For Kontrollutvalg 30.11.15 v/rådmann Thor Smith Stickler OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?
Definisjon av internkontroll - PwC Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter utformes, gjennomføres og følges opp med basis i vurderinger av risiko for styringssvikt, feil og mangler i virksomhetens arbeidsprosesser Definisjon av internkontroll - COSO "Den prosessen som er utformet og gjennomføres av de som har overordnet ansvar for styring og kontroll og av andre medarbeidere for å gi rimelig sikkerhet for at enheten når sine mål med hensyn til pålitelig økonomisk rapportering, effektiv drift samt overholdelse av lover og forskrifter" Kilde: 85 tilrådingar side 21
23.2 Administrasjonssjefens oppgaver og myndighet Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll.
Oppdraget som gis i Kommuneloven 23.2 Definerer rådmannens overordnede ansvar for at kommunens administrasjon drives innenfor lovlige rammer Hvilket kan tolkes som at følgende kriterier må være oppfylt Klar ansvarsdeling og delegering Kontroll gjennom organisering av tjenester Kontroll gjennom utforming av rutiner for styring og rapportering Etterlevelse av politiske vedtak, lov og forskrift, samt egne regler og rutiner Sørge for at saker er forsvarlig utredet, at prinsippet om fullført saksbehandling følges opp Kilde: KRD/Agenda 2008 s.18
Betryggende kontroll Klargjøring av hva som er betryggende kontroll Avhenger av hvilke utfordringer kommunen har Avhenger av hvilken risiko man er villig til å akseptere Det er i stor grad et kommunalt valg å avgjøre hva det vil si å ha betryggende kontroll Kilde: KRD/Agenda 2008 s.22
Dokumenter som må finnes, eller kriterier som må være oppfylt? Ansvarsdeling Organisering Rutiner Kontroller Rapportering Prosesser Systematisk (ikke tilfeldig) Dokumentert (gjenfinnbart) Rapportert (formidlet) Mye av det som gjøres blir ikke oppfattet som IK Mye gjøres uten at det er formalisert, og blir ikke dokumentert En del gjøres ikke!
Tre råd for å styrke den administrative internkontrollen Risikoanalyser bør være grunnlag inngå i ordinær ledelse og virksomhetsstyring Formalisering av det som gjøres
SERVICE STOLTHET TRIVSEL
Etterlevelse av lover og regler Godt omdømme og legitimitet Helhetlig styring og riktig utvikling Risikovurdering Forbedre Etablere Sektorovergripende Formalisering Rapportere Tjenestespesifikk Etterleve Kontrollaktiviteter Støtteprosesser Vedlikeholde Kvalitet og effektivitet i tjenesteproduksjonen
Hensiktsmessig organisering og gode rutiner to perspektiver på hva som bør vektlegges Formelle strukturer Styringsprosessen Kilde: KRD/Agenda 2008 s.19
Forutsetninger for god internkontroll Risikovurdering Grunnlag for innretning av internkontrollen Grunnlag for tiltak og kontrollaktiviteter Strategisk nivå og operativt nivå Formalisering Organisering, ansvar og roller Dokumentasjon, rutiner og prosedyrer Rapportering og aggregering Kontrollaktiviteter Gjennom daglig og faglig virksomhet Planlagte, stikkprøver og faste kontroller Avvikshåndtering
Organisering, ansvar og roller Organisering av internkontroll bør følge administrativ oppbygging, og være overlappende med delegasjonsreglement, lederavtaler, kommunikasjonslinjer Risikovurderinger blir best når de gjennomføres i ytterste ledd Rådmannsnivåets oppmerksomhet bør være på vedlikehold og etterlevelse
Strukturering av dokumentasjon
Rapportering og aggregering Styringssystemet bør fungere som et "ankerfeste" for internkontrollaktiviteter; rapporteringstidspunkter og roller Hva bør få mest oppmerksomhet Risikovurderinger gir internkontroll basert på vurdering, for å unngå uønskede hendelser Avvikshåndtering gir internkontroll basert på erfaring, dvs at uønskede hendelser har skjedd Faste rapporteringspunkter Aggregering og vesentlighet
Oppsummering Forutsetninger for god internkontroll og trygg rådmann Gjennom risikovurderinger og aggregert informasjon bør rådmannen være oppdatert på risikobildet og tilstanden. Risiko- og kontrollmatriser på tjenestenivå vil klargjøre hvorvidt det er utarbeidet tilstrekkelige rutiner og prosedyrer, og hvorvidt disse følges Vurdere særskilt risikovurdering for rådmannsnivået for å avdekke andre risikoer og ivareta ledelsens prioriteringer, også mht måloppnåelse Ha tydelige forventninger til dokumentasjon. Tilrettelegge gjennom maler og ensartet praksis for sammenliknbare aktiviteter. Rådmannen må etterspørre resultater, og vise at forbedringsprosesser og vedlikehold er viktig Styringssystem, delegasjon og lederavtaler skal gi rådmannen trygghet for at det bedrives betryggende kontroll i organisasjonen. Å gå foran som et godt eksempel stimulerer til etterlevelse.
Sektorovergripende internkontroll - Regelverk og retningslinjer kommunen som minimum bør ha på plass Hva Delegeringsreglement fra kommunestyret til rådmannen Administrative fullmakter Økonomireglement/-håndbok Finansreglement Anskaffelsesreglement Personalområdet Etiske retningslinjer Lederavtaler Arkivplan, dokumenthåndtering Datasikkerhet, personopplysninger HMS Krise og beredskap Avvikshåndtering Hensikt og innhold Klargjøre rådmannens ansvar og myndighet, hva som tilligger ulike utvalg, og hva Kst (selv) har ansvar for. Anbefales rullert innen 1.juli året etter valget. Indirekte lovpålagt Avklare roller, ansvar, myndighet delegasjon fra rådmann og ut i organisasjonen Rutiner for lønn, fakturering og innkreving, attestasjon og anvisning, føring av investeringsregnskap. Evt krav om etablering av rutiner på virksomhetsnivå. Målsettinger, strategier og rammer for plassering av midler, utlån og innlån Fastsette innkjøpspolitikk, rutinebeskrivelser for ulike anskaffelser, oversikt over inngåtte rammeavtaler Ansettelser, arbeidstid, permisjoner Klargjøre arbeidsgivers/ledelsens ståsted, gi støtte til vurderinger av enkelttilfeller, regler om varsling Avklart oppdrag og forventninger innenfor økonomi, fag, personalansvar og internkontroll Samleplan som viser hva arkivet omfatter og hvordan det er organisert, inkl instrukser, regler og planer. Lovpålagt Ivareta datasikkerhet, personvern. Lovpålagt Sikre systematisk oppfølging av krav til helse- miljø og sikkerhet. Lovpålagt Krisehåndtering, beredskap Systematisk håndtering av avvik skal bidra til at lovbrudd og andre avvik fra rutiner blir dokumentert, lukket, benyttet i utviklingsarbeid og rapportert til overordnet nivå