Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter Prosjektplan/engagement letter September 2013
Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier... 5 2.1 Internkontroll... 5 2.1.1 Rammeverk for internkontroll... 5 2.2 Revisjonskriterier for utvalgte områder... 7 3. Metodisk tilnærming... 8 3.1 Innledning... 8 3.2 Metodisk tilnærming... 8 4. Tid og ressursbruk... 10 4.1 Tidsbruk... 10 4.2 Gjennomføringsperiode... 10 4.3 Fakturering... 10
1. Innledning 1.1 Bakgrunn Deloitte har med utgangspunkt i bestilling fra kontrollutvalget 19. juni 2013, sak 42/13, utarbeidet en prosjektplan for forvaltningsrevisjon av Internkontroll i følgende resultatenheter i Bergen kommune: Bergen brannvesen Kemneren Bergen Bolig og Byfornyelse KF Dette prosjektet inngår som del av en rekke forvaltningsrevisjoner av internkontroll i utvalgte resultatenheter i Bergen kommune. Det ble vinteren 2013 gjennomført forvaltningsrevisjon av internkontroll i fem resultatenheter. Kontrollutvalget har bedt revisjonen om å gjennomføre tilsvarende forvaltningsrevisjoner i flere enheter, hvorav tre resultatenheter. Denne prosjektplanen omhandler de tre utvalgte resultatenhetene. Enhetene er valgt ut med bakgrunn i et ønske om å se nærmere på styring og kontroll i større resultatenheter. Fokus vil derfor være på overordnet nivå, og ikke på de enkelte tjenestesteder/underavdelinger. Bergen kommune består av rundt 300 resultatenheter. En resultatenhet kan bestå av flere tjenestesteder. Av informasjon om organiseringen i Bergen kommune går det frem at resultatenhetslederne har vide fullmakter og et selvstendig økonomiansvar, herunder ansvar for drift av tjenestene, ansvar for kvalitet på tjenestene og arbeidsgiveransvar i forhold til medarbeiderne 1. Resultatenhetslederne rapporterer til kommunaldirektørene innenfor sitt område. I en så stor organisasjon som Bergen kommune vil det fra et kontrollperspektiv være utfordrende å ha oversikt over status på ulike områder innen alle resultatenheter. Hver resultatenhet har et selvstendig ansvar for etterlevelse av regelverk og interne retningslinjer, og skal gjennom etablering av intern kontroll sikre god styring og kontroll. I forbindelse med overordnet analyse i Bergen kommune, som er gjennomført som grunnlag for utarbeidelse av gjeldende plan for forvaltningsrevisjon, har det blant annet blitt pekt på risiko for manglende etterlevelse av fullmakter og ivaretakelse av krav til internkontroll. Dette er forhold som er vesentlige for å sikre god styring og kontroll i den enkelte resultatenhet. Denne prosjektplanen beskriver gjennomføring av standardiserte kontroller innenfor resultatenhetene, men med muligheter for å tilpasse kontrollene til spesielle risikoforhold ved den enkelte enhet. Kontrollene dekker tema relatert til internkontroll og regeletterlevelse innenfor områder som mål- og resultatstyring, økonomistyring, anskaffelser, helse, miljø og sikkerhet, samt informasjonssikkerhet. 1.2 Formål og problemstillinger Formålet med gjennomgangen av internkontrollen i resultatenhetene er å få gjennomført en effektiv kontroll av system og rutiner, samt etterlevelse av styringsdokumenter og regelverk på sentrale 1 https://www.bergen.kommune.no/politikk/slik-styres-bergen/7006/article-79692 3
områder i kommunen. For å få et godt innblikk i status for internkontroll i resultatenhetene vil vi i denne undersøkelsen se nærmere på problemstillinger knyttet til i hvilken grad enheten har etablert system og rutiner og etterlever krav knyttet til: internkontrollsystem mål- og resultatstyring økonomistyring offentlige anskaffelser helse- miljø og sikkerhet (HMS) informasjonssikkerhet Kontrollene som skisseres her, vil gi viktig informasjon til organisasjonen, og er egnet til å avdekke forbedringsmuligheter, risikoer og eventuelle brudd på regelverk og retningslinjer. Kontrolltilnærmingen vil også gi muligheter for å identifisere områder og tema hvor det kan være utfordringer på tvers av resultatenheter og byrådsavdelingene. Funn fra revisjonen av enhetene vil også kunne gi grunnlag for å beslutte gjennomføring av forvaltningsrevisjoner på enkeltområder, for å få ytterligere kunnskap om kvalitet og effektivitet i tjenesteutførelsen. 4
2. Revisjonskriterier 2.1 Internkontroll Det fremgår av kommuneloven 2 20.2 at kommunerådet «skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll.» I Ot.prp. nr. 70 (2002 2003) fremgår det at administrasjonssjefen har et selvstendig ansvar for å føre kontroll med kommunens virksomhet. Det er ledelsen i en organisasjon som har ansvaret for å etablere et tilfredsstillende internkontrollsystem. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. I Bergen kommune har resultatenhetslederne fått delegert vide fullmakter og et selvstendig økonomiansvar, herunder ansvar for drift av tjenestene, ansvar for kvalitet på tjenestene og arbeidsgiveransvar i forhold til medarbeiderne. 3 En viktig del av internkontrollen må derfor utøves på resultatenhetsnivå. 2.1.1 Rammeverk for internkontroll Det finnes flere rammeverk for hvordan en kan utarbeide et overordnet internkontroll system. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen. 4 Hovedelementene i COSO-modellen består av elementer som er felles for flere av de ulike rammeverkene for internkontroll. Viktige elementer er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsens oppfølging Komponentene er gjensidig avhengige av hverandre, og likeverdige deler av et internkontrollsystem. COSO-modellen kan illustreres slik: 2 Kommunal- og regionaldepartementet: Lov om kommuner og fylkeskommuner (kommuneloven). LOV-1992-09-25-107. 3 https://www.bergen.kommune.no/politikk/slik-styres-bergen/7006/article-79692 4 Se norsk oversettelse i Internkontroll et integrert rammeverk. Norges interne revisorers forening (1996), Oslo: Norges interne revisorers forening (NIRF). 5
Figur 1: Illustrasjon av COSO-modellen Kontrollmiljøet er grunnmuren i internkontrollsystemet, og består av medarbeidernes holdninger, etiske verdier og kompetanse. Kontrollmiljøet blir påvirket av hvordan virksomheten er organisert, hvilken ledelsesfilosofi som gjelder og hvordan lederskapet blir praktisert. Videre skal risikovurderinger sikre at de arbeidsprosessene som har høyest sannsynlighet for, og konsekvens av, svikt, feil eller mangler blir identifisert. Det er et mål at ledelsen skal ta hensyn til risikovurderingene i utformingen av internkontrollen, ved at man fokuserer og avgrenser internkontrollen til de arbeidsprosessene som har høyest risiko. Kontrollaktivitetene er de tiltakene som blir iverksatt for å sikre etterlevelse av regelverk, retningslinjer og krav til tjenesteutførelse, og for håndtere risiko avdekket i risikovurderingen. Formålet med kontrollaktivitetene er å bidra til at rutiner og system skal fungere slik som bestemt. For å oppnå god internkontroll er det ifølge COSO-modellen videre viktig med effektiv og tidsriktig informasjon og kommunikasjon, både horisontalt og vertikalt i organisasjonen. Dette er nødvendig for at den enkelte skal kunne utføre det ansvaret de er tildelt. For å sikre gjennomføring av handlinger eller endringer som er nødvendige for å oppnå god internkontroll, er også ledelsens oppfølging viktig. Resultater skal følges opp for å avdekke om de er i samsvar med virksomhetens strategier og planer. 6
De ulike elementene er oppsummert i tabellen under: COSO Område Beskrivelse Praktiske eksempler Kontrollmiljø Fundamentet for god internkontroll. Ledelsens holdning, adferd og definerte retningslinjer er utgangspunktet for god internkontroll. Retningslinjer, organisering, ansvars- og myndighetsfordeling Retningslinjer og rutiner Ressurser og kompetanse Samhandling Risikovurdering Risikovurdering foretas på både overordnet og detaljert plan. Konkrete handlinger iverksettes for å møte risikoen. Fastsette mål Identifisere risiko Vurdere og prioritere risiko Håndtere risiko Kontroll-aktiviteter Kontrollaktiviteter etableres for å sikre at retningslinjer, prosedyrer og andre krav etterleves i praksis. Etableres for å redusere risiko og unngå uønsket adferd. Retningslinjer, prosedyrer og rutiner Nøkkelkontroller, detaljerte kontrollaktiviteter som møter identifisert risiko Systemstøtte og IT-kontroller Informasjon og kommunikasjon Det må legges til rette for effektiv kommunikasjon, informasjonsdeling og rapportering Rapportering oppover Kommunikasjon nedover / oppover / til siden IT-systemstøtte for effektiv kommunikasjonsflyt Oppfølging Ledelsen må etablere mekanismer for å følge opp at internkontrollen fungerer Løpende oppfølging Evalueringer Korrigerende tiltak ved avvik Det er ikke et krav i regelverket at internkontrollsystemet i kommunen skal være basert på COSOmodellen, men modellen representerer hovedelementer som bør inngå i en overordnet vurdering av internkontroll. Det er også viktig at internkontrollen tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. I dette prosjektet er modellen benyttet som et retningsgivende rammeverk for god internkontroll. 2.2 Revisjonskriterier for utvalgte områder For de ulike områdene som er omfattet av forvaltningsrevisjonen, vil det også være spesifikke krav til internkontroll. Disse vil også bli lagt til grunn for undersøkelsen. 7
3. Metodisk tilnærming 3.1 Innledning Ved revisjon av resultatenhetene vil det være fokus på tema som er relevante på tvers av virksomhetsområdene. Utgangspunktet er at resultatenhetene gjennom egne internkontrollsystemer skal sikre god styring og kontroll. Det vil derfor i stor grad være fokus på å kartlegge hvilke system og rutiner den enkelte resultatenhet har innenfor områdene som blir kontrollert. I gjennomgangen vil det være fokus på internkontrollsystem, mål- og resultatstyring, økonomistyring, anskaffelser, helse, miljø og sikkerhet, samt informasjonssikkerhet. Disse områdene er relevante på tvers av virksomhetsområdene, og er sentrale for å sikre effektiv drift i samsvar med regelverk og retningslinjer. 3.2 Metodisk tilnærming Standardisering For å sikre en enhetlig og standardisert kontroll av resultatenhetene er det utarbeidet sjekklister med kontrollspørsmål innenfor hvert tema som skal kontrolleres. Sjekklistene inneholder kontrollpunkter som skal gi grunnlag for å gi en vurdering av status på hvert enkelt område som er kontrollert. Hoveddelen av revisjonen vil bli gjennomført i lokalene til den enkelte resultatenhet. Vi vil i den forbindelse også gjennomføre samtaler med ledelsen og annet nøkkelpersonell ved enheten. Gjennomføring Kontrollopplegget i forbindelse med gjennomføring av revisjonen i den enkelte resultatenhet, vil inneholde følgende elementer: 1. Revisjonsteamet innhenter og gjennomgår overordnede styringsdokumenter og rapporter for resultatenheten. 2. Revisor ber resultatenheten om å sende over en oversikt som viser alle utbetalinger fra resultatenheten til leverandører i 2012, for å vurdere om det skal gjøres stikkprøvekontroll av anskaffelser. 3. Revisor utarbeider en liste over nødvendig dokumentasjon som skal være tilgjengelig i forbindelse med revisjonsbesøk ved enheten, og oversender denne til resultatenheten. 4. Revisor gjennomfører revisjonsbesøk ved enheten (normalt to arbeidsdager). Revisjonsbesøket vil inneholde følgende aktiviteter: a. Samtaler med ledelse og annet nøkkelpersonell b. Gjennomgang/kontroll av dokumentasjon 5. Revisor gjennomfører eventuelle stikkprøver av anskaffelser 6. I etterkant av revisjonsbesøket vil det bli utarbeidet utkast til rapport. I denne fasen vil det være en dialog med revidert enhet, for å gjøre nødvendige avklaringer. 8
Rapportutkastet vil bli oversendt revidert enhet for verifisering og kommentarer, eventuelt vil det bli gjennomført verifiseringsmøte med den enkelte resultatenhet. Endelig rapport vil deretter bli oversendt til relevant byrådsavdeling for høring, før rapporten sendes til kontrollutvalget. Stikkprøvekontroll av anskaffelser Beslutning om å gjennomføre eventuelle stikkprøvekontroller av enkeltanskaffelser vil bli tatt på grunnlag av informasjon om hvorvidt resultatenheten gjennomfører anskaffelser som kan tilsi at de skal konkurranseeksponeres. Det vil i så fall bli gjort et utvalg av anskaffelser som er foretatt av resultatenheten, og disse vil bli kontrollert opp mot sentrale bestemmelser i regelverket. Vi vil blant annet kontrollere om anskaffelsen er konkurranseeksponert i samsvar med regelverk og interne retningslinjer, samt om protokoll er ført i samsvar med regelverk. Sjekklister Som det fremgår over, er det for å sikre en effektiv prosess utarbeidet sjekklister med konkrete spørsmål knyttet til de aktuelle temaene som skal gjennomgås. I sjekklistene er det knyttet en rekke kontrollspørsmål til hvert av temaene mål- og resultatstyring, økonomistyring, anskaffelser, helse- miljø og sikkerhet og informasjonssikkerhet. Sjekklistene vil bli brukt i forbindelse med revisjonsbesøket. 9
4. Tid og ressursbruk 4.1 Tidsbruk Revisjonene ved de ulike resultatenhetene vil kunne variere noe i omfang, avhengig av resultatenhetens størrelse og hvorvidt det skal gjennomføres stikkprøvekontroll av anskaffelser. Det er likevel lagt opp til et så standardisert kontrollopplegg, at det dette kun i liten grad vil påvirke omfanget. På bakgrunn av allerede gjennomførte forvaltningsrevisjoner av internkontroll i fem resultatenheter vinteren 2013, anslår vi at timeforbruket for revisjonen av hver resultatenhet vil være ca 150 timer. I de tilfellene det skal gjennomføres stikkprøvekontroll av anskaffelser, vil dette kreve ytterligere 10 timer, totalt 160 timer. Dette er basert på at vi gjennomfører et tilnærmet likt opplegg som i de forvaltningsrevisjonene som ble gjennomført vinteren 2013. Dersom kontrollutvalget ønsker en annen tilnærming og/eller fokus på andre forhold i virksomheten, vil det påløpe ytterligere timer. 4.2 Gjennomføringsperiode Tidspunkt for oppstart og gjennomføring vil bli nærmere avtalt med kontrollutvalget. Vi foreslår oppstart i løpet av oktober 2013. Rapportene vil da kunne leveres til kontrollutvalget ved sekretariatet innen 28. februar 2014. 4.3 Fakturering Fakturering av kostnadene knyttet til prosjektet vil bli gjort i samsvar med avtale mellom Deloitte og Bergen kommune. Bergen, 16. september 2013 Stein Ove Songstad Ansvarlig partner 10