Helseforetakenes senter for pasientreiser ANS

Like dokumenter
Per styremøte

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Helseforetakenes senter for pasientreiser ANS 1/2016

Årsrapport 2011 Internrevisjon Pasientreiser ANS

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Helseforetakenes senter for Pasientreiser ANS 1/2015

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011. SAK NR Godkjenning av protokoll fra styremøtet

Status og oppfølging av styrevedtak t.o.m

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Saksframlegg Referanse

Status og oppfølging av styrevedtak t.o.m

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Internkontroll i Gjerdrum kommune

Rapport Revisjon forskning Revmatismesykehuset AS

Prinsipper for virksomhetsstyring i Oslo kommune

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Instruks for konsernrevisjonen Helse Sør-Øst

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Styret Helseforetakenes senter for pasientreiser ANS 08/12/10. SAK NR Gjennomgang av internkontrollen ved pasientreisekontorer 2.

Saksframlegg Referanse

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 31/10/16. SAK NR Godkjenning av protokoll fra styremøtet

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS

Instruks for daglig leder. Sykehuset Østfold HF. Behandles i styremøte 24. september 2012

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Egenevaluering av internkontrollen

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/03/14

Forslag til oppfølgingsansvar

Oppsummering Revisjon av Ledelsens gjennomgåelse risikovurdering Helseforetakene i Helse Øst

Helseforetakenes senter for Pasientreiser ANS 2/2014

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/10/15

Saksframlegg Referanse

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 25/03/15

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Helseforetakenes senter for pasientreiser ANS 2/2015

Malema UTK. Rapport 3/2014. Revisjon av Sykehuset Østfold HF

Saksframlegg. Styret Pasientreiser HF 11/12/2017. SAK NR Godkjenning av protokoll fra styremøte i Pasientreiser HF

Rapport 3/2010. Revisjon av intern styring og kontroll i Sykehuspartner

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Godkjenning av protokoll fra styremøte i Pasientreiser HF

Saksframlegg Referanse

Utkast Revisjonsplan Internrevisjon Pasientreiser HF

Rapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 17/06/13

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 15/09/16

SAK NR OPPFØLGING AV ANTIKORRUPSJONSPROGRAM FRA HELSE SØR-ØST I SYKEHUSET INNLANDET VEDTAK:

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Veiledning. Vi ber om bekreftelse/kommentarer til rettelser på de observasjonspunkter som fremkommer fra og med foil 12 til 17 og foil 19.

Styret Helse Sør-Øst RHF 18. desember 2014

Rapport. Revisjon av internkontroll i RHFet med særlig fokus på risikostyring

Styret Helseforetakenes senter for pasientreiser ANS 28./02/ Styret tar forslagene til styringsindikatorer og mål for 2011 til etterretning.

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Internkontroll og avvikshåndtering

GOD VIRKSOMHETSSTYRING. Helhetlig plan for virksomhetsstyring 2014

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/06/15. SAK NR Godkjenning av protokoll fra styremøtene

Rapport 5/2015. Revisjon av styring og oppfølging av Sykehuspartner HF

Internrevisjon en evaluering av Antibiotikabruk i Helse Nord. Internrevisor Hege Knoph Antonsen, Helse Nord RHF

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 22/10/14. SAK NR Godkjenning av protokoll fra styremøtet

Revisjon Sørlandet sykehus HF

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Forvaltningsrevisjon IKT sikkerhet og drift 2017

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/04/15

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 28/08/15. SAK NR Godkjenning av protokoll fra styremøtet

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll

Saksframlegg Referanse

<LOGO HELSE ØST. Helse Øst RHF Styremøte 8 mars SAK NR xxx-2007 REVISJONSPLAN HELSE ØST Forslag til: V E D T A K

Styret Helse Sør-Øst RHF 21. juni 2012 SAK NR ORIENTERINGSSAK - STRATEGIPLAN FOR HELSEFORETAKENES SENTER FOR PASIENTREISER ANS

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 18/04/13. SAK NR Godkjenning av protokoll fra styremøtet

Rapport Revisjon ledelsens gjennomgåelse risikovurdering Ullevål universitetssykehus HF

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 27/10/2011. SAK NR Godkjenning av protokoll fra styremøtet

Saksframlegg Referanse

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Rapport Oslo universitetssykehus HF, Ullevål Revisjon av etterlevelsen av gjeldende retningslinjer forskrivning, kjøp og fakturering av TNF-hemmere

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 11/12/13. SAK NR Godkjenning av protokoll fra styremøtet

Saksframlegg Referanse

Erfaringer fra NIRF`s kvalitetskontroll

Møteprotokoll for styret i Helseforetakenes senter for pasientreiser ANS

Styret Helseforetakenes senter for pasientreiser ANS 15/06/11

Rapport Revisjon forskning Sykehuset Asker og Bærum HF

Instruks for. administrerende direktør. Sørlandet sykehus HF

Pasientreiser HF. Revisjon av kontrollstrategi for reiser uten rekvisisjon RAPPORT 1/2017. Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15

Instruks for administrerende direktør Helse Nord IKT HF

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Virksomhetsstyring i Bane NOR SF

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Instruks for administrerende direktør Helse Nord IKT HF. Vedtatt av styret xx.xx.2016

Et revisjonsblikk på internkontroll

Status til Handlingsplan for virksomhetsstyring 2015 pr august 2015

Pasientreiser 1/2014. Rapport Revisjon av miljøstyringssystemet. Revisjonsrapport Internrevisjonen Side 1 av 15

Transkript:

Helseforetakenes senter for pasientreiser ANS 3/2011 Rapport Revisjon av virksomhetsstyring, intern styring og kontroll del 1 Revisjonsrapport Internrevisjonen Side 1 av 30

Tidsrom for revisjonen 21.11.2011 18.01.2012 Virksomhet Helseforetakenes senter for pasientreiser ANS Rapportmottaker Administrerende direktør Kopi (endelig rapport) Styret v/styreleder Rapportavsender Internrevisjonen Oppdragsgiver Styret Oppdragsleder Karl-Helge Storhaug Revisjonsteam Ellen Ueland, Kjetil Berg og Liv Todnem Kundeansvarlig Karl-Helge Storhaug Innholdsfortegnelse 1. Innledning... 5 1.1 Formål og problemstillinger... 5 1.2 Prosess og metode... 5 1.3 Revisjonskriterier... 6 1.4 Avgrensninger... 6 2. Virksomhetsstyring, intern styring og kontroll i Pasientreiser ANS... 8 2.1 Virksomhetsstyring... 8 2.2 Intern styring og kontroll... 8 2.3 Elementer og faktorer i Pasientreiser ANS interne styring og kontroll som er omfattet av revisjonen... 10 3. Oppsummering av funn... 11 3.1 Styrings- og kontrollmiljø... 12 3.1.1 Holdninger til styring og kontroll... 14 3.1.2 Organisering, ansvars- og myndighetsfordeling... 14 Revisjonsrapport Internrevisjonen Side 2 av 30

3.1.3 Ressurser og kompetanse... 14 3.2 Etablering av målsettinger og risikovurderinger... 15 3.2.1 Etablering av målsettinger... 16 3.2.2 Risikovurderinger... 17 3.3 Tiltak for å ha styring og kontroll... 18 3.3.1 Selskapsomgripende kontroller... 19 3.3.1.1 Fullmaktssystem... 20 3.3.1.2 Dokumentstyringssystem... 20 3.3.1.3 Sak/arkiv-system... 20 3.3.1.4 Avviks- og meldesystem... 21 3.3.1.5 Varslingssystem... 21 3.3.1.6 Kontinuitets- og beredskapssystem... 21 3.3.2 Prosessnivåkontroller... 21 3.3.2.1 Prosedyrer og rutinebeskrivelser... 22 3.3.2.2 Kontrolldesign i prosedyrer og rutiner... 23 3.3.3 Transaksjonskontroller... 23 3.3.3.1 Arbeidsdeling og sporbarhet... 24 3.3.4 Informasjon og kommunikasjon... 24 3.3.4.1 Tilstrekkelig, pålitelig og tidsriktig informasjon, herunder informasjonskanaler... 24 3.4 Oppfølging... 25 3.4.1 Løpende oppfølging... 26 3.4.2 Interne frittstående evalueringer... 27 3.4.3 Uavhengige frittstående evalueringer... 27 Revisjonsrapport Internrevisjonen Side 3 av 30

4. Vedlegg... 28 4.1 Informasjonsgrunnlag... 28 4.2 Gjennomførte intervjuer... 29 4.3 Saksgang... 30 Revisjonsrapport Internrevisjonen Side 4 av 30

1. Innledning 1.1 Formål og problemstillinger Formålet med revisjonen er å gjennomgå og vurdere om Pasientreiser ANS har etablert hensiktsmessig virksomhetsstyring som gir rimelig sikkerhet for at formålet med selskapets virksomhet oppnås, herunder at oppgaver gitt gjennom overordnede styringsdokumenter og styrets beslutninger gjennomføres og at fastsatte målsettinger for løpende drift oppnås. For å oppnå dette har internrevisjonen undersøkt disse problemstillingene: I hvilken grad har selskapet et godt styrings- og kontrollmiljø som bidrar til gode holdninger til styring og kontroll, hensiktsmessig organisering og tydelig ansvars- og myndighetsfordeling, samt god ressursstyring, bruk og utvikling av selskapets kompetanse? I hvilken grad har selskapet etablert målsettinger for ordinær drift og utviklingsoppgaver, og i hvilken grad er disse operasjonalisert innenfor områder og nivåer i selskapet? I hvilken grad har selskapet etablert prosesser for å identifisere, vurdere og håndtere risikoforhold som kan hindre måloppnåelse, etterlevelse av lov- regelverk og pålitelig styringsinformasjon om driften? I hvilken grad har selskapet etablert tilstrekkelige og hensiktsmessige tiltak for å ha styring og kontroll med virksomheten? I hvilken grad har selskapet en hensiktsmessig og effektiv oppfølging av virksomheten? 1.2 Prosess og metode Revisjonen er gjennomført i perioden fra november 2011 til februar 2012, og har omfattet disse aktivitetene: Innledende kartlegging og risikoanalyse for å fastsette revisjonsplan med målsettinger, omfang og avgrensninger Datainnsamling Vurdering Revisjonsrapport Internrevisjonen Side 5 av 30

Gjennomgang og verifikasjon av observasjoner Kommunikasjon og rapportering av funn, konklusjoner og anbefalinger Revisjonen bygger på dokumentgjennomgang, prosesskartlegging, spørreundersøkelse, intervjuer og avgrensede tester. - Dokumentgjennomgangen har omfattet styrende dokumenter, interne planer, retningslinjer, prosessbeskrivelser og rutiner som gjelder for selskapets virksomhet. Dokumentoversikt fremgår av vedlegget. - Prosesskartleggingen er foretatt ved gjennomgang av eksisterende prosessbeskrivelser og intervjuer. For driftsavdelingen er det i tillegg gjennomført en walk-through av prosessene for basistjenester og tilleggstjenester. - Spørreundersøkelsen ble sendt ut til samtlige 59 ansatte i Pasientreiser ANS, og oppnådde en svarprosent på 86 % (korrigert for 3 ansatte i permisjon). Det ble stilt spørsmål omhandlende organisering og ansvarsfordeling, mål og risikovurderinger til bruk i styring, tiltak for styring og kontroll samt oppfølging, rapportering og avviksbehandling innad i ANSet. Spørsmålene fremgår av vedlegget. - Intervjuene (individuelle og gruppeintervjuer) har omfattet 23 ansatte, fordelt på ledergruppen og ansatte ved avdelingene. Oversikt over intervjuede personer fremgår av vedlegget. - Avgrenset testing er foretatt av et utvalg fakturaer og anskaffelser for verifikasjon av bestillings-, attestasjons- og anvisningspraksis. 1.3 Revisjonskriterier Revisjonskriteriene, dvs. kriteriene som faktisk tilstand er vurdert opp mot, er utledet fra anerkjente rammeverk for intern styring og kontroll. Disse er nærmere beskrevet i kap 2.2 Intern styring og kontroll og i delkapitlene til kap 3 Oppsummering av funn. 1.4 Avgrensninger Revisjonen er lagt opp i to deler. Del 1 gjennomføres innenfor rammene av revisjonsplan for 2011, og er avgrenset til gjennomgang og vurdering av intern styring og kontroll i systemer og prosesser internt i Pasientreiser ANS (innenfor selskapets juridiske ansvar). Del 1 omfatter kun interne prosesser og aktiviteter. Vurderinger av prosesser og aktiviteter mellom selskapets ledelse og styret, er ikke omfattet av gjennomgangen. Gjennomgangen av tiltak for å ha styring og kontroll er videre avgrenset til faktorer som har vært ansett som de viktigste av internrevisjonen, jf. pkt 2.3. Det er gjennomført avgrensede tester i hovedsak rettet mot bestillings-, attestasjons- og anvisningsrutiner. Det Revisjonsrapport Internrevisjonen Side 6 av 30

er også lagt vekt på å bygge på resultater fra interne gjennomganger av internkontroll som er gjennomført av controller i avdeling for styre- og eieroppfølging. Del 2 er planlagt gjennomført innenfor rammer av revisjonsplan for 2012, og er planlagt å omfatte helheten i prosessene mellom selskapet og pasientreisekontorene i helseforetakene, herunder hvordan inngått avtaler, SLAer og løpende samhandling i tjenesteutøvelsen fungerer i et styrings- og kontrollperspektiv. Del 2 vil forutsette revisjonsinnsats fra de regionale internrevisjonene, og er derfor initiert overfor disse som ledd i planprosessene som skal lede frem til regionale revisjonsplaner for 2012. Revisjonsrapport Internrevisjonen Side 7 av 30

2. Virksomhetsstyring, intern styring og kontroll i Pasientreiser ANS 2.1 Virksomhetsstyring Med virksomhetsstyring menes prosessene og aktivitetene som gjennomføres for å sette interne mål, definere oppgaver og aktiviteter for å oppfylle målene, å måle resultater mot målene og bruk av informasjonen til å ha styring, kontroll og læring for å utvikle og forbedre sin interne virksomhet. Begrepet virksomhetsstyring brukes her om Pasientreiser ANS sin interne styring og oppfølging av oppgaver som skal gjennomføres for å levere tjenester som oppfyller overordnede føringer og konkrete resultatkrav som er satt av eierne, og som oppfyller forpliktelser som er nedfelt i avtaler med de regionale helseforetakene. 2.2 Intern styring og kontroll En forutsetning for god virksomhetsstyring er god intern styring og kontroll. Selskapsmøtet har i oppdragsdokumentet gitt føringer for helhetlig opplegg for god virksomhetsstyring i selskapet, herunder god intern styring og kontroll. For definisjoner og kriterier for å vurdere innholdet i intern styring og kontroll i Pasientreiser ANS, har internrevisjonen lagt til grunn anerkjente rammeverk for internkontroll 1 og helhetlig risikostyring 2. De samme rammeverkene er bl.a. benyttet i foretaksgruppen Helse Sør-Øst i arbeidet med utvikling av god virksomhetsstyring, internkontroll og risikostyring. Med internkontroll (intern styring og kontroll) menes prosesser, systemer og rutiner som er igangsatt av ledelse og ansatte for å gi rimelig sikkerhet for at Pasientreiser ANS har en målrettet og effektiv drift, rapporterer pålitelig styringsinformasjon og etterlever lover og regler. Et sentralt prinsipp er at den interne kontrollen skal tilpasses virksomhetens risiko og egenart. Å fastsette et tilstrekkelig og hensiktmessig opplegg for intern styring og kontroll forutsetter derfor at det gjennomføres prosesser for å identifisere, prioritere og håndtere risiko, dvs. risikostyring. 1 Intern kontroll et integrert rammeverk, Committee of Sponsoring Organizations of the Treadway Commission (COSO), 1992 2 Helhetlig risikostyring - et integrert rammeverk (COSO ERM), Committee of Sponsoring Organizations of the Treadway Commission (COSO)/Norges Interne Revisorers Forening (NIRF), 2005. Revisjonsrapport Internrevisjonen Side 8 av 30

I et helhetlig opplegg for intern styring og kontroll inngår 4 hovedelementer: Styrings og kontrollmiljø Etablering av målsettinger og risikovurderinger Tiltak for å ha styring og kontroll Oppfølging Elementene henger innbyrdes sammen og må ses i relasjon til hverandre i arbeidet med å utvikle og forbedre intern styring og kontroll som ledd i virksomhetsstyringen. Intern styring og kontroll er en kontinuerlig prosess som gjennomsyrer virksomheten i selskapet, og utføres av mennesker på alle nivåer, dvs. både eier. styret, ledelsen og de ansatte. Intern styring og kontroll anvendes på tvers av virksomheten, på alle nivåer og i alle enheter, i tillegg til virksomheten som helhet. Intern styring og kontroll har begrensninger som vil kunne forhindre styret og ledelsen i å ha full sikkerhet med hensyn til virksomhetens måloppnåelse. De viktigste er: Svikt i menneskelig dømmekraft kan føre til manglende/uheldige beslutninger Sammenbrudd i driftsprosesser/-systemer kan forårsakes av ubeviste feil eller ytre forhold Kontroller kan omgås gjennom samarbeid mellom to eller flere personer Ledere/nøkkelpersoner kan overstyre tiltak for intern styring og kontroll Ubalanse i risikohåndteringen - enten ved utilstrekkelige kontroller sett i forhold til nytte, eller ved at det etableres for mange kontroller sett i forhold til nytten de gir i forhold til kostnader ll Det er viktig at selskapet tar hensyn til disse forholdene i sine evalueringer av helheten i sitt opplegg for intern styring og kontroll. Revisjonsrapport Internrevisjonen Side 9 av 30

2.3 Elementer og faktorer i Pasientreiser ANS interne styring og kontroll som er omfattet av revisjonen Følgende faktorer i selskapets interne styring og kontroll er omfattet av revisjonen: Løpende oppfølging (linje/stab) - løpende ledelsesoppfølging (dag til dag) - oppfølging av avviksmeldinger - oppfølging av risikovurderinger - virksomhetsoppfølging - rapportering Interne frittstående evalueringer - internkontroll-gjennomganger - egenevalueringer - rapportering Uavhengige frittstående evalueringer - interne revisjoner - rapportering Holdninger til styring og kontroll - holdninger hos ledelse og ansatte - kommuniserte krav til styring og kontroll - etisk regelverk Organisering, ansvars- og myndighetsfordeling - organisasjonsstruktur - fordeling av ansvar, oppgaver og myndighet - kontrollspenn Ressurser/kompetanse - ressursplanlegging - balanse mellom ressurser og oppgaver - kompetansekrav - strategier/planer for utvikling og vedlikehold av kompetanse Oppfølging Tiltak for å ha styring og kontroll Etablere målsettinger og risikovurdere Styrings- og kontrollmiljø Figur 2 Elementer og faktorer i helhetlig intern styring og kontroll Selskapsomgripende kontroller - fullmaktssystem - dokumentstyringssystem - avviks- og meldesystem - varslingssystem - beredskapssystem Prosessnivåkontroller - prosedyrer og rutinebeskrivelser - kontrolldesign i prosedyrer og rutiner Transaksjonsnivåkontroller - arbeidsdeling - dokumentasjon (sporbar) - applikasjonskontroller Informasjon og kommunikasjon - pålitelig og tidsriktig informasjon - informasjonskanaler internt og eksternt Etablering av målsettinger - operasjonalisering av målsettinger og styringsindikatorer for virksomheten på bakgrunn av krav og føringer i lov og regelverk, selskapsavtale, oppdragsdokument, SLA, strategiske planer mv Risikovurderinger - prosesser for å identifisere, vurdere og håndtere risikoforhold som kan hindre måloppnåelse, etterlevelse av lov- regelverk og pålitelig styringsinformasjon Revisjonsrapport Internrevisjonen Side 10 av 30

3. Oppsummering av funn Revisjonen har omfattet systematisk gjennomgang og vurdering av 4 elementer tilordnet til sammen 28 faktorer som er vesentlige i et helhetlig opplegg for intern styring og kontroll i virksomhetsstyringen. I oppsummeringen av funnene er det benyttet en kategorisering som følger: Grønn Faktoren vurderes å være i orden, dvs. det er ikke observert vesentlige feil og/eller svakheter som forutsetter tiltak. Gul Faktoren vurderes å ha mindre feil og/eller svakheter som bør forbedres for å oppnå mer effektiv intern styring og kontroll. Rød Faktoren vurderes å ha feil og/eller svakheter som vil være vesentlige for effektiv intern styring og kontroll og bør forbedres snarlig. Oppsummert ble det funnet: 14 faktorer som er vurdert som å være i orden (grønne) 12 faktorer som er vurdert som forbedringsområder (gule) 2 forhold som er vurdert å ha svakheter som bør møtes med snarlige tiltak (røde) Internrevisjonen har hatt løpende dialog med administrerende direktør og hennes ledergruppe gjennom revisjonen. Dialogen har vært preget av gjensidig tillit og tydelig vilje til å finne frem til forbedringsområder, samt drøfte mulige tiltak for ytterligere utvikling av organisasjonen. De 2 forholdene som ble vurdert å ha svakheter som burde møtes med snarlige tiltak (røde), var knyttet til arbeidsdeling i fakturabehandlingsprosessen og praksis for anskaffelser under kr 100 000. Forholdene ble kommunisert til administrerende direktør i møte 19.12.2011, og tiltak bekreftet iverksatt med virkning primo januar 2012. Slik internrevisjonen vurderer det, er det etter dette ingen vesentlige svakheter og/eller feil innenfor de faktorene i et helhetlig opplegg for intern styring og kontroll som er undersøkt gjennom revisjonen. I fortsettelsen belyses de grønne og gule forholdene. Revisjonsrapport Internrevisjonen Side 11 av 30

3.1 Styrings- og kontrollmiljø Styrings- og kontrollmiljøet setter tonen for arbeidet med intern styring og kontroll i virksomheten. Det danner grunnlaget for de øvrige elementene som inngår i et helhetlig system for intern styring og kontroll, og har således en sterk innvirkning på om selskapets arbeid med å etablere og gjennomføre god internkontroll og risikostyring. Styrings- og kontrollmiljøet består av flere faktorer (i utgangspunktet 7), hvorav det i denne revisjonen er sett nærmere på disse: a) Holdninger til styring og kontroll - holdninger hos ledelse og ansatte - kommuniserte krav til styring og kontroll - etisk regelverk b) Organisering, ansvars- og myndighetsfordeling - organisasjonsstruktur - fordeling av ansvar, oppgaver og myndighet - kontrollspenn c) Ressurser/kompetanse - ressursplanlegging - balanse mellom ressurser og oppgaver - kompetansekrav - strategier/planer for utvikling og vedlikehold av kompetanse Funn knyttet til elementet Styrings- og kontrollmiljø er oppsummert i tabell 1 på neste side. Revisjonsrapport Internrevisjonen Side 12 av 30

IK-faktor Funn Vurdering a) Holdninger til styring og kontroll b) Organisering, ansvars og myndighetsfordeling c) Ressurser/ kompetanse Holdninger - Det er etablert gode holdninger til styring og kontroll i selskapet og viktigheten av å ha dette er både uttalt av ledelsen og forstått av de ansatte. Krav til intern styring og kontroll - Krav til intern styring og kontroll er nedfelt i styrende dokumenter som vedrører virksomhetsstyringen, men det er anlagt et snevert internkontrollperspektiv med fokus på lovetterlevelse. Etiske regler - Det er etablert etiske regler for selskapet og implementering pågår. Organisasjonsstruktur - Organisasjonsstrukturen er definert/ beskrevet og styringslinjene er tydelige. Ansvar og myndighet - Administrerende direktørs ansvar og myndighet er tydelig definert av styret. Den enkelte leders ansvar og myndighet er definert, konsistent med overordnet leders myndighet og gjort kjent i organisasjonen. Oppgavefordeling - Oppgavene til alle avdelinger unntatt IKT er i hovedsak definert og kjent internt i den enkelte avdeling og mellom disse. Tiltak innenfor IKT-avdelingen er allerede nedfelt i handlingsplan etter systemforvaltningsrevisjonen. Kontrollspenn - Kontrollspennene synes hensiktsmessige i forhold til å kunne følge opp ansvar og delegert myndighet. Ressurser - Det er tydelig bevissthet om ressursbehov for å ivareta selskapets ansvar og oppgaver, og ressursene styres i forhold til oppgaver på alle funksjoner/ nivåer, samt god balanse mellom bemanning og oppgavebelastning. Kompetanse - Det er definerte krav til ledere og medarbeideres kompetanse og det arbeides kontinuerlig med å sikre at selskapet til enhver tid har riktig kompetanse. Det er imidlertid pr i dag ikke utarbeidet strategier/planer for å ruste opp/vedlikeholde ledernes og medarbeidernes kompetanse slik at denne er best mulig tilpasset selskapets ansvar og oppgaver. Tabell 1 Funn knyttet til styrings- og kontrollmiljøet Revisjonsrapport Internrevisjonen Side 13 av 30

3.1.1 Holdninger til styring og kontroll Holdningene til styring og kontroll som selskapets ledelse uttrykker, er en viktig forutsetning for å oppnå effektiv internkontroll. Revisjonen viste at det er etablert gode holdninger til styring og kontroll i selskapet og viktigheten av å ha dette er både uttalt av ledelsen og forstått av de ansatte. Det er etter internrevisjonens vurdering ikke behov for tiltak på dette punktet. Som det fremgår av tabell 1 er det funnet et forbedringspunkt knyttet til selskapets beskrivelser av internkontroll i styrende dokumenter. I gjeldende beskrivelse av internkontroll er det anlagt et snevert internkontrollperspektiv med fokus på lovetterlevelse. Anbefalinger - For å oppnå mer effektiv kommunikasjon av innhold i og forutsetninger for god intern styring og kontroll, anbefaler internrevisjonens at det etableres et grunnlagsdokument som nedfeller krav og føringer til helhetlig intern styring og kontroll i selskapet 3.1.2 Organisering, ansvars- og myndighetsfordeling Tydelig definert organisasjonsstruktur med klare styringslinjer og ansvarsoppgaver er en grunnleggende premiss for et godt styrings- og kontrollmiljø. Som tabellen viser der det ikke funnet noen spesielle forhold som tilsier behov for tiltak når det gjelder selskapets organisasjonsstruktur, ansvars- og myndighetsfordeling, oppgavefordeling og kontrollspenn. 3.1.3 Ressurser og kompetanse Som del av et tilfredsstillende styrings- og kontrollmiljø, bør det være god balanse mellom selskapets aktivitetsnivå og ressurser for å kunne ivareta planlagte aktiviteter og oppgaver. Videre bør det være definerte krav til kompetanse og planer for utvikling og vedlikehold av kompetanse. Revisjonen har vist at det er tydelig bevissthet om ressursbehov for å ivareta selskapets ansvar og oppgaver, og ressursene styres i forhold til oppgaver på alle funksjoner/ nivåer, samt god balanse mellom bemanning og oppgavebelastning. Revisjonen har samtidig vist at det er definerte krav til ledere og medarbeideres kompetanse og det arbeides kontinuerlig med å sikre at selskapet til enhver tid har riktig kompetanse. Det er imidlertid pr i dag ikke utarbeidet strategier/planer for å ruste opp/vedlikeholde ledernes og medarbeidernes kompetanse slik at denne er best mulig tilpasset selskapets ansvar og oppgaver. Anbefalinger - For å oppnå god styring og utvikling av selskapets menneskelige ressurser anbefaler internrevisjonen at det utarbeides og besluttes plan for kompetanse i selskapet. Revisjonsrapport Internrevisjonen Side 14 av 30

3.2 Etablering av målsettinger og risikovurderinger For å kunne evaluere risikoer knyttet til måloppnåelse, pålitelig styringsinformasjon og etterlevelse av lov- og regelverk, er det en forutsetning at det er etablert klare mål for virksomheten. De overordnede målene bør være systematisert ut fra krav og føringer i lovgivningen, oppdrag og bestilling, eventuelle andre føringer fra selskapsmøtet, samt beslutninger i styret. Risikostyringen omfatter tre hovedaktiviteter: Identifisering av hendelser, risikovurdering/-prioritering og risikohåndtering. I disse aktivitetene ligger at selskapet har implementert risikostyring i løpende styring og oppfølging av sin virksomhet, at risikostyringen gjennomføres både på enhetsnivå (sannsynligvis også oppgavenivå), avdelingsnivå og aggregert for selskapet som helhet, at identifiserte risikoer vurderes og prioriteres, samt at det sette i verk tiltak for å håndtere dem. I revisjonen er det sett nærmere på disse faktorene: a) Etablering av målsettinger - operasjonalisering av målsettinger og styringsindikatorer for virksomheten på bakgrunn av krav og føringer i lov og regelverk, selskapsavtale, oppdragsdokument, SLA, strategiske planer mv b) Risikovurderinger - prosesser for å identifisere, vurdere og håndtere risikoforhold som kan hindre måloppnåelse, etterlevelse av lov- regelverk og pålitelig styringsinformasjon Funn knyttet til elementet Etablering av målsettinger og risikovurderinger er oppsummert i tabell 2 på neste side. Revisjonsrapport Internrevisjonen Side 15 av 30

b) IK-faktor Funn Vurdering a) Etablering av målsettinger b) Risikovurdering Etablering av målsettinger - Det er etablert avtaler som nedfeller mål, oppgaver og resultatkrav mellom AD og nivå 2-ledere. - Det er i hovedsak etablert avtaler eller lignende som nedfeller mål og oppgaver mellom nivå 2 og 3, men målformuleringene i disse varierer i tydelighet og konsistens mellom avdelinger og nivåer. - Det er ikke etablert en oversikt over lover og forskrifter som selskapets virksomhet er omfattet av. Identifisering, vurdering og håndtering av risiko - Det gjennomføres risikovurderinger både på et overordnet nivå og operativt i avdelingene, og vurderingene rapporteres til styret i tråd med rapporteringskravene for dette. - Tiltaksplaner for å møte risiko som er avdekket gjennom risikovurderingene blir utarbeidet og fulgt opp i linjen. Integrert risikostyring - Risikostyring som en integrert del av løpende styring og oppfølging av virksomheten i avdelingene og for selskapet sett under ett er i mindre grad utviklet. - Det varierer både hva som risikovurderes og hvordan dette gjøres i avdelingene, og de dekker i ulik grad ulike typer risikoer som strategisk risiko, operasjonell risiko i prosesser (herunder IKT-kontroller), risiko for manglende etterlevelse av lover og regler og risiko knyttet til pålitelige rapportering av styringsdata og mislighetsrisiko. Tabell 2 Funn knyttet til målsettinger og risikovurderinger 3.2.1 Etablering av målsettinger Revisjonen har vist at det er etablert avtaler som nedfeller mål, oppgaver og resultatkrav mellom AD og nivå 2-lederne. Det er i hovedsak også etablert avtaler eller lignende som nedfeller mål og oppgaver mellom nivå 2 og 3, men målformuleringene i disse varierer i tydelighet og konsistens mellom avdelinger og nivåer. Dette reduserer selskapets mulighet for optimal gjennomgående resultatstyring. Revisjonen viste at de interne målformuleringene dekker i stor grad opp de føringene og resultatkravene som eierne har stilt gjennom selskapsavtalen og oppdragsdokumentet. Det er imidlertid i liten grad nedfelt hvilke lov- og forskriftskrav som gjelder innenfor de enkelte ansvarsområdene til selskapet. Dette reduserer selskapets mulighet for effektiv styring mot lovetterlevelse. Anbefalinger Revisjonsrapport Internrevisjonen Side 16 av 30

- For å legge enda bedre til rette for å kunne evaluere risikoer knyttet til måloppnåelse, pålitelig styringsinformasjon og etterlevelse av lov- og regelverk, anbefaler internrevisjonen at det etableres en enhetlig standard for å nedfelle målsettinger og resultatkrav på, og som benyttes gjennomgående i selskapet. - Videre anbefales det lagt opp aktiviteter i forbindelse med den årlige virksomhetsplanleggingen for å sikre implementering av dette. - For å sikre mer effektiv styring mot lovetterlevelse, anbefales det at det etableres en samlet oversikt over hvilke lovkrav som gjelder for selskapet som helhet, og som systematiseres og ansvarsplasseres i de respektive avdelingene. 3.2.2 Risikovurderinger I henhold til selskapets styrende dokumenter skal det være etablert prosesser for risikovurderinger i selskapet. Risikovurderingene skal gjennomføres på alle nivåer i selskapet og et akkumulert risikobilde skal rapporteres til styret hvert halvår. Revisjonen har vist at det gjennomføres risikovurderinger både på et overordnet nivå og operativt i avdelingene, og atvurderingene rapporteres til styret i tråd med rapporteringskravene for dette. Videre har revisjonen vist at tiltaksplaner for å møte risiko som er avdekket gjennom risikovurderingene som gjennomføres blir utarbeidet og fulgt opp i linjen. Risikostyring som en integrert del av løpende styring og oppfølging av virksomheten i avdelingene og for selskapet sett under ett, er imidlertid i mindre grad utviklet. Revisjonen har vist at det varierer både hva som risikovurderes og hvordan dette gjøres i avdelingene. Gjennomgangen av risikovurderinger gjort i avdelingene og i akkumulerte vurderinger for selskapet, har vist at de i ulik grad dekker bredden av risikoer knyttet til strategisk risiko, operasjonell risiko i prosesser (herunder IKT-kontroller), risiko for manglende etterlevelse av lover og regler og risiko knyttet til pålitelige rapportering av styringsdata og mislighetsrisiko. Anbefalinger - For å sikre en helhet i risikovurderingene anbefaler internrevisjonen at det utarbeides en felles metodisk tilnærming for løpende risikoidentifisering, -vurdering og håndtering som dekker alle målsettingskategorier. Revisjonsrapport Internrevisjonen Side 17 av 30

3.3 Tiltak for å ha styring og kontroll For å ha betryggende styring og kontroll med at virksomheten gjennomføres som forutsatt, må selskapet ha utarbeidet og satt i verk tilstrekkelige og hensiktsmessige tiltak som understøtter god virksomhetsstyring. Tiltakene bør være fastsatt ut fra en klar bevissthet om hvor det er risiko for mangler, feil eller svikt i gjennomføringen. Videre bør de være fastsatt ut fra en vurdering av hvilken nytte de gir i forhold til kostnadene som er knyttet til å etablere og gjennomføre dem. I forhold til intern styring og kontroll av virksomheten i selskapet, er det sett nærmere på et utvalg av selskapsovergripende kontroller, prosessnivåkontroller og transaksjonskontroller: a) Selskapsomgripende kontroller - fullmaktssystem - dokumentstyringssystem - avviks- og meldesystem - varslingssystem - beredskapssystem b) Prosessnivåkontroller - prosedyrer og rutinebeskrivelser - kontrolldesign i prosedyrer og rutiner c) Transaksjonsnivåkontroller - arbeidsdeling - dokumentasjon (sporbar) - applikasjonskontroller d) Informasjon og kommunikasjon - tilstrekkelig, pålitelig og tidsriktig informasjon - informasjonskanaler internt og eksternt Funn knyttet til elementet Tiltak for å ha styring og kontroll er oppsummert i tabell 3-6 på de neste sidene. Revisjonsrapport Internrevisjonen Side 18 av 30

3.3.1 Selskapsomgripende kontroller Med selskapsomgripende kontroller menes kontrolltiltak som er utarbeidet for å virke på tvers av avdelingene i selskapet. Funn knyttet til selskapsomgripende kontroller er oppsummert i tabell 3. IK-faktor Funn Vurdering a) Selskapsomgripende kontroller Fullmaktssystem økonomiske fullmakter - Det er etablert manuelt fullmaktssystem for bestillings-, attestasjons- og anvisningsfullmakter, og dette gir oversikt over hvilke fullmakter som er opprettes, endres og avvikles. Samlet fullmaktsoversikt - Det er ulike oversikter over fullmakter/tilganger (lønnsportalen, regnskap, bank, PRO, NISSY og Public 360), men ingen samlet oversikt og forvaltning av dette. Det er ikke nedfelt prinsipper for hvilke tilganger en og samme person kan inneha. Dokumentstyringssystem - Det er lagt opp et manuelt dokumentstyringssystem på fellesområdet, men endelige/gjeldende styrende dokumenter og dokumenter som er uferdige/under arbeid ligger ikke adskilt. Sak/arkiv-system - Det foreligger rutine for dokumenthåndtering som nedfeller at alle arkivverdige dokumenter skannes og lagres elektronisk i Public 360 (unntaket er saksbehandlingsdokumenter som omhandles av rutinebeskrivelse for enkeltoppgjør). Enkelte dokumenter (anskaffelser) finnes i manuelt arkiv, men det mangler referanse mellom P360 og dokumenter i manuelt arkiv. Avviks- og meldesystemer - Avviks- og meldesystem er etablert på områder hvor det er lovkrav om dette (innenfor informasjonssikkerhet, PRO, NISSY), og det er nedfelt rutiner og meldingsskjemaer for disse. Det er imidlertid uklart om det er andre områder hvor det også er stilt lovkrav om avviks- og meldesystemer. Varslingssystem - Det er etablert varslingssystem etter kravene i arbeidsmiljøloven og rutiner for varsling. Rutinene er kommunisert i avdelingene. Kontinuitets- og beredskapssystem - Det er etablert rutiner for utvikling av nødrutiner, beredskaps-plan ved strømbrudd og brann, samt prosedyre for feilmelding i PRO og NISSY. Det er imidlertid ingen samlet kontinuitets- og beredskapsplan som også omfatter beredskapsledelse. Tabell 3 Funn knyttet til selskapsomgripende kontroller Revisjonsrapport Internrevisjonen Side 19 av 30

3.3.1.1 Fullmaktssystem Revisjonen viste at det er etablert et manuelt fullmaktssystem for bestillings-, attestasjons- og anvisningsfullmakter. Etter internrevisjonens vurdering gir dette tilstrekkelig oversikt over opprettelser, endringer og opphør av denne type fullmakter. Revisjonen viste samtidig at det er ulike oversikter over fullmakter/tilganger (lønnsportalen, regnskap, bank, PRO, NISSY og Public 360), men ingen samlet oversikt og forvaltning av dette. Det var heller ikke nedfelt prinsipper for hvilke tilganger en og samme person kan inneha. Anbefalinger - For å legge til rette for bedre fullmaktsstyring, anbefaler internrevisjonen at det utarbeides en fullstendig og samlet oversikt over alle fullmakter og tilganger i systemer som selskapet har ansvar for, samt at det etableres felles/gjennomgående prinsipper for forvaltning av disse. 3.3.1.2 Dokumentstyringssystem Revisjonen viste at styrende dokumenter er lagt i en mappestruktur fellesområdet, men at endelige/gjeldende styrende dokumenter og dokumenter som er uferdige/under arbeid ikke ligger adskilt. Anbefalinger - For å legge til rette for bedre oversikt over og håndtering av versjoner av styrende dokumentasjon for selskapet, anbefaler internrevisjonen at det etableres manuelle rutiner for opprettelse, endring og opphør av styrende dokumenter. 3.3.1.3 Sak/arkiv-system Revisjonen viste at det foreligger rutine for dokumenthåndtering som nedfeller at alle arkivverdige dokumenter skannes og lagres elektronisk i Public 360 (unntaket er saksbehandlingsdokumenter som omhandles av rutinebeskrivelse for enkeltoppgjør). Enkelte dokumenter knyttet til anskaffelsesprosesser som selskapet har gjennomført finnes i manuelt arkiv. Revisjonen viste at det forekommer manglende referanse mellom dokumenter i samme sak som ligger hhv. elektronisk lagret i Public 360 og dokumenter som oppbevares i manuelt arkiv. Anbefalinger - For å sikre fullstendig oversikt over arkivverdige dokumenter, anbefaler internrevisjonen at det legges referanser i sak på Public 360 og tilhørende dokumenter som ligger i manuelt arkiv. Revisjonsrapport Internrevisjonen Side 20 av 30

3.3.1.4 Avviks- og meldesystem Revisjonen viste at avviks- og meldesystem er etablert for informasjonssikkerhet, og for bruk og forvaltning av saksbehandlingssystemene PRO, NISSY. For disse områdene er det lovkrav som skal etterleves og selskapet har nedfelt rutiner og meldingsskjemaer for håndtering av dette. Revisjonen viste samtidig at det var uklart om det også for andre områder som selskapet har ansvar for, er lovkrav om avvikssystemer. Anbefalinger - Internrevisjonen anbefaler etter dette at det foretas en nærmere vurdering av om det bør etableres avviks- og meldesystemer på andre områder innenfor selskapets virksomhet. 3.3.1.5 Varslingssystem Revisjonen viste at det er etablert varslingssystem etter kravene i arbeidsmiljøloven og at rutiner for varsling er kommunisert i avdelingene. Etter internrevisjonens syn er det ikke behov for tiltak på dette området. 3.3.1.6 Kontinuitets- og beredskapssystem Revisjonen viste at det er etablert rutiner for utvikling av nødrutiner, samt utarbeidet beredskapsplan ved strømbrudd og brann. Det er også utarbeidet prosedyrer for feilmelding i PRO og NISSY. Isolert sett synes de vesentligste områdene som det må foreligge tydelige planer for ved eventuelle plutselige hendelser eller kriser sikre. Det er imidlertid ingen samlet kontinuitets- og beredskapsplan som også omfatter beredskapsledelse. Anbefalinger - For å styrke dette området, anbefaler internrevisjonen at selskapet vurderer å utarbeide en samlet kontinuitets- og beredskapsplan. 3.3.2 Prosessnivåkontroller Med prosessnivåkontroller menes kontrolltiltak som er utarbeidet som integrert del av arbeidsprosessene i selskapet, og som har til hensikt å redusere risiko for feil og/eller svakheter i disse. Funn knyttet til prosessnivåkontroller fremgår av tabell 4. Revisjonsrapport Internrevisjonen Side 21 av 30

IK-faktor Funn Vurdering b) Prosessnivåkontroller Prosedyrer og rutinebeskrivelser - Det er utarbeidet beskrivelser av arbeidsprosesser for de fleste områder, men beskrivelser/ dokumentasjon varierer mellom avdelingene - fra oversiktelige prosesstegskart med tilhørende rutinebeskrivelser (drift), til mer omfattende skriftlige beskrivelser (økonomi). Generelt er grensesnitt mellom avdelinger i liten grad beskrevet. Kontrolldesign i prosedyrer og rutiner - Prosessbeskrivelsene og rutinene beskriver i liten grad kontrollhandlinger i prosesser og oppgaver. Verken nøkkelkontroller og sekundære kontroller er nedfelt. - Helheten i kontroller (programmerte rutiner og manuelle rutiner) for NISSY og PRO er ikke dokumentert. Tabell 4 Funn knyttet til prosessnivåkontroller 3.3.2.1 Prosedyrer og rutinebeskrivelser Beskrivelser av arbeidsprosesser og prosedyrer med eventuelle tilhørende rutiner, er en viktig forutsetning for god understøttelse av de operative oppgavene som utføres i avdelingene, og dermed også viktige for effektiv drift og god måloppnåelse. Beskrivelser av arbeidsprosesser gjør det mulig å se eksisterende systemer, ressurser, oppgaver og aktiviteter i sammenheng og opp mot målsettingene for selskapets drift. De bidrar til klarhet i grensesnitt, samhandlingsbehov, oppgaver og krav til leveranser mellom avdelingene og personer som arbeider med oppgaver som må løses på tvers av flere avdelinger. Revisjonen viste at det er utarbeidet beskrivelser av arbeidsprosesser for de fleste områder, men at måten det er gjort på og dokumentasjonen av dette varierer mellom avdelingene - fra oversiktelige prosesstegskart med tilhørende rutinebeskrivelser (drift), til mer omfattende skriftlige beskrivelser (økonomi). Generelt er grensesnitt mellom avdelinger i liten grad beskrevet. Anbefalinger - For å utvikle prosessene og tydeliggjøre innholdet i disse, samt avklare forventninger til leveranser mellom avdelingene, anbefaler internrevisjonen at selskapet vurderer en enhetlig måte å beskrive og dokumentere arbeidsprosesser og rutiner på. Revisjonsrapport Internrevisjonen Side 22 av 30

3.3.2.2 Kontrolldesign i prosedyrer og rutiner Revisjonen har vist at prosessbeskrivelsene og rutinene i liten grad beskriver kontrollhandlinger. Verken nøkkelkontroller og sekundære kontroller er nedfelt, og det er heller ingen tydelig tilnærming til kontroller som skal virke forebyggende vs. oppdagene/korrigerende. Revisjonen viste også at helheten i kontroller for NISSY og PRO ikke dokumentert. I dette ligger at oversikt over programmerte rutiner i systemene og manuelle rutiner for brukerne av systemene, ikke er sett i en tydelig sammenheng. Dette svekker kontrolleffektiviteten. Anbefalinger - For å sikre at det er definert tydelig krav til kontrollhandlinger, herunder hvordan de skal gjennomføres, hvem som skal gjøre det, når det skal skje og hvordan det skal dokumenteres, anbefaler internrevisjonen at det foretas en gjennomgang av prosedyrer og rutiner for nedfelle kontrollhandlinger i arbeidsprosessene. - For å sikre at det er effektive kontroller, anbefaler internrevisjonen at systemdokumentasjon for PRO og NISSY gjennomgås nærmere for å sikre at manuelle rutiner tilpasses ut fra hvilke programmerte rutiner som ligger i/kan legges inn i systemene. 3.3.3 Transaksjonskontroller Med transaksjonskontroller menes kontrolltiltak som er utarbeidet for å redusere risiko for feil og/eller svakheter i gjennomføringen av konkrete arbeidsoppgaver. Funn knyttet til transaksjonskontroller fremgår av tabell 5. IK-faktor Funn Vurdering c) Transaksjonskontroller Arbeidsdeling og sporbarhet - Det er etablert rutiner for innkjøp, attestasjon og anvisning. Disse definerer arbeidsdeling mellom bestilling/attestasjon og anvisning, men rutinene åpner for at bestilling kan gjøres uten forutgående godkjenning fra budsjettansvarlig. Tabell 5 Funn knyttet til transaksjonskontroller Revisjonsrapport Internrevisjonen Side 23 av 30

3.3.3.1 Arbeidsdeling og sporbarhet Revisjonen har vist at det er etablert rutiner for innkjøp, attestasjon og anvisning. Disse definerer arbeidsdeling mellom bestilling/attestasjon og anvisning, men rutinene åpner for at bestilling kan gjøres uten forutgående godkjenning fra budsjettansvarlig. Dette er ugunstig fordi det er bestillingen som utløser kjøpsforpliktelsen. Anbefalinger - For å styrke området, anbefaler internevisjonen at rutinene endres slik at det må innhentes godkjenning fra budsjettansvarlig leder før bestilling foretas. For mindre kjøp anbefales dette løst gjennom forhåndsgodkjenninger, mens det for større kjøp anbefales rutine for innhenting av godkjenning pr tilfelle. 3.3.4 Informasjon og kommunikasjon Funn knyttet til informasjon og kommunikasjon fremgår av tabell 6. IK-faktor Funn Vurdering d) Informasjon og kommunikasjon Tilstrekkelig, pålitelig og tidsriktig informasjon, herunder informasjonskanaler - Det foreligger rutiner og prosesser for kommunikasjon både internt og ekstern - Spørreundersøkelsen viser at kommunikasjon innad i avdelingene er god, men kan utvikles på tvers av avdelinger i ANSet for å optimalisere prosjekter og daglig drift. Tabell 6 Funn knyttet til informasjon/kommunikasjon 3.3.4.1 Tilstrekkelig, pålitelig og tidsriktig informasjon, herunder informasjonskanaler Pålitelig styringsinformasjon er en vesentlig faktor for effektiv intern styring og kontroll. Det må derfor være etablert gode systemer og rutiner for å sikre at nødvendig styringsinformasjon blir identifisert, bearbeidet og kommunisert i en hensiktsmessig form og til riktig tid slik at de understøtter oppgaveutførelsen til den enkelte ansatte i selskapet. Revisjonen viste at det er etablert rutiner og prosesser for intern og ekstern kommunikasjon. Revisjonen viste også at kommunikasjon innad i avdelingen er god, men kan fortsatt utvikles på tvers av avdelingene. Etter internrevisjonens vurdering vil arbeid med å beskrive arbeidsprosesser intern i den enkelte avdeling og på tvers av avdelingene, bidra til dette på en god måte. Revisjonsrapport Internrevisjonen Side 24 av 30

3.4 Oppfølging Et hensiktsmessig oppfølgings- og rapporteringssystem sikrer at virksomheten følges opp og vurderes opp mot målsettinger, krav og føringer for driften. Oppfølgingsaktivitetene kan grupperes i løpende oppfølging i linje/stab, gjennom interne evalueringer av frittstående karakter, samt gjennom uavhengige frittstående evalueringer. Løpende oppfølging omfatter alt fra dag til dag-ledelse, til periodiske virksomhetsrapporteringer til ledelse og styret. Interne frittstående evalueringer omfatter for eksempel egenevalueringer og eventuelle interne revisjoner som ledd i administrerende direktørs ansvar for god intern styring og kontroll. Dette til forskjell fra uavhengige frittstående evalueringer som primært gjennomføres på oppdrag fra styret. I forhold til oppfølgingselementet i et helhetlig opplegg for intern styring og kontroll er det sett nærmere på disse faktorene: a) Løpende oppfølging (linje/stab) - løpende oppfølging av ledelsen (dag til dag) - oppfølging av avviksmeldinger - oppfølging av risikovurderinger - virksomhetsoppfølging - rapportering b) Interne frittstående evalueringer - internkontroll-gjennomganger - egenevalueringer - rapportering c) Uavhengige frittstående evalueringer - interne revisjoner - rapportering Funn knyttet til informasjon og kommunikasjon fremgår av tabell 7. Revisjonsrapport Internrevisjonen Side 25 av 30

IK-faktor Revisjonskriterier Vurdering a) Løpende oppfølging (linje/stab) b) Interne frittstående evalueringer c) Uavhengige frittstående evalueringer Oppfølging og rapportering - Det er gjennomgående etablert god løpende oppfølging på dag til dag-basis innenfor alle ansvarsområder og som er tilpasset ulike ansvarsområder. - Virksomhetsoppfølging med analyse og vurdering av styringsinformasjon gjennomføres i samsvar med etablerte prosedyrer og rapporteres til ledelse og styret innenfor fastsatte frister. Tilsvarende gjelder for halvårlige risikovurderinger, LGG, regnskapsavslutning og årsrapporteringen. - Forhold som avdekkes gjennom risikovurderinger følges opp gjennom tiltak. Interne gjennomganger og vurderinger av Internkontroll - Det er etablert systemer for regelmessig gjennomgang av internkontroll. Planlegging, gjennomføring, rapportering og oppfølging av gjennomgangene fremstår som meget gode. - Det gjennomføres egenevalueringsaktiviterer flere steder i selskapet for kontinuerlig forbedring. Så langt det har vært mulig å se for internrevisjonen, blir resultatene fra disse aktivitetene omsatt til tiltak. Uavhengig internrevisjonsfunksjon - Uavhengig internrevisjonsfunksjon med rapportering til styret og ledelsen etablert i samsvar med anerkjente faglige standarder. Tabell 7 Funn knyttet til oppfølgingen av selskapets virksomhet 3.4.1 Løpende oppfølging Med løpende oppfølging menes ledelsesmessig dag til dag-oppfølging, herunder oppfølging av eventuelle avviksmeldinger, og tiltaksplaner etter risikovurdering. I løpende oppfølging ligger også den regelmessige oppfølging og rapportering av virksomheten internt og til styret som skjer månedlig, tertialvis, halvårlig og årlig. Revisjonen viste at det gjennomgående er etablert god løpende oppfølging på dag til dag-basis innenfor alle ansvarsområder og som er tilpasset ulike ansvarsområder. Virksomhetsoppfølging med analyse og vurdering av styringsinformasjon gjennomføres i samsvar med etablerte Revisjonsrapport Internrevisjonen Side 26 av 30

prosedyrer og rapporteres til ledelse og styret innenfor fastsatte frister. Tilsvarende gjelder for halvårlige risikovurderinger, LGG, regnskapsavslutning og årsrapporteringen. Revisjonen viste også at forhold som avdekkes gjennom risikovurderinger følges opp gjennom tiltak. Etter internrevisjonens vurdering er den løpende oppfølgingen av selskapets drifts- og utviklingsaktiviter godt organisert og gjennomført. Så langt internrevisjonen kan se, er det ingen tiltaksbehov på dette området pr i dag. 3.4.2 Interne frittstående evalueringer Revisjonen viste at det er etablert et system for regelmessig gjennomgang av internkontroll. Planlegging, gjennomføring, rapportering og oppfølging av gjennomgangene fremstår som meget gode. Revisjonen viste også at det gjennomføres egenevalueringsaktiviterer flere steder i selskapet for kontinuerlig forbedring. Så langt det har vært mulig å se for internrevisjonen, blir resultatene fra disse aktivitetene omsatt til tiltak. Etter internrevisjonens vurdering er det ingen tiltaksbehov innenfor selskapets opplegg for interne frittstående evalueringer pr i dag. 3.4.3 Uavhengige frittstående evalueringer Selskapet har etablert uavhengig internrevisjonfunksjon med rapportering til styret og ledelsen i samsvar med anerkjente faglige standarder. Revisjonsrapport Internrevisjonen Side 27 av 30

4. Vedlegg 4.1 Informasjonsgrunnlag I forbindelse med av revisjonen mottok internrevisjonen et omfattende dokumentasjonsunderlag. Under er de viktigste dokumentene som er benyttet for å underbygge de konklusjoner som er trukket i rapporten gjengitt. Dok nr Beskrivelse Mottatt Gjennomgått Kommentar 1 Strategiplan pasientreiser 2011 2012 X X 2 Oppdragsdokument Pasientreiser ANS 2011 X X 3 Organisasjonskart X X 4 Styringsdokument internkontroll X X 5 Veiledning for beredskapsplaner X X 6 Selskapsavtale etter selskapsmøtet 14.06.10 X X 7 SLA-avtale desember 2010 m/vedlegg X X 8 Prosess enkeltoppgjør X X 9 Spilleregler 2011 (driftsavdelingen) X X 10 Avviksbehandling X X 11 Avvikshåndtering og egenkontroll X X 12 A Nødrutiner X X 13 Prosedyre for risikovurdering X X 14 Risikokartlegging HMS X X 15 HMS Årshjul årlige aktiviteter Pasientreiser ANS 12.12.2010 med utsjekk X X 16 Prosedyre for anskaffelser X X 17 Rutine for bestillinger X X 18 Internkontroll Økonomi og HR 26.10.11 X X 19 HANDLINGSPLAN 2011 Regelverk X X 20 Sak 135 2011 Lederavtale fagsjef X X 21 Avtaler mellom fagsjef og fagansvarlige X X Revisjonsrapport Internrevisjonen Side 28 av 30

Dok nr Beskrivelse Mottatt Gjennomgått Kommentar 22 KPI-er fagavdelingen X X 23 Risikovurderinger alle avdelingene X X 24 Instruks for administrerende direktør X X 25 Instruks Budsjett for 2012 Oppsummering etter oppstartsmøtet 4. juli 2011 X X 4.2 Gjennomførte intervjuer Dato Navn/rolle Gjennomført Dokumentert Kommentar 21.11.2011 Marit Kobro, Eirik Andersen, Øystein Næss, Hilde Holt og Per Monstad Halvorsen Ledergruppen 30.11.2011 Øystein Næss Økonomi- og IKT-sjef X X X X Introduksjonsmøte oppstart 30.11.2011 Tone Bratsberg, Elisabeth Gylder Vingereid og Frode Sjursen Økonomi X X Gruppeintervju 20.12.2011 Roy Smelien Seniorrådgiver x x 30.11.2011 Stian Larsen, Kjersti Odden Christensen og Vetle Lunde-Aaltvedt IKT X X Gruppeintervju 30.11.2011 Elisabeth Gylder Vingereid ass økonomisjef X X 05.12.2011 Hilde Holt Juridisk fagsjef X X 20.12.2011 Anne Tilly Bagås Jurist fagavdeling X X 05.12.2011 Marit Follegg Paulsen Jurist fagavdelingen X X På telefon 05.12.2011 Heidi Sønstebø Opplæringsansvarlig X X Pr. e-post og telefon 05.12.2011 Ane Hobæk Ose Kommunikasjonsrådgiver X X 06.12.2011 Per Halvorsen Driftssjef X X 2 intervjuer /19.12.2011 06.12.2011 Marit Brokke Leder tilleggstjenester X X 06.12.2011 Kjetil Dahl Nestleder drift X X 06.12.2011 Jeanette Holtan, Per Olstad og Rikke Ditlefsen Gruppeledere drift X X Gruppeintervju Revisjonsrapport Internrevisjonen Side 29 av 30

19.12.2011 Maya Larsson Sekretær X X 01.12.2011 Alf Olav Uldal Controller X X Telefonintervju den 1.des. /19.12.2011 20.12.2011 Eirik Andersen - Leder for styre- og eieroppfølging X X 20.12.2011 Marit Kobro Administrerende direktør X X 04.01.2012 Marit Kobro, Eirik Andersen X X Resultatgjennomgang 04.01.2012 Hilde Holt X X Resultatgjennomgang 05.12.2012 Øystein Næss X X Resultatgjennomgang 05.12.2012 Per Halvorsen X X Resultatgjennomgang 05.12.2012 Alf Olav Uldal X X Resultatgjennomgang 4.3 Saksgang Dato Aktivitet 4. - 5.1 2012 Gjennomgang av revisjonsgrunnlag og funn fra gjennomgangen med administrerende direktør og hennes ledergruppe 12. 1.2012 Sluttmøte med administrerende direktør og hennes ledergruppe 18.01.2012 Kort orientering til styret om status for arbeidet 26.01.2012 Utsendelse av rapportutkast 03.02.2012 Tilbakemeldinger på rapportutkast 10.02.2012 Utsendelse av endelig revisjonsrapport 05.03.2012 Styrebehandling av revisjonsrapport og handlingsplan Revisjonsrapport Internrevisjonen Side 30 av 30

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding