kommuner og fylkeskommuner) er det i 10 stilt følgende krav til budsjettstyring: «Administrasjonssjefen, eventuelt kommunerådet, skal gjennom budsjettåret legge fram rapporter for kommunestyret som viser utviklingen i inntekter og innbetalinger og utgifter og utbetalinger i henhold til det vedtatte årsbudsjett. Dersom administrasjonssjefen eller kommunerådet finner rimelig grunn til å anta at det kan oppstå nevneverdige avvik i forhold til vedtatt eller regulert årsbudsjett, skal det i rapportene til kommunestyret eller fylkestinget foreslås nødvendige tiltak.» Internkontroll I kommuneloven 23 framgår følgende krav til administrasjonssjefen: 2. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. 32

38 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift I Ot.prp.nr.70 ( )17 står følgende kommentar til kravet om betryggende kontroll i kommuneloven 23: Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som blant annet skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. I Ot.prp.nr.70 ( ) blir det videre vist til at internkontroll først og fremst er et ledelsesverktøy, og ( ) er en integrert del av ledelsens styring av organisasjonen. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Det er flere anerkjente rammeverk som beskriver grunnprinsipp for god internkontroll. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen.18 Hovedelementene i COSO-modellen er felles for flere av de ulike rammeverkene for internkontroll. De viktigste elementene er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsesoppfølging Rammeverk for styring av IKT-funksjonen COBIT 5 er et internasjonalt anerkjent rammeverk for styring av IKT-funksjonen i virksomheter utviklet av organisasjonen ISACA.19 Rammeverket tar utgangspunkt i at IKT-funksjonen på en effektiv og god måte skal underbygge og bidra til at virksomheten når sine overordnede mål. Med bakgrunn i dette er det identifisert og definert en rekke mål og prosesser for IKT-funksjonen. Eksempelvis sier rammeverket at dersom det er et overordnet mål for virksomheten å etterleve lover og reguleringer må man bl.a. sette følgende mål for IKT-funksjonen: IKT-funksjonen reguleringer. IKT-funksjonen IKT-funksjonen IKT-funksjonen IKT-funksjonen IKT-funksjonen skal selv etterleve, og skal hjelpe virksomheten ellers i å etterleve, lovkrav og skal skal skal skal skal opprettholde sikkerhet i informasjon, infrastruktur og applikasjoner. håndtere IKT-relatert risiko. levere tjenester i samsvar med virksomheten sine behov. ha pålitelig og nyttig informasjon til å fatte beslutninger. etterleve interne retningslinjer. Informasjonssikkerhet Informasjonssikkerhet handler om sikring av informasjon med hensyn til konfidensialitet, integritet og tilgjengelighet. Ot.prp.nr.70 ( ). Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon). 18 COSO: Internal Control Integrated Framework (2013). 19 ISACA er en internasjonal forening som fokuserer på styring og kontroll innenfor IKT-sektoren

39 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Å sørge for konfidensialitet innebærer å hindre ikke-autorisert innsyn i informasjon som ikke skal være tilgjengelig for alle; å sørge for integritet innebærer å hindre ikke-autorisert endring og sletting av informasjon; å sørge for tilgjengelighet innebærer å sikre tilgang til informasjon ved behov for tilgang. Personopplysningsloven og -forskriften Regelverket knytt til informasjonssikkerhet omfatter blant annet personopplysningsloven og -forskriften. Jf. personopplysningsloven 13 første ledd, skal den behandlingsansvarlige20 og databehandleren21 «gjennom planlagt og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.» I kommunen er det rådmannen som er behandlingsansvarlig.22 Databehandlere er eventuelle tjenesteleverandører til kommunen som behandler personopplysninger, som f.eks. leverandør av lønn- og personalsystem. Ved bruk av databehandler skal det jf. personopplysningsloven 15 og personopplysningsforskriften 2-15, skrives avtale med behandlingsansvarlig. Kapittel 2 i personopplysningsforskriften stiller utfyllende krav til informasjonssikkerhet i virksomheter som behandler personopplysninger. Kapittelet pålegger blant annet slike virksomheter å: fastsette sikkerhetsstrategi for virksomheten ( 2-3) gjennomføre risikovurderinger etter fastsatte kriterier ( 2-4) etablere klare ansvars og myndighetsforhold for bruk av informasjonssystem ( 2-7) etablere fysiske og tekniske tiltak for informasjonssikkerhet ( 2-10 til 2-14) sørge for at de ansatte har tilstrekkelig kunnskap om informasjonssikkerhet ( 2-8) behandle uønskede hendelser i informasjonssystemet som avvik ( 2-6) sikre at det ikke blir overlevert personopplysninger elektronisk til andre virksomheter dersom disse ikke tilfredsstiller kravene i sikkerhetsføringene, samt etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører gjennom særskilt avtale ( 2-15) Personopplysningsloven 14 pålegger den behandlingsansvarlige å «etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller medhold av denne loven, herunder sikre personopplysningenes kvalitet», altså et internkontrollsystem. Personopplysningsforskriften kapittel 3 stiller utfyllende krav til omfanget og rutinene i den påkrevde internkontrollen. Krav til styringssystem for informasjonssikkerhet Et styringssystem for informasjonssikkerhet er et system som samler prosedyrer, rutiner og dokumentasjon knyttet til informasjonssikkerhet. Kommunen er bl.a. gjennom eforvaltningsforskriften 15 forpliktet til å ha en internkontroll basert på anerkjente standarder for styringssystem for informasjonssikkerhet: Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Direktorat for forvaltning og IKT (Difi) er utpekt som ansvarlig for å gi tilrådinger knytt til hvilke styringssystem for informasjonssikkerhet som bør brukes. Difi anbefaler at offentlige virksomheter legger Personopplysningsloven 2 fjerde ledd definerer behandlingsansvarlig som «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes». 21 Personopplysningslova 2 femte ledd definerer databehandler som «den som behandler personopplysninger på vegne av den behandlingsansvarlige». 22 Jf. En veiledning om internkontroll og informasjonssikkerhet (Datatilsynet 2009, s. 11)

40 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift seg på ISO/IEC 27001:2013, informasjonssikkerhet. som er en internasjonal 35 standard for styringssystem for

41 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Vedlegg 3: Sentrale dokumenter og litteratur Regelverk med forarbeider Justis- og beredskapsdepartementet: Lov om behandling av personopplysninger (personopplysningsloven). LOV Sist endret Kommunal- og moderniseringsdepartementet: Forskrift om behandling av personopplysninger (personopplysningsforskriften). FOR Sist endret Kommunal- og moderniseringsdepartementet: Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften). FOR Sist endret Kommunalog moderniseringsdepartementet: Lov om kommuner (kommuneloven). LOV Sist endret Kommunal- og regionaldepartementet: Ot.prp. nr. 70 ( ), Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon). Kommunal- og moderniseringsdepartementet: Forskrift om årsbudsjett fylkeskommuner). FOR Sist endret og (for fylkeskommuner kommuner og Veiledere Datatilsynet: En veiledning om internkontroll og informasjonssikkerhet Dokumenter fra Frogn kommune Frogn kommune, 2013: Kommuneplan Frogn kommune, 2016: Budsjett 2017 og handlingsprogram Frogn kommune, 2016: Virksomhetsplan IKT og service Frogn kommune, 2017: Arbeidsmål IKT Frogn kommune, Aktivitetsplan IKT-prosjekter. Frogn kommune, 2017: IKT styring og kontroll beskrivelse av styringssystemet. Frogn kommune, 2017: Beredskapsplan IKT og service. Frogn kommune, 2017: Sikkerhetsmål. Frogn kommune, 2017: Sikkerhetsstrategi. Frogn kommune, 2017: Organisasjonskart sikkerhetsorganisasjon. Frogn kommune, 2017: Oversikt over personopplysninger som blir behandlet i kommunen. Frogn kommune, 2017: Oversikt over virksomheter som behandler personopplysninger på vegne av kommunen, og databehandleravtaler kommunen har inngått. 36

42 1/18 Forvaltningsrevisjon IKT sikkerhet og drift - 17/ Forvaltningsrevisjon IKT sikkerhet og drift : Forvaltningsrevisjonsrapport Frogn kommune - IKT sikkerhet og drift Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ("DTTL"), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as "Deloitte Global") does not provide services to clients. Please see for a more detailed description of DTTL and its member firms. Deloitte Norway conducts business through two legally separate and independent limited liability companies; Deloitte AS, providing audit, consulting, financial advisory and risk management services, and Deloitte Advokatfirma AS, providing tax and legal services. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500 companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients most complex business challenges. To learn more about how Deloitte s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter Deloitte AS 37

43 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Forvaltningsrevisjonsrapport - Etikk og habilitet KONTROLLUTVALGET I FROGN Sak 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet Saksbehandler: Lene H. Lilleheier Behandlingsrekkefølge Frogn kontrollutvalg Saksnr.: 17/ Møtedato: Sekretariatets innstilling: Forvaltningsrevisjonsrapporten om etikk og habilitet oversendes kommunestyret med følgende innstilling: I Kommunestyret merker seg at revisjonen gir Frogn kommune følgende anbefalinger: 1. Systematiserer arbeidet med å informere ansatte om kommunens etiske retningslinjer, og sikrer at alle ansatte er kjent med innholdet i disse og hvordan de skal benyttes. 2. Iverksetter tiltak for å sikre at ansatte er kjent med bestemmelser knyttet til habilitet, og sikrer tilstrekkelig kunnskap om når habilitetsregelverk kommer til anvendelse. 3. Vurdere behovet for å iverksette ytterligere informasjonstiltak overfor de folkevalgte, for å sikre at alle folkevalgte er tilstrekkelig kjent med: a. Relevante bestemmelser i etiske retningslinjer b. Gjeldende habilitetsregler, og c. De folkevalgtes egenansvar for etterleving av etiske retningslinjer og habilitetsbestemmelser i lovverket. 4. Identifisere behov (basert på risikovurdering) for å utarbeide rutiner som kan sikre etterleving av Frogn kommunes etiske retningslinjer. 5. Styrke kontrollen av at det på enhetsnivå i kommunen arbeides med etterleving av etiske retningslinjer, gjennom for eksempel mer spesifisert rapportering. 6. Legger til rette i større grad for melding av avvik knyttet til manglende etterleving av etiske retningslinjer, og tydeliggjør overfor ansatte at avvik knyttet til eventuelle brudd på etiske retningslinjer skal meldes. 7. Gjennomfører systematiske kartlegginger og analyser av hvor i virksomheten det foreligger risiko for at etiske retningslinjer ikke etterleves. 8. Vurdere å utarbeide skriftlige rutiner: a. Til bruk for ansatte i forbindelse med gjennomføring av habilitetsvurderinger. b. For å dokumentere og holde oversikt over gjennomførte habilitetsvurderinger. II Kommunestyret ber rådmannen følge opp anbefalingene og melde tilbake til kontrollutvalget om resultatet innen seks måneder. Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no

44 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Forvaltningsrevisjonsrapport - Etikk og habilitet Avgjørelsesmyndighet: Kommunestyret Vedlegg: Frogn - forvaltningsrevisjon - Etikk og habilitet SAKSUTREDNING: Kontrollutvalget vedtok 28. august 2017 jf. sak 20/17 prosjektplan for forvaltningsrevisjonsprosjektet om Etikk og habilitet. Formålet med prosjektet har vært å se på hvordan de etiske retningslinjene for Frogn kommune er implementert i organisasjonen, hvordan de blir fulgt opp og brukt, samt hvordan gjeldende habilitetsregler blir ivaretatt både på administrativt og politisk nivå. Følgende problemstillinger ligger til grunn for prosjektet: 1. I hvilken grad er de etiske retningslinjer kjent blant de ansatte og folkevalgte i kommunen? 2. I hvilken grad blir de etiske retningslinjene etterlevd? 3. Hvilke risikoområder finnes for brudd på de etiske retningslinjene? 4. I hvilken grad er det etablert rutiner for vurdering av habilitet, herunder rutiner for å dokumentere habilitetsvurderinger, i forbindelse med a. Administrativ saksforberedelse og behandling? b. Behandling as saker i politiske organer? 5. I hvilken grad ivaretar de etiske retningslinjene habilitetsreglene og konsekvensene av inhabilitet for den enkeltes arbeid med den aktuelle saken? Sekretariatet mener revisjonen har fulgt opp utvalgets bestilling gjennom formål og problemstillinger. Revisjonens metode i prosjektet har vært intervjuer, dokumentanalyse og spørreundersøkelse blant kommunestyrets medlemmer og et utvalg av ansatte. Revisjonen skriver at det er en reell feilmargin på ca.10 % for svarene i spørreundersøkelsen da svarprosenten blant de ansatte var relativt lav. Figurene i rapporten må derfor tolkes med varsomhet. Gjennomgang av rapportens funn: Kjennskap til etiske retningslinjer: - Etiske retningslinjer er tilgjengelige for alle ansatte på kommunens nettsider og i kvalitetssystemet. - Etisk forsvarlig adferd er tydelig nedfelt i lederavtaler mellom rådmann og enhetsledere. - Det er ikke satt i verk felles tiltak i kommunen for å informere om etiske retningslinjer og innholdet i disse. - Det gjennomføres ikke systematisk kontroll av hvorvidt det nedover i organisasjonen er arbeidet med å informere de ansatte. - Ikke alle ansatte er kjent med de etiske retningslinjene, eller har kjennskap til hvor de kan finne disse. - De ansatte er ikke tilstrekkelig informert om de etiske retningslinjer, og hva de inneholder av krav og bestemmelser for de ansatte. Side 2 av 4

45 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Forvaltningsrevisjonsrapport - Etikk og habilitet - - Kommunen har sørget for at de folkevalgte i hovedsak er orientert om de etiske retningslinjene, men undersøkelsen viser at det er behov for å iverksette informasjonstiltak for å sikre at relevante bestemmelser er godt nok kjent blant de folkevalgte. Ikke alle ansatte er kjent med i hvilke situasjoner de skal vurdere egen habilitet. En betydelig andel av ansatte opplever at de i liten grad eller ikke i det hele tatt er definert hvilke hensyn man må ta i forbindelse med vurdering av egen habilitet. De folkevalgte har etter revisjonens vurdering tilstrekkelig kjennskap til hvilke situasjoner de skal vurdere egen habilitet. Revisjonen mener allikevel at svarene fra spørreundersøkelsen indikerer et forbedringspotensial med behov for ytterligere fokus på habilitet blant folkevalgte. Etterleving av etiske retningslinjer: - Varierende grad av etablerte felles rutiner eller prosedyrer som ansatte kan benytte for å sikre etterlevelse av kommunens etiske retningslinjer. - Det gjennomføres ingen systematisk kontroll i kommunen av hvorvidt det blir arbeidet med rutiner og etterlevelse. - For folkevalgte er det utarbeidet rutiner for å sikre etterleving av habilitetsregelverk. - Svarene fra ansatte og folkevalgte indikerer at det er en betydelig risiko for at etiske retningslinjer blir brutt Kartlegging av risiko for brudd på etiske retningslinjer: - Det blir ikke gjennomført risiko- og sårbarhetsanalyser knyttet til hvor og når det kan inntreffe mulig brudd på etiske retningslinjer. Rutiner for habilitetsvurdering - Det er ikke etablert felles rutiner for vurdering av habilitet som ansatte kan benytte. - Det er etablert tilstrekkelige rutiner for gjennomføring og dokumentasjon av habilitetsvurderinger ved behandling av saker i politiske organer. - Revisor mener at det på bakgrunn av spørreundersøkelsen er behov for å informere de folkevalgte enda tydeligere. Ivaretakelse av habilitetsregelverk i etiske retningslinje De etiske retningslinjene ivaretar habilitetsreglene på en tilstrekkelig måte. Eksempler på mulige interessekonflikter en som ansatt bør ta hensyn til er ikke inkludert i egne rutiner, veiledere eller sjekklister. Det er ikke etablert egne rutiner for å sikre at ansatte som er vurdert inhabile ikke involveres i saken. Revisor mener at kommunen har tilstrekkelige rutiner for å sikre at folkevalgte som blir vurdert inhabile i en sak ikke involveres i en eventuell ny behandling av saken på et senere tidspunkt. Rådmannens høringssvar til rapporten står på side 54. Rådmannen peker innledningsvis på noen faktafeil. Disse er rettet opp i rapporten som nå foreligger. Rådmannen viser videre til det igangsatte prosjektet «Orden i eget hus» for å styrke internkontrollen i hele organisasjonen. Anbefalingene i rapporten blir tatt med videre som grunnlag for del av dette arbeidet. Ås, 15. januar 2018 Lene H. Lilleheier/s./ rådgiver Side 3 av 4

46 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Forvaltningsrevisjon Frogn kommune Etikk og habilitet Januar 2018

47 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet «Forvaltningsrevisjon av etikk og habilitet» Januar 2018 Rapporten er utarbeidet for Frogn kommune av Deloitte AS. Deloitte AS Postboks 6013 Postterminalen, 5892 Bergen tlf: forvaltningsrevisjon@deloitte.no

48 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Sammendrag I samsvar med bestilling fra kontrollutvalget i Frogn kommune, har Deloitte gjennomført en forvaltningsrevisjon av etikk og habilitet i kommunen. Formålet med forvaltningsrevisjonen har vært å se på hvordan de etiske retningslinjene i Frogn kommune er implementert i organisasjonen, hvordan de blir fulgt opp og brukt, samt hvordan gjeldende habilitetsregler blir ivaretatt både på administrativt og politisk nivå. Revisjonen har gått gjennom relevant dokumentasjon fra kommunen, og det er gjennomført intervju med til sammen fem personer. I tillegg er det gjennomført en elektroniske spørreundersøkelse blant alle folkevalgte og et utvalg ansatte i kommunen, for å kartlegge kjennskap til og bruk av kommunens etiske retningslinjer. Forvaltningsrevisjonen viser at Frogn kommune har gjort kommunens etiske retningslinjer tilgjengelige for alle ansatte og folkevalgte, slik at disse i hovedsak er enkle å finne. Videre har kommunen etablert rutiner for både gjennomføring av habilitetsvurderinger i forbindelse med behandling av saker i politiske organer, for å dokumentere disse vurderingene i kommunens sak- og arkivsystem, og for å hindre at folkevalgte blir involvert i saker der de har blitt vurdert å være inhabile. Kommunen har også sikret at de etiske retningslinjene fanger opp i seg og ivaretar de habilitetsregler som går frem av forvaltningsloven kap. II og kommuneloven 40 nr. 3. Samtidig viser undersøkelsen at Frogn kommune ikke har satt i verk tilstrekkelig med tiltak for å sikre at alle ansatte er kjent med innholdet i de etiske retningslinjene. Det blir heller ikke gjennomført systematisk kontroll av hvorvidt det nedover i organisasjonen blir arbeidet med å informere de ansatte om retningslinjene. Av undersøkelsen går det frem at ikke alle ansatte i kommunen er kjent med verken hvor de kan finne Frogn kommunes etiske retningslinjer eller med innholdet i retningslinjene. Dette medfører etter revisjonens vurdering risiko for at ansatte ikke er tilstrekkelig kjent med hvordan de skal opptre i ulike situasjoner, eller hvilke bestemmelser som gjelder for de ansatte i Frogn kommune med hensyn til etisk adferd. Undersøkelsen viser også at det er forbedringspotensial i informasjonsarbeidet som blir gjennomført overfor de folkevalgte i kommunen med hensyn til å sikre kjennskap til de etiske retningslinjene. Videre går det frem av forvaltningsrevisjonen ikke alle ansatte i Frogn kommune er kjent med i hvilke situasjoner de skal vurdere egen habilitet, eller med de bestemmelser som gjelder habilitet i forvaltningsloven. Revisjonen mener at manglende kjennskap til gjeldende regelverk om habilitet, hvilke situasjoner man skal vurdere egen habilitet i, samt hvilke vurderinger som skal gjøres av habilitet når dette er relevant, medfører risiko for manglende etterleving av og brudd på de bestemmelser som går frem av forvaltningsloven 6 om habilitet, samt Frogn kommunes etiske retningslinjer. Det er i varierende grad etablert felles rutiner eller prosedyrer til bruk for å sikre etterleving av etiske retningslinjer og rettsregler knyttet til habilitet. Utarbeidelse av rutiner for etterleving av ulike bestemmelser i de etiske retningslinjene, samt habilitetsregelverk, er i stor grad opp til den enkelte enhet. Det utføres ikke noen kontroll av om det er etablert rutiner for etterleving av retningslinjer og habilitetsregelverk i de deler av organisasjonen der dette vil være relevant. Revisjonen vil peke på at skriftlige rutiner er et viktig verktøy for å sikre kvalitet i tjenesteutøvelsen og ved gjennomføring av arbeidsoppgaver, og for å redusere risikoen for feil og mangler, herunder risikoen for manglende etterleving av etiske retningslinjer. Det er derfor viktig at Frogn kommune vurderer behovet for rutiner for etterleving av etiske retningslinjer, og sikrer at det blir etablert tilstrekkelig med rutiner som bidrar til etterleving av etiske retningslinjer og habilitetsregelverk. Kommunen har et elektronisk avviksmeldingssystem, men det er ikke tydeliggjort i systemet at dette også skal benyttes til innmelding av avvik knyttet til manglende etterleving av etiske retningslinjer. I kommunen blir det i liten grad meldt avvik knyttet til brudd på de etiske retningslinjene. Systematisk kontroll og oppfølging er et viktig prinsipp for å sikre at den kommunale virksomheten når sine mål, herunder etterleving av etiske retningslinjer. Revisjonen mener derfor at Frogn kommune, for å bidra til å sikre at etiske retningslinjer etterleves, bør styrke og formalisere kontrollen av at det i de ulike enhetene blir arbeidet med etterleving av etiske retningslinjer, gjennom for eksempel å etterspørre og innhente 3

49 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet rapportering fra enhetene om arbeid med å informere om etiske retningslinjer, tiltak for å sikre at de etterleves mv. Undersøkelsen som er gjennomført viser at det i løpet av de siste årene har forekommet brudd på bestemmelser i kommunens etiske retningslinjer knyttet til behandling av informasjon/taushetsplikt i forbindelse med håndtering av taushetsbelagte opplysninger. Videre går det frem av data fra både revisjonens spørreundersøkelse og KS lokaldemokratiundersøkelse at ansatte og folkevalgte i Frogn kommune opplever at etiske retningslinjer ikke alltid etterleves og at det blir opplevd å forekomme brudd på bestemmelser i retningslinjene. Frogn kommune gjennomfører ikke systematiske risiko- og sårbarhetsanalyser knyttet til hvor og når det i den kommunale forvaltningen kan inntreffe brudd på etiske retningslinjer. Revisjonen mener at gjennomføring av risikoanalyser er et sentralt element for å sikre god internkontroll, blant annet når det gjelder å finne frem til aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse eller manglende etterleving av rutiner og regelverk. For å skaffe til veie tilstrekkelig oversikt over hvor og når det kan være risiko for brudd på etiske retningslinjer, bør Frogn kommune sikre at det blir gjennomført systematiske kartlegginger og analyser av hvor i virksomheten det foreligger risiko for at de etiske retningslinjene ikke etterleves, samt når dette kan inntreffe. Dette vil etter revisjonens vurdering bidra til en tilfredsstillende internkontroll, i samsvar med krav i kommuneloven 23 om betryggende kontroll og god praksis på området. Utover at de gjennom de etiske retningslinjene er stilt krav til ansatte og folkevalgte om gjennomføring av habilitetsvurderinger, er det ikke etablert felles rutiner for vurdering av habilitet som ansatte i Frogn kommune kan benytte seg av i forbindelse med saksbehandling, vedtak om tildeling av tjenester mv. Dette øker etter revisjonens mening risikoen for at habilitetsvurderinger ikke blir gjennomført i alle saker der dette er relevant. Det er heller ikke etablert egne rutiner for å dokumentere at det er gjennomført habilitetsvurderinger for ansatte. Basert på det som kommer frem i forvaltningsrevisjonen, kommer revisjonen med noen anbefalinger til Frogn kommune. Disse fremgår av kapittel 8 Konklusjon og anbefalinger. 4

50 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Innhold Sammendrag 3 1. Innledning 9 2. Om tjenesteområdet Kjennskap til etiske retningslinjer Etterleving av etiske retningslinjer Kartlegging av risiko for brudd på etiske retningslinjer Rutiner for habilitetsvurdering Ivaretakelse av habilitetsregelverk i etiske retningslinjer Konklusjon og anbefalinger 52 Vedlegg 1: Høringsuttalelse 54 Vedlegg 2: Revisjonskriterier 56 Vedlegg 3: Sentrale dokumenter og litteratur 59 5

51 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Detaljert innholdsfortegnelse Sammendrag Innledning Bakgrunn Formål og problemstillinger Metode Revisjonskriterier Om tjenesteområdet Organisering Etiske retningslinjer for Frogn kommune Kjennskap til etiske retningslinjer Problemstilling Revisjonskriterier Informasjon om etiske retningslinjer Bevissthet rundt etiske retningslinjer Kjennskap til behov for vurdering av habilitet Etterleving av etiske retningslinjer Problemstilling Revisjonskriterier Rutiner for etterleving av etiske retningslinjer og habilitetsbestemmelser Kontroll av etterleving av etiske retningslinjer Brudd på sentrale bestemmelser i etiske retningslinjer Kartlegging av risiko for brudd på etiske retningslinjer Problemstilling Revisjonskriterier Bruk av risiko- og sårbarhetsanalyser Oppfølging av resultater fra risiko- og sårbarhetsanalyser Rutiner for habilitetsvurdering Problemstilling Revisjonskriterier Rutiner for vurdering av habilitet i administrasjonen Rutiner for vurdering av habilitet i politiske organ Ivaretakelse av habilitetsregelverk i etiske retningslinjer Problemstilling Revisjonskriterier Habilitet som tema i de etiske retningslinjene Rutiner for å sikre at personer vurdert som inhabile ikke involveres i aktuelle saker Konklusjon og anbefalinger 52 Vedlegg 1: Høringsuttalelse 54 Vedlegg 2: Revisjonskriterier 56 Vedlegg 3: Sentrale dokumenter og litteratur 59 6

52 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figurer Figur 1: Politisk organisering i Frogn kommune (Kilde: Frogn kommune) 11 Figur 2: Administrativ organisering i Frogn kommune (Kilde: Frogn kommune) 12 Figur 3: Er du kjent med at Frogn kommune har utarbeidet etiske retningslinjer som gjelder for alle ansatte og folkevalgte i kommunen? (N=102) 16 Figur 4: Vet du hvor du kan finne kommunens etiske retningslinjer, dersom du har behov for de? (N=71) 16 Figur 5: I hvilken grad er du kjent med innholdet i kommunens etiske retningslinjer, og hvordan retningslinjene skal etterleves? (N=72) 17 Figur 6: I hvilken grad er du kjent med de etiske retningslinjenes bestemmelser knyttet til følgende tema? (N=70) 18 Figur 7: I hvilken grad opplever du at kommunen har sørget for at ansatte er informert om kommunens etiske retningslinjer og innholdet i disse? (N=71) 19 Figur 8: Er du kjent med at Frogn kommune har utarbeidet etiske retningslinjer som gjelder for alle ansatte og folkevalgte i kommunen? (N=18) 20 Figur 9: Vet du hvor du kan finne kommunens etiske retningslinjer, dersom du har behov for de? (N=18) 20 Figur 10: I hvilken grad er du kjent med innholdet i kommunens etiske retningslinjer, og hvordan retningslinjene skal etterleves? (N=18) 21 Figur 11: I hvilken grad er du kjent med de etiske retningslinjenes bestemmelser knyttet til følgende tema? (N=18) 22 Figur 12: I hvilken grad opplever du at kommunen har sørget for at folkevalgte er informert om kommunens etiske retningslinjer og innholdet i disse? (N=18) 23 Figur 13: I hvilken grad opplever du at det blant folkevalgte i kommunen samlet sett er en bevissthet rundt kommunens etiske retningslinjer og etterleving av disse? (N=18) 24 Figur 14: I hvilken grad opplever du at det blant ansatte i kommunen samlet sett er en bevissthet rundt kommunens etiske retningslinjer og etterleving av disse? (N=70) 25 Figur 15: I ditt daglige arbeid: kan du komme i situasjoner der det er behov for å vurdere egen habilitet? (N=99) 26 Figur 16: I hvilken grad er du kjent med forvaltningslovens bestemmelser om habilitet? (N=51) 27 Figur 17: I hvilken grad er du kjent med forvaltningslovens bestemmelser om habilitet? (N=18) 27 Figur 18: I hvilken grad er det tydelig definert hvilke forhold og momenter du som ansatt må ta hensyn til i forbindelse med vurdering av egen habilitet? (N=50) 28 Figur 19: I hvilken grad er det tydelig definert hvilke forhold og momenter du som folkevalgt må ta hensyn til i forbindelse med vurdering av egen habilitet? (N=18) 28 Figur 20: I hvilken grad er det etablert tilstrekkelig med rutiner og prosedyrer, som bidrar til at du skal kunne etterleve kommunens etiske retningslinjer? (N=70) 32 Figur 21: I hvilken grad er det etablert tilstrekkelig med rutiner og prosedyrer, som bidrar til at du skal kunne etterleve kommunens etiske retningslinjer? (N=18) 33 Figur 22: I hvilken grad opplever du at bestemmelsene i de etiske retningslinjene knyttet til følgende tema etterleves? (N=85) 36 Figur 25: Har det, etter det du er kjent med, forekommet brudd på sentrale bestemmelser i kommunens etiske retningslinjer? (N=86) 37 7

53 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 23: Her i kommunen misbruker ikke de folkevalgte sin makt til personlig fordel. (N=31) (Kilde: KS Lokaldemokratiundersøkelse blant folkevalgte 2017) 38 Figur 24: De som har gode personlige forbindelser i kommunen, får lettere ivaretatt sine interesser. (N=31) (Kilde: KS Lokaldemokratiundersøkelse blant folkevalgte 2017) 39 Figur 26: I hvilken grad opplever du at det innenfor det området du arbeider/er valgt, er risiko for brudd på sentrale bestemmelser i kommunens etiske retningslinjer? (N=87) 41 Figur 27: Er det etablert egne rutiner eller prosedyrer for gjennomføring av habilitetsvurderinger i relevante saker, til bruk for ansatte i kommunen? (N=51) 45 Figur 28: Er det etablert egne rutiner eller prosedyrer for gjennomføring av habilitetsvurderinger i relevante saker, til bruk for folkevalgte i kommunen? (N=18) 47 8

54 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 1. Innledning 1.1 Bakgrunn Deloitte har gjennomført en forvaltningsrevisjon av etikk og habilitet i Frogn kommune. Prosjektet ble bestilt av kontrollutvalget i Frogn kommune i sak 20/17, 28. august Formål og problemstillinger Formålet med forvaltningsrevisjonen har vært å se på hvordan de etiske retningslinjene for Frogn kommune er implementert i organisasjonen, hvordan de blir fulgt opp og brukt, samt hvordan gjeldende habilitetsregler blir ivaretatt både på administrativt og politisk nivå. Med bakgrunn i formålet ble det utarbeidet følgende problemstillinger: 1. I hvilken grad er de etiske retningslinjer kjent blant ansatte og folkevalgte i kommunen? a. I hvilken grad har kommunen sørget for at ansatte og folkevalgte er informert om de etiske retningslinjene og innholdet i disse? b. I hvilken grad er ansatte og folkevalgte bevisste kommunens etiske retningslinjer? c. Er ansatte og folkevalgte i kommunen kjent med i hvilke situasjoner de skal vurdere egen habilitet, og hvilke habilitetsvurderinger det vil være relevant å gjøre i disse situasjonene? 2. I hvilken grad blir de etiske retningslinjene etterlevd? a. I hvilken grad er det etablert rutiner eller prosedyrer til bruk for ansatte og folkevalgte som sikrer etterleving av de etiske retningslinjene og rettsregler knyttet til habilitet? b. I hvilken grad har kommunen etablert system og rutiner for å kontrollere at de etiske retningslinjene etterleves? c. I hvilken grad har det forekommet brudd på sentrale bestemmelser i kommunens etiske retningslinjer? 3. Hvilke risikoområder finnes for brudd på de etiske retningslinjene? a. I hvilken grad blir det gjennomført risiko- og sårbarhetsanalyser knyttet til hvor og når det kan inntreffe brudd på etiske retningslinjer? b. Hvordan blir resultater fra ev. risiko- og sårbarhetsanalyser fulgt opp, og hvilke tiltak blir satt i verk dersom det avdekkes risiko for brudd på etiske retningslinjer? 4. I hvilken grad er det etablert rutiner for vurdering av habilitet, herunder rutiner for å dokumentere habilitetsvurderinger, i forbindelse med: a. Administrativ saksforberedelse og -behandling? b. Behandling av saker i politiske organer? 5. I hvilken grad ivaretar de etiske retningslinjene habilitetsreglene og konsekvensene av inhabilitet for den enkeltes arbeid med den aktuelle saken? a. Har kommunen etablert rutiner eller prosedyrer for å sikre at ansatte og folkevalgte som blir vurdert som inhabile i en sak ikke involveres i den aktuelle saken? 1.3 Metode Dokumentanalyse Rettsregler og relevante kommunale styringsdokumenter har blitt gjennomgått og benyttet som revisjonskriterier. Videre har revisjonen samlet inn og gått gjennom dokumentasjon fra kommunen. Dette inkluderer blant annet etiske retningslinjer for Frogn kommune, politiske og administrative delegeringsreglement, reglement for folkevalgte organ, mal for lederavtaler, samt rutiner for avviksmelding og håndtering Intervju Revisjonen har gjennomført intervjuer med utvalgte personer i kommunen som er involvert i oppfølging av arbeid med etiske retningslinjer både på administrativt og politisk nivå, herunder rådmann, ordfører og 9

55 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet personalsjef. Det har også blitt gjennomført intervju med tillitsvalgte som representanter for ansatte i kommunen. Totalt er det gjennomført fire intervjuer med fem personer Spørreundersøkelse For å få kjennskap til i hvilken grad folkevalgte og ansatte i kommunen er kjent med Frogn kommunes etiske retningslinjer og krav til habilitet, har revisjonen gjennomført en elektronisk spørreundersøkelse blant alle folkevalgte i kommunen, samt blant et utvalg ansatte. Spørreundersøkelsen har blitt sendt ut til alle medlemmer av kommunestyret i Frogn, totalt 31 personer. Revisjonen har mottatt 18 svar fra kommunestyremedlemmer. Dette gir en svaroppslutning på cirka 58 prosent. Videre har spørreundersøkelse blitt sendt ut til 684 ansatte, fordelt på fire ulike kategorier ansatte: rådmannens stab/enhet for personal, organisasjon og politiske tjenester/interne funksjoner (samlekategori), helse, omsorg og velferd, oppvekst, og plan, teknisk og eiendom. Revisjonen har mottatt totalt 120 svar fra ansatte, fordelt på alle de fire kategoriene. Dette gir en svarprosent på cirka 17,5 prosent. Utvalget av ansatte til å motta spørreundersøkelsen har blitt gjennomført som et stratifisert sannsynlighetsutvalg innenfor de fire kategoriene i avsnittet over. Innenfor hver kategori har revisjonen tilfeldig trukket ut et antall ansatte som har fått tilsendt spørreundersøkelsen. Utvalget har gjennomført med et konfidensintervall på 95 prosent og en feilmargin på fem prosent, og resultatene må tolkes i lys av dette.1 Årsaken til at utvalget av ansatte til å motta spørreundersøkelsen har blitt gjennomført som et stratifisert utvalg fra ulike kategorier, har vært å sikre at alle hovedområder av den kommunale virksomheten er representert i undersøkelsen. Årsaken til at det har blitt gjennomført et tilfeldig sannsynlighetsutvalg innenfor hver av disse kategoriene, med forhåndsdefinert konfidensintervall og feilmargin, har vært å kontrollere usikkerhetsmarginen knyttet til svarene som har kommet inn Verifiseringsprosesser Oppsummering av intervju er sendt til de som er intervjuet for verifisering og det er informasjon fra de verifiserte intervjureferatene som er benyttet i rapporten. Datadelen av rapporten er sendt til rådmannen for verifisering og høring, og har mottatt et kombinert verifiserings- og høringssvar som er lagt ved den endelige rapporten. Påpekte faktafeil er i tillegg rettet opp i den endelige versjonen av rapporten. 1.4 Revisjonskriterier Revisjonskriterier er de krav og forventninger som forvaltningsrevisjonsobjektet skal bli vurdert opp mot. Kriteriene er utledet fra autoritative kilder i samsvar med kravene i gjeldende standard for forvaltningsrevisjon. I dette prosjektet er revisjonskriteriene i hovedsak hentet fra kommuneloven og forvaltningsloven, samt anerkjent praksis for god internkontroll. Kriteriene er nærmere presentert innledningsvis under hvert tema, og i vedlegg 2 til rapporten. Dette vil si at det er 95 prosent sannsynlighet for at det utvalget som har mottatt spørreundersøkelsen innenfor hver kategorien, uttrykker det samme som kategorien som helhet (populasjonen). Når det gjelder feilmargin, betyr det at svarene som kommer frem i undersøkelsen i utgangspunktet har en feilmargin på +/- 5 prosent. Justert for antall svar som har kommet inn i undersøkelsen (ikke alle som har mottatt spørreundersøkelsen fra revisjonen har svart), er den reelle feilmarginen noe høyere, cirka 10 prosent. På bakgrunn av dette, må figurene i rapporten derfor tolkes med varsomhet. 1 10

56 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 2. Om tjenesteområdet 2.1 Organisering Frogn kommunes politiske organisering er en hovedutvalgsmodell. Kommunestyret har 31 representanter. Videre er kommunen organisert med et formannskap, et hovedutvalg for miljø, plan- og byggesaker og et hovedutvalg for oppvekst, omsorg og kultur, alle bestående av 11 representanter. Figuren under viser den politiske organiseringen i kommunen: Figur 1: Politisk organisering i Frogn kommune (Kilde: Frogn kommune) Kommunestyret Formannskapet Hovedutvalg for miljø, planog byggesaker Hovedutvalg for oppvekst, omsorg og kultur Når det gjelder den administrative organiseringen i Frogn kommune, har kommunen nylig gjennomført en organisasjonsjustering, som trådte i kraft 1. september Den justerte organisasjon har færre enheter og enhetsledere enn hva den tidligere organiseringen hadde. Per i dag er kommunen organisert med en rådmannsgruppe bestående av rådmann og tre kommunalsjefer, for områdene Oppvekst, Helse, omsorg og velferd, og Plan, teknisk og eiendom. Under hvert av de tre områdene ligger de ulike enhetene plassert. Innenfor hver enhet kan det ligge flere ulike virksomheter, som for eksempel skoler, barnehager og sykehjem. Figuren under viser Frogn kommunes administrative organisering: 11

57 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 2: Administrativ organisering i Frogn kommune (Kilde: Frogn kommune) Rådmann - Enhet for økonomi, digitalisering og systemutvikling - Enhet for personal, organisasjon mv. Plan, teknisk og eiendom Helse, omsorg og velferd - Enhet for kommunalteknikk, idrett, byggesak og geodata - Enhet for eiendomsforvaltning - Enhet for samfunnsplanlegging - Enhet for hjemmetjenester, helse og koordinering - Enhet for utvikling, tilrettelegging og omsorg - Enhet for pleie og omsorg i institusjon - NAV Oppvekst - Enhet for Frognskolen - Enhet for barnehage - Enhet for kultur og frivillighet - Enhet for barn, unge, familier og psykisk helse og rus 2.2 Etiske retningslinjer for Frogn kommune Frogn kommune har utarbeidet og vedtatt etiske retningslinjer for ansatte og folkevalgte i kommunen. Retningslinjene ble første gang vedtatt i kommunestyret 22. august 2007, i sak 83/07, og ble sist revidert våren Av de innledende bestemmelsene i kommunens etiske retningslinjer går det frem at retningslinjene gjelder for både ansatte og folkevalgte, men at enkelte av bestemmelsene likevel kun gjelder for ansatte. Videre blir det understreket at ansatte og folkevalgte i Frogn kommune skal følge allmennetiske og forvaltningsetiske verdier og normer, og at egne interesser ikke skal påvirke saksbehandlingen, beslutninger eller arbeidet for øvrig. De etiske retningslinjene for ansatte og folkevalgte i Frogn kommune inneholder bestemmelser knyttet til følgende elleve tema: 2 Hensynet til innbyggerne Hensynet til kommunens omdømme Lojalitet Ansatte ytringsfrihet Rapporteringsplikt Åpenhet Varsling om kritikkverdige forhold Habilitet, interessekonflikter Mottak av gaver og andre fordeler Representasjon og reiser Behandling av informasjon Vedtatt i kommunestyret 15. juni 2015, i sak 106/15. 12

58 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 3. Kjennskap til etiske retningslinjer 3.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling med underproblemstillinger: I hvilken grad er de etiske retningslinjer kjent blant ansatte og folkevalgte i kommunen? I hvilken grad har kommunen sørget for at ansatte og folkevalgte er informert om de etiske retningslinjene og innholdet i disse? I hvilken grad er ansatte og folkevalgte bevisste kommunens etiske retningslinjer? Er ansatte og folkevalgte i kommunen kjent med i hvilke situasjoner de skal vurdere egen habilitet, og hvilke habilitetsvurderinger det vil være relevant å gjøre i disse situasjonene? 3.2 Revisjonskriterier I kommuneloven 23 framgår følgende krav til administrasjonssjefen: 1. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I Ot.prp.nr.70 ( )3 står følgende kommentar til kravet om betryggende kontroll i kommuneloven 23: Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som blant annet skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. I Ot.prp.nr.70 ( ) blir det videre vist til at internkontroll først og fremst er et ledelsesverktøy, og ( ) er en integrert del av ledelsens styring av organisasjonen. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Det er flere anerkjente rammeverk som beskriver grunnprinsipp for god internkontroll. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen.4 Hovedelementene i COSO-modellen er felles for flere av de ulike rammeverkene for internkontroll. De viktigste elementene er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsesoppfølging Ot.prp.nr.70 ( ). Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon). 4 COSO: Internal Control Integrated Framework (2013). 3 13

59 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Frogn kommune vedtok i 2007 felles etiske retningslinjer for ansatte og folkevalgte i kommunen. 5 Retningslinjene ble sist revidert i 2015, gjennom vedtak i kommunestyret. 6 I retningslinjenes innledende bestemmelser går det frem at: «Ledere på alle nivåer har et særlig ansvar for å tydeliggjøre og skape aksept for etisk forsvarlig atferd.» Forvaltningslovens kap. II tar for seg habilitet i forvaltningen. Habilitetskravene fremgår av 6 i forvaltningsloven: «En offentlig tjenestemann er ugild til å tilrettelegge grunnlaget for en avgjørelse eller til å treffe avgjørelse i en forvaltningssak a) når han selv er part i saken; b) når han er i slekt eller svogerskap med en part i opp- eller nedstigende linje eller i sidelinje så nær som søsken; c) når han er eller har vært gift med eller er forlovet med eller er fosterfar, fostermor eller fosterbarn til en part; d) når han er verge eller fullmektig for en part i saken eller har vært verge eller fullmektig for en part etter at saken begynte; e) når han leder eller har ledende stilling i, eller er medlem av styret eller bedriftsforsamling for, et selskap som er part i saken og ikke helt ut eies av stat eller kommune, et samvirkeforetak, eller en forening, sparebank eller stiftelse som er part i saken.» Se vedlegg 2 for utfyllende revisjonskriterier. 3.3 Informasjon om etiske retningslinjer Datagrunnlag Informasjon til ansatte Frogn kommunes etiske retningslinjer ligger tilgjengelig for både ansatte, folkevalgte og publikum på kommunens hjemmesider under menypunktet «Politikk og samfunn». På hjemmesidene er det også lagt inn lenke til veileder fra Kommunal- og regionaldepartementet om habilitet i kommuner og fylkeskommuner7, som ansatte kan benytte seg av dersom de behøver støtte og kunnskap om habilitetsregelverk og habilitetsvurderinger. Når det gjelder arbeid med å formidle kommunens etiske retningslinjer til de ansatte, blir det opplyst i intervju at det er den enkelte enhetsleders ansvar å kommunisere med sine ansatte om dette. Ansvaret er også nedfelt i lederavtalene mellom rådmann og enhetslederne. I mal for lederavtale for ledere i Frogn kommune går det under overskriften «Etiske retningslinjer» frem at ledere på alle nivåer har et særlig ansvar for å tydeliggjøre og skape aksept for etisk forsvarlig atferd. Revisjonen får videre opplyst at det innenfor hver enkelt enhet skal utarbeides tiltak for hvordan det skal arbeides med å gjøre de etiske retningslinjene kjent blant de ansatte i virksomheten, som en del av virksomhetsplanene. I intervju blir det opplyst at det kan variere en del mellom de ulike enhetene hvorvidt etiske retningslinjer og arbeid med etikk og habilitet er et tema i virksomhetsplanene, og hvor mye dette arbeides med i de ulike enhetene. Føringen fra rådmannsgruppen er imidlertid at etiske retningslinjer og etterleving av disse skal være tema i enhetsmøter, og at dette skal inngå som et tiltak i virksomhetsplanen i enhetene. Gjennom daglig drift og dialog om etiske retningslinjer i etablerte møtearenaer, skal de ansattes oppfordres til etterleving av kommunens etiske retningslinjer. Videre blir det i intervju opplyst at det ikke gjennomføres noen systematisk kontroll fra rådmannsgruppen som øverste ledelse av hvorvidt det er utarbeidet tiltak for hvordan det skal arbeides med formidling av Frogn kommune: Etiske retningslinjer for ansatte og folkevalgte i Frogn kommune. Vedtatt i kommunestyret i sak 83/07. 6 Sak 106/15. 7 Kommunal- og regionaldepartementet: Habilitet i kommuner og fylkeskommuner. Om inhabilitetsreglene i forvaltningsloven og kommuneloven

60 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet etiske retningslinjer i virksomhetsplanene, eller av hvordan de enkelte enhetene arbeider med etiske retningslinjer, og etikk og habilitet som tema. Den oppfølgingen som skjer med hensyn til å følge opp om enhetsledere kommuniserer de etiske retningslinjene og innholdet i disse til sine ansatte, samt om de arbeider aktivt med etikk og habilitet i sine avdelinger og enheter, skjer eventuelt gjennom den dialogen rådmannen har med kommunalsjefer og enhetsledere i de møtearenaene som er etablert i kommunen. Som en del av denne dialogen vil arbeidet med etikk og etiske retningslinjer kunne bli tatt opp som tema, ut fra hvilke tema og saker som diskuteres. I tillegg til arbeid med formidling av selve de etiske retningslinjene, opplyser rådmann i intervju at det i kommunens ledelse arbeides aktivt med dilemmatrening, som et tiltak for å øke bevisstheten rundt etiske problemstillinger og utfordringer i den kommunale forvaltningen. I 2016 gjennomførte både rådmannsgruppen og enhetsledergruppen samlinger der etikk og håndtering av etiske dilemmaer var tema. Samlingene ble gjennomført med bistand fra KS-konsulent. Rådmann opplyser at dilemmatreningen som har blitt gjennomført i ledergruppene oppleves som mer effektivt enn å gjennomføre formalistiske gjennomganger av etiske retningslinjer, når det gjelder å sette fokus på hva som er viktig for ledere å være bevisst på med hensyn til arbeid med etikk i sine enheter. Enhetsledere i Frogn kommune har i etterkant av samlingene blitt oppfordret til å arbeide med dilemmatrening også i sine enheter. Videre får revisjonen opplyst at Frogn kommune for tiden gjennomfører flere større fellesprosjekter der også etikk som tema inngår, og der kommunens etiske retningslinjer berøres. I prosjektet Ansvar for eget liv blir det arbeidet med å styrke bevisstheten internt om kommunens verdier. Prosjektet dreier seg blant annet om at kommunen skal møte innbyggerne som likeverdige parter, og omhandler gjennom dette både faglige og etiske problemstillinger som ledere og ansatte må sette seg inn i. Kommunens LEAN-prosjekt skal bidra til kontinuerlig forbedring og effektivisering av Frogn kommune. Prosjektet fokuserer blant annet på hvordan kommunen kan oppnå ønskede resultater gjennom færre prosesser og prosedyrer, samtidig som alle krav og retningslinjer etterleves. I vurderingene av hvilke prosesser som kan effektiviseres, oppstår det mange etiske dilemmaer som avdelinger og enheter må ta stilling til. I intervju blir det i forbindelse med formidling av og arbeid med etiske retningslinjer pekt på at man ute i tjenestene generelt har avgrensede ressurser, noe som gjør at det innenfor mange avdelinger og enheter er lite tid og få muligheter til å ta opp og diskutere etiske spørsmål. I forlengelsen av dette blir det pekt på at det ikke alltid er samsvar mellom tiden som brukes på å utarbeide dokumenter, retningslinjer mv., og tiden som er avsatt til å gjøre dokumenter og retningslinjer kjent og implementere dem blant de ansatte. Tall fra spørreundersøkelsen som er gjennomført blant ansatte og folkevalgte i Frogn kommune, viser at flertallet av de ansatte som har svart på undersøkelsen er kjent med at kommunen har utarbeidet etiske retningslinjer. Cirka 70 prosent av ansatte som har svart, oppgir at de kjenner til retningslinjene. Samtidig viser tallene at cirka 30 prosent av de ansatte som har svart, ikke er kjent med at kommunen har utarbeidet etiske retningslinjer som gjelder for både ansatte og folkevalgte. Svarfordelingen går frem av figuren under: 15

61 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 3: Er du kjent med at Frogn kommune har utarbeidet etiske retningslinjer som gjelder for alle ansatte og folkevalgte i kommunen? (N=102) 100% 90% 80% 70,6% 70% 60% 50% 40% 29,4% 30% 20% 10% 0% Ja Nei På spørsmål om de vet hvor de kan finne kommunens etiske retningslinjer dersom de har behov for det, svarer i overkant av 80 prosent av de ansatte at de vet dette. I underkant av 20 prosent av ansatte som har besvart undersøkelsen vet imidlertid ikke hvor de ved behov kan finne kommunens etiske retningslinjer. Svarfordelingen går frem av figuren under: Figur 4: Vet du hvor du kan finne kommunens etiske retningslinjer, dersom du har behov for de? (N=71) 100% 90% 81,7% 80% 70% 60% 50% 40% 30% 18,3% 20% 10% 0% Ja Nei I åpne svarfelt i spørreundersøkelsene kommer det frem at det varierer hvordan ansatte har blitt gjort kjent med hvor de kan finne kommunens etiske retningslinjer dersom de har behov for å konsultere disse. Av svar som går igjen fra mange respondenter er at de selv har funnet retningslinjene i kommunens kvalitetssystem (Compilo) eller på kommunens nettsider, at de har fått høre om retningslinjene fra kolleger, 16

62 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet at det har blitt informert om retningslinjene i fellesmøter i enhet eller avdeling eller at leder har informert om retningslinjene. På spørsmål om i hvilken grad ansatte er kjent med innholdet i kommunens etiske retningslinjer og hvordan retningslinjene skal etterleves, svarer cirka 33 prosent av de ansatte at de i stor grad er kjent med dette. Cirka 47 prosent svarer at de i noen grad kjenner til det, mens nesten 20 prosent oppgir at de i liten grad eller ikke i det hele tatt kjenner innholdet i de etiske retningslinjene og hvordan retningslinjene skal etterleves. Svarfordelingen går frem av figuren under: Figur 5: I hvilken grad er du kjent med innholdet i kommunens etiske retningslinjer, og hvordan retningslinjene skal etterleves? (N=72) 100% 90% 80% 70% 60% 47,2% 50% 40% 33,3% 30% 20% 15,3% 10% 4,2% 0% I stor grad I noen grad I liten grad Ikke i det hele tatt 0,0% Vet ikke På spørsmål om hvordan ansatte har blitt kjent med innholdet i retningslinjene, kommer det frem i åpne svarfelt at kunnskapen om hva de etiske retningslinjene inneholder og hvordan disse skal etterleves har blitt tilegnet ved å selv lese retningslinjene, i forbindelse med gjennomgang i enhets-/avdelingsmøter og gjennom egne seminarer/fagdager der etikk har vært tema. Av spørreundersøkelsen går det videre frem at når det gjelder hvor godt innholdet i de etiske retningslinjene er kjent blant de ansatte, varierer det i hvilken grad de ansatte kjenner til de ulike sentrale temaene i retningslinjene. Det temaet den høyeste andelen ansatte i stor grad er kjent med (60 prosent), er «behandling av informasjon/taushetsplikt», mens det temaet med der andelen ansatte som har svart i liten grad eller ikke i det hele tatt er høyest, er «representasjon og reiser», henholdsvis cirka 19 prosent og 16 prosent. Svarfordelingene for alle de ulike temaene i de etiske retningslinjene går frem av figuren under: 17

63 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 6: I hvilken grad er du kjent med de etiske retningslinjenes bestemmelser knyttet til følgende tema? (N=70) Behandling av informasjon/taushetsplikt 60,0% Representasjon og reiser 31,9% Mottak av gaver og andre fordeler 27,1% 23,2% 40,0% Habilitet og interessekonflikter 18,8% 28,6% 35,2% 17,4% 5,8%4,3% Åpenhet 37,1% 34,3% Lojalitet 0% I noen grad 43,7% 20% 40% I liten grad 7,4% 4,4% 14,5% 36,6% 28,2% 11,4% 2,9% 14,7% 35,2% 40,8% Hensyn til innbyggere I stor grad 40,6% 43,7% Hensyn til kommunens omdømme 14,3% 33,8% 30,4% 14,3% 2,9% 7,0%2,8% 34,8% Ytringsfrihet 14,3% 10,1% 16,9% 37,7% 39,7% 15,9% 38,0% Varsling om kritikkverdige forhold Rapportertingsplikt 5,7%4,3% 2,9% 60% Ikke i det hele tatt 8,7% 5,8% 12,7% 8,5% 0,0% 12,7% 7,0%2,8% 22,5% 4,2% 1,4% 80% 100% Vet ikke På spørsmål om i hvilken grad de ansatte opplever at Frogn kommune har sørget for at ansatte er informert om de etiske retningslinjene og innholdet i disse, svarer i overkant av 15 prosent at de i stor grad opplever dette. Cirka 42 prosent svarer at kommunen i noen grad har sørget for at ansatte er informert om de etiske retningslinjene og innholdet i disse, mens cirka 34 prosent mener kommunen i liten grad har sørget for at de ansatte er informert. Cirka fire prosent opplyser at Frogn kommune ikke i det hele tatt har sørget for at ansatte er informert om kommunens etiske retningslinjer og innholdet i disse. Svarfordelingen går frem av figuren under: 18

64 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 7: I hvilken grad opplever du at kommunen har sørget for at ansatte er informert om kommunens etiske retningslinjer og innholdet i disse? (N=71) 100% 90% 80% 70% 60% 50% 42,3% 40% 33,8% 30% 20% 15,5% 10% 4,2% 4,2% Ikke i det hele tatt Vet ikke 0% I stor grad I noen grad I liten grad Informasjon til folkevalgte Som det går frem av forrige del, ligger Frogn kommunes etiske retningslinjer tilgjengelig for ansatte, folkevalgte og publikum på kommunens nettsider, slik at også kommunens folkevalgte har anledning til å finne og sette seg inn i hvilke retningslinjer som gjelder i kommunen med hensyn til etikk. Videre viser undersøkelsen at de etiske retningslinjene i forbindelse med siste revisjonsrunde våren 2015 var gjenstand for både politisk gjennomgang og behandling. I forbindelse med selve revisjonen av retningslinjene, ble forslag til reviderte retningslinjer fra administrasjonen gjennomgått og vurdert av en sammensatt politisk arbeidsgruppe bestående av representanter for alle de politiske partiene i kommunestyret for innspill og forslag, før endelig forslag til reviderte retningslinjer ble ferdigstilt. Det endelige forslaget til reviderte retningslinjer ble deretter behandlet politisk av henholdsvis administrasjonsutvalget, formannskapet og til slutt kommunestyret.8 I intervju blir det opplyst at dette i stor grad har bidratt til å sikre at folkevalgte i Frogn kommune er kjent med kommunens etiske retningslinjer, og at en rekke av bestemmelsene i disse også gjelder for de folkevalgte. I tillegg til den politiske behandlingen i forbindelse med siste revisjon av kommunens etiske retningslinjer, kommer det frem i undersøkelsen at etikk og habilitet er tema for de folkevalgte i forbindelse med folkevalgtopplæringen som gjennomføres hvert fjerde år i etterkant av valg. Opplæringen, som gjennomføres delvis av politisk sekretariat i Frogn kommune og delvis med ekstern bistand fra KS, fokuserer på grunnleggende og nødvendig kunnskap om etikk og habilitet som man må kjenne til som folkevalgt i en kommune. I intervju blir det videre opplyst at ordfører i tillegg til den felles folkevalgtopplæringen, har deltatt på et eget kurs for ordførere i Akershus i regi av KS. Kurset omhandlet blant annet etikk og habilitet, og hvordan man kan håndtere problemstillinger knyttet til disse temaene i rollen som ordfører. Når det gjelder dilemmatrening, som blir benyttet i administrasjonen som verktøy for å sette fokus på arbeid med etikk blant de ansatte, har dette foreløpig ikke blitt benyttet for de folkevalgte. I intervju opplyser imidlertid både ordfører og rådmann at som en del av kommunens Ansvar for eget liv-prosjekt, skal også kommunestyret involveres i dilemmatrening, blant annet for å øke bevisstheten blant de folkevalgte om etisk oppførsel og adferd i kommunikasjon med innbyggere i kommunen. 8 I sak 106/15, 15. juni

65 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet I spørreundersøkelsen som er gjennomført blant folkevalgte og ansatte i Frogn kommune, opplyser samtlige folkevalgte som har svart på undersøkelsen at de er kjent med at kommunen har utarbeidet etiske retningslinjer som også gjelder for de folkevalgte. Figur 8: Er du kjent med at Frogn kommune har utarbeidet etiske retningslinjer som gjelder for alle ansatte og folkevalgte i kommunen? (N=18) 100% 100,0% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0,0% 0% Ja Nei Videre går det frem av spørreundersøkelsen av nesten 90 prosent av de folkevalgte vet hvor de kan finne kommunens etiske retningslinjer, dersom de har behov for dem. Samtidig opplyser rett i overkant av ti prosent av de folkevalgte som har svart på undersøkelsen at de ikke vet hvor de kan finne retningslinjene. Svarfordelingen går frem av figuren under: Figur 9: Vet du hvor du kan finne kommunens etiske retningslinjer, dersom du har behov for de? (N=18) 100% 90% 88,9% 80% 70% 60% 50% 40% 30% 20% 11,1% 10% 0% Ja Nei I åpne svarfelt i spørreundersøkelsene kommer det frem at de folkevalgte primært har fått kjennskap til kommunens etiske retningslinjer via den politiske behandlingen i forbindelse med forrige revisjonsrunde, samt via kommunens nettsider. 20

66 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Når det gjelder selve innholdet i de etiske retningslinjene, opplyser cirka 22 prosent av de folkevalgte at de i stor grad er kjent med innholdet i kommunens etiske retningslinjer og hvordan retningslinjene skal etterleves. Cirka 72 prosent svarer at de i noen grad er kjent med dette, mens cirka fem prosent (én folkevalgt) ikke i det hele tatt er kjent med innholdet i de etiske retningslinjene og hvordan retningslinjene skal etterleves. Svarfordelingen går frem av figuren under: Figur 10: I hvilken grad er du kjent med innholdet i kommunens etiske retningslinjer, og hvordan retningslinjene skal etterleves? (N=18) 100% 90% 80% 72,2% 70% 60% 50% 40% 30% 22,2% 20% 10% 5,6% 0,0% 0% I stor grad I noen grad I liten grad 0,0% Ikke i det hele tatt Vet ikke Tilsvarende som for ansatte i kommunen, går det frem av spørreundersøkelsen at det varierer i hvilken grad de folkevalgte kjenner til innholdet i de ulike sentrale temaene i retningslinjene.9 Det temaet den høyeste andelen folkevalgte i stor grad er kjent med (cirka 72 prosent), er «habilitet og interessekonflikter», mens det temaet med der andelen folkevalgte som har svart i liten grad eller ikke i det hele tatt er høyest, er «representasjon og reiser», henholdsvis cirka 22 prosent og 11 prosent. Svarfordelingene for alle de ulike temaene i de etiske retningslinjene går frem av figuren under: Ikke alle bestemmelsene i de etiske retningslinjene for Frogn kommune gjelder for de folkevalgte, og variasjonen i hvor godt de folkevalgte kjenner til innholdet som ligger innunder de ulike temaene vil delvis kunne forklares av dette. Dette gjelder blant annet de spesifikke bestemmelsene knyttet til hensynet til innbyggerne, hensynet til kommunens omdømme, lojalitet, åpenhet og rapporteringsplikt om forhold som vil kunne påføre kommunen som arbeidsgiver skade. 9 21

67 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 11: I hvilken grad er du kjent med de etiske retningslinjenes bestemmelser knyttet til følgende tema? (N=18) Behandling av informasjon/taushetsplikt 61,1% Representasjon og reiser 27,8% 27,8% Mottak av gaver og andre fordeler 22,2% 66,7% Habilitet og interessekonflikter 11,1% Ytringsfrihet 55,6% 38,9% 11,1% 5,6%5,6% I noen grad 22,2% 44,4% 35,3% 0% 11,1%0,0% 27,8% 44,4% Hensyn til innbyggere 5,6% 50,0% 50,0% Hensyn til kommunens omdømme I liten grad 40% 60% Ikke i det hele tatt 0,0% 11,1%0,0% 58,8% 20% 0,0% 5,6% 5,6%5,6% 66,7% Lojalitet 11,1% 0,0% 5,6% 61,1% 38,9% Rapportertingsplikt 11,1% 22,2% 27,8% Åpenhet 0,0% 27,8% 72,2% Varsling om kritikkverdige forhold I stor grad 38,9% 5,9% 0,0% 80% 100% Vet ikke På spørsmål om i hvilken grad folkevalgte opplever at Frogn kommune har sørget for at de er informert om de etiske retningslinjene og innholdet i disse, svarer cirka 17 prosent at kommunen i stor grad har sørget for dette. Cirka 61 prosent opplyser at de i noen grad opplever dette, mens cirka 11 prosent opplever at kommunen i liten grad har sørget for at folkevalgte er informert om de etiske retningslinjene og innholdet i retningslinjene. Cirka fem prosent (én folkevalgt) opplever at kommunen ikke i det hele tatt har sørget for at folkevalgte er kjent med innholdet i de etiske retningslinjene og innholdet i disse. Svarfordelingen går frem av figuren under: 22

68 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 12: I hvilken grad opplever du at kommunen har sørget for at folkevalgte er informert om kommunens etiske retningslinjer og innholdet i disse? (N=18) 100% 90% 80% 70% 61,1% 60% 50% 40% 30% 20% 16,7% 11,1% 10% 5,6% 5,6% Ikke i det hele tatt Vet ikke 0% I stor grad I noen grad I liten grad Vurdering Undersøkelsen viser at de etiske retningslinjene er gjort tilgjengelige for alle ansatte både på kommunens nettsider og i kvalitetssystemet Compilo. Det har også blitt gjennomført dilemmatrening for ledere i kommunen, og ansvar for å tydeliggjøre og skape aksept for etisk forsvarlig atferd er tydelig nedfelt i lederavtaler mellom rådmann og enhetsleder. Utover dette er det ikke satt i verk felles tiltak i kommunen for å informere de ansatte om etiske retningslinjer og innholdet i disse. Det gjennomføres ikke systematisk kontroll av hvorvidt det nedover i organisasjonen blir arbeidet med å informere de ansatte om retningslinjene og innholdet i disse, for eksempel gjennom at det informeres jevnlig på ledermøter eller gjennomføres etisk dilemmatrening mv. Resultater fra spørreundersøkelsen viser at ikke alle ansatte er kjent med Frogn kommunes etiske retningslinjer eller hvor de kan finne retningslinjene dersom de har behov dem. Det kommer også frem at innholdet i de etiske retningslinjene i varierende grad er kjent blant de ansatte, og at flere av bestemmelsene i retningslinjene i liten grad eller ikke i det hele tatt er kjent blant de som har besvart undersøkelsen. Etter revisjonens vurdering indikerer svarene fra spørreundersøkelsen at kommunen ikke i tilstrekkelig grad har sørget for at ansatte er informert om etiske retningslinjer og hva disse inneholder av krav og bestemmelser for de ansatte. Videre mener revisjonen at arbeidet med å informere ansatte om etiske retningslinjer fremstår som usystematisk, og at det ikke i tilstrekkelig grad blir fulgt opp og kontrollert at ansatte ute i enhetene faktisk blir orientert om hvilke etiske retningslinjer og bestemmelser som gjelder i kommunen. Revisjonen vil peke på at noe av variasjonen i de svarene som har kommet inn i spørreundersøkelsen med hensyn til kjennskap til innhold i retningslinjene, i noen grad vil kunne forklares med at ikke alle bestemmelser nødvendigvis er like relevante for alle ansatte, avhengig av stilling/arbeidsoppgaver. Revisjonen mener likevel at det problematisk at cirka en fjerdedel av de som har besvart undersøkelsen ikke er kjent med bestemmelsene knyttet til eksempelvis «hensyn til innbyggere» eller «mottak av gaver og andre fordeler». Dette medfører etter revisjonens vurdering risiko for at ansatte ikke er tilstrekkelig kjent med hvordan de skal opptre overfor innbyggere, eller hvordan de skal håndtere situasjoner der de blir tilbudt gaver eller fordeler, og der det kan ligge en forventning om at dette skal gi utslag for saksbehandling, vedtak el. På bakgrunn av dette, er det revisjonens vurdering at Frogn kommune bør systematisere arbeidet med å informere ansatte om kommunens etiske retningslinjer, og sørge for at alle ansatte er kjent med hvilke 23

69 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet bestemmelser disse inneholder og hva den enkelte ansatte må ta hensyn til i den arbeidssituasjonen vedkommende til enhver tid befinner seg i. Når det gjelder informasjon til de folkevalgte, er det revisjonens vurdering at kommunen i hovedsak har sørget for å orientere om at kommunen har etiske retningslinjer som også gjelder for folkevalgte. Revisjonen vil imidlertid likevel peke på at det også blant de folkevalgte fremkommer noe variasjon knyttet til kjennskap til innholdet i de etiske retningslinjene, og at kommunen derfor bør vurdere om det er behov for å iverksette ytterligere informasjonstiltak overfor de folkevalgte, for slik å sikre at alle relevante bestemmelser i retningslinjene er kjent blant alle som er folkevalgte i kommunen. 3.4 Bevissthet rundt etiske retningslinjer Datagrunnlag I intervju opplyser rådmannen at han opplever at det blant ledere i kommune er stor bevissthet rundt etikk og habilitet som tema. Rådmannen har inntrykk av at enhetslederne er opptatt av å fange opp saker der etiske vurderinger eller habilitetsvurderinger står sentralt, og at det råder en kultur der ledere i stor grad arbeider for å unngå at en ikke fanger opp saker som fører til brudd på etiske retningslinjer eller habilitetsbestemmelser. Rådmannen har videre inntrykk av at den politiske behandlingen av de etiske retningslinjene i forbindelse med den siste revisjonsrunden, bidro til å bevisstgjøre de folkevalgte på spørsmål knyttet til etikk og habilitet. Frogn kommune er en liten kommune, noe som gjør det lett å fange opp uetisk framferd eller brudd på habilitetsbestemmelser. Rådmannen opplever at dette bidrar til å øke bevisstheten blant de folkevalgte i spørsmål knyttet til etikk og habilitet. I intervju peker også ordfører på at det råder generelt stor bevissthet rundt habilitet og etiske spørsmål blant kommunens folkevalgte. I spørreundersøkelsen revisjonen har gjennomført, opplyser cirka 39 prosent av de folkevalgte som har besvart undersøkelsen at de i stor grad opplever at det er en bevissthet rundt de etiske retningslinjene og etterleving av disse blant de folkevalgte. Cirka 44 prosent av de folkevalgte svarer at det i noen grad er en bevissthet blant de folkevalgte rundt de etiske retningslinjene, mens cirka 11 prosent opplever at det blant de folkevalgte i liten grad er en bevissthet om kommunens etiske retningslinjer og etterleving av disse. Svarfordelingen går frem av figuren under: Figur 13: I hvilken grad opplever du at det blant folkevalgte i kommunen samlet sett er en bevissthet rundt kommunens etiske retningslinjer og etterleving av disse? (N=18) 100% 90% 80% 70% 60% 50% 40% 44,4% 38,9% 30% 20% 11,1% 10% 5,6% 0,0% 0% I stor grad I noen grad I liten grad Ikke i det hele tatt Vet ikke Når det gjelder ansattes bevissthet rundt etiske retningslinjer, kommer det frem i intervju at både rådmann, personalsjef, tillitsvalgte og ordfører har inntrykk av at bevisstheten rundt etikk og habilitet er høy blant ansatte i Frogn kommune. 24

70 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Svar fra spørreundersøkelsen viser at blant de ansatte selv, opplever i underkant av 19 prosent at det i stor grad er en bevissthet blant kommunens ansatte rundt de etiske retningslinjene og etterleving av disse. Cirka 57 prosent svarer at det i noen grad er en slik bevissthet blant de ansatte, mens cirka 14 prosent opplever at det blant de ansatte i liten grad finnes en bevissthet rundt etiske retningslinjer og etterleving av disse. Svarfordelingen går frem av figuren under: Figur 14: I hvilken grad opplever du at det blant ansatte i kommunen samlet sett er en bevissthet rundt kommunens etiske retningslinjer og etterleving av disse? (N=70) 100% 90% 80% 70% 57,1% 60% 50% 40% 30% 20% 18,6% 14,3% 8,6% 10% 1,4% 0% I stor grad I noen grad I liten grad Ikke i det hele tatt Vet ikke Vurdering Undersøkelsen viser en varierende grad av bevissthet rundt Frogn kommunes etiske retningslinjer, både blant ansatte i kommunen og blant folkevalgte. Blant annet viser tall fra spørreundersøkelsen at i overkant av 14 prosent av de ansatte i liten grad opplever at det blant ansatte i kommunen er en bevissthet rundt de etiske retningslinjene og etterleving av disse, og at cirka 11 prosent av de folkevalgte opplever det samme. Revisjonen mener at de data som fremkommer i undersøkelsen indikerer at det i kommunen ikke arbeides tilstrekkelig systematisk med å gjøre retningslinjene kjent blant ansatte og folkevalgte, og gjennom dette med å sikre at ansatte og folkevalgte er bevisste på hvilke etiske retningslinjer som finnes, når de kommer til anvendelse og hvordan retningslinjene skal etterleves. For å øke bevissthetsnivå blant ansatte og folkevalgte rundt de etiske retningslinjene og etterleving av disse, mener revisjonen derfor det er viktig at Frogn kommune systematiserer informasjonsarbeidet rundt etikk og etiske retningslinjer, jf Kjennskap til behov for vurdering av habilitet Datagrunnlag I spørreundersøkelsen revisjonen har gjennomført blant ansatte og folkevalgte i Frogn kommune, er det stilt flere spørsmål som knytter seg til hvor godt ansatte og folkevalgte i kommunen er kjent med i hvilke situasjoner de skal vurdere egen habilitet, og hvilke habilitetsvurderinger det vil være relevant å gjøre i disse situasjonene. På spørsmål om man gjennom sitt daglige arbeid kan komme i situasjoner der det er behov for å vurdere egen habilitet, svarer i overkant av halvparten av de ansatte i kommunen at de kan komme i slike situasjoner gjennom det arbeidet de til daglig utfører. Cirka 38 prosent av de ansatte svarer at de ikke kan havne i situasjoner der det er behov for å vurdere egen habilitet, mens cirka ti prosent av de ansatte som 25

71 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet har besvart undersøkelsen ikke er kjent med hvorvidt de gjennom sitt daglige arbeid kan komme i situasjoner der det er behov for å vurdere egen habilitet. Svarfordelingen går frem av figuren under: Figur 15: I ditt daglige arbeid: kan du komme i situasjoner der det er behov for å vurdere egen habilitet? (N=99) 100% 90% 80% 70% 60% 51,5% 50% 38,4% 40% 30% 20% 10,1% 10% 0% Ja Nei Vet ikke På spørsmål til ansatte som har oppgitt at de i sitt daglig arbeid kan komme i situasjoner der det er behov for å vurdere egen habilitet10, om de er kjent med forvaltningslovens bestemmelser om habilitet, svarer cirka 22 prosent av de ansatte som har besvart undersøkelsen at de i stor grad er kjent med disse bestemmelsene. Cirka 37 prosent opplyser at de i noen grad er kjent med bestemmelsene, mens cirka 31 prosent svarer at de i liten grad er kjent med forvaltningslovens habilitetsbestemmelser. Videre opplyser nesten ti prosent at de ikke i det hele tatt er kjent med habilitetsbestemmelsene i forvaltningsloven. Svarfordelingen går frem av figuren under: Spørsmålene til ansatte knyttet til habilitet i spørreundersøkelsen er rutet ut fra hva respondentene har svart på et tidligere spørsmål i undersøkelsen, knyttet til hvorvidt respondentene opplever at de i sitt daglige arbeid kommer i situasjoner der det er behov for å vurdere egen habilitet. Kun de respondentene som har svart «ja» på spørsmålet har fått ytterligere spørsmål om habilitet

72 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 16: I hvilken grad er du kjent med forvaltningslovens bestemmelser om habilitet? (N=51) 100% 90% 80% 70% 60% 50% 37,3% 40% 30% 31,4% 21,6% 20% 9,8% 10% 0,0% 0% I stor grad I noen grad I liten grad Ikke i det hele tatt Vet ikke Når det gjelder de folkevalgte, svarer cirka 44 prosent at de i stor grad er kjent med forvaltningslovens bestemmelser om habilitet, mens cirka 56 prosent svarer at de i noen grad er kjent med bestemmelsene. Svarfordelingen går frem av figuren under: Figur 17: I hvilken grad er du kjent med forvaltningslovens bestemmelser om habilitet? (N=18) 100% 90% 80% 70% 60% 50% 55,6% 44,4% 40% 30% 20% 10% 0,0% 0,0% 0,0% I liten grad Ikke i det hele tatt Vet ikke 0% I stor grad I noen grad Videre viser spørreundersøkelsen at 24 prosent av de ansatte opplever at det i kommunen i stor grad er tydelig definert hvilke forhold og momenter man må ta hensyn til i forbindelse med vurdering av egen habilitet. 38 prosent svarer at dette i noen grad er tydelig definert, mens 14 prosent opplyser at det i liten grad er tydelig definert hvilke forhold som må tas hensyn til ved vurdering av egen habilitet. I tillegg opplyser 12 prosent at det ikke i det hele tatt er tydelig definert hvilke forhold og momenter man som ansatt må ta hensyn til i forbindelse med vurdering av egen habilitet. Svarfordelingen går frem av figuren under: 27

73 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 18: I hvilken grad er det tydelig definert hvilke forhold og momenter du som ansatt må ta hensyn til i forbindelse med vurdering av egen habilitet? (N=50) 100% 90% 80% 70% 60% 50% 38,0% 40% 30% 24,0% 20% 14,0% 12,0% 12,0% I liten grad Ikke i det hele tatt Vet ikke 10% 0% I stor grad I noen grad Når det gjelder de folkevalgte, opplyser cirka 78 prosent at det i stor grad er tydelig definert hvilke forhold og momenter man som folkevalgte må ta hensyn til i forbindelse med vurdering av egen habilitet. De resterende 22 prosentene svarer at dette i noen grad er tydelig definert. Svarfordelingen går frem av figuren under: Figur 19: I hvilken grad er det tydelig definert hvilke forhold og momenter du som folkevalgt må ta hensyn til i forbindelse med vurdering av egen habilitet? (N=18) 100% 90% 80% 77,8% 70% 60% 50% 40% 30% 22,2% 20% 10% 0,0% 0,0% 0,0% I liten grad Ikke i det hele tatt Vet ikke 0% I stor grad I noen grad Vurdering Ikke alle ansatte i Frogn kommune er kjent med i hvilke situasjoner de skal vurdere egen habilitet, eller med de bestemmelser som gjelder habilitet i forvaltningsloven. Som det går frem av kapittel 3.3.1, opplyser også cirka 24 prosent av ansatte som har besvart spørreundersøkelsen at de i liten grad eller ikke i det hele tatt er kjent med bestemmelser i kommunens etiske retningslinjer knyttet til habilitet og 28

74 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet interessekonflikter. Videre kommer det frem at en betydelig andel ansatte opplever at det i liten grad eller ikke i det hele tatt er tydelig definert hvilke hensyn man må ta i forbindelse med vurdering av egen habilitet. Revisjonen mener at manglende kjennskap til gjeldende regelverk om habilitet, hvilke situasjoner man skal vurdere egen habilitet i, samt hvilke vurderinger som skal gjøres av habilitet når dette er relevant, medfører risiko for manglende etterleving av og brudd på de bestemmelser som går frem av forvaltningsloven 6 om habilitet, samt Frogn kommunes etiske retningslinjer. For å redusere denne risikoen, er det revisjonens vurdering av Frogn kommune i større grad bør iverksette tiltak for å gjøre ansatte bedre kjent med hvilke bestemmelser knyttet til habilitet som gjelder for kommunens medarbeidere, samt øker kunnskap blant de ansatte om hvilke situasjoner man bør være bevisst på der det kan være relevant å gjennomføre habilitetsvurderinger, samt hvilke forhold og momenter som bør tas hensyn til og vurderes. Når det gjelder kjennskap blant folkevalgte til hvilke situasjoner det er relevant å vurdere egen habilitet i, samt hvilke vurderinger som bør gjøres, mener revisjonen denne i hovedsak er tilstrekkelig. Alle folkevalgte som har besvart undersøkelsen oppgir at de i stor eller noen grad er kjent med både gjeldende habilitetsbestemmelser i forvaltningsloven, og hvilke forhold man som folkevalgt må ta hensyn til i forbindelse med vurdering av habilitet. Revisjonen vil imidlertid peke på at også resultatene i spørreundersøkelsen blant de folkevalgte indikerer et forbedringspotensial, og at kommunen derfor kan vurdere om det er behov for å sette ytterligere fokus på habilitet også blant de folkevalgte. 29

75 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 4. Etterleving av etiske retningslinjer 4.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling med underproblemstillinger: I hvilken grad blir de etiske retningslinjene etterlevd? I hvilken grad er det etablert rutiner eller prosedyrer til bruk for ansatte og folkevalgte som sikrer etterleving av de etiske retningslinjene og rettsregler knyttet til habilitet? I hvilken grad har kommunen etablert system og rutiner for å kontrollere at de etiske retningslinjene etterleves? I hvilken grad har det forekommet brudd på sentrale bestemmelser i kommunens etiske retningslinjer? 4.2 Revisjonskriterier I kommuneloven 23 framgår følgende krav til administrasjonssjefen: 2. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I Ot.prp.nr.70 ( )11 står følgende kommentar til kravet om betryggende kontroll i kommuneloven 23: Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som blant annet skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. I Ot.prp.nr.70 ( ) blir det videre vist til at internkontroll først og fremst er et ledelsesverktøy, og ( ) er en integrert del av ledelsens styring av organisasjonen. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Det er flere anerkjente rammeverk som beskriver grunnprinsipp for god internkontroll. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen.12 Hovedelementene i COSO-modellen er felles for flere av de ulike rammeverkene for internkontroll. De viktigste elementene er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsesoppfølging Ot.prp.nr.70 ( ). Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon). 12 COSO: Internal Control Integrated Framework (2013)

76 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Frogn kommune vedtok i 2007 felles etiske retningslinjer for ansatte og folkevalgte i kommunen. 13 Retningslinjene ble sist revidert i 2015, gjennom vedtak i kommunestyret. 14 I retningslinjenes innledende bestemmelser går det frem at: «Ansatte og folkevalgte i Frogn kommune skal følge både allmennetiske og forvaltningsetiske verdier og normer. De skal ikke la egne interesser påvirke saksbehandlingen, beslutninger eller arbeidet for øvrig. Kommunens verdier; respekt, engasjement, profesjonell og raushet skal ligge til grunn for arbeidet i Frogn kommune.» «Ledere på alle nivåer har et særlig ansvar for å tydeliggjøre og skape aksept for etisk forsvarlig atferd.» Se vedlegg 2 for utfyllende revisjonskriterier. 4.3 Rutiner for etterleving av etiske retningslinjer og habilitetsbestemmelser Datagrunnlag Rutiner for etterleving av etiske retningslinjer for ansatte Undersøkelsen viser at det i varierende grad er etablert felles rutiner eller prosedyrer i kommunen som ansatte kan benytte seg av for å sikre at de klarer å etterleve kommunens etiske retningslinjer eller for å sikre at de overholder krav i regelverk til habilitet. For enkelte av punktene i de etiske retningslinjene, er det gitt noen detaljer for hvordan retningslinjene skal etterleves, men dette er ikke gjort for alle punkter. I intervju opplyser rådmann at det er enhetsledernes ansvar å utarbeide rutiner og prosedyrer der det er relevant for å sørge for at etiske retningslinjer eller habilitetsbestemmelser etterleves i den enkelte avdeling. Rutinene som etableres skal plasseres i kommunens elektroniske kvalitetssystem (Compilo), slik at de er tilgjengelig for alle ansatte. Det er videre enhetsledernes ansvar å følge opp og implementere eventuelle rutiner i sine enheter, gjennom de møteplassene og arenaene som er etablert innenfor enheten. Det gjennomføres ingen systematisk kontroll fra øverste administrative ledelse av hvorvidt det blir arbeidet med utarbeidelse og etablering av rutiner for etterleving av etiske retningslinjer i de ulike enhetene. Videre blir det opplyst i intervju at når det gjelder habilitetsvurderinger og etterleving av habilitetsregelverk, er det den enkelte ansatte og folkevalgte som er ansvarlig for å etterleve bestemmelsene i regelverket. Rådmannen opplyser at han forutsetter at forvaltningsloven følges av kommunens ansatte og folkevalgte, slik dette også går frem av de etiske retningslinjene. Rådmann opplyser at det i forlengelsen av prosjektet Ansvar for eget liv, der kommunen blant annet arbeider med etisk dilemmatrening og viktigheten av etiske verdier og holdninger, vil kunne bli aktuelt å utvikle mer felles rutiner og prosedyrer for etterleving av etiske retningslinjer på tvers av enheter i kommunen. Det blir også opplyst at utarbeidelse av rutiner for etterleving av etiske retningslinjer også vil være naturlig å se i sammenheng med et større internkontrollprosjekt kommunen har gående, Orden i eget hus. På spørsmål i spørreundersøkelsen til ansatte og folkevalgte i Frogn kommune, opplyser cirka 14 prosent av de ansatte som har besvart undersøkelsen at det i stor grad er etablert tilstrekkelig med rutiner og prosedyrer som bidrar til man skal kunne etterleve kommunens etiske retningslinjer. Cirka 43 prosent svarer at tilstrekkelig med rutiner og prosedyrer i noen grad er etablert, mens nesten 29 prosent opplyser at rutiner og prosedyrer i liten grad er tilstrekkelig etablert. I tillegg svarer cirka 13 prosent av de ansatte vet ikke på spørsmål om det er etablert tilstrekkelig med rutiner for etterleving av kommunens etiske retningslinjer. Svarfordelingen på spørsmålet går frem av figuren under: Frogn kommune: Etiske retningslinjer for ansatte og folkevalgte i Frogn kommune. Vedtatt i kommunestyret i sak 83/ Sak 106/

77 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 20: I hvilken grad er det etablert tilstrekkelig med rutiner og prosedyrer, som bidrar til at du skal kunne etterleve kommunens etiske retningslinjer? (N=70) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 42,9% 28,6% 14,3% 12,9% 0,0% I stor grad I noen grad I liten grad 1,4% Ikke i det hele Ikke relevant i tatt mitt daglige arbeid Vet ikke Rutiner for etterleving av etiske retningslinjer for folkevalgte Undersøkelsen viser at det for folkevalgte i Frogn kommune ikke er etablert felles rutiner eller prosedyrer knyttet til å sikre etterleving av kommunens etiske retningslinjer. Det blir opplyst i intervju at å sikre etterleving av de delene av kommunens retningslinjer som også gjelder de folkevalgte, er et selvstendig ansvar den enkelte folkevalgt har, og dermed ikke noe som følges opp i kommunen i form av felles rutiner. Når det gjelder rutiner for å sikre etterleving av habilitetsregelverk, er det som et fast punkt på sakslisten til hvert kommunestyremøte opplyst om at de folkevalgte alltid må vurdere egen habilitet opp mot de sakene som til enhver tid står på sakslisten. Med bakgrunn i sakslisten har de folkevalgte et selvstendig ansvar for å melde inn eventuell inhabilitet i saker. Representanten som har meldt fra om potensiell inhabilitet fratrer så møte, og de resterende representantene i kommunestyret behandler spørsmålet om inhabilitet og voterer så over habilitetsspørsmålet. Dersom den folkevalgte som har meldt fra om mulig inhabilitet blir vurdert som inhabil av kommunestyret, fratrer representanten i denne saken og en vara tar plassen. I intervju opplyser rådmannen at det er vanlig praksis i kommunen at konkrete saker der folkevalgte eller ansatte er i tvil om hvorvidt det foreligger inhabilitet, ber rådmannen og/eller kommuneadvokaten om råd og veiledning. Dette gjelder særlig i saker der man frykter at det i ettertid kan stilles spørsmål ved om ansatte eller folkevalgte bruker sin posisjon i kommunen til å fremme egne interesser. På spørsmål i spørreundersøkelsen til ansatte og folkevalgte i Frogn kommune, opplyser cirka 17 prosent av de folkevalgte som har besvart undersøkelsen at det i stor grad er etablert tilstrekkelig med rutiner og prosedyrer som bidrar til man skal kunne etterleve kommunens etiske retningslinjer. Cirka 33 prosent svarer at tilstrekkelig med rutiner og prosedyrer i noen grad er etablert, mens nesten 17 prosent opplyser at rutiner og prosedyrer i liten grad er tilstrekkelig etablert. I tillegg svarer cirka 33 prosent av de ansatte vet ikke på spørsmål om det er etablert tilstrekkelig med rutiner for etterleving av kommunens etiske retningslinjer. Svarfordelingen på spørsmålet går frem av figuren under: 32

78 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 21: I hvilken grad er det etablert tilstrekkelig med rutiner og prosedyrer, som bidrar til at du skal kunne etterleve kommunens etiske retningslinjer? (N=18) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 33,3% 16,7% 33,3% 16,7% 0,0% I stor grad I noen grad I liten grad 0,0% Ikke i det hele Ikke relevant i tatt mitt daglige arbeid Vet ikke Vurdering Det er i varierende grad etablert felles rutiner eller prosedyrer for å sikre etterleving av etiske retningslinjer og rettsregler knyttet til habilitet. Hvorvidt det blir utarbeidet rutiner innenfor de ulike enhetene, er opp til enhetslederne. Videre kommer det frem at det ikke utføres noen kontroll av om det er etablert rutiner for etterleving av retningslinjer og habilitetsregelverk i de deler av organisasjonen der dette vil være relevant. I spørreundersøkelsen som er gjennomført blant de ansatte, kommer det frem at cirka 29 prosent av de som har svart, opplever at det i liten grad er etablert tilstrekkelig med rutiner som bidrar til at det er mulig å etterleve kommunens etiske retningslinjer. Revisjonen vil peke på at skriftlige rutiner er et viktig verktøy for å sikre kvalitet i tjenesteutøvelsen og ved gjennomføring av arbeidsoppgaver, og for å redusere risikoen for feil og mangler, herunder risikoen for manglende etterleving av etiske retningslinjer. Revisjonen mener videre at utvikling av skriftlige rutiner for etterleving av etiske retningslinjer og rettsregler knyttet til habilitet, med fordel bør sees i sammenheng med gjennomføring av risikokartlegginger (se kapittel 5.3.2) knyttet til hvor i organisasjonen det utføres arbeid og tjenester som blir særlig påvirket av gjeldende regelverk om habilitet og bestemmelsene i kommunens etiske retningslinjer, og hvor det er risiko for manglende etterleving av og brudd på de etiske retningslinjene og rettsregler knyttet til habilitet. Rutiner må utarbeides for områder hvor risikovurderingen tilsier at det er et behov. I forbindelse med undersøkelsen kommer det også frem at det heller ikke er etablert spesifikke rutiner for folkevalgte knyttet til å sikre etterleving av etiske retningslinjer, men at dette er et selvstendig ansvar man som folkevalgte i kommunen har. For å sikre at folkevalgte i Frogn kommune er tilstrekkelig orientert om og bevisste på sitt ansvar for å etterleve de etiske retningslinjene, mener revisjonen at kommunen kan vurdere om det er behov for å tydeliggjøre egenansvaret ytterligere overfor de folkevalgte. Undersøkelsen viser at det for folkevalgte er utarbeidet rutiner for å sikre etterleving av habilitetsregelverk. Rutiner for vurdering av habilitet blant folkevalgte er nærmere omtalt i kapittel Kontroll av etterleving av etiske retningslinjer Datagrunnlag Som det går frem av foregående kapitler, gjennomføres det ingen systematisk kontroll i Frogn kommune av hvorvidt det ute i enhetene er utarbeidet tiltak knyttet til å formidle etiske retningslinjer til ansatte og folkevalgte eller av hvordan enhetene arbeider for å sikre etterleving av de etiske retningslinjene. 33

79 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet I forbindelse med forvaltningsrevisjonen har kommunen gjennomført en spørrerunde i organisasjonen for å kartlegge om etiske retningslinjer er et tema i de ulike enhetene. Revisjonen får opplyst at de fleste enhetene i kommunene i spørrerunden har svart at etiske retningslinjer er en del av innholdet gjennom året på personalmøter, i medarbeidersamtaler og i ledersamtaler. Dette er imidlertid ikke gjennomgående i alle enheter, og det kommer frem at det finnes enheter i kommunen der etiske retningslinjer ikke blir orientert om og diskutert. Frogn kommune har et elektronisk kvalitetssystem (Compilo) som alle ansatte har tilgang til. Systemet inneholder blant annet en egen modul for melding av avvik, som benyttes både til melding og behandling av avvik, og der det også kan produseres statistikk om hvilke avvik som har blitt meldt og behandlet innenfor ulike tema. Avviksmodulen i Compilo er satt opp slik at de ansatte kan melde avvik innenfor tre ulike hovedkategorier: HMS, Organisasjon/internt og Tjeneste/bruker. Hver av disse kategoriene er videre delt inn i underkategorier, der man fra en nedtrekksmeny kan velge tema avviket omhandler. I tillegg til å plassere avviket innenfor en kategori, skal den som melder inn avviket angi grad av alvorlighet (lav, middels, høy), samt gi en kort beskrivelse av hendelsen, hvilke konsekvenser den har hatt og ev. forslag til forbedring/tiltak for å lukke avviket. Avvik som blir meldt i Compilo går til nærmeste leder for behandling og lukking. Frogn kommune har etablert skriftlige rutiner for både melding og behandling av avvik, til bruk for ansatte og ledere i forbindelse med avvikshåndtering. Rutinene har som formål å sikre at avvikshåndtering følger de samme prinsippene i hele kommunen, slik at man sikrer et best mulig tjenestetilbud til innbyggere, begrenser konsekvenser av avvik og lærer av de feilene som oppstår, samt kan gjennomføre korrigerende eller forebyggende tiltak slik at like hendelser ikke gjentar seg eller kan unngås. I rutinen for melding av avvik er det videre gitt eksempler på hva avvik kan være, samt beskrevet hvilke momenter som skal inngå i en avviksmelding og hvordan det elektroniske avviksskjemaet skal fylles ut. I rutinen for behandling av avvik er det blant annet beskrevet hvordan avvik skal behandles og hvilke kriterier som må være oppfylt for at et avvik skal kunne lukkes. En gjennomgang av både elektronisk skjema for avviksmelding og rutiner for melding og behandling av avvik, viser at det ikke er spesifisert eller fremhevet på noen måte at avviksmodulen i Compilo kan benyttes til å melde avvik knyttet til brudd på etiske retningslinjer eller habilitetsbestemmelser. Brudd på etiske retningslinjer og/eller habilitetsbestemmelser er ikke skilt ut som en kategori i avviksskjemaet, og er heller ikke angitt som eksempel i rutinene på hva typiske avvik kan være. I intervju opplyser rådmann at det i liten grad blir tatt ut statistikk for meldte avvik, og at funksjoner i Compilo knyttet til å se på fordeling av avvik på ulike kategorier og ulike enheter i liten grad blir benyttet. Rådmannen opplyser imidlertid samtidig at han har en intensjon om å føre bedre kontroll med etterleving av etiske retningslinjer eller habilitetsbestemmelser, og at det i denne forbindelse er planlagt å ta i bruk rapportfunksjonene i Compilo i større grad for å skaffe oversikt over ulike typer avvik. Rådmann opplyser i intervju at det utover avvikssystemet, ikke er etablert system eller rutiner for å kontrollere etterleving av de etiske retningslinjer eller for å fange opp eventuelle brudd på retningslinjene Vurdering Det er ikke etablert egne rutiner for kontroll av etterleving av etiske retningslinjer i Frogn kommune, og undersøkelsen viser at det ikke gjennomføres systematisk kontroll av verken om etiske retningslinjer etterleves eller av hvordan det arbeides med å formidle etiske retningslinjer og hvordan det arbeides med å legge til rette for å sikre etterleving av retningslinjene. Kommunen har etablert et system for avviksmelding gjennom sitt elektroniske kvalitetssystem, men undersøkelsen viser at det ikke spesifikt er lagt til rette for og tydeliggjort at avvik knyttet til manglende etterleving av etiske retningslinjer skal meldes inn via systemet, og at det i liten grad blir meldt avvik knyttet til brudd på etiske retningslinjer. Revisjonen vil peke på at systematisk kontroll og oppfølging fra ledelsen er et viktig prinsipp for å sikre at den kommunale virksomheten når sine mål, herunder etterleving av etiske retningslinjer. Slik systematisk oppfølging omfatter både kontroll av at det i virksomheten blir arbeidet aktivt med å informere om etiske retningslinjer, at det blir etablert rutiner og prosedyrer for å bidra til etterleving av etiske retningslinjer, og systematisk avviksrapportering som bidrar til å avdekke ev. manglende etterleving av og risiko for brudd 34

80 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet på etiske retningslinjer, og gjør det mulig å sette inn forebyggende tiltak ved behov. For å bidra til å sikre at etiske retningslinjer etterleves, mener revisjonen at Frogn kommune bør styrke og formalisere kontrollen av at det i de ulike enhetene blir arbeidet med etterleving av etiske retningslinjer, gjennom for eksempel å etterspørre og innhente rapportering fra enhetslederne på hvordan de orienterer de ansatte om kommunens etiske retningslinjer og hvilke rutiner som eventuelt er etablert for å sikre at etiske retningslinjer etterleves. Videre mener revisjonen at Frogn kommune bør vurdere å tydeliggjøre overfor de ansatte at kommunens avvikssystem også skal benyttes til å melde avvik knyttet til manglende etterleving av etiske retningslinjer, og at det i tilstrekkelig grad legges til rette for at ansatte kan melde avvik knyttet til dette. Dette vil etter revisjonens vurdering var i samsvar med god praksis for internkontroll, og bidra til at den kommunale virksomheten er gjenstand for betryggende kontroll, jf. kommuneloven Brudd på sentrale bestemmelser i etiske retningslinjer Datagrunnlag En gjennomgang av meldte avvik for de siste tre årene, viser seks avvik som kan knyttes til brudd på etiske retningslinjer, av totalt 2836 avvik som ble meldt i perioden. De seks avvikene, som alle ble meldt i perioden august 2014 til august 2015, omhandlet mangelfull håndtering av taushetsbelagte personopplysninger og sensitive data. Det blir opplyst at kommunen i etterkant av at disse avvikene ble meldt inn, har gjennomgått rutiner for å sikre tilstrekkelige forebyggende tiltak knyttet til for eksempel åpning av post, samt sørget for bedre opplæring blant ansatte i hvordan taushetsbelagte opplysninger skal håndteres. I forbindelse med oversendelsen av statistikk over meldte avvik, opplyser Frogn kommune at kommunen ikke kan utelukke at det har vært hendelser i samme periode knyttet til brudd på etiske retningslinjer og habilitet, men som ikke har blitt meldt inn som avvik via kvalitetssystemet. I intervju opplyser rådmann at det mangler kultur for å melde avvik i kommunen, og at det generelt meldes inn for få avvik i de ulike enhetene. Blant de som er intervjuet i forbindelse med forvaltningsrevisjonen blir det pekt på flere årsaker til at det ikke blir meldt flere avvik, som blant annet at avvikssystemet er for tungvint i bruk, at ansatte føler seg utrygge på hvorvidt avviksmeldinger blir tilstrekkelig tatt tak i og fulgt opp, samt at kommunen ikke i tilstrekkelig grad har greid å formidle til alle ansatte at avviksmelding først og fremst handler om å bidra til forbedringer i virksomheten og ikke om identifisering av feil som ev. gjøres i seg selv. I spørreundersøkelsen som er gjennomført i forbindelse med forvaltningsrevisjonen, har ansatte og folkevalgte blitt spurt i hvilken grad de opplever at de ulike bestemmelsene i kommunens etiske retningslinjer etterleves. Svarene viser en viss variasjon med hensyn til om de som har besvart undersøkelsen opplever at de ulike bestemmelsene etterleves. Den bestemmelsen som den høyeste andelen ansatte og folkevalgte opplever at i stor eller noen grad etterleves, er bestemmelsen om «behandling av informasjon/taushetsplikt», henholdsvis cirka 50 prosent og 32 prosent. Den bestemmelsen som den høyeste andelen av ansatte og folkevalgte opplever at i liten grad eller ikke i det hele tatt etterleves, er bestemmelsen om «varsling om kritikkverdige forhold», henholdsvis cirka 19 prosent og 7 prosent. Svarfordelingen for alle bestemmelsene går frem av figuren under: 35

81 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 22: I hvilken grad opplever du at bestemmelsene i de etiske retningslinjene knyttet til følgende tema etterleves? (N=85) Behandling av informasjon/taushetsplikt 50,6% Representasjon og reiser 28,6% Mottak av gaver og andre fordeler 37,2% Habilitet og interessekonflikter 36,5% Varsling om kritikkverdige forhold Ytringsfrihet 29,4% 18,8% 7,1% 30,2% Hensyn til kommunens omdømme 29,1% Hensyn til innbyggere 27,9% 27,4% 10,6% 5,9% 10,6% 50,0% 7,0%2,3% 10,5% 54,7% 51,2% 20% I noen grad 4,8% 11,9% 13,1% 2,4% 45,9% 40% I liten grad 17,6% 23,5% 13,1% 35,7% Lojalitet 0% 31,4% 8,2%2,4% 41,7% 27,1% 38,1% 4,7% 2,3% 35,3% 21,4% 2,4% 2,4% 12,9% 4,8% 2,4% 24,4% 28,6% Rapportertingsplikt I stor grad 26,2% 21,2% Åpenhet 31,8% 4,7% 1,2%10,5% 3,5% 2,3% 15,1% 60% Ikke i det hele tatt 80% 100% Vet ikke Videre i spørreundersøkelsen svarer nesten 21 prosent av de som har besvart undersøkelsen at de er kjent med at det har forekommet brudd på sentrale bestemmelser i kommunens etiske retningslinjer. Cirka 79 prosent svarer at det ikke har forekommet brudd på etiske retningslinjer etter det de er kjent med eller at de ikke vet om slike brudd har forekommet. Svarfordelingen går frem under: 36

82 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 23: Har det, etter det du er kjent med, forekommet brudd på sentrale bestemmelser i kommunens etiske retningslinjer? (N=86) 100% 90% 80% 70% 60% 46,5% 50% 40% 30% 32,6% 20,9% 20% 10% 0% Ja Nei Vet ikke I åpne svarfelt i undersøkelsen opplyser de som har svart ja på om det har forekommet brudd på sentrale bestemmelser i kommunens etiske retningslinjer at de bruddene de har kjent med at har forekommet knytter seg til blant annet brudd på taushetsplikt, manglende åpenhet og lojalitet mot kommunen i forbindelse med saksbehandling. I forbindelse med forvaltningsrevisjonen blir det opplyst at Frogn kommune ved de tre siste anledningene har deltatt i KS lokaldemokratiundersøkelse (2010, 2014 og 2017). Dette er undersøkelser KS gjennomfører blant innbyggere og folkevalgte for å undersøke hvordan disse gruppene oppfatter lokaldemokratiet i egen kommune. Undersøkelsene inkluderer spørsmål knyttet til pålitelig styre, herunder blant annet habilitet. Data fra lokaldemokratiundersøkelsen for 2017 blant folkevalgte viser at til påstanden «Her i kommunen misbruker ikke de folkevalgte sin makt til personlig fordel», svarer 25 prosent at denne passer svært godt med deres oppfatning av kommunen. 40 prosent svarer at påstanden passer ganske godt, mens 30 prosent svarer at påstanden om at folkevalgte ikke misbruker makt til personlig fordel passer ganske dårlig. Fem prosent opplyser at påstanden om at folkevalgte ikke misbruker makt til personlig fordel passer svært dårlig. Svarfordelingen går frem av figuren under: 37

83 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 24: Her i kommunen misbruker ikke de folkevalgte sin makt til personlig fordel. (N=31) (Kilde: KS Lokaldemokratiundersøkelse blant folkevalgte 2017) 100% 90% 80% 70% 60% 50% 40% 40% 30% 30% 25% 20% 10% 5% 0% Passer svært godt Passer ganske godt Passer ganske dårlig Passer svært dårlig Videre er det i undersøkelsen spurt om de som har gode personlige forbindelser i kommunen, lettere får ivaretatt sine interesser. Til denne påstanden opplyser ti prosent at den passer svært godt med deres oppfatning av Frogn kommune, mens 45 prosent opplyser at den passer ganske godt. 40 prosent av de som har svart på undersøkelsen, svarer at påstanden passer ganske dårlig, mens 15 prosent svarer at påstanden om at de som har gode forbindelser i kommunene, lettere får ivaretatt sine interesser passer svært dårlig. Svarfordelingen fremgår av figuren under: 38

84 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 25: De som har gode personlige forbindelser i kommunen, får lettere ivaretatt sine interesser. (N=31) (Kilde: KS Lokaldemokratiundersøkelse blant folkevalgte 2017) 100% 90% 80% 70% 60% 50% 45% 40% 40% 30% 20% 10% 15% 10% 0% Passer svært godt Passer ganske godt Passer ganske dårlig Passer svært dårlig Vurdering Undersøkelsen som er gjennomført viser at det i løpet av de siste årene har forekommet brudd på bestemmelser i kommunens etiske retningslinjer knyttet til behandling av informasjon/taushetsplikt i forbindelse med håndtering av taushetsbelagte opplysninger. Videre går det frem av data fra både revisjonens spørreundersøkelse og KS lokaldemokratiundersøkelse at ansatte og folkevalgte i Frogn kommune opplever at etiske retningslinjer ikke alltid etterleves og at det blir opplevd å forekomme brudd på bestemmelser i retningslinjene. Selv om dataene i undersøkelsen i stor grad består av persepsjonsdata som ikke nødvendigvis kan benyttes til å bekrefte at det har forekommet brudd på etiske retningslinjer, mener revisjonen at svarene gir en tydelig indikasjon på at det i kommunen er betydelig risiko for at sentrale bestemmelser i de etiske retningslinjene kan bli brutt, og at det også er sannsynlig at dette forekommer. Etter revisjonens vurdering understreker dette viktigheten av at Frogn kommune følger opp og systematiserer arbeidet sitt med informasjon om etiske retningslinjer, utarbeidelse av rutiner, og oppfølging og kontroll, jf. tidligere anbefalinger. Å sikre at avvikssystemet aktivt blir benyttet for å melde avvik knyttet til etiske retningslinjer, vil være et viktig tiltak i denne sammenhengen. 39

85 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 5. Kartlegging av risiko for brudd på etiske retningslinjer 5.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling med underproblemstillinger: Hvilke risikoområder finnes for brudd på de etiske retningslinjene? I hvilken grad blir det gjennomført risiko- og sårbarhetsanalyser knyttet til hvor og når det kan inntreffe brudd på etiske retningslinjer? Hvordan blir resultater fra ev. risiko- og sårbarhetsanalyser fulgt opp, og hvilke tiltak blir satt i verk dersom det avdekkes risiko for brudd på etiske retningslinjer? 5.2 Revisjonskriterier I kommuneloven 23 framgår følgende krav til administrasjonssjefen: 1. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I Ot.prp.nr.70 ( )15 står følgende kommentar til kravet om betryggende kontroll i kommuneloven 23: Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som blant annet skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. Hovedelementene i COSO-modellen er felles for flere av de ulike rammeverkene for internkontroll. De viktigste elementene er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsesoppfølging Se vedlegg 2 for utfyllende revisjonskriterier. 5.3 Bruk av risiko- og sårbarhetsanalyser Datagrunnlag I forbindelse med undersøkelsen får revisjonen opplyst at det ikke gjennomføres systematiske risiko- og sårbarhetsanalyser på overordnet nivå knyttet til hvor, når og i hvilke situasjoner det kan være risiko for brudd på Frogn kommunes etiske retningslinjer. Risiko for manglende etisk oppførsel og adferd, brudd på etiske retningslinjer og brudd på habilitetsbestemmelser kan imidlertid fanges opp av risiko- og sårbarhetsanalyser som blir gjennomført innen ulike områder, som for eksempel innen byggesaksbehandling. I intervju opplyser rådmann at han er kjent med at det har blitt gjennomført enkeltstående risikoanalyser på ulike steder i organisasjonen der også etikk og habilitet som tema har blitt Ot.prp.nr.70 ( ). Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon)

86 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet berørt, men at det ikke blir ført noen samlet oversikt over hvilke ROS-analyser som blir gjennomført som også inkluderer etikk som tema. I intervju blir det pekt på flere områder innenfor Frogn kommunes virksomhet der det kan være risiko for brudd på etiske retningslinjer og habilitetsbestemmelser. For eksempel blir tjenesteområder som vei og byggesak pekt på som områder der ansatte kan havne i situasjoner som krever at det gjøres etiske vurderinger, og der det også medfølger risiko for at etiske retningslinjer og habilitetsbestemmelser ikke etterleves. Dette kan omhandle behandling av konkrete byggesøknader eller spørsmål om prioritering av gater for brøyting osv. Det blir også trukket frem i intervju at det i typisk situasjoner som krever at det gjennomføres habilitetsvurderinger, som ved ansettelser eller behandling av salgs- og skjenkebevillinger, vil kunne være risiko for at habilitetsbestemmelser ikke etterleves. I spørreundersøkelsen som har blitt gjennomført i forbindelse med forvaltningsrevisjonen, opplyser cirka 13 prosent av de som har besvart undersøkelsen at de opplever at det i stor grad er risiko for brudd på sentrale bestemmelser i kommunens etiske retningslinjer innenfor det området de arbeider (eller innen politiske organ de er valgt til). 46 prosent svarer at det i noen grad er risiko for slike brudd, mens cirka 41 prosent i liten grad opplever at det er risiko for brudd på sentrale bestemmelser i kommunens etiske retningslinjer. Svarfordelingen går frem av figuren under: Figur 26: I hvilken grad opplever du at det innenfor det området du arbeider/er valgt, er risiko for brudd på sentrale bestemmelser i kommunens etiske retningslinjer? (N=87) 100% 90% 80% 70% 60% 46,0% 50% 41,4% 40% 30% 20% 12,6% 10% 0% I stor grad I noen grad I liten grad 0,0% 0,0% Ikke i det hele tatt Vet ikke I åpne svarfelt i undersøkelsen blir det opplyst at risikoen for brudd på kommunens etiske retningslinjer, slik de som har besvart undersøkelsen opplever det, blant annet knytter seg til brudd på taushetsplikt, manglende åpenhet, habilitet, lojalitet mot kommunen og ivaretakelse av kommunens omdømme Vurdering Undersøkelsen viser at det i Frogn kommune ikke blir gjennomført systematiske risiko- og sårbarhetsanalyser knyttet til hvor og når det kan inntreffe brudd på etiske retningslinjer. Revisjonen vil understreke at gjennomføring av risikoanalyser er et sentralt element for å sikre god internkontroll, når det gjelder å finne frem til aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse, manglende etterleving av rutiner og regelverk, mangelfull rapportering eller utilfredsstillende kvalitet i arbeid/tjenester. For å skaffe til veie tilstrekkelig oversikt over hvor og når det kan være risiko for brudd på etiske retningslinjer, bør Frogn kommune etter revisjonens vurdering sikre at det blir gjennomført systematiske kartlegginger og analyser av hvor i virksomheten det foreligger risiko for at de etiske retningslinjene ikke etterleves, samt når dette kan inntreffe (i hvilke situasjoner og på hvilke tidspunkt). Dette vil etter revisjonens vurderinger bidra til en tilfredsstillende internkontroll, i samsvar med krav i kommuneloven 23 om betryggende kontroll og god praksis på området, og vil også kunne danne grunnlag 41

87 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet for utarbeidelse av rutiner for etterleving av etiske retningslinjer, utvikling av arbeid med informasjon til ansatte og folkevalgte i kommunen mv. 5.4 Oppfølging av resultater fra risiko- og sårbarhetsanalyser Datagrunnlag Revisjonen får opplyst at kommunen har etablert en fast praksis for oppfølging av resultater fra risiko- og sårbarhetsanalyser. For de risikoer som er avdekt i forbindelse med gjennomførte ROS-analyser skal det utarbeides konkrete tiltak, samt defineres hvem som har ansvar for å følge opp tiltak og når tiltaket skal være ferdig fulgt opp. Som det går frem av kapittel 5.3.1, blir det imidlertid ikke arbeidet systematisk med risikoanalyser knyttet til hvor det kan være risiko for brudd på etiske retningslinjer i Frogn kommune, og følgelig foreligger det ikke spesifikke tiltak knyttet til oppfølging av avdekket risiko Vurdering Undersøkelsen viser at det i kommunen er en fast praksis for oppfølging av resultater fra risiko- og sårbarhetsanalyser, men at det ikke gjennomføres systematiske risiko- og sårbarhetsanalyser knyttet til hvor og når det kan inntreffe brudd på etiske retningslinjer. Revisjonen vil understreke viktigheten av å gjennomføre risikoanalyser også når det gjelder risiko for brudd på etiske retningslinjer, samt viktigheten av at slike analyser blir fulgt opp i samsvar med etablert praksis i kommunen, slik at det blir utarbeidet og satt i verk relevante tiltak for å redusere eventuell risiko som avdekkes gjennom analysene for manglende etterleving av og brudd på de etiske retningslinjene. 42

88 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 6. Rutiner for habilitetsvurdering 6.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling med underproblemstillinger: I hvilken grad er det etablert rutiner for vurdering av habilitet, herunder rutiner for å dokumentere habilitetsvurderinger, i forbindelse med: Administrativ saksforberedelse og -behandling? Behandling av saker i politiske organer? 6.2 Revisjonskriterier Forvaltningslovens kap. II tar for seg habilitet i forvaltningen. Habilitetskravene fremgår av 6 i forvaltningsloven: «En offentlig tjenestemann er ugild til å tilrettelegge grunnlaget for en avgjørelse eller til å treffe avgjørelse i en forvaltningssak a) når han selv er part i saken; b) når han er i slekt eller svogerskap med en part i opp- eller nedstigende linje eller i sidelinje så nær som søsken; c) når han er eller har vært gift med eller er forlovet med eller er fosterfar, fostermor eller fosterbarn til en part; d) når han er verge eller fullmektig for en part i saken eller har vært verge eller fullmektig for en part etter at saken begynte; e) når han leder eller har ledende stilling i, eller er medlem av styret eller bedriftsforsamling for, et selskap som er part i saken og ikke helt ut eies av stat eller kommune, et samvirkeforetak, eller en forening, sparebank eller stiftelse som er part i saken. Når det gjelder avgjørelse av habilitetsspørsmålet går dette fram av 8 i forvaltningsloven: «8. (avgjørelse av habilitetsspørsmålet). Tjenestemannen avgjør selv om han er ugild. Dersom en part krever det og det kan gjøres uten vesentlig tidsspille, eller tjenestemannen ellers selv finner grunn til det, skal han forelegge spørsmålet for sin nærmeste overordnede til avgjørelse. I kollegiale organ treffes avgjørelsen av organet selv, uten at vedkommende medlem deltar. Dersom det i en og samme sak oppstår spørsmål om ugildhet for flere medlemmer, kan ingen av dem delta ved avgjørelsen av sin egen eller et annet medlems habilitet, med mindre organet ellers ikke ville være vedtaksført i spørsmålet. I sistnevnte tilfelle skal alle møtende medlemmer delta. I kommuneloven 23 framgår følgende krav til administrasjonssjefen: 3. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I Ot.prp.nr.70 ( )16 står følgende kommentar til kravet om betryggende kontroll i kommuneloven 23: Ot.prp.nr.70 ( ). Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon)

89 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som blant annet skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. I Ot.prp.nr.70 ( ) blir det videre vist til at internkontroll først og fremst er et ledelsesverktøy, og ( ) er en integrert del av ledelsens styring av organisasjonen. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Det er flere anerkjente rammeverk som beskriver grunnprinsipp for god internkontroll. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen.17 Hovedelementene i COSO-modellen er felles for flere av de ulike rammeverkene for internkontroll. De viktigste elementene er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsesoppfølging Se vedlegg 2 for utfyllende revisjonskriterier. 6.3 Rutiner for vurdering av habilitet i administrasjonen Datagrunnlag Som det går frem av kapittel 4.3.1, er det ikke etablert felles system og rutiner for habilitetsvurderinger for ansatte i Frogn kommune. I forbindelse med oversendelse av dokumentasjon til revisjonen, blir det opplyst at ansatte i kommunen blir gjort kjent med de kravene som stilles til habilitetsvurdering i forvaltningsloven og kommuneloven, samt i kommunens etiske retningslinjer, når de begynner å arbeide kommunen. Kravene blir informert om på lik linje med andre lov- og forskriftskrav som gjelder for den enkeltes stilling og arbeidsforhold i kommunen. I intervju opplyser rådmannen at det er den enkelte ansattes ansvar å etterleve bestemmelsene om habilitet i regelverk og kommunens etiske retningslinjer, og at det forutsettes at forvaltningslovens habilitetsbestemmelser følges av kommunens ansatte. I intervju blir det videre opplyst at det er opp til enhetslederne hvorvidt det skal utarbeides rutiner for gjennomføring av habilitetsvurderinger på enhetsnivå, herunder for eksempel sjekklister til bruk i forbindelse med saksbehandling. I den grad det finnes spesifikke rutiner for habilitetsvurdering, er dette noe som er utarbeidet enhetsvis. I spørreundersøkelsen revisjonen har gjennomført, svarer nesten 85 prosent av de ansatte som har besvart undersøkelsen vet ikke på spørsmål om det er etablert egne rutiner eller prosedyrer for gjennomføring av habilitetsvurderinger i relevante saker, til bruk for ansatte i kommunen. I underkant av åtte prosent svarer at det ikke er utarbeidet slike rutiner, mens en tilsvarende andel svarer at det er etablert egne rutiner for gjennomføring av habilitetsvurderinger som de kan benytte seg av i relevante saker. Svarfordelingen går frem av figuren under: 17 COSO: Internal Control Integrated Framework (2013). 44

90 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 27: Er det etablert egne rutiner eller prosedyrer for gjennomføring av habilitetsvurderinger i relevante saker, til bruk for ansatte i kommunen? (N=51) % 90% 84,3% 80% 70% 60% 50% 40% 30% 20% 10% 7,8% 7,8% Ja Nei 0% Vet ikke Når det gjelder å dokumentere eventuelle habilitetsvurderinger som gjennomføres, blir det opplyst i intervju at det ikke er etablert felles rutiner for Frogn kommune for å dokumentere at habilitetsvurderinger som har blitt gjennomført i administrasjonen. Det blir imidlertid pekt på at kommunen gjennom saks- og arkivsystemet (Public360) dokumenterer hvilke saksbehandlere som har vært involvert i behandling av hver enkelt sak, og at det sånn sett er mulig å etterprøve hvorvidt det foreligger inhabilitet i enkeltsaker. Det blir imidlertid ikke dokumentert direkte hvorvidt ansatte har vurdert egen habilitet i forbindelse med behandling av saker, og om saksbehandlere har avstått fra behandling av og deltakelse i saker der de vurderer seg som inhabile Vurdering Utover det som går frem av kommunens etiske retningslinjer om at stilles krav til habilitetsvurdering, er det ikke etablert felles rutiner for vurdering av habilitet som ansatte i Frogn kommune kan benytte seg av i forbindelse med saksbehandling, herunder sjekklister til bruk ved utarbeidelse av saksfremlegg mv. Revisjonen mener at slike rutiner vil kunne redusere risikoen for at habilitetsvurderinger ikke blir gjennomført i saker der dette er relevant, samt gjøre etterleving av habilitetsregelverk mindre personavhengig. Skriftlige rutiner for habilitetsvurdering som også tydeliggjør hvilke habilitetsvurderinger den enkelte bør gjøre, og hvordan for eksempel bestemmelsene i forvaltningslovens 6 andre ledd første punktum knyttet til «andre særegne forhold» skal fortolkes og vurderes, vil også bidra til en mer ensartet og systematisk habilitetsvurdering blant ansatte i kommunen. Revisjonen mener derfor at Frogn kommune bør vurdere å utarbeide skriftlige rutiner til bruk for ansatte i forbindelse med gjennomføring av habilitetsvurderinger. Revisjonen vil også peke på at skriftlige rutiner for habilitetsvurderinger, i form av for eksempel sjekklister knyttet til gjennomføring av saksbehandling, også vil kunne benyttes til å dokumentere at det er gjennomført habilitetsvurderinger for involverte ansatte. Dette vil gjøre det enklere for kommunen å dokumentere overfor publikum og andre at kommunen har tatt stilling til og vurdert habilitet, i forbindelse med for eksempel klagesaker el. Spørsmålene til ansatte knyttet til habilitet i spørreundersøkelsen er rutet ut fra hva respondentene har svart på et tidligere spørsmål i undersøkelsen, knyttet til hvorvidt respondentene opplever at de i sitt daglige arbeid kommer i situasjoner der det er behov for å vurdere egen habilitet. Kun de respondentene som har svart «ja» på spørsmålet har fått ytterligere spørsmål om habilitet

91 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 6.4 Rutiner for vurdering av habilitet i politiske organ Datagrunnlag Revisjonen får opplyst at folkevalgte, på samme måte som ansatte, har et selvstendig ansvar for å vurdere egen habilitet og melde fra om ev. inhabilitet i saker der det kan foreligge spørsmål om dette, i samsvar med gjeldende regelverk og bestemmelser i kommunens etiske retningslinjer og reglement for folkevalgte organer i Frogn kommune. I reglement for folkevalgte organer i Frogn kommune19, går det frem av pkt at folkevalgte som i henhold til kommuneloven 40 eller forvaltningsloven kap. II anser seg som inhabil i en sak, skal på melde fra om dette. Inhabilitet fritar for møteplikt under saksforberedelse og avgjørelse av den aktuelle saken, jfr. Reglementets pkt om inhabilitet. I pkt om inhabilitet går videre følgende frem om inhabilitet i forbindelse med behandling av saker: «Den som etter forvaltningsloven kapittel II eller kommuneloven 40 nr. 3 er inhabil i en sak eller som blir fritatt fra å delta ved behandlingen av en sak, tar ikke del under behandling og avstemningen. Kommunestyret avgjør habilitetsspørsmålet. Dersom et medlem eller møtende varamedlem er i tvil om egen habilitet må det vedkommende selv på forhånd avklare med ordfører eller rådmannen, jfr. Reglementets pkt om medlemmenes plikter.» Som det går frem av kapittel 4.3.1, er det etablert en fast rutine for å minne folkevalgte om plikt til vurdering av habilitet og sikre at det gjennomføres habilitetsvurderinger i relevante saker. I forbindelse med utsending av møteinnkallinger og sakskart til møter i politiske utvalg, blir det alltid opplyst i innkallingen om at utvalgsmedlemmene må vurdere sin egen habilitet i forhold til de sakene som er satt opp til behandling, samt at habilitetsproblematikk knyttet til enkeltsaker så hurtig som mulig meldes tilbake til politisk sekretariat. Når problemstillinger om habilitet blir meldt til sekretariatet, sendes disse rutinemessig til kommuneadvokaten for vurdering. Kommuneadvokatens vurdering blir så videreformidlet til rådmannsgruppen og til den folkevalgte som har meldt inn habilitetsspørsmålet. Vurdering av habilitet kan da inkluderes i sakspapirene i forbindelse av avvikling av selve møtet. Revisjonen får opplyst at det forekommer at en del enklere saker med mindre kompliserte habilitetsspørsmål blir vurdert av rådmann (som har juridisk bakgrunn). Når det gjelder ev. habilitetsspørsmål som dukker opp i utvalgsmøtene direkte, er etablert praksis at ordfører i starten av møtet gjentar formuleringene fra innkalling vedrørende eventuell inhabilitet, og ber om at de folkevalgte vurderer om det foreligger spørsmål om habilitet i enkeltsaker. I forkant av behandling av en konkret sak, melder folkevalgte fra om at det potensielt kan foreligge inhabilitet i saken. Den folkevalgte redegjør så for hvorfor vedkommende kan være inhabil, før vedkommende fratrer møtet. De resterende utvalgsmedlemmene behandler habilitetsspørsmålet, og voterer over dette. Ved behov blir det spurt om rådmannens vurdering i saken. I spørreundersøkelsen revisjonen har gjennomført, opplyser over 60 prosent at det er etablert egne rutiner for gjennomføring av habilitetsvurderinger i relevante saker, som de folkevalgte kan benytte seg av. Samtidig svarer cirka 22 prosent at slike rutiner eller prosedyrer ikke er etablert, mens cirka 17 svarer vet ikke på spørsmål om kommunen har etablert rutiner for gjennomføring av habilitetsvurderinger i relevante saker. Svarfordelingen går frem at figuren under: 19 Frogn kommune: Reglement for folkevalgte organer. Vedtatt i kommunestyret

92 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Figur 28: Er det etablert egne rutiner eller prosedyrer for gjennomføring av habilitetsvurderinger i relevante saker, til bruk for folkevalgte i kommunen? (N=18) 100% 90% 80% 70% 61,1% 60% 50% 40% 30% 22,2% 16,7% 20% 10% 0% Ja Nei Vet ikke Når det gjelder dokumentering av habilitetsvurderinger som er gjennomført av de folkevalgte i politiske møter, blir alle slik vurderinger ført i protokoll fra møtene og arkivert i kommunens sak- og arkivsystem. Dette gjelder både når folkevalgte blir vurdert å være habile og når folkevalgte blir vurdert å være inhabile i saker Vurdering Etter revisjonens vurdering er det etablert tilstrekkelige rutiner for både gjennomføring av habilitetsvurderinger i forbindelse med behandling av saker i politiske organer, og for dokumentering av slike vurderinger gjennom møteprotokoller som arkiveres på saken det gjelder i kommunens sak- og arkivsystem. Revisjonen mener at kommunen gjennom rutinen som er etablert for å minne politikerne om habilitetsvurderinger i forbindelse med utsending av møteinnkallinger og sakskart til møter i politiske utvalg, samt i forbindelse med oppstart av møter i kommunestyret, i all hovedsak sikrer at de folkevalgte blir gjort bevisste på at de må vurdere egen habilitet i de sakene som skal behandles. Samtidig mener revisjonen at svarene som kommer inn i spørreundersøkelsen, antyder at det kan være behov for at kommunen informerer de folkevalgte enda tydeligere om hvilke rutiner som er etablert for gjennomføring av habilitetsvurdering i forbindelse med saksbehandling i politiske organer, og at man som folkevalgt har et selvstendig ansvar for å gjøre slike vurderinger (se også kapittel 4.3.2). 47

93 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 7. Ivaretakelse av habilitetsregelverk i etiske retningslinjer 7.1 Problemstilling I dette kapittelet vil vi svare på følgende hovedproblemstilling med underproblemstillinger: I hvilken grad ivaretar de etiske retningslinjene habilitetsreglene og konsekvensene av inhabilitet for den enkeltes arbeid med den aktuelle saken? Har kommunen etablert rutiner eller prosedyrer for å sikre at ansatte og folkevalgte som blir vurdert som inhabile i en sak ikke involveres i den aktuelle saken? 7.2 Revisjonskriterier Av kommunelovens 40 nr. 3 går videre følgende frem om habilitet: «Om inhabilitet gjelder reglene i forvaltningsloven kap. II, med følgende særregler: a. Inhabilitet inntrer ikke ved valg til offentlige tillitsverv eller ved fastsetting av godtgjøring o.l. for slike verv. b. Kommunalt og fylkeskommunalt ansatte som i denne egenskap har medvirket ved tilretteleggelsen av grunnlaget for en avgjørelse, eller ved tidligere avgjørelse i samme sak, skal alltid anses som inhabile når saken behandles i folkevalgt organ. Ved behandling av årsbudsjett, økonomiplan, kommuneplan, regional planstrategi og regional plan gjelder ikke første punktum. c. Ved behandling av klager etter forvaltningsloven 28 annet ledd er ansatte eller folkevalgte som var med på å treffe det påklagede vedtak, eller som medvirket ved tilretteleggelsen av grunnlaget for dette, inhabile ved klageinstansens behandling av saken og ved tilretteleggelsen av saken for klageinstansen. Er en overordnet ansatt inhabil i en sak, kan direkte underordnet ansatt ikke delta ved klageinstansens behandling av saken, eller ved tilretteleggelsen av saken for klageinstansen.» Forvaltningslovens kap. II tar for seg habilitet i forvaltningen. Habilitetskravene fremgår av 6 i forvaltningsloven: «En offentlig tjenestemann er ugild til å tilrettelegge grunnlaget for en avgjørelse eller til å treffe avgjørelse i en forvaltningssak a) når han selv er part i saken; b) når han er i slekt eller svogerskap med en part i opp- eller nedstigende linje eller i sidelinje så nær som søsken; c) når han er eller har vært gift med eller er forlovet med eller er fosterfar, fostermor eller fosterbarn til en part; d) når han er verge eller fullmektig for en part i saken eller har vært verge eller fullmektig for en part etter at saken begynte; e) når han leder eller har ledende stilling i, eller er medlem av styret eller bedriftsforsamling for, et selskap som er part i saken og ikke helt ut eies av stat eller kommune, et samvirkeforetak, eller en forening, sparebank eller stiftelse som er part i saken. Likeså er han ugild når andre særegne forhold foreligger som er egnet til å svekke tilliten til hans upartiskhet; blant annet skal legges vekt på om avgjørelsen i saken kan innebære særlig fordel, 48

94 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet tap eller ulempe for ham selv eller noen som han har nær personlig tilknytning til. Det skal også legges vekt på om ugildhetsinnsigelse er reist av en part. Er den overordnede tjenestemann ugild, kan avgjørelse i saken heller ikke treffes av en direkte underordnet tjenestemann i samme forvaltningsorgan. Ugildhetsreglene får ikke anvendelse dersom det er åpenbart at tjenestemannens tilknytning til saken eller partene ikke vil kunne påvirke hans standpunkt og verken offentlige eller private interesser tilsier at han viker sete. ( ).» Når det gjelder avgjørelse av habilitetsspørsmålet går dette fram av 8 i forvaltningsloven: «8. (avgjørelse av habilitetsspørsmålet). Tjenestemannen avgjør selv om han er ugild. Dersom en part krever det og det kan gjøres uten vesentlig tidsspille, eller tjenestemannen ellers selv finner grunn til det, skal han forelegge spørsmålet for sin nærmeste overordnede til avgjørelse. I kollegiale organ treffes avgjørelsen av organet selv, uten at vedkommende medlem deltar. Dersom det i en og samme sak oppstår spørsmål om ugildhet for flere medlemmer, kan ingen av dem delta ved avgjørelsen av sin egen eller et annet medlems habilitet, med mindre organet ellers ikke ville være vedtaksført i spørsmålet. I sistnevnte tilfelle skal alle møtende medlemmer delta. Medlem skal i god tid si fra om forhold som gjør eller kan gjøre ham ugild. Før spørsmålet avgjøres, bør varamann eller annen stedfortreder innkalles til å møte og delta ved avgjørelsen dersom det kan gjøres uten vesentlig tidsspille eller kostnad.» Se vedlegg 2 for utfyllende revisjonskriterier. 7.3 Habilitet som tema i de etiske retningslinjene Datagrunnlag I Frogn kommunes etiske retningslinjer er det inkludert et eget punkt som omhandler habilitet og interessekonflikter. Her går det frem at forvaltningsloven kap. 2 og kommuneloven 40 nr. 3 har bestemmelser om habilitet som gjelder for alle ansatte og folkevalgte, og at saksbehandlere og folkevalgte må gjøre seg kjent med og forholde seg til bestemmelsene. Videre er det vist til at ansatte og folkevalgte skal unngå å komme i situasjoner som kan medføre konflikt eller motsetning mellom kommunens interesser og personlige interesser. I de etiske retningslinjene er det videre opplyst om hva ansatte og folkevalgte skal gjøre dersom det foreligger personlige interesser som kan påvirke avgjørelsen. Her går det frem at dersom man har faglig ansvar for eller deltar i behandlingen av en sak der man har personlige interesser, skal dette tas opp av personen selv, enten med overordnede eller med aktuelt folkevalgt organ. Det går frem av retningslinjene at for folkevalgte er det det aktuelle organet som foretar habilitetsvurderingen etter at spørsmålet er reist. I retningslinjene er det gitt følgende eksempler på mulige interessekonflikter ansatte og folkevalgte må være bevisste på: «Forretningsmessige forhold til tidligere arbeidsgiver eller arbeidskolleger. Lønnet bierverv som kan påvirke arbeidet i kommunen. Engasjement i interesseorganisasjon eller politisk virksomhet som berører forhold som den enkelte arbeider med i kommunen. Personlige økonomiske interesser som kan føre til at vedkommende kommer i en konkurransesituasjon eller lojalitetskonflikt i forhold til kommunens virksomhet. Familiære- og andre nære sosiale forbindelser. Ledende stilling, styremedlem eller liknende i en forening, stiftelse eller selskap som er part i saken.» 49

95 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Når det gjelder bistillinger for ansatte, opplyses det i retningslinjene at medarbeidere i Frogn kommune har plikt til å underrette arbeidsgiver om bistillinger eller bierverv vedkommende har eller har tenkt å påta seg og som er av et slikt omfang at det kan tenkes å komme i konflikt med arbeidet i kommunen. I slike tilfeller skal arbeidsgiver gi sin tilslutning til bistillingen/biervervet før medarbeider påtar seg den. I retningslinjene er det avslutningsvis opplyst om at Frogn kommune er tilknyttet styrevervregisteret til KS, og at det her er mulig for publikum å søke på ansatte og folkevalgte i kommunen og se hvilke roller de har som ansatte, folkevalgte, styreledere og styremedlemmer, samt eventuelle andre næringsinteresser de måtte ha. Som vedlegg til de etiske retningslinjene, er forvaltningslovens 6 om habilitetskrav inkludert i sin helhet. I tillegg er det i vedlegget opplyst at lovens bestemmelser om habilitet, sammen med teksten i retningslinjene med vedlegg, kan brukes til drøfting og klargjøring av habilitetsspørsmål. I intervju opplyser både rådmannen og personalsjefen at de etiske retningslinjene, etter revisjonen i 2015, i stor grad dekker både relevante problemstillinger i kommunen knyttet til habilitet, samt de regler og normer knyttet til habilitet som går frem av gjeldende regelverk Vurdering Etter revisjonens vurdering ivaretar Frogn kommunes etiske retningslinjer habilitetsreglene i forvaltningsloven kap. II og kommunelovens 40 nr. 3 på en tilstrekkelig måte. I retningslinjene er det tydelig henvist til hvor i loven bestemmelser om habilitet fremgår, og forvaltningslovens habilitetskrav slik disse går frem av 6 er også gjengitt i sin helhet som vedlegg til retningslinjene. I tillegg er det i retningslinjene angitt eksempler på ulike interessekonflikter ansatte og folkevalgte må være bevisste på i forbindelse med vurdering av habilitet. Disse eksemplene utgjør etter revisjonen sin vurdering et nyttig verktøy som bidrar til å forenkle vurdering av egen rolle og egne interesser opp mot habilitetsreglene for ansatte og folkevalgte. Revisjonen vil likevel peke på at per i dag, er det en forutsetning for eksemplene skal bli benyttet at ansatte kjenner til de etiske retningslinjene, og at de vet hvor de kan finne disse. Som det går frem tidligere i undersøkelsen varierer det hvorvidt alle ansatte er kjent med de etiske retningslinjene og hvor disse ligger tilgjengelig. Revisjonen vil derfor understreke viktigheten av at Frogn kommune sørger for at alle ansatte gjøres tilstrekkelig kjent med dette. Videre er eksemplene på mulige interessekonflikter en som ansatt bør ta hensyn til, heller ikke inkludert i egne rutiner, veiledere eller sjekklister til aktiv bruk i forbindelse med saksbehandling mv. Som undersøkelsen tidligere har vist, er det ikke utarbeidet egne rutiner for habilitetsvurdering for ansatte i Frogn kommune. Revisjonen mener det kan være gunstig å inkludere eksemplene fra retningslinjene i eventuelle rutiner for habilitetsvurdering som blir utarbeidet. 7.4 Rutiner for å sikre at personer vurdert som inhabile ikke involveres i aktuelle saker Datagrunnlag Som det går frem av kapittel 6.3.1, er det ikke etablert egne rutiner for å gjennomføre og dokumentere habilitetsvurderinger blant ansatte i kommuneadministrasjonen. Det er heller ikke presisert i retningslinjene at medarbeidere som er erklært inhabile, ikke lenger skal involveres i saken (for eksempel i en rolle som rådgiver, der en kommer med saksopplysninger mv.). I intervju blir det imidlertid opplyst at dette i liten grad oppleves som et problem i kommunen, og at kommunen i forbindelse med behandling av saker har god kontroll med at ansatte ikke blir involvert i sakskomplekser der de tidligere har blitt vurdert som inhabile. Når det gjelder rutiner for å sikre at folkevalgte som har blitt vurdert som inhabile ikke blir involvert i samme sak dersom denne saken føres tilbake for behandling i samme utvalg på et senere tidspunkt, er det som det går frem av kapittel etablert som fast rutine at ev. inhabilitetsvurderinger føres i møteprotokoll og arkiveres i sak- og arkivsystemet. Dette medfører også at dersom en sak føres tilbake til et politisk utvalg for behandling, vil historikken i saken fremgå av saksutredningen, herunder om det er folkevalgte som har meldt inn potensiell inhabilitet i saken, samt hvordan dette har blitt vurdert av kommunestyret (eller andre politiske utvalg). 50

96 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Vurdering Undersøkelsen viser at det ikke er etablert egne rutiner for å sikre at ansatte som blir vurdert som inhabile i en sak ikke involveres i den aktuelle saken. For å redusere risikoen for at dette skjer, er det derfor revisjonens vurdering at Frogn kommune bør vurdere å utarbeide rutiner for å dokumentere og holde oversikt over gjennomførte habilitetsvurderinger, samt presisere i de etiske retningslinjene at personer som er meldt inhabile ikke skal involveres i sakene som behandles. Når det gjelder rutiner for å sikre at folkevalgte som blir vurdert som inhabile i en sak ikke involveres i den aktuelle saken, er det revisjonens vurdering at den rutinen som er etablert for å dokumentere vurderinger knyttet til habilitet i møteprotokoller, er tilstrekkelig for å fange opp og forhindre at folkevalgte som tidligere har blitt vurdert som inhabile i en sak, involveres i en eventuell ny behandling av samme sak på et senere tidspunkt. 51

97 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 8. Konklusjon og anbefalinger Forvaltningsrevisjonen viser at Frogn kommune har gjort kommunens etiske retningslinjer tilgjengelige for alle ansatte og folkevalgte, slik at disse i hovedsak er enkle å finne. Videre har kommunen etablert rutiner for både gjennomføring av habilitetsvurderinger i forbindelse med behandling av saker i politiske organer, for å dokumentere disse vurderingene i kommunens sak- og arkivsystem, og for å hindre at folkevalgte blir involvert i saker der de har blitt vurdert å være inhabile. Kommunen har også sikret at de etiske retningslinjene fanger opp i seg og ivaretar de habilitetsregler som går frem av forvaltningsloven kap. II og kommuneloven 40 nr. 3. Samtidig viser undersøkelsen at Frogn kommune ikke har satt i verk tilstrekkelig med tiltak for å sikre at alle ansatte er kjent med innholdet i de etiske retningslinjene. Det blir heller ikke gjennomført systematisk kontroll av hvorvidt det nedover i organisasjonen blir arbeidet med å informere de ansatte om retningslinjene. Av undersøkelsen går det frem at ikke alle ansatte i kommunen er kjent med verken hvor de kan finne Frogn kommunes etiske retningslinjer eller med innholdet i retningslinjene. Dette medfører etter revisjonens vurdering risiko for at ansatte ikke er tilstrekkelig kjent med hvordan de skal opptre i ulike situasjoner, eller hvilke bestemmelser som gjelder for de ansatte i Frogn kommune med hensyn til etisk adferd. Undersøkelsen viser også at det er forbedringspotensial i informasjonsarbeidet som blir gjennomført overfor de folkevalgte i kommunen med hensyn til å sikre kjennskap til de etiske retningslinjene. Videre går det frem av forvaltningsrevisjonen ikke alle ansatte i Frogn kommune er kjent med i hvilke situasjoner de skal vurdere egen habilitet, eller med de bestemmelser som gjelder habilitet i forvaltningsloven. Revisjonen mener at manglende kjennskap til gjeldende regelverk om habilitet, hvilke situasjoner man skal vurdere egen habilitet i, samt hvilke vurderinger som skal gjøres av habilitet når dette er relevant, medfører risiko for manglende etterleving av og brudd på de bestemmelser som går frem av forvaltningsloven 6 om habilitet, samt Frogn kommunes etiske retningslinjer. Det er i varierende grad etablert felles rutiner eller prosedyrer til bruk for å sikre etterleving av etiske retningslinjer og rettsregler knyttet til habilitet. Utarbeidelse av rutiner for etterleving av ulike bestemmelser i de etiske retningslinjene, samt habilitetsregelverk, er i stor grad opp til den enkelte enhet. Det utføres ikke noen kontroll av om det er etablert rutiner for etterleving av retningslinjer og habilitetsregelverk i de deler av organisasjonen der dette vil være relevant. Revisjonen vil peke på at skriftlige rutiner er et viktig verktøy for å sikre kvalitet i tjenesteutøvelsen og ved gjennomføring av arbeidsoppgaver, og for å redusere risikoen for feil og mangler, herunder risikoen for manglende etterleving av etiske retningslinjer. Det er derfor viktig at Frogn kommune vurderer behovet for rutiner for etterleving av etiske retningslinjer, og sikrer at det blir etablert tilstrekkelig med rutiner som bidrar til etterleving av etiske retningslinjer og habilitetsregelverk. Kommunen har et elektronisk avviksmeldingssystem, men det er ikke tydeliggjort i systemet at dette også skal benyttes til innmelding av avvik knyttet til manglende etterleving av etiske retningslinjer. I kommunen blir det i liten grad meldt avvik knyttet til brudd på de etiske retningslinjene. Systematisk kontroll og oppfølging er et viktig prinsipp for å sikre at den kommunale virksomheten når sine mål, herunder etterleving av etiske retningslinjer. Revisjonen mener derfor at Frogn kommune, for å bidra til å sikre at etiske retningslinjer etterleves, bør styrke og formalisere kontrollen av at det i de ulike enhetene blir arbeidet med etterleving av etiske retningslinjer, gjennom for eksempel å etterspørre og innhente rapportering fra enhetene om arbeid med å informere om etiske retningslinjer, tiltak for å sikre at de etterleves mv. Undersøkelsen som er gjennomført viser at det i løpet av de siste årene har forekommet brudd på bestemmelser i kommunens etiske retningslinjer knyttet til behandling av informasjon/taushetsplikt i forbindelse med håndtering av taushetsbelagte opplysninger. Videre går det frem av data fra både revisjonens spørreundersøkelse og KS lokaldemokratiundersøkelse at ansatte og folkevalgte i Frogn kommune opplever at etiske retningslinjer ikke alltid etterleves og at det blir opplevd å forekomme brudd på bestemmelser i retningslinjene. 52

98 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Frogn kommune gjennomfører ikke systematiske risiko- og sårbarhetsanalyser knyttet til hvor og når det i den kommunale forvaltningen kan inntreffe brudd på etiske retningslinjer. Revisjonen mener at gjennomføring av risikoanalyser er et sentralt element for å sikre god internkontroll, blant annet når det gjelder å finne frem til aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse eller manglende etterleving av rutiner og regelverk. For å skaffe til veie tilstrekkelig oversikt over hvor og når det kan være risiko for brudd på etiske retningslinjer, bør Frogn kommune sikre at det blir gjennomført systematiske kartlegginger og analyser av hvor i virksomheten det foreligger risiko for at de etiske retningslinjene ikke etterleves, samt når dette kan inntreffe. Dette vil etter revisjonens vurdering bidra til en tilfredsstillende internkontroll, i samsvar med krav i kommuneloven 23 om betryggende kontroll og god praksis på området. Utover at de gjennom de etiske retningslinjene er stilt krav til ansatte og folkevalgte om gjennomføring av habilitetsvurderinger, er det ikke etablert egne rutiner for vurdering av habilitet som ansatte i Frogn kommune kan benytte seg av i forbindelse med saksbehandling, vedtak om tildeling av tjenester mv. Dette øker etter revisjonens mening risikoen for at habilitetsvurderinger ikke blir gjennomført i alle saker der dette er relevant. Det er heller ikke etablert egne rutiner for å dokumentere at det er gjennomført habilitetsvurderinger for ansatte. Basert på det som kommer frem i undersøkelsen anbefaler revisjonen at Frogn kommune setter i verk følgende tiltak: 1. Systematiserer arbeidet med å informere ansatte om kommunens etiske retningslinjer, og sikrer at alle ansatte er kjent med innholdet i disse og hvordan de skal benyttes. 2. Iverksetter tiltak for å sikre at ansatte er kjent bestemmelser knyttet til habilitet, og sikrer tilstrekkelig kunnskap om når habilitetsregelverk kommer til anvendelse. 3. Vurderer behovet for å iverksette ytterligere informasjonstiltak overfor de folkevalgte, for å sikre at alle folkevalgte er tilstrekkelig kjent med: a. b. c. relevante bestemmelser i etiske retningslinjer, gjeldende habilitetsregler, og de folkevalgtes egenansvar for etterleving av etiske retningslinjer og habilitetsbestemmelser i lovverket. 4. Identifisere behov (basert på en risikovurdering) for å utarbeide rutiner som kan sikre etterleving av Frogn kommunes etiske retningslinjer. 5. Styrker kontrollen av at det på enhetsnivå i kommunen arbeides med etterleving av etiske retningslinjer, gjennom for eksempel mer spesifisert rapportering. 6. Legger til rette i større grad for melding av avvik knyttet til manglende etterleving av etiske retningslinjer, og tydeliggjør overfor ansatte at avvik knyttet til ev. brudd på etiske retningslinjer skal meldes. 7. Gjennomfører systematiske kartlegginger og analyser av hvor i virksomheten det foreligger risiko for at etiske retningslinjer ikke etterleves. 8. Vurderer å utarbeide skriftlige rutiner: a. b. til bruk for ansatte i forbindelse med gjennomføring av habilitetsvurderinger. for å dokumentere og holde oversikt over gjennomførte habilitetsvurderinger. 53

99 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Vedlegg 1: Høringsuttalelse 54

100 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet 55

101 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Vedlegg 2: Revisjonskriterier Lov og forskrift Kommuneloven I kommuneloven 23 framgår følgende krav til administrasjonssjefen: 2. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I Ot.prp.nr.70 ( )20 står følgende kommentar til kravet om betryggende kontroll i kommuneloven 23: Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som blant annet skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. I Ot.prp.nr.70 ( ) blir det videre vist til at internkontroll først og fremst er et ledelsesverktøy, og ( ) er en integrert del av ledelsens styring av organisasjonen. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Det er flere anerkjente rammeverk som beskriver grunnprinsipp for god internkontroll. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen.21 Hovedelementene i COSO-modellen er felles for flere av de ulike rammeverkene for internkontroll. De viktigste elementene er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsesoppfølging Av kommunelovens 40 nr. 3 går videre følgende frem om habilitet: «Om inhabilitet gjelder reglene i forvaltningsloven kap. II, med følgende særregler: a. Inhabilitet inntrer ikke ved valg til offentlige tillitsverv eller ved fastsetting av godtgjøring o.l. for slike verv. b. Kommunalt og fylkeskommunalt ansatte som i denne egenskap har medvirket ved tilretteleggelsen av grunnlaget for en avgjørelse, eller ved tidligere avgjørelse i samme sak, skal alltid anses som inhabile når saken behandles i folkevalgt organ. Ved behandling av Ot.prp.nr.70 ( ). Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon). 21 COSO: Internal Control Integrated Framework (2013)

102 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet årsbudsjett, økonomiplan, kommuneplan, regional planstrategi og regional plan gjelder ikke første punktum. c. Ved behandling av klager etter forvaltningsloven 28 annet ledd er ansatte eller folkevalgte som var med på å treffe det påklagede vedtak, eller som medvirket ved tilretteleggelsen av grunnlaget for dette, inhabile ved klageinstansens behandling av saken og ved tilretteleggelsen av saken for klageinstansen. Er en overordnet ansatt inhabil i en sak, kan direkte underordnet ansatt ikke delta ved klageinstansens behandling av saken, eller ved tilretteleggelsen av saken for klageinstansen.» Forvaltningsloven Forvaltningslovens kap. II tar for seg habilitet i forvaltningen. Habilitetskravene fremgår av 6 i forvaltningsloven: «En offentlig tjenestemann er ugild til å tilrettelegge grunnlaget for en avgjørelse eller til å treffe avgjørelse i en forvaltningssak a) når han selv er part i saken; b) når han er i slekt eller svogerskap med en part i opp- eller nedstigende linje eller i sidelinje så nær som søsken; c) når han er eller har vært gift med eller er forlovet med eller er fosterfar, fostermor eller fosterbarn til en part; d) når han er verge eller fullmektig for en part i saken eller har vært verge eller fullmektig for en part etter at saken begynte; e) når han leder eller har ledende stilling i, eller er medlem av styret eller bedriftsforsamling for, et selskap som er part i saken og ikke helt ut eies av stat eller kommune, et samvirkeforetak, eller en forening, sparebank eller stiftelse som er part i saken. Likeså er han ugild når andre særegne forhold foreligger som er egnet til å svekke tilliten til hans upartiskhet; blant annet skal legges vekt på om avgjørelsen i saken kan innebære særlig fordel, tap eller ulempe for ham selv eller noen som han har nær personlig tilknytning til. Det skal også legges vekt på om ugildhetsinnsigelse er reist av en part. Er den overordnede tjenestemann ugild, kan avgjørelse i saken heller ikke treffes av en direkte underordnet tjenestemann i samme forvaltningsorgan. Ugildhetsreglene får ikke anvendelse dersom det er åpenbart at tjenestemannens tilknytning til saken eller partene ikke vil kunne påvirke hans standpunkt og verken offentlige eller private interesser tilsier at han viker sete. ( ).» I forvaltningsloven går det videre fram at en tjenestemann i noen tilfeller likevel kan ta foreløpige beslutninger i en sak, selv om han er inhabil, jf. 7 om foreløpige avgjørelser: «Uansett om en tjenestemann er ugild, kan han behandle eller treffe foreløpig avgjørelse i en sak dersom utsettelse ikke kan skje uten vesentlig ulempe eller skadevirkning.» Når det gjelder avgjørelse av habilitetsspørsmålet går dette fram av 8 i forvaltningsloven: «8. (avgjørelse av habilitetsspørsmålet). Tjenestemannen avgjør selv om han er ugild. Dersom en part krever det og det kan gjøres uten vesentlig tidsspille, eller tjenestemannen ellers selv finner grunn til det, skal han forelegge spørsmålet for sin nærmeste overordnede til avgjørelse. I kollegiale organ treffes avgjørelsen av organet selv, uten at vedkommende medlem deltar. Dersom det i en og samme sak oppstår spørsmål om ugildhet for flere medlemmer, kan ingen av dem delta ved avgjørelsen av sin egen eller et annet medlems habilitet, med mindre organet ellers ikke ville være vedtaksført i spørsmålet. I sistnevnte tilfelle skal alle møtende medlemmer delta. 57

103 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Medlem skal i god tid si fra om forhold som gjør eller kan gjøre ham ugild. Før spørsmålet avgjøres, bør varamann eller annen stedfortreder innkalles til å møte og delta ved avgjørelsen dersom det kan gjøres uten vesentlig tidsspille eller kostnad.» I følge 10 i forvaltningsloven gjelder habilitetsbestemmelsene for offentlig tjenestemann og enhver annen som utfører tjenester eller arbeid for et forvaltningsorgan. Etiske retningslinjer for ansatte og folkevalgte i Frogn kommune Frogn kommune vedtok i 2007 felles etiske retningslinjer for ansatte og folkevalgte i kommunen.22 Retningslinjene ble sist revidert i 2015, gjennom vedtak i kommunestyret. 23 I retningslinjenes innledende bestemmelser går det frem at: «Ansatte og folkevalgte i Frogn kommune skal følge både allmennetiske og forvaltningsetiske verdier og normer. De skal ikke la egne interesser påvirke saksbehandlingen, beslutninger eller arbeidet for øvrig. Kommunens verdier; respekt, engasjement, profesjonell og raushet skal ligge til grunn for arbeidet i Frogn kommune.» «Ledere på alle nivåer har et særlig ansvar for å tydeliggjøre og skape aksept for etisk forsvarlig atferd.» Av pkt. 1 i retningslinjene går det frem at det stilles høye krav til ansattes holdninger i deres arbeid i Frogn kommune, og at kommunen legger stor vekt på ærlighet, åpenhet og redelighet i all sin virksomhet. Ansatte i Frogn kommune plikter å ta hensyn til innbyggernes interesser, tilstrebe likebehandling og opptre med respekt overfor det enkelte individ. I retningslinjenes pkt. 2 går det frem at ansatte plikter å utføre sine oppgaver på en forsvarlig måte som ikke skader kommunens omdømme, mens det i pkt. 3 vises til at alle ansatte plikter å overholde de lover, forskrifter og reglementer som gjelder for kommunens virksomhet, herunder også politiske og administrative vedtak. Av retningslinjenes pkt. 5 går det frem at ansatte i kommunen har rapporteringsplikt, og at man som ansatt i Frogn kommune plikter å melde fra til arbeidsgiver og eventuelt tillitsvalgt/vernetjeneste dersom man blir kjent med forhold som kan påføre arbeidsgiver, ansatte eller omgivelser tap eller skade. I pkt. 7 er det opplyst om ansattes rett til å varsle om kritikkverdige forhold, jf. arbeidsmiljøloven 2-4. I retningslinjenes pkt. 8 angis bestemmelser for habilitet og interessekonflikter for ansatte og folkevalgte i Frogn kommune. Her går det frem at kommunen skal følge de bestemmelser som går frem av forvaltningslovens kapittel 2 og kommuneloven 40 nr. 3, og at saksbehandlere og folkevalgte må gjøre seg kjent med disse bestemmelsene. I pkt. 9 og 10 er det videre gått gjennom hvordan ansatte og folkevalgte i kommunen skal forholde seg til mottak av gaver og andre fordeler, samt hvilke prinsipper som gjelder for representasjon og reiser i kommunen. Frogn kommune: Etiske retningslinjer for ansatte og folkevalgte i Frogn kommune. Vedtatt i kommunestyret i sak 83/ Sak 106/

104 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Vedlegg 3: Sentrale dokumenter og litteratur Regelverk med forarbeider Kommunal- og moderniseringsdepartementet, Lov om kommuner og fylkeskommuner (kommuneloven). LOV Kommunal- og regionaldepartementet, Ot.prp. nr. 70 ( ), Om lov om endringer i lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner m.m. (kommunal revisjon). Justis- og beredskapsdepartementet: Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven). LOV Dokumenter fra Frogn kommune Frogn kommune, Etiske retningslinjer for ansatte og folkevalgte i Frogn kommune. Frogn kommune, Organisasjonskart. Frogn kommune, Delegeringsreglement. Frogn kommune, Reglement for folkevalgte organer. Frogn kommune, Beskrivelse av kvalitetssystem. Frogn kommune, Prosedyre for avviksmelding. Frogn kommune, Prosedyre for avviksbehandling. Frogn kommune, Arbeidsgiverstrategi Frogn kommune. Mal for lederavtale. 59

105 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet - 17/ Forvaltningsrevisjonsrapport - Etikk og habilitet : Frogn - forvaltningsrevisjon - Etikk og habilitet Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ("DTTL"), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as "Deloitte Global") does not provide services to clients. Please see for a more detailed description of DTTL and its member firms. Deloitte Norway conducts business through two legally separate and independent limited liability companies; Deloitte AS, providing audit, consulting, financial advisory and risk management services, and Deloitte Advokatfirma AS, providing tax and legal services. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500 companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients most complex business challenges. To learn more about how Deloitte s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter Deloitte AS 60

106 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Tema forvaltningsrevisjon 2018 KONTROLLUTVALGET I FROGN Sak 3/18 Tema forvaltningsrevisjon 2018 Saksbehandler: Lene H. Lilleheier Behandlingsrekkefølge Frogn kontrollutvalg Saksnr.: 18/ Møtedato Sekretariatets innstilling: Kontrollutvalget vil gjennomføre forvaltningsrevisjoner innen følgende områder i Tema: 2. Tema:. Utvalget ber sekretariatet utarbeide forslag til mål og problemstillinger for prosjektene. SAKSUTREDNING: Kommunestyrets vedtak om plan for forvaltningsrevisjon er rammen for kontrollutvalgets valg av tema for forvaltningsrevisjon. Kommunestyret ga kontrollutvalget fullmakt til å foreta endringer av temaene i planperioden. Kontrollutvalget innstilte i sak 23/17 om budsjett for kontroll og tilsyn i 2018 der det ble avsatt kr ,- inkl. mva til gjennomføring av to forvaltningsrevisjonsprosjekter. Så langt sekretariatet kan se ble det ikke gjort endringer i innstillingen fra kontrollutvalget da kommunestyret vedtok budsjett for 2018 i 18. desember Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no

107 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Tema forvaltningsrevisjon 2018 Følgende områder er prioritert i plan for forvaltningsrevisjon: Prosjekt Aktuelle tema Forvaltningsrevisjon av etikk og habilitet - Habilitet i saksbehandling - Oppfølging etiske retningslinjer - Forebygging av misligheter - varslingsrutiner Forvaltningsrevisjon IKT Forvaltningsrevisjon - Helse og omsorg Forvaltningsrevisjon - Rus og psykiatri Forvaltningsrevisjon Tidlig innsats og forebygging oppvekst Forvaltningsrevisjon - Selvkost ForvaltningsrevisjonInvesteringsbeslutninger/ Prosjektstyring - plan og strategi for investeringer og etterlevelse av disse. - oppfølging av handlingsprogram - system og rutiner for å redusere/forhindre IKT risikoer - opplæring og kompetanse - drift og vedlikehold - beredskap for gjenopprettelse av systemene ved uforutsette hendelser - Saksbehandling og vedtaksoppfølging - Individuelle planer - Bemanning - kompetanse - regeletterlevelse - kapasitet - Organisering - system og rutiner - samarbeid mellom enheter -samarbeid mellom enhetene -forebygging -tidlig innsats -ressursbruk - regeletterlevelse - selvkostberegninger - system og rutiner - beslutningsgrunnlag - kvalitetssikring - oppfølging - regeletterlevelse - oppfølging forvaltningsrevisjon fra 2013 Side 2 av 3

108 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Tema forvaltningsrevisjon Oppfølging av planer Forvaltningsrevisjon - Oppfølging - realisering av mål og strategier av kommunale planer - System og rutiner Forvaltningsrevisjon av et kommunalt selskap - Måloppfyllelse - Effektivitet - økonomistyring (jf. plan for selskapskontroll) Temaene «Etikk og habilitet» og «IKT» ble valgt som tema for forvaltningsrevisjon i På grunnlag av utvalgets valg av områder/tema vil sekretariatet til neste møte foreslå mål og problemstillinger for prosjektene. Deretter settes prosjektet ut på anbud. Ås, 15. januar 2018 Lene H. Lilleheier/s./ rådgiver 1. Plan for forvaltningsrevisjon Overordnet analyse forvaltningsrevisjon Side 3 av 3

109 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Plan forvaltningsrevisjon Frogn kommune PLAN FOR GJENNOMFØRING AV FORVALTNINGSREVISJON Frogn kommune Vedtatt av kommunestyret sak 151/16 1

110 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Plan forvaltningsrevisjon Frogn kommune Plan for forvaltningsrevisjon i Frogn kommune Bakgrunn Kommunelovens 77 bestemmer at kontrollutvalget skal påse at det blir gjennomført systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra kommunestyrets vedtak og forutsetninger (forvaltningsrevisjon). I henhold til 78 i loven skal forvaltningsrevisjonen i kommunen gjøres årlig. I forskriften går det fram ( 10) at kontrollutvalget skal utarbeide en plan for gjennomføring av forvaltningsrevisjon. Forvaltningsrevisjonsarbeidet har etter hvert blitt en sentral del av kontroll- og tilsynsarbeidet i kommunal sektor og det er derfor viktig at kontrollutvalget og kommunestyret bruker plan for forvaltningsrevisjon som et redskap for å utøve en mest mulig målrettet og effektiv tilsynsfunksjon i kommunen. Kontrollutvalget vil ha planen til løpende vurdering og ber om fullmakt til å gjøre endringer i planen, dersom dette blir ønskelig. Innholdet i plan for forvaltningsrevisjon Forskrift om kontrollutvalg, 10 pålegger kontrollutvalget å utarbeide en plan for forvaltningsrevisjon for hver kommunestyreperiode basert på en overordnet analyse av kommunens virksomhet. Planen skal utarbeides minst en gang i valgperioden, og senest innen utgangen av året etter at kommunestyret er konstituert. Planen skal vedtas av kommunestyret. Planen skal bygge på en overordnet analyse av kommunens virksomhet ut fra risikoog vesentlighetsvurderinger. «Risiko- og vesentlighetsvurderinger» betyr at det skal gjøres vurderinger av hvilke områder av kommunens virksomhet det er risiko for vesentlige avvik i forhold til vedtak og mål som er satt. Formålet med forvaltningsrevisjon Formålet med gjennomføring av forvaltningsrevisjon er å bidra til at kommunen driver sin virksomhet etter gjeldende lover og bestemmelser og oppnår de målene som kommunen har satt for sin virksomhet i vedtatte planer, budsjett, årsmeldinger og øvrige politiske vedtak. Foruten å være en viktig del av kontroll- og tilsynsarbeidet bidrar forvaltningsrevisjon til: - forbedringer i kommunen. - læring blant medarbeiderne. - diskusjon blant de folkevalgte og i administrasjonen 2

111 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Plan forvaltningsrevisjon Frogn kommune Gjennomføring og rapportering av forvaltningsrevisjonen Gjennomføring Etter at kommunestyret har vedtatt plan for forvaltningsrevisjon, vil kontrollutvalget bestille forvaltningsrevisjon. Kontrollutvalget vedtar problemstillinger og prosjektplan. Rapportering Rapport og resultater fra det enkelte forvaltningsrevisjonsprosjekt legges fortløpende frem for kommunestyret. Kontrollutvalget påser deretter at kommunestyrets vedtak om hver rapport blir fulgt opp og rapporterer tilbake til kommunestyret om oppfølgingen. Forvaltningsrevisjon i forrige planperiode ( ): Psykisk helsevern for unge Forvaltningsrevisjon av Follo Ren IKS Samhandlingsreformen Vann og avløp Barnevern Beredskap PPT Oppfølging av vedtak Prioriteringer i denne planperioden Generelt Kontrollutvalget har bestilt en overordnet analyse fra KPMG som grunnlag for utarbeiding av planen, jf. vedlegg. Analysen er drøftet i kontrollutvalget og danner et viktig grunnlag for utvalgets forslag til plan for Overordnet analyse er basert på innsamlet skriftlig informasjon og statistikk for kommunen og et felles arbeidsmøte for kontrollutvalget, politiske gruppeledere samt rådmannen og hans stab. Kontrollutvalget har med utgangspunkt i denne analysen prioritert tema for forvaltningsrevisjon Ved en konkret utvelgelse av prosjekter vurderes nytteverdien i forhold til forventet ressursbruk for å gjennomføre prosjektet. Kontrollutvalget velger prosjekt for det enkelte år. Erfaringene viser at det ofte vil dukke opp aktuelle saker som gjør at det må gjøres omprioriteringer. Prioriteringen er ikke til hinder for at kontrollutvalget også kan finne det aktuelt å gjennomføre forvaltningsrevisjon innenfor andre tjenesteområder eller med et annet innhold. 3

112 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Plan forvaltningsrevisjon Frogn kommune Selskapskontroll Kommunen er pålagt å føre tilsyn med selskapene kommunen har eierinteresser i. Kontrollutvalget har bestilt en overordnet analyse for selskapskontroll av FIKS. Selskapskontrollen har en obligatorisk del i form av eierskapskontroll og forvaltningsrevisjon som er frivillig. Kontrollutvalget foreslår at det gjennomføres minst en forvaltningsrevisjon av selskapene som er aktuelle i løpet av planperioden. Denne revisjonen vil bli forsøkt samordnet med de andre eierne av de aktuelle selskapene. Følgende selskap er aktuelle for slik kontroll, jf. Kommuneloven 80: Drøbak vaskeri AS Alarmsentralen brann øst AS Follo Brannvesen IKS Follo Krise- og Incestsenter IKS Follo Ren IKS Follo lokalmedisinske senter IKS Follo kvalifiseringssenter IKS Prioritering av forvaltningsrevisjoner I oversikten nedenfor følger prosjektene kontrollutvalget har prioritert i tråd med risiko- og vesentlighetsanalysen. Forvaltningsrevisjonsprosjektene blir årlig konkurranseutsatt. Tilskuddene til forvaltningsrevisjon har fra 2012 gitt to prosjekter per år. Vi legger til grunn for planen at denne ordningen videreføres. Under hvert prosjekt er det foreslått relevante tema i samsvar med den gjennomførte analysen. Endelig utforming av problemstillinger gjøres årlig når det enkelte forvaltningsrevisjonsprosjekt blir bestilt. Følgende prosjekter prioriteres for Frogn kommune i perioden : Prosjekt Aktuelle tema Forvaltningsrevisjon av etikk og habilitet - Habilitet i saksbehandling - Oppfølging etiske retningslinjer - Forebygging av misligheter - varslingsrutiner Forvaltningsrevisjon IKT - plan og strategi for investeringer og etterlevelse av disse. - oppfølging av handlingsprogram - system og rutiner for å redusere/forhindre IKT risikoer - opplæring og kompetanse - drift og vedlikehold - beredskap for gjenopprettelse av systemene ved uforutsette hendelser 4

113 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Plan forvaltningsrevisjon Frogn kommune Forvaltningsrevisjon - Helse og omsorg - Saksbehandling og vedtaksoppfølging - Individuelle planer - Bemanning - kompetanse - regeletterlevelse Forvaltningsrevisjon - Rus og psykiatri - kapasitet - Organisering - system og rutiner - samarbeid mellom enheter Forvaltningsrevisjon Tidlig innsats og forebygging oppvekst -samarbeid mellom enhetene -forebygging -tidlig innsats -ressursbruk Forvaltningsrevisjon - Selvkost - regeletterlevelse - selvkostberegninger - system og rutiner ForvaltningsrevisjonInvesteringsbeslutninger/ Prosjektstyring - beslutningsgrunnlag - kvalitetssikring - oppfølging - regeletterlevelse - oppfølging forvaltningsrevisjon fra Oppfølging av planer Forvaltningsrevisjon - Oppfølging - realisering av mål og strategier av kommunale planer - System og rutiner Forvaltningsrevisjon av et kommunalt selskap - Måloppfyllelse - Effektivitet - økonomistyring (jf. plan for selskapskontroll) Prioriteringen er ikke til hinder for at kontrollutvalget kan finne det aktuelt å gjennomføre forvaltningsrevisjon innenfor andre tjenesteområder eller med et annet innhold. Vedlegg: Overordnet analyse for forvaltningsrevisjon fra KPMG mai

114 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Overordnet analyse Frogn kommune Mai

115 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Innhold 1 Bakgrunn og formål Bakgrunn Formål 2 2 Fremgangsmåte og involvering Innsamling av data og metode 3 3 Analyse Generell drift Regulatoriske risikoer Økonomi Mål, strategi og vedtak 10 Vedlegg 1 Identifisering og vurdering av risikoområder FROGN KOMMUNE, OVERORDNET ANALYSE 11 1

116 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf 1 Bakgrunn og formål 1.1 Bakgrunn Etter 10 i forskrift om kontrollutvalg, skal kontrollutvalget utarbeidet plan for forvaltningsrevisjon. Planen skal være basert på en overordnet analyse av kommunen. Kontrollutvalget i Frogn kommune har fra KPMG bestilt en overordnet analyse som grunnlag for plan for forvaltningsrevisjon, som skal gjelde i perioden Formål Formålet med den overordnete analysen er å identifisere mulige områder/tema for forvaltningsrevisjon i fireårsperioden For å utarbeide planen har KPMG gjennomført en overordnet analyse av risiko og vesentlighet. Analysen gir grunnlag for å prioritere områder i kommunal virksomhet som kan være gjenstand for forvaltningsrevisjon de neste årene. Denne overordnede analysen vil med andre ord presentere identifiserte områder i den kommunale virksomheten hvor risikoen for feil/mangler er til stede. Analysen danner grunnlaget for kontrollutvalgets prioritering av områder som kan være gjenstand for forvaltningsrevisjon i planperioden. FROGN KOMMUNE, OVERORDNET ANALYSE 2

117 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf 2 Fremgangsmåte og involvering Kapittel 2 gir en oversikt over metoden som er brukt for å samle inn data, teoretisk fundament og vesentlige hensyn som er blitt benyttet i risikovurderingen. 2.1 Innsamling av data og metode I arbeidet med analysen har KPMG vektlagt analyser knyttet til risiko for manglende kontroll med vesentlige sider ved virksomheten og tjenestene. Av den grunn har vi fokusert på å gjennomføre analyser med utspring i risiko og vesentlighet. Den overordnede analysen er fundamentet for de områdene kontrollutvalget og kommunestyret prioriterer for forvaltningsrevisjon. I så måte har det vært særlig viktig å identifisere områder som har en iboende risiko, vesentlig grad av uønskede konsekvenser dersom risiko inntreffer, og som det potensielt vil være nyttig å gjennomføre revisjon på; nyttig sett fra et politisk ståsted, fra administrasjonens ståsted og nyttig sett ut i fra et brukerperspektiv til kommunen. Dette innebærer at vi i arbeidet har tatt høyde for områder hvor revisjon kan ha verdi for kommunen i et forbedrings- og læreøyemed, og hvor revisjon kan ha forebyggende karakter. Det vil si at et revisjonsprosjekt ikke bare ser tilbake på hva som har skjedd, men at man kan gå inn på pågående prosjekter og prosesser hvor revisjonen kan være fundament for korrigerende grep. Av den grunn har vi gjennomført en prosess som innebærer et samspill med ulike deler av kommunen; administrasjon og politikere fra hhv. kontrollutvalg og kommunestyret. Dette har vært viktig for å kunne finne de "rette" områder og risikoer for revisjon. Arbeidet har vært delt i tre hovedbolker: Kartlegge og forstå kommunen Arbeidsmøte med kommunen for å etablere og verifisere mulige områder for forvaltningsrevisjon Dokumentere analyse Metode For gjennomføring av analysen har følgende teknikker blitt brukt for å samle inn data: Dokumentanalyse: KPMG har innhentet og gjennomgått dokumentasjon fra kommunen, blant annet årsmelding og økonomiplan, tidligere revisjoner, KOSTRA-statistikk, kommuneplan og årsbudsjett. Arbeidsmøte: Felles arbeidsmøte for kontrollutvalget, politiske gruppeledere, rådmannen og rådmannens stab. FROGN KOMMUNE, OVERORDNET ANALYSE 3

118 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Illustrert har prosessen vært slik: 1 Bestilling og innspill fra kontrollutvalget 2 Gjennomgang av eksisterande overordna analyser og planer; fokus på gjennomførte revisjoner og kontroller 3 Gjennomgang av relevante dokument; bla. årsmelding, kommuneplan, årsbudsjett med kommentarer, saker i kontrollutvalget, KOSTRA statistikk, fylkesmannens tilsyn, kommunestyrevedtak 4 Arbeidsmøte med adminstrasjon (stab og enhetsledere), tillitsvalgte/hovedverneombud, politiske gruppeledere og kontrollutvalg Oppsummering av resultat og utarbeiding av overordnet analyse. Oversendt til kontrollutvalget KPMG dokumenterer endelig overordnet analyse i samsvar med føringer/innspill fra kontrollutvalet og ovesender til kontrollutvalget etter møte Teoretisk fundament og vesentlige hensyn Arbeidet har fulgt en modell som er teoretisk forankret i statsvitenskap, organisasjonsteori og COSO ERM1 og den tar utgangspunkt i kommunal virksomhet og tjenestetilbud. Skjematisk vil valg av forvaltningsrevisjonsprosjekt bli et resultat av vurderinger knyttet til vesentlighet og risiko ved virksomhet og tjenestetilbud - vurderinger som "siler" ut prosjekt i 4 overordnede steg. Dette kan illustreres slik 2: Overordnede vurderinger av risiko- og vesentlighet Risikovurdering av vesentlige område Prioritering av risikoområde Valg av prosjekt 1 The Committee of Sponsoring Organizations of the Treadway Commission. ERM Enterprise Risk Management. Dette er en internasjonalt innarbeid standard for beste praksis innen området internkontroll og risikohåndtering i virksomheter. 2 De to nederste grå feltene ivaretas av kontrollutvalget og bystyret. FROGN KOMMUNE, OVERORDNET ANALYSE 4

119 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf I felles arbeidsmøte ble risikoområder vurdert i forhold til sannsynlighet for at risiko inntreffer og konsekvens av risiko. For konsekvensvurderinger ble følgende "hjelpekriterier" benyttet: Liv og helse Sikring av verdier Brukerrettighet - oppfylling og kvalitet Kostnadseffektivitet/produktivitet Politisk aktualitet Analysen av identifiserte områder og risiko er kategorisert i følgende matrise: Den videre prosessen innebærer at kontrollutvalget prioriterer identifiserte områder/risikoer og utformer plan for forvaltningsrevisjon. Planen vedtas i kommunestyret og kontrollutvalget velger/bestiller enkeltstående revisjoner. Det er også ved bestilling av enkeltstående revisjoner at området/risikoen spisses og operasjonaliseres i forhold til hva og hvordan revisjonen skal innrettes. Med andre ord, den overordnede analysen identifiserer først og fremst områdene for forvaltningsrevisjon, mens en ved bestillingen av enkeltstående prosjektet spisser og operasjonaliserer hvilke temaer som skal bli gjenstand for revisjon. FROGN KOMMUNE, OVERORDNET ANALYSE 5

120 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf 3 Analyse Nedenfor presenteres områder/risikoer som er vurdert som særlig relevante for revisjon; det vil si områder/risikoer som er kategorisert med betydelig konsekvens og betydelig grad av sannsynlighet. I vedlegg er alle identifiserte og vurderte områder/risikoer presentert. Områdene nedenfor blir presentert i fire ulike bolker: Generell drift Regulatoriske risikoer Økonomiske risikoer Mål, strategi og vedtak Både sannsynlighet og konsekvens er gitt en farge, hvor rød indikerer høy sannsynlighet / alvorlig konsekvens, gul indikerer middels, og grønn indikerer lav sannsynlighet / liten konsekvens. De største risikoområdene som ble identifisert er presentert i tabellen nedenfor. Under tabellen presenterer vi deretter vurderingene som ligger bak de prioriterte risikoområdene. Sortert ut ifra score/vurdering, ser tabellen i uprioritert rekkefølge slik ut: Risikoområde Hvor i kommunen Etikk Hele IKT Hele, IKT og service Helse, omsorg og velferd Helse, omsorg og velferd Oppvekst / barnevern Helse og omsorg Rus og psyk Tidlig innsats og forebygging Personopplysninger Selvkost Sanns. Hele Sentraladm. Teknisk Investeringsbeslutninger/ prosjektstyring Hele, særlig økonomi/ teknisk Reduksjon i fremtidig inntektsgrunnlag Hele Oppfølging av kommunale planer Hele Bemanning og kompetansestyring Hele FROGN KOMMUNE, OVERORDNET ANALYSE 6 Kons.

121 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Generell drift Etikk og habilitet Kommunen har som mål å ha et felles verdigrunnlag og å ha en høy etisk standard og en organisasjonskultur basert på felles utviklende holdninger og verdier. Kommunen har blant annet utarbeidet etiske retningslinjer som sist ble revidert i I arbeidsmøtet ble risiko for tap som følge av interne og/ eller eksterne misligheter diskutert, og det som ble drøftet var hvordan de etiske retningslinjene blir fulgt opp ute i enhetene og hvordan det jobbes med å forhindre at misligheter oppstår. Dette gjelder både i administrasjonen, i samspillet mellom politikk og administrasjon og hos eksterne samarbeidspartnere. En forvaltningsrevisjon kan eksempelvis undersøke hvordan kommunen praktiserer kravene om habilitet i saksbehandling. Revisjonen kan også kartlegge hvorvidt kommunens etiske retningslinjer er kjent blant de ansatte, i hvilke grad de følges opp og hvilket system kommunen har for ansatte som vil melde ifra om brudd på lovkrav og regler knyttet til etikk og habilitet. En revisjon kan også undersøkes i hvilke grad oppgave- og ansvarsfordelingen mellom administrativt og politisk nivå er formalisert - og hvordan kommunen jobber med å forebygger risikoer knyttet til habilitet og misligheter IKT I arbeidsmøtet ble utfordringer innenfor IKT-område pekt på som et særlig kritisk risikoområde i kommunen. Det ble pekt på at IKT-området ikke fungerer optimalt, blant annet på grunn av at det ikke er tilstrekkelig utviklet, og det preges av sårbarhet blant annet på grunn av nødvending vedlikehold, nedetid, og reparasjoner av utstyr. Risikoer knyttet til informasjonssikkerhet og tilgangskontroll ble også trukket frem. Innenfor IKT- området er det en generell risiko at det er et økende trusselbilde mot digitale tjenester, noe som fordrer bedre sikkerhetsmekanismer hos kommunen. Det er viktig med en tydelig strategi og bevisstgjøring knyttet til forandring i arbeidsprosessene. Konsekvensen av å ha et IKT-systemer som ikke er pålitelig, kan potensielt sett være store. I helse- og omsorgssektoren blir velferdsteknologi en stadig større del av hverdagen, og det kan i verste fall stå om liv og helse. Andre konsekvenser er tapt verdiskapning og økte kostnader som følge av nedetid og stopp i produksjon, samt negativt omdømme. I handlingsprogrammet for inneværende periode ( ) presenterer kommunen sin digitaliseringsstrategi (første gang vedtatt i 2015). Mål og strategier er bygget opp rundt satsningsområdene i KS sin ekommunestrategi. Overordnet mål er å "levere digitale tjenester som gir innbyggerne og bidrar til en effektiv tjenesteproduksjon". Delmålene som er med på å underbygge kommunens hovedmål er som følger: Frogn kommune har et bevisst forhold til bruk av digitale kanaler, digitale selvbetjeningsløsninger som er enkle å bruke samt en effektiv og brukervennlig digital forvaltning. Frogn kommunes ledelse har IKT som en del av det strategiske planarbeidet og benytter IKT for styringsdata om økonomi, kvalitet og produktivitet. Frogn kommunes ledelse har kompetanse til å ta gode strategiske valg innen moderne digital forvaltning og de ansatte har kompetanse til å benytte mulighetene. Frogn kommune har arkiv og dokumenthåndtering hvor alle typer dokumenter behandles i henhold til lov og enkelt kan gjenfinnes. Frogn kommunes ansatte og ledelse har god kunnskap om personvern, taushetsplikt og informasjonssikkerhet og behandler personopplysninger lovlig, sikkert og forsvarlig. Frogn kommune har en sikker og stabil infrastruktur med gode fag- og støttesystemer som utveksler informasjon seg imellom og på tvers av forvaltningsnivå. Frogn kommune har elektronisk samhandling og velferdsteknologi som understøtter målet om et helhetlig pasientforløp i helse- og omsorgssektoren og bidrar til en sikrere og enklere hverdag for brukere og helsepersonell. Barnehagene og skolene i Frogn benytter gode og fleksible digitale læremidler bygget på en sikker og stabil teknisk plattform. FROGN KOMMUNE, OVERORDNET ANALYSE 7

122 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf I arbeidet med å nå målsetningene har kommunen under hvert av målene listet opp konkrete tiltak i handlingsprogrammet (kapittel 8.3) som skal gjennomføres i perioden Handlingsprogrammet er politisk behandlet og vedtatt sammen budsjettet for øvrig. Handlingsprogrammet er en del av kommunens styringssystem og det rapporteres jevnlig om fremdrift. En forvaltningsrevisjon kan for eksempel: Vurdere i hvilken grad kommunen har klare strategier og planer og knyttet til investeringer innenfor IKT-området og hvordan disse etterleves Kartlegge og vurdere i hvilke grad kommunen/ de enkelte virksomhetsområdene i praksis følger opp strategier, målsetninger og konkrete tiltak som går frem av handlingsprogrammet. Kartlegge hvilke system og rutiner kommunen har for å avdekke, redusere og forhindre potensielle IKT-risikoer, og om det er gode nok tilgangs- og endringskontroller i systemene. Gjennomgå kommunens kontroll, drift og vedlikehold av IKT-systemer Undersøke kommunens beredskapsplaner for å sikre gjenopprettelse av IKT-systemer ved uforutsette hendelser. Rutiner og praksis knyttet til opplæring og veiledning om bruk av IKT-systemer, programvarer og utstyr Helse og omsorg I kommunen er det stort fokus på å fremme et helhetlige bruker - og pasientforløp. I følge årsmeldingen for 2015 har effektiv oppgaveløsning og samhandling hatt stort fokus. Kommunen ser at samhandling, hvor brukers behov og ressurser er styrende for vår innsats, gir mer hensiktsmessige tjenester til den enkelte. Rehabiliteringsinnsatsen i brukers eget hjem har også økt. Deltagerne på arbeidsmøtet vurderte ikke sannsynligheten for lovbrudd eller mangelfullt tjenestetilbud innenfor helse- og omsorgssektoren som særlig høy, men helse og omsorg er likevel et prioritert område siden konsekvensene potensielt sett kan være svært store hvis det først oppstår feil. Kommunen satser stort på dette området og en forvaltningsrevisjon kan undersøke om alle krav blir ivaretatt og om resultatene samsvarer med ressursinnsatsen. En forvaltningsrevisjon kan også se på: Tildeling av helse- og omsorgstjenester, herunder saksbehandling og vedtaksoppfølging Om helse og omsorgstjenestene er godt dimensjonert i forhold til behov Bruk av individuelle planer Bemanning, kompetanse og rekruttering i helse- og omsorgssektoren Hvorvidt innholdet i tjenestetilbudet tilfredsstiller krav i regelverket, herunder om det foreligger hensiktsmessige rutiner, og om rutinene blir etterlevd. En forvaltningsrevisjon kan rettes mot hele helse- og omsorgstjenesten i kommunen, eller den kan spisses mot enkelte tjenester og brukergrupper Rus og psykiatri Manglende samsvar mellom kvalitet, tjenestetilbud og behov innenfor rus og psykiatritjenestene var et av de områdene som det ble vurdert å være høyest risiko knyttet til. I kommunen ser man en økning i antall personer med psykiske lidelser. Konsekvensen av ikke å ha et tilfredsstillende tjenestetilbud til denne brukergruppen kan være at det ikke blir gitt tilbud til alle brukere som har rett på tjenestene, og det kan igjen medføre en økning i langtidsbrukere av systemet. I verste fall kan det også gå utover liv og helse. En forvaltningsrevisjon kan eksempelvis undersøke i hvilken grad det er hensiktsmessig organisering, rutiner og samarbeid mellom enheter i kommunen, samt mellom kommunen og andre relaterte instanser, som sikrer gode rus- og psykiatritjenester i kommunen. Dette for å identifisere om det er eventuelle utfordringer og FROGN KOMMUNE, OVERORDNET ANALYSE 8

123 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf behov for forbedringer som kommunen kan dra nytte av i det videre arbeidet med å utvikle rus- og psykiske helsetjenester. Kommunen gjennomførte en forvaltningsrevisjon med "Psykisk helsearbeid for unge" som tema i Det er også et stort fokus på de unge i kommunen. Det er dermed ønskelig at en forvaltningsrevisjon i denne perioden i hovedsak fokuserer på de over 18 år Tidlig innsats og forebygging I økonomiplanen for kan man lese at det legges opp til en tettere samhandling mellom enhetene i oppvekstsektoren, hvor målet er å arbeide i økende grad tverrfaglig på det forebyggende arbeidet blant unge. Kommunen vil fortsette å prioritere tidlig innsats overfor alle målgrupper. Videre går det frem av planen at tilgjengelig statistikk viser at for mange Frogn-ungdommer over tid ikke fullfører videregående skole. I arbeidsmøtet ble tidlig innsats og forebyggende arbeid trukket frem som et risikoområde. Det ble blant annet stilt spørsmål ved om barn med problemer fanges opp tidsnok; hva som er årsaker til at unge dropper ut av skolen og om det er en sammenheng mellom ressursbruk og resultater innenfor forebyggende tjenester. Dette er alle spørsmål som kan besvares på i en forvaltningsrevisjon. 3.2 Regulatoriske risikoer Ivaretakelse av personalopplysninger Brudd på personopplysningsloven ble identifisert som et mulig risikoområde i kommunen, da det av noen ble vurdert å være høy sannsynlighet for at kommunen glipper på kravene om ivaretakelse av personopplysninger. Konsekvensen av brudd på personalopplysningsloven kan være høy for enkeltpersoner, og det kan også påføre kommunen et negativt omdømme og erstatningssøksmål. For å ivareta personopplysninger på en riktig måte, er det viktig med system som sikrer at distribusjon, arkivering og tilgang til sensitiv informasjon foregår på riktig måte. Det er viktig med gode tilgangssperrer, samt rutiner som sikrer at informasjon ikke lagres på feil sted, og at den ikke lagres lenger enn regelverket tillater. En forvaltningsrevisjon kan for eksempel undersøke hvilke mål, system og rutiner Frogn kommune har for å etterleve krav om håndtering av personopplysninger og informasjonssikkerhet Selvkost og gebyr vann og avløp Fastsettelse av selvkostgebyr ble vurdert til å være et risikoområde i kommunen. Det ble blant annet begrunnet med vanskelighetene knyttet til det å sette riktige gebyrer. Konsekvensen av å ikke ha tilstrekkelig kontroll på dette området kan være at kommunen mottar for mye eller for lite i gebyrinntekter, eller at det blir en uhensiktsmessig fordeling av gebyr mellom de ulike abonnementstypene. En forvaltningsrevisjon kan for eksempel undersøke hvorvidt kommunens gebyrreglementer er utformet i samsvar med regelverket, hvilke system og rutiner kommunen har knyttet til selvkostberegninger, og om kommunens gebyrer er i samsvar med selvkostreglene som gjelder for utvalgte tjenester. 3.3 Økonomi Investeringsbeslutninger/ gjennomføring av store prosjekt Kommunen står ovenfor flere store investeringsprosjekt de neste årene. Det gjelder blant annet nytt helsebygg, badeanlegg og boliger. I årsmeldingen for 2015 går det frem at kommunen har en betydelig risiko for økte finanskostnader ved kun mindre endringer i renten på grunn av dagens lånevolum. KOSTRA-tall viser at kommunen har en høy netto lånegjeld i prosent av netto driftsinntekter, sammenlignet med snittet til Kostragruppe 8 samt lands- og fylkesgjennomsnittet. Risiko for mangelfullt beslutningsgrunnlag for investeringer ble trukket frem på arbeidsmøtet som innspill til mulig tema i en forvaltningsrevisjon. Det samme ble prosjektstyring og ønsket om oppfølging av forvaltningsrevisjonen med dette tema fra forrige planperiode. Det begrunnes blant annet med risiko for at FROGN KOMMUNE, OVERORDNET ANALYSE 9

124 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf kommunen mangler tilstrekkelig kompetanse og personell til å kunne håndtere omfattende investeringer. Det ble også stilt spørsmål ved om kommunen har et tilfredsstillende prosjektstyringssystem, og om det virker etter hensikten. Kommunens rutiner for investeringer i inventar ble også tatt opp. Generelle årsaker til risiko på området kan være manglende kompetanse og kapasitet, eller uklare rutiner og ansvarsforhold når det gjelder det å få utarbeidet grundige analyser i forkant av investeringsbeslutningene. Konsekvensen av at investeringer ikke bygger på et solid beslutningsgrunnlag, kan være økonomisk tap som følge av merkostnader. Grunnlagsarbeidet bak avgjørelser om investeringer er en vesentlig del av prosessen i en virksomhet sin styring av investeringsprosjekt. Temaet kan tas opp som en egen forvaltningsrevisjon, eller det kan ses i sammenheng med en oppfølging av forvaltningsrevisjonen om prosjektstyring fra En forvaltningsrevisjon kan også kartlegge hvordan prosjekter kvalitetssikres og følges opp underveis, eller om loven om offentlige anskaffelser blir etterlevd når kommunen foretar innkjøp i forbindelse med prosjekt Reduksjon i fremtidig inntektsgrunnlag Reduksjon i framtidig inntektsgrunnlag ble på felles arbeidsmøte i kommunen identifisert som et risikoområde. Det ble i den forbindelse pekt på usikkerhet knyttet til arbeidsledighet og konsekvenser som det kan medføre, herunder økte sosiale kostnader og reduksjon i skatteinntekter. Dette sett i sammenheng med den sårbare situasjonen som kommunen er i pga. høy lånegjeld, gjør kommunen sårbar for svingninger i økonomien. Dersom inntektsgrunnlaget svekkes, kan konsekvensen være krevende innsparingsbehov og vesentlig lavere handlefrihet i kommunen. Dette er et tema som kan inngå i en forvaltningsrevisjon som ser på kommunens økonomistyring. Herunder kan man eksempelvis se på hvilke prosesser og rutiner kommunen har på plass for å identifisere, håndtere og gjøre tiltak for å tilpasse seg endrede økonomiske forutsetninger som endring i inntekstgrunnlag. 3.4 Mål, strategi og vedtak Oppfølging av kommunale planer Kommunen har en rekke med overordnede og tematiske planer om strategier og mål for fremtidig utvikling. Planene inneholder en handlingsdel med konkrete tiltak og aktiviteter som skal gjennomføres innenfor en gitt tidsperiode. I arbeidsmøtet ble mangelfull oppfølging av planer vurdert å være et risikoområde. Konsekvensen kan være at viktige mål og strategier ikke blir innfridd, noe som kan gå utover tjenestetilbudet og enkeltmennesker, og det kan medføre et svekket omdømme for kommunen. En forvaltningsrevisjon kan for eksempel se nærmere på innholdet i en eller flere av kommunens planer og undersøke hvorvidt planens målsetninger og handlingsplaner er blitt realisert. Man kan også se på hvilke systemer og rutiner kommunen har for å utforme og revidere planer, og for å følge opp konkrete mål og tiltak Styring av kompetanse og bemanning I arbeidet med den overordnede analysen har det kommet innspill fra kontrollutvalget om at sårbarhet i ressurssituasjonen er et mulig risikoområde, og det gjaldt særlig hvordan kommunen håndterer utskiftning av personell og akutte problemer ved fravær. En forvaltningsrevisjon kan se på ressurs- og kompetansesituasjonen i sentrale støttefunksjoner i kommunen, og vurdere i hvilken grad kommunen har etablerte systemer og rutiner som hindrer sårbarhet og som sikrer etterlevelse av sentrale bestemmelser i saksbehandlingen. En annen vinkling kan være å undersøke hvilke mål som foreligger for bemanning, rekruttering og kompetanseheving. I følge kommuneplanen indikerer prognosene for befolkningsvekst og sammensetning at behovet for kommunale tjenester kommer til øke markant. Bare innenfor pleie- og omsorgstjenestene er det forventet at behovet skal øke med ca. 10 prosent frem til Dette vil åpenbart påvirke fremtidig behov for rekruttering og kompetanse i kommunen. Kompetanse handler også om å beholde og utvikle medarbeiderne i kommunen. En forvaltningsrevisjon kan også kartlegge turn over og årsaker til "turn over". FROGN KOMMUNE, OVERORDNET ANALYSE 10

125 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Vedlegg 1 Identifisering og vurdering av risikoområder Nedenfor presenteres øvrige risikoområder som er identifisert og vurdert: Generell drift Nr. Risiko/ hendelser Virksomhet Konsekvenser 1 Interne og/eller eksterne misligheter Alle 2 Støttetjenestene leverer ikke tilstrekkelig verdi til kommunen Servicesenter Fellestjenester 3 4 Post- og arkivfunksjonen fungerer ikke etter hensikten Servicesenter Fellestjenester Uhensiktsmessig drift av og manglende kunnskap om IKT-systemene i kommunen IKT 5 Store prosjekt leverer ikke iht. tid, kostnad og kvalitet3 Teknisk 6 Vedlikeholdsarbeidet er for lite planmessig/ Teknisk langsiktig 7 Tjenestetilbudet innenfor helse- og omsorgssektoren samsvarer ikke med behov Helse og omsorg 3 Sanns. Tap som følge av intern svindel og andre personlige vinninger Svekket omdømme Dårligere kvalitet Ineffektivitet/dårlig kvalitet hindrer tjenestene og politisk virksomhet i å gjøre en god nok jobb Variert/dårlig serviceopplevelse Dårlig omdømme hos innbyggerne Publikum/ ansatte får ikke tilgang på opplysninger Negativ påvirkning på omdømmet Uautoriserte tilganger og endringer Tapt verdiskaping/ineffektivitet Økte kostnader / økonomisk tap Økte drifts- og vedlikeholdskostnader Kostnadssprekk kan føre til økte gebyr og relativt store økonomiske tap Kvalitetsutfordringer Forsinkelser i prosjekt kan føre til at inntektsstrømmen fra investeringen forsinkes, med følger for øvrig virksomhet Vedlikeholdsetterslep som gir økte kostnader på lengre sikt Økte investerings- og driftskostnader HMS-krav blir ikke innfridd Alle brukere som har behov for det, får ikke nødvendige helse- og omsorgstenester. Dyre/ ineffektive tjenester Fare for liv og helse Frogn kommune gjennomførte en forvaltningsrevisjon med prosjektstyring som tema i FROGN KOMMUNE, OVERORDNET ANALYSE 11 Kons.

126 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Nr. Risiko/ hendelser Virksomhet Konsekvenser 8 Manglende samsvar mellom kvalitet, tjenestetilbud og behov innenfor rus- og psykiatritjenesten4 Helse og omsorg Mangelfullt tilbud til flyktninger i kommunen Alle Varierende kvalitet på skolene mtp. læringsmiljø og læringsresultat Oppvekst Tidlig innsats og forebyggende arbeid rettet mot barn, unge og familier nedprioriteres Oppvekst, barnevern, NAV Kulturtilbudet er ikke tilgjengelig for alle Kultur og idrett Sanns. Kons. Sanns. Kons. Økt risiko for at enkelte blir langtidsbrukere av systemet Ikke tilbud til alle som har rett på tjenester Uheldige konsekvenser for enkeltmenneske Dårligere integrering, f. eks dårlig språk Økte kostnader Økende skille i kunnskapsnivå Ikke fullføring av utdanning Økt antall innbyggere på trygd Uheldige konsekvenser for enkeltmenneske Kan medføre større behov og økte kostnader i fremtiden Lite attraktivt for nye innbyggere Redusert livskvalitet for enkelte Regulatoriske risikoer Nr. Risiko/ hendelser Virksomhet 1 Brudd på lov og forskrift relatert til offentlige anskaffelser Alle Teknisk 2 Brudd på personopplysningsloven Alle særlig innenfor helse og oppvekst 3 Brudd på arbeidsmiljøloven Alle 4 Brudd på lov om offentlighet Alle 4 Økonomiske tap, herunder erstatningssøksmål og bøter pga. feil i innkjøpsprosessen og at kommunen kjøper inn til for høy pris Negativt omdømme Erstatningssøksmål Negativ påvirkning på omdømmet Negative konsekvenser for enkeltansatte Negativ effekt på omdømmet Manglende oppfølging av sykemeldte Forskjellsbehandling ulik saksbehandling Publikum får ikke tilgang til opplysninger Negativ påvirkning på omdømmet Frogn kommune gjennomførte en forvaltningsrevisjon med psykisk helsearbeid for unge som tema i FROGN KOMMUNE, OVERORDNET ANALYSE 12

127 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Nr. Risiko/ hendelser Virksomhet Sanns. 5 Brudd på kommunelovens krav til internkontroll Alle Helse og omsorg 6 Brudd på forvaltningsloven Alle Feil blir ikke rettet opp og dette kan igjen medføre lovbrudd, økte kostnader og skader. Forskjellsbehandling ulik saksbehandling Klagesaker - merkostnader 7 Brudd på plan- og bygningsloven5 Plan og byggesak Manglende likebehandling Manglende samsvar mellom tiltak og gitte tillatelser/krav 8 Fastsettelse av selvkostgebyr samsvarer ikke med krav6 Teknisk For høye eller for lave gebyr Negativt omdømme 9 Brudd på lovkrav innen helse og omsorg Helse og omsorg Brukere får ikke nødvendige tjenester Brukere får ikke individuell plan For lite brukermedvirkning Utilstrekkelig/feil behandling av pasienter i overganger mellom kommunen og sykehus Innbyggerne får ikke optimale tjenester Økte kostnader for kommunen Dårlig omdømme Mangler i og klager på tilskudd til private barnehager Varierende kvalitet på barnehagene i kommunen Brukere får ikke nødvendige tjenester Dårligere folkehelse Økte sosiale forskjeller Enkelte barn blir ikke fanget opp / negativ konsekvens for den enkelte. Kommunen kan bli erstatningsansvarlig Negativt omdømme Enkelte barn blir ikke fulgt tilstrekkelig opp Større sosiale og helsemessige problemer 10 Nye, ukjente oppgaver som følge av samhandlingsreformen7 Helse og omsorg Brudd på barnehageloven kommunen sitt ansvar som barnehagemynde Barnehage Brudd på lovkrav til sosiale tjenester Helse og omsorg NAV Brudd på barnevernloven8 Barnevernet 14 Brudd på opplæringsloven9 Skole, barnehage 5 Frogn kommune gjennomførte en forvaltningsrevisjon med byggesaksbehandling som tema i Frogn kommune gjennomførte en forvaltningsrevisjon med vann og avløp som tema i Frogn kommune gjennomførte en forvaltningsrevisjon med Samhandlingsreformen som tema i Frogn gjennomførte en forvaltningsrevisjon med barnevern som tema i Frogn kommune gjennomfører en forvaltningsrevisjon med PP-tjenesten som tema i FROGN KOMMUNE, OVERORDNET ANALYSE 13 Kons.

128 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Økonomi Nr. 1 Virksomhet Alle Investeringsbeslutninger tas på ufullstendig/ svakt grunnlag Alle 3 Reduksjon i framtidig inntektsgrunnlag Alle Mindre handlefrihet Fremtidig krevende innsparingsbehov 4 Refusjoner/ innbetalinger kommunen har krav på bli ikke innkrevd Alle, men særlig NAV, Helse og omsorg og oppvekst Økonomisk tap Feil/andre prioriteringer gir mangelfull/ineffektiv realisering av politiske mål og vedtak 2 Risiko/ hendelser Lav eller varierende grad av budsjettstyring10 Sanns. Kons. Sanns. Kons. Negativ økonomisk konsekvens nå og for framtiden Avvik blir ikke avdekket Ineffektiv bruk av midler Det gjøres feil investeringsbeslutning Negativ økonomisk konsekvens Mål, strategi og vedtak Nr. 1 Risiko/ hendelser Mangelfull oppfølging av politiske vedtak11 Virksomhet Alle Stab 2 Kommunen har ikke tilstrekkelig/rett kompetanse til å dekke fremtidens behov Kommunen er ikke nok rigget til å ivareta fremtidige eksterne krav Alle HR/ Personal Kommunen greier ikke å yte tilstrekkelige/tilfredsstillende tjenester Alle Virksomheten påvirkes negativt (tjenestekvalitet, økonomi, omdømme, arbeidsplass etc.). Mangelfull oppfølging av kommunale planer (f.eks. klimaplan) Alle Målsetninger blir ikke realisert Økonomistyring var et prioritert område i forrige plan for forvaltningsrevisjon i Frogn kommune 11 Frogn kommune gjennomfører en forvaltningsrevisjon med Oppfølging av vedtak i folkevalgte organer som tema i 2016 FROGN KOMMUNE, OVERORDNET ANALYSE 14

129 3/18 Tema forvaltningsrevisjon / Tema forvaltningsrevisjon 2018 : Overordnet analyse Frogn_endelig versjon.pdf Kontakt oss Siv Karlsen Moa Partner T E siv.moa@kpmg.no Ole Willy Fundingsrud Director T E ole.willy.fundingsrud@kpmg.no kpmg.no 2016 KPMG AS, a Norwegian member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. This proposal is made by KPMG AS, a member firm of the KPMG network of independent firms affiliated with KPMG International, a Swiss cooperative, and is in all respects subject to the negotiation, agreement, and signing of a specific engagement letter or contract. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.

130 4/18 Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt - 17/ Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt : Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt KONTROLLUTVALGET I FROGN Sak 4/18 Forvaltningsrevisjon - Follo landbrukskonto samarbeidsprosjekt Saksbehandler: Lene H. Lilleheier Behandlingsrekkefølge Frogn kontrollutvalg Saksnr.: 17/ Møtedato: Sekretariatets innstilling: Kontrollutvalget oversender saken til kommunestyret med følgende innstilling: Kommunestyret øker budsjettet til kontrollutvalget med kr for betaling av andel på forvaltningsrevisjon Follo landbrukskontor. SAKSUTREDNING: Kontrollutvalget i Frogn behandlet i sak 22/17 en invitasjon fra kontrollutvalget i Ås om å samarbeide om forvaltningsrevisjon av Follo landbrukskontor. Følgende vedtak ble fattet: 1. Kontrollutvalget takker ja til invitasjonen fra Ås kontrollutvalg om å delta i prosjektet Forvaltningsrevisjon av Follo landbrukskontor. 2. Forslag til endelig godkjenning av kostnadene ved prosjektet legges fram for utvalget når dette er klart. 3. Kontrollutvalget slutter seg til forslaget om mål og problemstillinger for prosjektet. Bakgrunn Follo landbrukskontor er et administrativt samarbeid mellom kommunene Ski, Vestby, Ås, Frogn, Nesodden og Oppegård. Ås kommune er vertskommune for kontoret som ledes av landbrukssjefen. Han rapporterer direkte til rådmannen i Ås. Kontrollutvalget i Ås er derfor det eneste av kontrollutvalgene i deltakerkommunene som kan kontrollere virksomheten. Bakgrunnen for invitasjonen er en henstilling fra kontrollutvalget i Ski, blant annet fordi det aldri før har blitt gjennomført en forvaltningsrevisjon av virksomheten. Kontrollutvalget i Ås valgte å imøtekomme Ski sin forespørsel. Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no

131 4/18 Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt - 17/ Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt : Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt Samtlige av deltakerkommunene har nå behandlet invitasjonen fra kontrollutvalget i Ås. Med unntak av Oppegård kommune, der kommunestyret etter innstilling fra kontrollutvalget vedtok å ikke delta i prosjektet, har de øvrige kontrollutvalgene sluttet seg til mål og problemstillinger og fattet vedtak om å delta. Prosjektet Samtlige av kontrollutvalgene i de deltakende kommunene har sluttet seg til følgende mål og problemstillinger for prosjektet: Formål Prosjektets formål er å belyse i hvilken grad Follo landbrukskontor drives i tråd med målet om høy kvalitet i oppgaveløsningen, redusert sårbarhet og effektiviseringsgevinst. Problemstillinger: 1) Har Follo landbrukskontor etablert rutiner som sikrer effektivitet, kvalitet, åpenhet og likebehandling i saksbehandlingen? a. Er det etablert rutiner for samarbeidet mellom landbrukskontoret og den enkelte kommuneadministrasjon som sikrer at saker blir behandlet i henhold til rett regelverk? 2) Ivaretar Follo landbrukskontor interessene til den enkelte deltaker-kommune? a. I hvilken grad er folkevalgtes mulighet for innsyn og kontroll med saksbehandlingen og driften ivaretatt? 3) I hvilken grad oppnås effektiviseringsgevinst for deltakerkommunene i Follo landbrukskontor sammenlignet med kommuner som løser landbruksoppgavene i egen administrasjon? Deltakelse og finansiering Kostnadene for prosjektet tar utgangspunkt i landbrukskontorets egen fordelingsnøkkel av faste kostnader. Denne fordelingen gjenspeiler kommunens landbruksareal, antall landbrukseiendommer og befolkning i kommunen. Siden Oppegård ikke deltar foreslås at andelen til denne kommunen (5%) deles likt på de resterende kommunene. Fordelingen blir da som følger: Ski 26%, Vestby 25%, Ås 24%, Frogn 16%, Nesodden 9%. Follo distriktsrevisjon som Ås kommunes faste revisor skal gjennomføre prosjektet og har gitt et pristilbud på kr ,- Dette innebærer følgende fordeling mellom kommunene: Kommuner Ås Ski Andel 24% 26% Pris kr Side 2 av 3

132 4/18 Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt - 17/ Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt : Forvaltningsrevisjon - Follo landbrukskontor samarbeidsprosjekt Nesodden Frogn Vestby 9% 16% 25% Kontrollutvalget i Frogn har for 2018 budsjettert med kr til forvaltningsrevisjon. Denne rammen gir rom for to ordinære forvaltningsrevisjonsprosjekter. Dersom Frogn kontrollutvalg tilpasser sin bestilling med f.eks ett mindre prosjekt (jf. prosjektene i 2017), kan denne rammen gi rom for to prosjekter i tillegg til andelen av forvaltningsrevisjon til Follo landbrukskontor. Et annet alternativ er at kontrollutvalget ber om finansiering fra Kommunestyret i en egen sak. Sekretariatet foreslår at kontrollutvalget ber kommunestyret om en tilleggsbevilgning på kr for andel på forvaltningsrevisjonsprosjektet Follo landbrukskontor. Ås, 15. januar 2018 Lene H. Lilleheier/s./ rådgiver Side 3 av 3

133 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Kontrollutvalgets årsrapport 2017 KONTROLLUTVALGET I FROGN Sak 5/18 Kontrollutvalgets årsrapport 2017 Saksbehandler: Lene H. Lilleheier Behandlingsrekkefølge Frogn kontrollutvalg Saksnr.: 18/ Møtedato: Sekretariatets innstilling: 1. Kontrollutvalgets årsrapport for 2017 vedtas. 2. Årsrapporten oversendes kommunestyret med følgende innstilling: Kommunestyret tar kontrollutvalgets årsrapport for 2017 til orientering. Vedlegg: Årsrapport Frogn KU 2017-forslag SAKSUTREDNING: Forslaget til årsrapport for 2017 legges fram for kontrollutvalget til behandling. Ås, 15. januar 2018 Lene H. Lilleheier/s./ rådgiver Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no

134 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Årsrapport Frogn KU 2017-forslag ÅRSRAPPORT 2017 KONTROLLUTVALGET I FROGN KOMMUNE

135 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Årsrapport Frogn KU 2017-forslag ÅRSRAPPORT Innledning For at kommunestyret skal være orientert om kontrollutvalgets arbeid blir det hvert år utarbeidet en årsrapport som legges frem for kommunestyret. Rapporten tar for seg oppgavene kontrollutvalget er pålagt gjennom lov og forskrift, og hvordan disse er løst. 2. Kontrollutvalgets mandat og oppgaver Kontrollutvalget skal på vegne av kommunestyret føre kontroll og tilsyn med forvaltningen av kommunen. Utvalget skal påse at kommunens virksomhet årlig blir gjenstand for forvaltningsrevisjon og at det føres kontroll med forvaltningen av kommunens eierinteresser i selskapene. Videre skal kontrollutvalget rapportere til kommunestyret om gjennomførte forvaltningsrevisjoner og selskapskontroller. Utvalget skal også gi uttalelse om kommunens årsregnskap, påse at kommunen har en forsvarlig revisjonsordning, og at revisjonsmerknader blir fulgt opp. 3. Kontrollutvalget i Frogn 3.1 Medlemmer Kontrollutvalget har fem medlemmer, og besto ved utgangen av 2017 av følgende medlemmer og varamedlemmer: Medlemmer: Knut Erik Robertsen, leder (Ap) Øyvind Solli, nestleder (H) Eva Jorun Bækken Haugen (H) Tom Lennart Pedersen (PP) Helge Gert Simonsen (V) Varamedlemmer: 1. Aasmund Berg (Ap) 2. Petter Abrahamsen (Ap) 3. Wenche Frich (Ap) 1. Bjørn M. Birkeland (H) 2. Ludolf Bjelland (H) 3. Lise Rønbeck (PP) 4. Kjetil Witbro (H) 5. Eva Bratlie (H) 1. Per T. Svendsen (SV) 2. Jorunn Holter (V) 3. Irene Myrbostad (MdG) 1

136 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Årsrapport Frogn KU 2017-forslag ÅRSRAPPORT 2017 Marit Alice Østigard (H) fikk innvilget søknad om fritak fra sitt verv som 1. vara i kontrollutvalget i kommunestyret den Kommunestyret vedtok at øvrige vararepresentanter rykker opp en plass. Eva Bratlie (H) ble valgt inn som nytt 5. varamedlem. 3.2 Møter Kontrollutvalget har avholdt syv møter og behandlet 38 nummererte saker i løpet av året. Grunnet forfall har varamedlemmene Marit Alice Østigard, Bjørn M. Birkeland, Irene Myrbostad og Petter Abrahamsen deltatt på ett eller flere møter. Utvalget har vedtatt et strateginotat for arbeidet som fornyes årlig, og en aktivitetsplan som rulleres mellom hvert møte. Kontrollutvalgets innkallinger, protokoller og forvaltningsrevisjonsrapporter blir fortløpende publisert både på kommunens nettsider og på FIKS sine nettsider. 3.3 Deltakelse på kurs og konferanser Øyvind Solli, Eva Jorun B. Haugen, Tom Lennart Pedersen og Åsmund Berg deltok på den nasjonale kontrollutvalgskonferansen til NKRF 1. og 2. februar. Eva Jorun B. Haugen og Helge Simonsen deltok på fagkonferansen og årsmøtet for Forum for kontroll og tilsyn (FKT) 7. og 8. juni i Tromsø. Utvalget var godt representert på Faglig forum for kontrollutvalgene i Follo den 26. oktober som ble arrangert av FIKS. Hovedtema var det kommunale risikobildet. 4. Sekretariat Kommunestyret skal sørge for at kontrollutvalget har tilfredsstillende sekretariatsbistand. Sekretariatsfunksjonen kan verken legges til kommunens administrasjon eller til den som utfører revisjonsoppgaver for kommunen. Kravet er ivaretatt ved at det er etablert et interkommunalt samarbeid om sekretariatet. Follo interkommunale kontrollutvalgssekretariat (FIKS) har alle syv Follo-kommuner som deltakere. Sekretariatet skriver saksfremstillinger og bistår kontrollutvalget med forberedelse og oppfølging av kontrollutvalgsmøtene. I tillegg har FIKS ansvaret for selskapskontrollen på vegne av deltakerkommunene. Ås er vertskommune for sekretariatet, og samarbeidet er hjemlet i kommunelovens 27. Kontrollutvalgenes ledere utgjør styret for FIKS og har ansvaret for driften av sekretariatet. Det enkelte kontrollutvalg fastsetter for øvrig sekretariatets arbeidsoppgaver. 2

137 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Årsrapport Frogn KU 2017-forslag ÅRSRAPPORT 2017 Rådgiver Lene H. Lilleheier har vært utvalgets sekretær i Budsjett kontroll og tilsyn Kontrollutvalget skal innstille om budsjett for kontroll og tilsyn i kommunen. Utvalget avga innstilling overfor kommunestyret om budsjettet for 2018 for revisjon, sekretariatet og egne utgifter i sitt møte den 28. august Utvalgets arbeid 6.1 Tilsyn med revisjonen Kontrollutvalget skal i henhold til kontrollutvalgsforskriften påse at kommunen har en forsvarlig revisjonsordning og blant annet påse at kommunens regnskaper blir revidert på en betryggende måte. Frogn kommune inngikk den 1. mai 2015 avtale med KPMG AS om regnskapsrevisjon. Avtalen gjelder til og med 30. april 2017, med opsjon for oppdragsgiver til å kunne forlenge avtalen med år. Kommunestyret benyttet seg av muligheten til å forlenge avtalen med ett år fra Kontrollutvalgets innstilling om å forlenge avtalen med ytterligere ett år ( ) ble vedtatt av kommunestyret Regnskapsrevisor har deltatt på de fleste møtene i kontrollutvalget i 2017, og har rapportert om sitt arbeid gjennom hel- og halvårsrapporter til utvalget. I møtet den 8. mai la de frem en oppsummering av revisjonen for 2016, og i møtet den 27. november behandlet utvalget revisors oppsummering av revisjonen for høsten Revisjonsplanen for 2017 og revisors egenerklæring om uavhengighet ble behandlet av kontrollutvalget den 28. august. 6.2 Regnskapssaker Som kontrollorgan på vegne av kommunestyret skal kontrollutvalget behandle kommunens regnskaper og sammen med revisjonsberetning og andre tilhørende dokumenter, avgi uttalelse til kommunestyret. Kontrollutvalgets uttalelse oversendes kommunestyret med kopi til formannskapet. Kontrollutvalget avga sin uttalelse om årsregnskapet for 2016 i sitt møte den 8. mai Tilsyn med forvaltningen Kontrollutvalget vedtar årlig tema, mål og problemstillinger for forvaltningsrevisjon. Prosjektene velges med utgangspunkt i plan for forvaltningsrevisjon , vedtatt av kommunestyret i Utvalget har fullmakt til å avvike fra planen, og står således fritt til å 3

138 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Årsrapport Frogn KU 2017-forslag ÅRSRAPPORT 2017 velge prosjekter i takt med at risikobildet endrer seg. Kontrollutvalget har i 2017 bestilt følgende forvaltningsrevisjonsprosjekter: Etikk og habilitet IKT sikkerhet og drift Oppdragene om forvaltningsrevisjon legges årlig ut på anbud. Valg av revisor gjøres av kommunestyret, som i møtet den 19. juni sluttet seg til kontrollutvalgets innstilling om å velge Deloitte som forvaltningsrevisor for årets forvaltningsrevisjonsprosjekter. Prosjektplanene ble vedtatt av kontrollutvalget den 28. august. Etter anmodning fra administrasjonen ble prosjektene utsatt én måned. Endelige rapporter forelå derfor ikke innen utgangen av året, men skal i henhold til avtale leveres i januar Rådmannens oppfølging av anbefalingene i tidligere forvaltningsrevisjonsrapporter: Barnevern Rådmannens tilbakemelding om oppfølgingen av anbefalingene i forvaltningsrevisjonsrapporten «Barnevern» ble oversendt kommunestyret med innstilling om å ta oppfølgingen til orientering. Kommunestyret sluttet seg til kontrollutvalgets innstilling i sak 52/17. PP-tjenesten Kontrollutvalget tok rådmannens foreløpige tilbakemelding om oppfølging av anbefalingene i rapporten om «PP-tjenesten» til orientering i møte den 9. oktober. Fristen for endelig tilbakemelding til kontrollutvalget er i henhold til kommunestyrets vedtak Selskapskontrollen Kontrollutvalget skal påse at det føres kontroll med forvaltningen av kommunens interesser i selskaper med mer. Dette innebærer en kontroll rettet mot selskapene i form av eierskapskontroll og/eller forvaltningsrevisjon. Selskapskontrollen omfatter interkommunale selskaper og heleide kommunale aksjeselskaper. Frogn kommune har eierinteresser i til sammen syv selskap hvor det kan drives selskapskontroll: Alarmsentral Brann Øst AS, Drøbak vaskeri AS, Follo kvalifiseringssenter IKS, Follo lokalmedisinske senter IKS, Follo Ren IKS, Krise- og incestsenteret i Follo IKS og Follo Brannvesen IKS. I tråd med Plan for selskapskontroll vedtatt av kommunestyret skal første kontroll i planperioden utføres i Dette blir en eierskapskontroll med vekt på selskapenes oppfølging av retningslinjer gitt nasjonalt og lokalt. 4

139 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Årsrapport Frogn KU 2017-forslag ÅRSRAPPORT Andre kontroller I tillegg til kontrollformene som er beskrevet ovenfor, skal kontrollutvalget gjennomføre løpende tilsyn med forvaltningen på andre måter. I 2017 tok utvalget blant annet opp følgende saker: Etikk og habilitet Kontrollutvalget behandlet i møte 19. april jf sak 6/17 etikk og habilitet ved behandling av områdebehandling Gamle Drøbak. Saken omhandlet ordførers habilitet og befatning med saken. Kontrollutvalget vedtok med 4 mot 1 stemme at det ikke var grunnlag for ytterligere undersøkelser i saken. Rådmannens rapport - Saksbehandlersaken Rådmannens rapport om Saksbehandlersaken ble behandlet av kontrollutvalget 19. april 2017 jf. sak 7/17. Rådmannens rapport og sekretariatets saksfremlegg er unntatt offentlighet. Kontrollutvalgets innstilling til kommunestyret om å be rådmannen følge opp forbedringspunktene i rapporten og melde tilbake til kontrollutvalget om resultatet innen 12 måneder ble vedtatt av kommunestyret i sak 101/17. Arbeidsmiljø og turnover redegjørelse fra rådmannen Kontrollutvalget behandlet den 19. april jf sak 9/17 rådmannens redegjørelse om arbeidsmiljøet i kommunen. Utvalget tok redegjørelsen til orientering. Barneverntjenesten ressurssituasjonen Rådmannens redegjørelse om ressurssituasjonen i barnevernet og svar på kontrollutvalgets konkrete spørsmål i den anledning, ble behandlet av utvalget 28. august og 9. oktober. Utvalget vedtok å følge opp saken videre og ba om en ny redegjørelse innen utgangen av første halvår Mannskapsbrakka på Kopås og innkjøp og kontrakter Kontrollutvalget behandlet i møte den 27. november rådmannens redegjørelse i saken om Mannskapsbrakka på Kopås. Utvalgets hovedspørsmål gjaldt kommunens praksis ved forhåndsbetaling av kontraktssummer, og hva kommunen gjør for å forhindre at det blir 5

140 5/18 Kontrollutvalgets årsrapport / Kontrollutvalgets årsrapport 2017 : Årsrapport Frogn KU 2017-forslag ÅRSRAPPORT 2017 benyttet useriøse underleverandører. Kontrollutvalget tok rådmannens redegjørelse til orientering. Byggesaksbehandlingen i kommunen Rådmannens redegjørelse om situasjonen i byggesaksavdeling ble behandlet på kontrollutvalgets møte 27. november. Etterslep av saker, bemanningssituasjonen, etterlevelse av frister og kontinuitet i saksbehandlingen var tema. Kontrollutvalget vedtok å be om en ny redegjørelse om situasjonen i avdelingen innen utgangen av mai Digitalisering av kommunens tjenester Kontrollutvalget fikk i møte den 27. november en orientering av rådmannen om kommunens planer og status om digitalisering av tjenestene. Utvalget tok saken til orientering. Frogn, xx januar 2018 Knut Erik Robertsen Øyvind Solli Leder nestleder 6

141 6/18 Orienteringssaker - 18/ Orienteringssaker : Orienteringssaker KONTROLLUTVALGET I FROGN Sak 6/18 Orienteringssaker Saksbehandler: Lene H. Lilleheier Behandlingsrekkefølge Frogn kontrollutvalg Saksnr.: 18/ Møtedato: Sekretariatets innstilling: Sakene tas til orientering. VEDLEGG: 1) Godkjent protokoll fra kontrollutvalgets møte 27.november ) Kommunestyrets vedtak sak 162/17: Forlengelse av avtalen med KPMG om regnskapsrevisjon. 3) Aktivitetsplanen per januar 2018 Ås, 15. januar 2018 Lene H. Lilleheier/s./ rådgiver Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no

142 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU MØTEPROTOKOLL Frogn kontrollutvalg Møtetid: Sted: kl. 14:00 Kommunestyresalen - Fraunar Av utvalgets medlemmer/varamedlemmer møtte 5 av 5. Møtende medlemmer: Knut Erik Robertsen (Ap), Øyvind Solli (H), Eva Jorun Bækken Haugen (H), Tom Lennart Pedersen (Pp) Møtende varamedlemmer: Irene Myrbostad (MDG) for Helge G. Simonsen (V) Forfall: Helge G. Simonsen Fra administrasjonene møtte: Harald K. Hermansen, rådmann, (sak 30/17,31/17, 32/17) Randi Margrethe Tornaas, kommunalsjef (sak 30/17, 31/17,32/17) Bjørn Nordvik, prosjektkoordinator sak 30/17 Rolf Moe, rådgiver sak 32/17 Fra KPMG møtte: Rune Johansen, regnskapsrevisor Fra sekretariatet (FIKS) møtte: Kjell Tore Wirum, kontrollsjef Lene H. Lilleheier, møtesekretær Diverse merknader: Sak 32/17 ble behandlet som første sak i møtet. Møteprotokoll godkjent Knut Erik Robertsen/s./ Leder Øyvind Solli/s./ nestleder Follo Interkommunale kontrollutvalgssekretariat Postadresse: Postboks 195, 1431 Ås Besøksadresse: Rådhusplassen (m): FIKS@follofiks.no

143 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Saksliste Side Saker til behandling 30/17 17/ Rådmannens redegjørelse - Mannskapsbrakka på Kopås og Innkjøp og kontrakter 3 31/17 17/ Byggesaksbehandlingen i kommunen - rådmannens redegjørelse 4 32/17 17/ Digitalisering av kommunens tjenester rådmannens redegjørelse 5 33/17 17/ Henvendelse angående ulykke i badeparken 6 34/17 17/ Oppsummering av revisjon høsten /17 17/ Kontrollutvalgets deltakelse på konferanser i /17 17/ Kontrollutvalgets møteplan /17 17/ Forlengelse av avtalen med KPMG om regnskapsrevisjon 10 38/17 17/ Orienteringssaker 11 Eventuelt Frogn kontrollutvalg Side 2 av 11

144 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-30/17 Rådmannens redegjørelse - Mannskapsbrakka på Kopås og Innkjøp og kontrakter Sekretariatets innstilling: Kontrollutvalget tar rådmannens redegjørelse om Mannskapsbrakka på Kopås og innkjøp og kontrakter til orientering. Frogn kontrollutvalgs behandling : Rådmannen svarte på utvalgets spørsmål til saken. Votering: Innstillingen ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Kontrollutvalget tar rådmannens redegjørelse om Mannskapsbrakka på Kopås og innkjøp og kontrakter til orientering. Frogn kontrollutvalg Side 3 av 11

145 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-31/17 Byggesaksbehandlingen i kommunen - rådmannens redegjørelse Sekretariatets innstilling: 1. Kontrollutvalget tar rådmannens redegjørelse om sitasjonen i byggesaksavdeling til orientering. 2. Kontrollutvalget ber om en ny redegjørelse om situasjonen i byggesaksavdelingen innen utgangen av mai Frogn kontrollutvalgs behandling : Kommunalsjefen og rådmannen svarte på spørsmål fra utvalget. Votering: Innstillingen ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : 1. Kontrollutvalget tar rådmannens redegjørelse om sitasjonen i byggesaksavdeling til orientering. 2. Kontrollutvalget ber om en ny redegjørelse om situasjonen i byggesaksavdelingen innen utgangen av mai Frogn kontrollutvalg Side 4 av 11

146 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-32/17 Digitalisering av kommunens tjenester - rådmannens redegjørelse Sekretariatets innstilling: Kontrollutvalget tar rådmannens redegjørelse om planer og status for digitalisering av kommunens tjenester til orientering. Frogn kontrollutvalgs behandling : Rolf Moe presenterte hovedpunktene, rådmannen orienterte om status for IKTsamarbeidet i Follo. Votering: Innstillingen ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Kontrollutvalget tar rådmannens redegjørelse om planer og status for digitalisering av kommunens tjenester til orientering. Frogn kontrollutvalg Side 5 av 11

147 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-33/17 Henvendelse angående ulykke i badeparken Sekretariatets innstilling: 1. Helge Simonsen er inhabil i medhold av forvaltningsloven 6 annet ledd. 2. Saken relatert til ulykken i badeparken tas ikke opp til behandling i kontrollutvalget. Frogn kontrollutvalgs behandling : Simonsen hadde forfall til møtet. Utvalget behandlet ikke habilitetsspørsmålet. Votering: Innstillingens punkt 2 ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Saken relatert til ulykken i badeparken tas ikke opp til behandling i kontrollutvalget. Frogn kontrollutvalg Side 6 av 11

148 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-34/17 Oppsummering av revisjon høsten 2017 Sekretariatets innstilling: Kontrollutvalget tar revisjonens rapport «Oppsummering av revisjonen høsten 2017» til orientering. Frogn kontrollutvalgs behandling : Rune Johansen fra KPMG presenterte rapporten og svarte på utvalgets spørsmål Votering: Innstillingen ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Kontrollutvalget tar revisjonens rapport «Oppsummering av revisjonen høsten 2017» til orientering. Frogn kontrollutvalg Side 7 av 11

149 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-35/17 Kontrollutvalgets deltakelse på konferanser i 2018 Sekretariatets innstilling: Saken ble lagt fram uten innstilling. Frogn kontrollutvalgs behandling : Utvalget samlet seg om en fordeling der samtlige faste medlemmer deltar på NKRFs kontrollutvalgskonferanse i februar, og to medlemmer deltar på FKTs konferanse i mai. Votering: Vedtaket nedenfor ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Kontrollutvalget melder på følgende deltakere på NKRFs konferanse 7. og 8. februar 2018: Knut Erik Robertsen Øyvind Solli Helge G. Simonsen Eva Jorun B. Haugen Tom L. Pedersen Kontrollutvalget melder på følgende deltakere på FKTs konferanse 29. og 30 mai 2018: Knut Erik Robertsen Tom L. Pedersen Frogn kontrollutvalg Side 8 av 11

150 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-36/17 Kontrollutvalgets møteplan 2018 Sekretariatets innstilling: Kontrollutvalgets møter avholdes på følgende tidspunkt i Alle dager fra kl Mandag 22. januar Mandag 5. mars Mandag 14. mai Mandag 18. juni Mandag 27. august Mandag 29. oktober Mandag 10. desember Frogn kontrollutvalgs behandling : Votering: Innstillingen ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Kontrollutvalgets møter avholdes på følgende tidspunkt i Alle dager fra kl Mandag 22. januar Mandag 5. mars Mandag 14. mai Mandag 18. juni Mandag 27. august Mandag 29. oktober Mandag 10. desember Frogn kontrollutvalg Side 9 av 11

151 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-37/17 Forlengelse av avtalen med KPMG om regnskapsrevisjon Sekretariatets innstilling: Saken oversendes kommunestyret med følgende innstilling: Kommunestyret vil benytte seg av opsjonen til å fornye avtalen med KPMG AS med ett år, fra 1. mai 2018 til 30. april Frogn kontrollutvalgs behandling : Votering: Innstillingen ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Saken oversendes kommunestyret med følgende innstilling: Kommunestyret vil benytte seg av opsjonen til å fornye avtalen med KPMG AS med ett år, fra 1. mai 2018 til 30. april Frogn kontrollutvalg Side 10 av 11

152 6/18 Orienteringssaker - 18/ Orienteringssaker : Protokoll Frogn KU Frogn KU-38/17 Orienteringssaker Sekretariatets innstilling: Sakene tas til orientering. Frogn kontrollutvalgs behandling : Votering: Innstillingen ble enstemmig vedtatt. Frogn kontrollutvalgs vedtak : Sakene tas til orientering. Frogn kontrollutvalg Side 11 av 11

153 6/18 Orienteringssaker - 18/ Orienteringssaker : Kommunestyrets vedtak om forlengelse av avtalen med KPMG om regnskapsrevisjonen med vedlegg Frogn kommune Enhet for HR, politisk sekretariat og service - Politisk sekretariat Follo interkommunale kontrollutvalgssekretariat - FIKS Pb ÅS Deres ref. Vår ref. 14/ Saksbehandler Guro Merlid Dato Oversendelse av kommunestyrets vedtak om forlengelse av avtalen med KPMG om regnskapsrevisjonen Kommunestyret behandlet ovennevnte sak i møte som sak nr. 162/17. Kommunestyret fattet følgende vedtak: «Kommunestyret vil benytte seg av opsjonen til å fornye avtalen med KPMG AS med ett år, fra 1. mai 2018 til 30. april 2019.» Vedlagt følger saksutskrift av saken. Med hilsen Guro Merlid Rådgiver/temakoordinator politisk sekretariat Dokumentet er elektronisk godkjent. Vedlegg: Saksutskrift Kommunestyret Forlengelse av avtalen med KPMG om regnskapsrevisjon Kopi: Enhet for HR, politisk sekretariat og service Enhet for økonomi Postadresse Postboks Drøbak postmottak@frogn.kommune.no Wenche Korpberget Postboks DRØBAK Jo-Ragnar Finserås Postboks DRØBAK Besøksadresse Rådhusveien DRØBAK Telefon Telefaks Org.nr. Bankgiro Side 1 av 2

154 6/18 Orienteringssaker - 18/ Orienteringssaker : Kommunestyrets vedtak om forlengelse av avtalen med KPMG om regnskapsrevisjonen med vedlegg Mottaker: Follo interkommunale kontrollutvalgssekretariat - FIKS Pb 195 Frogn kommune- Enhet for HR, politisk sekretariat og service - Politisk sekretariat Vår ref.: 14/ ÅS Side 2 av 2

155 6/18 Orienteringssaker - 18/ Orienteringssaker : Kommunestyrets vedtak om forlengelse av avtalen med KPMG om regnskapsrevisjonen med vedlegg Frogn kommune Saksutskrift Forlengelse av avtalen med KPMG om regnskapsrevisjon Arkivsak-dok. Saksbehandler 14/ Guro Merlid Saksgang 1 Kommunestyret Møtedato Saknr 162/17 Kommunestyrets behandling : Votering (30 representanter tilstede): Innstillingen ble enstemmig vedtatt Kommunestyrets vedtak : Kommunestyret vil benytte seg av opsjonen til å fornye avtalen med KPMG AS med ett år, fra 1. mai 2018 til 30. april Saksutskriften bekreftes Frogn, 21.desember 2017 Guro Merlid Dokumentet er elektronisk godkjent Postadresse Postboks Drøbak postmottak@frogn.kommune.no Besøksadresse Rådhusveien Drøbak Telefon Telefaks Org.nr. Bankgiro Side 1 av 5