FORVALTNINGSREVISJON Overordnet internkontroll KLÆBU KOMMUNE JANUAR 2015
Overordnet internkontroll 2
Forord Denne forvaltningsrevisjonen er gjennomført på oppdrag av Klæbu kommunes kontrollutvalg i perioden juni 2014 januar 2015. Undersøkelsen er utført i henhold til NKRFs standard for forvaltningsrevisjon, RSK 001. Revisjon Midt-Norge IKS vil takke alle som har bidratt konstruktivt med informasjon i undersøkelsen. Orkanger, 31.01.2015 Espen Langseth Ansvarlig forvaltningsrevisor Anne Gråberg Prosjektmedarbeider Overordnet internkontroll 3
Sammendrag Denne rapporten oppsummerer forvaltningsrevisjon av Klæbu kommunens overordnede internkontroll. Kontrollutvalget bestilte revisjonen i sak 003/14. Undersøkelsens hovedfokus er rettet mot styringsdialogen mellom rådmannsnivå og enhetsledernivå. Det er ingen formelle form- eller innholdskrav til internkontroll, og det foreligger i dag flere ulike metodiske rammeverk som kan brukes som grunnlag i arbeidet med internkontroll. Vi har vurdert kommunens arbeid med internkontroll opp mot føringer i COSO-modellen samt rapport fra Kommunal- og Regionaldepartementet: «85 tilrådinger for styrket egenkontroll i kommunen». Grunnlaget for våre vurderinger er basert på gjennomgang av kommunens styrende dokumenter og retningslinjer, intervju med ansatte og ledelse, samt en spørreundersøkelse til enhetslederne i kommunen.. COSO-modellen fordrer at arbeidet med internkontroll er forankret i ledelsen for at man skal kunne ha en velfungerende internkontroll i virksomheten. Kommunens ledergruppe har klare formeninger om hvordan man bør legge til rette for et hensiktsmessig internkontrollsystem, og har også omsatt dette i praksis. Enhetslederne har fått delegert vide fullmakter og et selvstendig økonomiansvar, herunder ansvar for drift av tjenestene, ansvar for kvalitet på tjenestene og arbeidsgiveransvar i forhold til medarbeiderne. En klar ansvars- og myndighetsplassering bidrar til en systematikk som tilrettelegger for en helhetlig og god internkontroll, avhjelper kontrollspennet, og sånn sett er vesentlig for å kunne håndtere rådmannens ansvar for internkontroll. Klæbu kommune har således mange elementer som kan og bør inngå i et helhetlig styringssystem. Det er enhetslederne som arbeider med den operasjonelle delen av kommunens internkontroll. Undersøkelsen tyder på at enhetslederne ikke synes å ha et like bevisst forhold til internkontroll som kommunens ledelse. Etter revisors oppfatning er det usikkert om ledergruppen i tilstrekkelig grad har kommunisert behovet for internkontroll på en tydelig måte, hensikten med internkontroll, og om den enkelte enhetsleder forstår den sentrale rollen de har i kommunens internkontrollsystem. Det er rådmannens ansvar at dette blir fulgt opp. For å få på plass de siste brikkene i et godt internkontrollsystem, må rådmannen i samarbeid med kommunalsjefene legge «trykk» på enhetslederne. Rådmannen har stilt krav til enhetslederne gjennom leder- og resultatavtaler. Her må rådmannen sørge for en oppfølging og rapportering som i tilstrekkelig grad ivaretar kravet om et internkontrollsystem som ivaretar kommunelovens krav om betryggende kontroll. Overordnet internkontroll 4
Generelt oppfattes det som en svakhet at enkelte viktige elementer i styringssystemet er lite formalisert. Etter revisors mening mangler kommunen en systematisk tilnærming til forhold som risikovurderinger og evaluering av kontrollenes effektivitet. Kommunen er god på ROSanalyser, men har ingen systematikk på dette utover at det gjennomføres når noe har skjedd og/eller ved større endringer, samt en enkel ROS-analyse ved enhetsledernes årlige innspill til budsjett. Det er også mangler når det gjelder dokumentasjon på gjennomførte kontrolltiltak i kommunen. Mangelfull eller manglende dokumentasjon, f.eks. av begrunnelser for vedtak, kan føre til problemer i forbindelse med klagebehandling og/eller merknader fra tilsynsmyndigheter. Etter revisjonens oppfatning bidrar en hensiktsmessig møtestruktur til god informasjonsflyt i kommunene. Intervjuinformasjon tyder også på at det er enkelt å ta kontakt med rådmannsnivået for å få informasjon og avklaring både muntlig og via e-post. Når det gjelder informasjon som er eller burde vært elektronisk lagret, er ikke kommunen helt i mål. En del rutiner/dokumentasjon finner man på kommunens intranett, noe finner man lagret i QM+, og noe finner man i permer ute på de enkelte enhetene men uten at det er noe systematikk i dette. Etter revisors mening bør kommunen ha tydeligere føringer på hva som skal lagres elektronisk, hvor det skal lagres, samt rutiner for oppdatering, vedlikehold og endringer. Overordnet internkontroll 5
Innholdsfortegnelse Forord... 3 Sammendrag... 4 1 Innledning... 8 1.1 Bestilling... 8 1.2 Hva er internkontroll?... 8 1.3 Administrativ organisering...10 2 Undersøkelsesopplegget...12 2.1 Avgrensinger...12 2.2 Problemstillinger...12 2.3 Kilder for revisjonskriterier...13 2.4 Metode...15 3 Har Klæbu kommune et tilfredsstillende internkontrollsystem?...17 3.1 Kontrollmiljøet...17 3.2 Risikovurdering...23 3.3 Rutiner og kontrollaktiviteter...27 3.4 Informasjon og kommunikasjon...32 3.5 Evaluering og kontroll...35 3.6 Sektorspesifikke krav internkontroll i sosial- og helsetjenesten....38 4 Høring...43 5 Konklusjoner og anbefalinger...44 5.1 Konklusjon...44 5.2 Anbefaling...45 Kilder...46 Vedlegg 1...47 Vedlegg 2...49 Vedlegg 3...52 Tabell Tabell 1 Holdning til internkontroll...18 Tabell 2 Ansvar og myndighet...19 Tabell 3 Kunnskap om internkontroll...20 Tabell 4 Kartlegging av kompetanse...21 Tabell 5 Opplæring av nyansatte...21 Tabell 6 Fokus på etikk i enheten...22 Tabell 7 Risikovurdering...26 Overordnet internkontroll 6
Tabell 8 Rutiner og kontrollaktiviteter...31 Tabell 9 Informasjonstiltak...34 Tabell 10 Evaluering og kontroll...36 Overordnet internkontroll 7
1 Innledning I dette kapittelet redegjør vi for bestillingen fra kontrollutvalget i Klæbu kommune og rammene for forvaltningsrevisjonen. Vi redegjør for hva internkontroll er, og gir en kort presentasjon av administrativ organisering i kommunen. 1.1 Bestilling Kontrollutvalget i Klæbu kommune vedtok i sak 003/14 den 13.3.2014 å bestille en forvaltningsrevisjon innenfor temaet internkontroll. I protokollen fra saken framgår følgende vedtak: «Kontrollutvalget viser til plan for forvaltningsrevisjon for 2014-2015 og bestiller en forvaltningsrevisjon med fokus på internkontroll i Klæbu kommune» Revisor ble bedt om å delta på KUs kontaktmøte med ordfører og rådmann. Tema for møtet var internkontroll, og revisor ble invitert på møtet for å få et best mulig bilde av utfordringene i kommunen. Rådmannen redegjorde i den forbindelse for hvilke utfordringer han mener kommunen har når det gjelder internkontroll, og det var en dialog med KU og revisjonen rundt dette. På bakgrunn av informasjon fra dette møtet, og dialog med KU, skisserte revisor en innretning på forvaltningsrevisjonen i kontrollutvalgets møte den 14. mai 2014. KU sluttet seg til dette forslaget. Vi kommer tilbake til en konkretisering av bestillingen og problemstillinger i kapittel 2. 1.2 Hva er internkontroll? Kravet om internkontroll i Norges kommuner er forankret i kommunelovens 23.2. Det fremgår av kommunelovens 23.2 at rådmannen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Kommunelovens 23.2 gir imidlertid ingen operasjonalisering av betryggende kontroll. I rapporten «85 tilrådinger for styrket egenkontroll i kommunene 1» blir det pekt på at det er viktig at internkontrollen tilpasses den enkelte kommune ettersom kommunene har ulik organisering, utvikling, ansvarsdeling og kompetanse. Internkontrollforskriften peker også på 1 Kommunal- og Regionaldepartementet: 85 tilrådinger for styrket egenkontroll i kommunen. Overordnet internkontroll 8
at det er viktig at internkontrollen i en virksomhet står i forhold til virksomhetens egenart og størrelse. I denne rapporten blir internkontroll definert som: «Prosesser, systemer og rutiner som utformes og gjennomføres av de som har overordnet ansvar for styring og kontroll og av andre medarbeidere, for å gi rimelig sikkerhet for at enhetene når sine mål med hensyn til pålitelig økonomisk rapportering, effektiv drift, samt overholdelse av gjeldende lover og forskrifter. Administrasjonssjefens internkontroll brukes for å beskrive det ansvaret og de oppgavene som ligger til administrasjonssjefen etter kommunelovens 23 nr 2». I Ot.prp. nr. 70 (2002 2003) fremgår det at administrasjonssjefen har et selvstendig ansvar for å føre kontroll med kommunens virksomhet. Det er ledelsen i en organisasjon som har ansvaret for å etablere et tilfredsstillende internkontrollsystem. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Internkontrollarbeidet i kommunen er videre regulert av en rekke lover og forskrifter som enten er sektorovergripende, eller som definerer krav til internkontroll innenfor avgrensende områder av virksomheten. Sektorovergripende regelverk for internkontroll finner man for eksempel innenfor arbeidsmiljøloven, internkontrollforskriften, samt regelverk knyttet til informasjonssikkerhet 2. Mer sektorspesifikke krav til internkontroll finner man i for eksempel i opplæringsloven, Forskrift om internkontroll i helse- og omsorgstjenesten, innenfor barnevern, barnehager, mm. Det er ingen formelle form- eller innholdskrav til internkontroll, og det foreligger i dag flere ulike metodiske rammeverk som kan brukes som grunnlag i arbeidet med internkontroll. Utvikling, implementering og praktisering av internkontroll vil derfor kunne ha mange ulike tilnærminger. De mest brukte modellene (rammeverkene) er COSO og ISO 9001 og i noen grad Balansert målstyring (BMS) 3. Nedenfor sammenlignes de 3 modellene mht ulike styrker og svakheter innenfor ulike målområder for virksomhetsstyring 4. 2 Personopplysningsforskriften kapittel 3. 3 PWC: Internkontroll i kommuner, kapittel 6.4 4 KS: Rådmannens internkontroll, Orden i eget hus! Overordnet internkontroll 9
Figur 1: Særtrekk ved ulike modeller for virksomhetsstyring COSO ISO 9001 BMS Internkontroll Kvalitets- system Mål- og resultatstyring Operasjonalisere strategiske mål - - ++ Identifisere risiko ++ - - Identifisere prosessforbedringer - ++ - Redusere risiko gjennom kontrollhandlinger ++ - - Forbedre prosesser gjennom tiltak - ++ + Overvåke og avdekke avvik fra rutiner og kontroller ++ ++ + Følge opp og lukke avvik + + + Kilde: Rådmannens internkontroll, Orden i eget hus. COSO og ISO 9001 fremstår som likeverdige når det gjelder egenskaper og funksjonalitet, men har enkelte svakheter på strategisk styring og kvalitetsutvikling, hvor nettopp BMS har sin styrke. Det finnes for øvrig flere andre rammeverk og analyseverktøy som brukes for å legge til rette for god internkontroll og virksomhetsstyring. Et av disse er CAF, som brukes til egenevaluering virksomheten, og brukes mye av offentlige virksomheter. Verktøyene gir på ulike måter en «diagnose» av tilstanden i virksomheten, og forbedringsområder/tiltak kan bli identifisert. For å sikre en god eller styrket internkontroll tar man utgangspunkt i det styringssystemet man allerede har etablert, vurderer hva som er godt nok, og hva som eventuelt bør forbedres. Modellene ovenfor er et hjelpemiddel for å gjennomføre dette arbeidet. Man trenger altså ikke å etablere et særskilt internkontrollsystem, hensikten er å vurdere om det styringssystemet man har er godt nok. Verktøyene leder virksomheten gjennom en prosess skal gi en rimelig sikkerhet for at kommunen har målrettet og effektiv drift, pålitelig rapportering og etterlevelse av lover og regler i virksomheten. 1.3 Administrativ organisering Figur 1 nedenfor gir en oversikt over administrativ organisering i Klæbu kommune. Klæbu kommune er organisert med et administrativt lederteam og resultatenheter. Overordnet internkontroll 10
Figur 1. Organisasjonskart Kilde: Klæbu.kommune.no Rådmannen inngår årlige resultatavtaler med enhetsledere, der konkrete resultatmål fastsettes. Enhetslederne har fått delegert vide fullmakter og et selvstendig økonomiansvar, herunder ansvar for drift av tjenestene, ansvar for kvalitet på tjenestene og arbeidsgiveransvar i forhold til medarbeiderne. En viktig del av internkontrollen må derfor utøves på enhetsnivå. Overordnet internkontroll 11
2 Undersøkelsesopplegget I dette kapitlet redegjør vi for hvilke problemstillinger som er utgangspunktet for undersøkelsen og hvilke kriterier vi bygger våre vurderinger og konkusjoner på. Metode og avgrensinger i prosjektet synliggjøres også her. 2.1 Avgrensinger Prosjektet har et overordnet perspektiv der kommunen sees på som en helhet. Gjennomgangen av internkontrollen på de ulike områdene er på overordnet nivå. Undersøkelsens hovedfokus er i utgangspunktet rettet mot styringsdialogen innenfor rådmannsnivå og enhetsledernivå. På overordnet nivå vil vi fokusere på hvilke system, rutiner og praksis enhetene har etablert, og om dette samsvarer med god praksis for internkontroll. I undersøkelsen vil vi ikke teste hvorvidt de rutiner og prosedyrer som foreligger, blir benyttet i praksis. Innenfor flere ulike tjenesteområder er det egne føringer/krav om innhold i tjenestene. Vi vil ikke gjøre noen vurderinger av om kvalitet/innhold på tjenestene er i samsvar med krav fastsatt i regelverk på området, utover det som faller inn under krav til internkontrollen. En viktig oppgave for kommunen er å utøve myndighet, blant annet gjennom enkeltvedtak, men også ved å føre tilsyn og kontroll i kommunen. I samråd med KU er det besluttet at revisjonen skal ha mer dyptgående kontroller innenfor enhet for Drift og vedlikehold, samt Klæbu sykehjem. 2.2 Problemstillinger Undersøkelsens hovedfokus er rettet mot styringsdialogen mellom rådmannsnivå og enhetsledernivå. Ut fra bestillingen, innspill fra kontrollutvalget og avgrensningen over, formulerer vi denne problemstillingen for undersøkelsen: Har Klæbu kommune etablert et internkontrollsystem som ivaretar kommunelovens krav om betryggende kontroll? Fokus vil være på følgende forhold: a) Om kommunen som organisasjon har et tilfredsstillende internkontrollsystem Overordnet internkontroll 12
b) Om Klæbu sykehjem utover dette arbeider i tråd med krav til systematisk styring og kontinuerlig forbedringsarbeid i tjenestene 2.3 Kilder for revisjonskriterier Revisjonskriterier er krav, forventinger eller referanser som innsamlet data vurderes opp mot. Kriteriene hentes blant annet fra lovforarbeider, veiledere eller politiske vedtak. Alle kriterier skal komme fra autorative kilder. I denne undersøkelsen er kriteriegrunnlaget hentet fra lov og forskrift, rammeverk for internkontroll og kommunale vedtak og retningslinjer. Nedenfor utdyper vi kriteriegrunnlaget. 2.3.1 Lov og forskrift og sentrale føringer Det fremgår av kommunelovens 23.2 at rådmannen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Kommunelovens 23.2 gir imidlertid ingen operasjonalisering av betryggende kontroll. I Ot.prp. nr. 70 (2002 2003) fremgår det at administrasjonssjefen har et selvstendig ansvar for å føre kontroll med kommunens virksomhet. KRDs rapport «85 tilrådingar for å styrke kommunal eigenkontroll» kommer med 85 anbefalinger for hva som er god internkontroll innenfor ulike sektorer av kommunens virksomhet. Arbeidsgruppen mener at summen av tiltakene vil være med på å styrke kommunens egenkontroll. Rammeverk Internkontroll, i det perspektiv som denne undersøkelsen har, er ikke styrt av krav i lov eller forskrift om hva internkontrollen skal omfatte eller bygges av. Det blir derfor opp til kommunen selv å utvikle et system som sikrer at Kommunelovens krav om betryggende kontroll blir imøtekommet. Revisjonens anbefalinger tar derfor ikke utgangspunkt i konkrete krav til kommunene, men baseres på hva som anses som beste praksis. Vi vil i vår vurdering av kommunens forståelse og praktisering av internkontrollarbeidet benytte COSOmodellen. Dette fordi COSO er et rammeverk spesielt utviklet for internkontroll, det fremstår som nøytralt, og kan i prinsippet benyttes i alle organisasjoner som ønsker et helhetlig styringsverktøy. I COSO-rammeverket pekes det på fem innbyrdes sammenhengende komponenter: 1. Et godt kontrollmiljø 2. Risikovurderinger, med jevnlige utførte risikoanalyser og rapportering 3. Etablering og gjennomføring av aktuelle kontrolltiltak. 4. God kommunikasjon og informasjon 5. Aktiv overvåkning fra ledelsens side. Overordnet internkontroll 13
Komponentene er gjensidig avhengige av hverandre, og likeverdige deler av et internkontrollsystem. De fem komponentene er sammenfattet i en figur, som antyder forholdet mellom dem: Figur 2. Illustrasjon av COSO-modellen. Sektorspesifikke krav Lov om statlig tilsyn med helsetjenesten 3 første ledd stiller krav om internkontroll i helsevesenet: Enhver som yter helsetjeneste skal etablere et internkontrollsystem for virksomheten og sørge for at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lover og forskrifter. Forskrift om internkontroll i helse- og omsorgssektoren stiller krav til systematisk styring og kontinuerlig forbedringsarbeid i tjenestene. Overordnet internkontroll 14
Kriteriene i COSO-rammeverket, forskrift om internkontroll i helse- og omsorgssektoren og er utdypet i egne kriteriedeler i kapittel 3. 2.4 Metode Data som er innsamlet i denne undersøkelsen gir kunnskap om Klæbu kommunes system for internkontroll. Informasjonsgrunnlaget er basert på gjennomgang av kommunens styrende dokumenter, rutiner og retningslinjer, samt intervju med ansatte og ledelse i Klæbu kommune. Videre har vi sett på Klæbu kommunes kvalitetssystem QM. I tillegg har vi gjennomført en enkel spørreundersøkelse rettet mot enhetslederne i kommunen. Nedenfor redegjør vi nærmere for metodebruken. Vi har gjennomført en dokumentanalyse for å se på samsvar mellom planverk, instrukser og retningslinjer sett i forhold til kommunens oppgaveløsning. Vi har gjennomgått både sentrale og mer sektorspesifikke plan- og retningslinjer, lederavtaler, og andre styrende dokumenter. Utgangspunktet er at enhetene gjennom egne internkontrollsystemer skal sikre god styring og kontroll, og det meste av internkontrollen og de fleste interkontrolltiltakene skjer på tjenestenivå og dokumenteres og «avsluttes» der. Vi har derfor kartlagt hvilke system og rutiner den enkelte resultatenhet har innenfor områdene som blir kontrollert. Intervju av ledere/nøkkelpersoner har vært en viktig del av datainnsamlingen i denne undersøkelsen. Vi har intervjuet sentrale personer i kommunens ledelse, samt medarbeidere innenfor de ulike enhetene 5. Det ble i tillegg sendt ut en spørreundersøkelse til alle enhetslederne. Dette ble gjort for å få innblikk i informasjonsflyten i kommunen, samt den dynamikken som styrer arbeidet med planer/retningslinjer, tiltak, ansvar, økonomi osv. Følgende personer er intervjuet: Rådmann Kommunalsjef Helse og omsorg Kommunalsjef Kultur og oppvekst Enhetsleder Drift og vedlikehold Enhetsleder Klæbu sykehjem Fagsjef politisk sekretariat Seniorrådgiver ved eiendomskontoret QM+ gruppen 5 Ettersom KU ønsket at revisor skulle ha økt fokus på enhet for Drift og vedlikehold og Klæbu sykehjem valgte vi å intervjue disse enhetslederne i tillegg til at det ble sendt ut en spørreundersøkelse til alle enhetslederne. Overordnet internkontroll 15
Fra intervjuene har revisor skrevet utkast til referat som er oversendt personene som er intervjuet. Alle de vi har intervjuet har på selvstendig grunnlag verifisert referatet. For å sikre bredden i informasjonsgrunnlaget, har vi i tillegg gjennomført en mindre spørreundersøkelse til enhetsledere (13 enheter) samt fagkontor med personalansvar (2 stk) med spørsmål knyttet til internkontroll. Hensikten med dette var å få informasjon om enhetslederne syn på kommunens internkontrollsystem. Undersøkelsen ble gjennomført ved at revisjonen ba respondentene ta stilling til den del påstander om enhetens arbeid med internkontroll. Det var tre svaralternativer «enig», «delvis enig» og «uenig» samt mulighet for å angi «vet ikke». Det var også mulighet til å skrive inn fritekst/kommentarer til hver enkelt påstand. 12 av 15 respondenter svarte på undersøkelsen. Bredden og omfanget av data som er innhentet fra ulike kilder tilsier at revisor har et egnet grunnlag for å vurdere de problemstillingene som er angitt for forvaltningsrevisjon. Enhet for drift og vedlikehold og Klæbu sykehjem Revisor har i utgangspunktet hatt fokus på hele kommunens styringssystem i intervju med kommunens ledelse og i våre dokumentanalyser, men det vært spesiell fokus på enhet for Drift og vedlikehold og Klæbu sykehjem. I datadelen har vi så langt som mulig brukt funn fra disse enhetene når vi vurderer kommunen opp mot COSO-modellen. Dette betyr ikke at disse enhetene har mindre grad av internkontroll enn de øvrige enhetene, men at revisor har brukt funn fra disse enhetene for å vise til eksempler i kommunen. Forskrift om internkontroll i helse- og omsorgssektoren stiller konkrete krav til systematisk styring og kontinuerlig forbedringsarbeid i tjenestene, og sykehjemmets tilpasning til dette har vi derfor kommentert i et eget delkapittel. Overordnet internkontroll 16
3 Har Klæbu kommune et tilfredsstillende internkontrollsystem? I dette kapitlet ser vi på om kommunen som organisasjon har et tilfredsstillende internkontrollsystem. Kommunen blir vurdert opp mot de forventninger som ligger i COSO-modellen og anbefalingene i rapporten «85 tilrådingar om styrkt eigenkontoll 6 i kommunane». Vi tar utgangspunkt i COSO-modellens fem innbyrdes sammenhengende fokusområdene som sammen medvirker til et hensiktsmessig internkontrollsystem. Vi presenterer kriterier, data og vurderinger for hvert enkelt fokusområde, samt et eget delkapittel om Klæbu sykehjem. En helhetsvurdering av Klæbu kommune sitt internkontrollsystem kommer i kapittel 4. 3.1 Kontrollmiljøet 3.1.1 Revisjonskriterier I følge COSO-rammeverket, setter kontrollmiljøet standarden for holdning til kontroll og styring. Kontrollmiljøet omfatter integritet, etiske verdier, ansattes kompetanse, ledelsens filosofi og driftsform, fordeling av ansvar og myndighet, organisering og utvikling av de menneskelige ressursene. Revisor vil her se på ledelsens holdning til internkontroll, og om kommunen har rutiner og system som dekker: - Fordeling av ansvar og myndighet - Kompetanse/opplæring - Etiske problemstillinger 3.1.2 Data Enhetslederne har i følge rådmannen, alle rådmannens fullmakter innenfor enhetens virksomhet. Enhetsleder har dermed det løpende ansvaret for å gjennomføre oppgaver knyttet til eget område, herunder ansvaret for enhetens internkontroll. Rådmannen har selv ansvaret for å legge til rette for et hensiktsmessig styringssystem. 6 Se vedlegg 1. Overordnet internkontroll 17
Ledelsen holdning til internkontroll Rådmannen sier det er viktig med relevant styringsdata på riktig nivå for å opprettholde en tilfredsstillende internkontroll, og dette preger den måten de arbeider med internkontroll i kommunen. Administrasjonen rapporterer jevnlig til kommunestyret på hvordan de har fulgt opp det som er politisk vedtatt. Han forteller at budsjett og økonomiplan og kommuneplandokumentene utgjør de styrende måldokumentene. Kommuneplanen revideres hvert i år ifbm presentasjon av budsjett. Planen vedtas i desember og følges opp gjennom tre økonomirapporter gjennom året. Vedlegg i disse rapportene viser måloppnåelse på de politiske vedtakene. Rådmannen forteller videre at kommuner omfattes av mange lovverk, og at det er tilnærmet umulig å ha en fullstendig oversikt over alt. Det er derfor hensiktsmessig å delegere ansvaret videre slik at kommunalsjef og enhetsledere som «omfattes» av de enkelte lover får ansvaret for at kommunen handler i tråd med det aktuelle lov- og regelverket. Kommunen bruker kvalitetssystemet, QM 7 +. Her ligger i utgangspunktet - alle overordnede styringsdokumenter for kommunen som helhet, og ulike dokumenter (interne planer, daglige rutiner etc.) på enhetsnivå. I hovedsak skal all informasjon om internkontrollsystemet være elektronisk og digitalt og kunne tas ut fra QM+, fra overordnet nivå ned til enhet og de daglige rutinene. Målet er at verktøyet skal være levende på enhetsnivå. I spørreundersøkelsen spurte vi om enhetslederne er enig i påstanden Ledelsen signaliserer at internkontroll er viktig. Tabell 1 Holdning til internkontroll Enig Delvis enig Uenig Ledelsen signaliserer at internkontroll er viktig 10 2 0 0 Kilde: Revisjon Midt-Norge Vet ikke En vesentlig overvekt av de som har svart er enig. Dette blir også bekreftet av intervjuinformasjon. Fordeling av ansvar og myndighet Rådmannen mener dagens organisering er hensiktsmessig. Klæbu kommune er organisert med et administrativt lederteam bestående av tre kommunalsjefer og økonomi/personalsjef, 7 Tilbyr komplette system innenfor Internkontroll, kvalitetsstyring (ISO), HMS, mm. Se www.qmplus.com Overordnet internkontroll 18
samt 13 resultatenheter. Lederteamet har det administrative lederansvaret for utvikling, planlegging og drift av den kommunale virksomheten. Skriftlig delegering fra rådmannen til virksomhetslederne fremgår av «Administrativt delegeringsreglement, vedtatt av rådmannen 10.10.2012. Delegeringsreglement beskriver rådmannens videredelegering til kommunalsjefene, og kommunalsjefenes videredelegering til enhetslederne. Delegeringen gjelder ikke-prinsipielle saker innenfor de særlover og forskrifter som gjelder for den enkelte enhet. Reglementet lister opp hvilke lover og forskrifter dette gjelder for ved den enkelte enhet. Enhetslederne har fått delegert vide fullmakter og et selvstendig økonomiansvar, herunder ansvar for drift av tjenestene, ansvar for kvalitet på tjenestene og arbeidsgiveransvar overfor medarbeiderne. Myndighet og ansvar er også tydeliggjort i lederavtalene mellom rådmannen og den enkelte leder. Det er imidlertid ikke inngått lederavtale med enhetsleder Drift og vedlikehold. Dette har sin årsak i at rådmannen som fungerende kommunalsjef på området, har jobbet tett med enhetslederen og behovet for lederavtale har etter rådmannens vurdering ikke vært påtrengende. Nå er det imidlertid ansatt egen kommunalsjef og lederavtale med enhetsleder skal være inngått. På enhetsnivå er disse avtalene tilpasset den enkelte enhet. Videre har hver enhetsleder en resultatavtale som mer fokuserer på enhetens måloppnåelse, herunder konkrete resultatmål for den enkelte enhet. Enhetslederne rapporterer til kommunalsjef for sitt tjenesteområde. I avtalene står det at enhetsleder har alle rådmannens fullmakter innenfor enhetens ansvarsområde, med de unntak som fremgår av delegeringsreglementet eller andre eksplisitte unntak fastsatt av rådmannen. Lederavtalen inneholder også krav om gjensidig informasjonsplikt, og jevnlig dialog og møtevirksomhet. I spørreundersøkelsen spurte vi om enhetslederne er enig i påstanden Mitt ansvarsområde og myndighetsområde er tydelig definert. Tabell 2 Ansvar og myndighet Mitt ansvarsområde og myndighetsområde er tydelig definert Kilde: Revisjon Midt-Norge Enig Delvis enig Uenig Vet ikke 8 4 0 0 Overordnet internkontroll 19
4 av enhetslederne er delvis enig i påstanden om at deres ansvarsområde og myndighetsområde er tydelig definert. Det fremkommer ikke i spørreundersøkelsen hvorfor de har svart dette. Kompetanse/opplæring Alle ansatte i kommunene skal ha kjennskap til relevante lover, forskrifter, rutiner og prosedyrer og etterleve disse. Videre er det viktig at enhetsledere kjenner til hvordan internkontroll skal utøves, da enhetslederne har ansvaret og skal være pådrivere i internkontrollarbeidet i eget ansvarsområde. Rådmannen forteller at det ikke har vært fokusert mye på begrepet internkontroll, selv om det rent praktisk er dette de arbeider med. Annen intervjuinformasjon tyder også på at det blant enhetslederne er noe usikkerhet om hva internkontroll egentlig er utover det å beskrive rutiner, arbeidsprosesser ol. i enheten. Kommunens ledelse forteller at det er en felles kompetanseplan for hele kommunen, og at tiltak innenfor kompetanseutvikling har utgangspunkt i denne planen. I planstrategien for Klæbu kommune 2012-2015 vises det til at det er en årlig rullering og oppdatering av kompetansehevingsplanen. Det har for øvrig gått ut et skriv til samtlige enhetsledere og fagsjefer, hvor de har blitt bedt om å komme med tilbakemelding på enhetens status på kompetanseutvikling og prioritering/behov for 2014. I spørreundersøkelsen spurte vi enhetslederne om de er enig i påstanden Jeg har tilstrekkelig kunnskap om hvordan internkontroll skal utøves i praksis. I spørreundersøkelsen definerte vi internkontroll som: Internkontroll er den samlede egenkontrollen kommunen fører med egen virksomhet, så som resultatoppfølging, ledelses- og medarbeideroppfølging, risikovurdering, avviksrapportering og forebygging av uønskede hendelser. Tabell 3 Kunnskap om internkontroll Jeg har tilstrekkelig kunnskap om hvordan internkontroll skal utøves i praksis Kilde: Revisjon Midt-Norge Enig Delvis enig Uenig Vet ikke 5 5 1 1 5 av 12 enhetsledere er enig i at de har tilstrekkelig kunnskap om hvordan internkontrollen skal utøves i praksis, fem enhetsledere er delvis enig, mens en enhetsleder er uenig. Overordnet internkontroll 20
I spørreundersøkelsen spurte vi videre om enhetslederne er enig i påstanden Enheten har gjennomført kartlegging av kompetanse siste 2 år. Tabell 4 Kartlegging av kompetanse Enheten har gjennomført kartlegging av kompetanse siste 2 år Kilde: Revisjon Midt-Norge Enig Delvis enig Uenig Vet ikke 9 2 1 0 En av enhetene har ikke gjennomført kartlegging av kompetansen i enheten i tråd med kompetanseplanen, men det fremkommer ikke hvorfor det ikke er gjennomført. Intervjuinformasjon viser at enhetslederne sender de ansatte på kurs når det er behov for dette. De ansatte kan selv melde inn behov for deltakelse på kurs. Her vurderer enhetsleder om kurset er relevant for enhetens behov og om det er budsjettmessig dekning for dette. I spørreundersøkelsen spurte vi også enhetslederne om enheten har et opplegg som sikrer at alle nyansatte får opplæring i følgende: Tabell 5 Opplæring av nyansatte Enig Delvis enig Uenig Interne faglige prosedyrer 6 6 0 0 Relevante lover og forskrifter 6 5 1 0 Kommunale retningslinjer 7 5 0 0 Vet ikke Enhetenes mål 8 4 0 0 QM+ 6 4 2 0 Kilde: Revisjon Midt-Norge En enhetsleder svarer i spørreundersøkelsen at enheten ikke sørger for opplæring av nyansatte når det gjelder relevante lover og forskrifter. Det kommenteres imidlertid i spørreundersøkelsen at feltet er stort, og det krever mye tid å sette seg inn i alt. «Det finnes imidlertid oppslagsverk, og alltid en kollega å spørre». Overordnet internkontroll 21
Ved Enhet for drift og vedlikehold forteller enhetsleder at vikarer får opplæring i tilknytning til stillingen de er ansatt i. Opplæringen foregår i hovedsak ved at gruppeleder eller andre ansatte lærer opp vikaren, mens for faste ansatte er opplæringsplanene skriftliggjorte. Etikk Etikkreglementet ligger sentralt lagret på kommunens intranett. Klæbu kommunes etiske retningslinjer ble vedtatt av kommunestyret 15.04.2004. Rådmannen har i 2012 vurdert Klæbu kommunes etiske retningslinjer opp mot andre større kommuner sine retningslinjer. Rådmannen er av den oppfatning av retningslinjene for Klæbu kommune står seg godt 8. Intervjuinformasjon tyder også på at det er arbeides med etikk i kommunen, og at det er tydelige signaler fra rådmannen om at dette er viktig. Rådmannen har etikk som egen sak på enhetsledermøtene. Både enhetsledere og kommunalsjefer viser til at det er jevnlige diskusjoner om etikk i enhetene, og at det er fokus på å ta opp aktuelle tema som eventuelt oppstår. Kommunalsjef Helse og omsorg forteller at etikk er et levende tema. Omsorgsområdet har et etikkprosjekt for tiden, og etikk er derfor tema på alle møter i tjenesteområdet. Enhetsleder for Drift og vedlikehold forteller at etikk drøftes når det er aktuelle saker, og at de er bevissthet på at de hele tiden er Klæbu kommunes ansikt utad. I spørreundersøkelsen spurte vi enhetslederne om de er enig i påstanden Det er fokus på etikk i enheten. Tabell 6 Fokus på etikk i enheten Enig Delvis enig Uenig Det er fokus på etikk i enheten 10 2 0 0 Kilde: Revisjon Midt-Norge Vet ikke Intervjuinformasjon synes å samsvare godt med data fra spørreundersøkelsen. Ti av tolv enhetsledere er enig i påstanden at det er fokus på etikk i enheten. Det er to enhetsledere som er «delvis enig» i påstanden om at det er fokus på etikk i enheten. De har ikke kommentert hvorfor. 8 Årsmelding 2013, Kontrollutvalget i Klæbu kommune. Overordnet internkontroll 22
3.1.3 Revisors vurdering Kontrollmiljøet setter standarden for holdning til kontroll og styring. Etter revisors vurdering eksisterer det et godt kontrollmiljø i Klæbu kommune. Kommunen har etablert en systematikk som tilrettelegger for en helhetlig og god internkontroll, noe som avhjelper kontrollspennet og sånn sett er vesentlig for å kunne håndtere rådmannens ansvar for internkontroll. Samtidig viser vår undersøkelse at det er enkelte utfordringer:: Rådmannen har delegert mye av ansvaret for gjennomføringen av internkontroll til enhetslederne. Da er det uheldig at bare 5 av 12 enhetsledere er helt enig i at det har tilstrekkelig kunnskap om hvordan internkontroll skal utøves i praksis, samt at 4 av 12 enhetslederne ikke er helt enig i at deres ansvarsområde og myndighetsområde er tydelig definert. Det ser videre ut som om kommunen har en vei å gå når det gjelder opplæring av de ansatte. Bare 5 av 12 enhetsledere er enig i at de har tilstrekkelig kunnskap om hvordan internkontroll skal utøves i praksis. Når det gjelder opplæring av nyansatte synes det å være ulike rutiner for dette i enhetene, men det er etter revisors vurdering ikke problematisk at det synes å være tilpasset opplæring innenfor de enkelte enhetene. 3.2 Risikovurdering 3.2.1 Revisjonskriterier Risikovurderingen skal sikre at de arbeidsprosessene som har høyest sannsynlighet for og størst konsekvens av, svikt, feil eller mangler blir identifisert. Ledelsen må hensynta risikovurderingen i utformingen av internkontroll ved at man avgrenser internkontrollen til de arbeidsprosessene som har høyest risiko. Her bør kommunen også se på styring og håndtering av sammenhengen mellom overordnede mål og daglige operasjonelle aktiviteter. Revisor vil her se på kommunens håndtering av: - Det strategiske perspektivet - vurdere risikoen for at kommunen ikke når sine overordnede mål, herunder å kvalitetssikre at virksomheten tar de riktige valgene i sine mål- og strategiprosesser. o Utføres av ledergruppen - Det operasjonelle perspektivet: vurdere risikoen for at enheten gjennomfører sine aktiviteter og arbeidsprosesser på en utilstrekkelig måte. o Utføres av enhetslederne og de som daglig arbeider innenfor de aktuelle prosessene. Overordnet internkontroll 23
3.2.2 Data Rådmannen forteller at Klæbu kommune har både politiske og administrativt fastsatte mål for virksomheten. Kommuneplanen og handlingsprogrammet med årsbudsjettet fastsettes av kommunestyret og danner grunnlaget for de målsettinger som kommunen styres etter. Kommuneplanens mål er gitt på et overordnet nivå, og er ment som langsiktige mål for driften av kommunen. Den enkelte enhet følges opp ved egne resultatavtaler som er basert på lederavtaler. Rådmannen forteller at det utarbeides oppgave- og tiltaksliste for hvert delmål i resultatavtalene. Et eksempel på aktivitetsmål er at det skal gjennomføres medarbeidersamtale med alle ansatte, at det skal være inntil fire møter i lokal AMU og lignende. Resultatavtalen inneholder også krav om at enheten skal drives innenfor aktuelle lov- og regelverk, krav til lukking av avvik, mm. Avtalen følges opp ved at rådmannen, sammen med kommunalsjef, har årlige møter hver enkelt enhetsleder. På disse møtene evalueres måloppnåelsen ved at man diskuterer målenes relevans, ambisjonsnivå og om det er de riktige målene. I tillegg har kommunalsjefene oppfølgingssamtaler med enhetslederne et par ganger i året. Det skrives referat som signeres av begge parter, og i noen tilfeller også av rådmannen. Rådmannen forteller at det foretas risikovurderinger på flere måter i kommunen. Risikovurdering gjøres for kommunen totalt sett, og på enkeltområder ved behov. Det foretas en årlig risikovurdering ved at det sendes ut skjema til enhetsleder i forbindelse med budsjettprosessen. Her er det lagt opp til at enhetsleder skal vurdere risiko på områdene økonomi, omdømme og ansvar ut i fra å angi frekvens og konsekvens av ulike hendelser. Det skal også komme frem om det er nye forhold i og/eller rundt enheten som må tas hensyn til i vurderingen. I budsjettprosessen møter rådmannen alle sine enhetsledere i egne møter hvor de drøfter innspill og kommentarer til budsjettet. Rådmannen forteller at dette er med på å sikre en god og demokratisk prosess. ROS-analyser 9 brukes for å fange opp mulige avvik i forkant. Innenfor omsorgsområdet gjennomføres det ROS-analyser, for eksempel ved bemanningskutt, omlegging av turnus mm. Enhetsleder ved enhet for drift og vedlikehold forteller at enheten har gjennomført ROS- 9 En enkel ROS-analyse er en systematisk gjennomgang av mulige uønskede hendelser og hvor stor risiko de representerer. Basert på egne vurderinger av hvor sannsynlig hendelsene er, hvor store konsekvenser de har, og årsaksforhold, blir tiltak vurdert for å hindre at de skal oppstå eller for at man skal kunne redusere virkningen av dem. Overordnet internkontroll 24
analyse knyttet til for eksempel brannvern og HMS/vernerunder. Rådmannen forteller at det i tillegg foretas risikovurderinger ved at avvik lukkes i QM+. Praksis er at avvik skal lukkes på lavest mulig nivå i kommunen. Avvikene vurderes først i det lokale AMU, og lukkes dersom mulig. Ved større avvik, der tiltak må finansieres særskilt, kan lukkingen ta noe lengre tid. Rådmannen forteller videre at tilsyn fra andre statlige myndigheter som Fylkesmannen og Arbeidstilsynet også bidrar til å identifisere avvik. Rådmannen har oppnevnt en arbeidsgruppe som skal sørge for at kommunens kvalitetssystem er oppdatert til enhver tid. Denne gruppen koordinerer alt av kvalitetssikringsarbeid i kommunen, og bidrar til å redusere risikoen for at for eksempel endringer i regelverk ikke fanges opp i tilstrekkelig grad. Arbeidsgruppens mandat/oppgaver: (vedtatt i Styringsgruppa for kvalitetssikring 25.06.2014) - rydde og oppdatere lenker på overordnet nivå - vedlikeholde dokumenter i QM-plus på overordnet nivå og sikre ar dette arbeidet blir ivaretatt - overvåke at planer, rutiner og dokumenter på enhetsnivå er oppdatert, og gi melding til enhetene om behov for endringer eller oppdateringer - overvåke og fjerne dokumenter som ikke lenger er aktuelle - redigere oppsett av organisering og organisasjonskart når det skjer endringer - overvåke at saker blir behandlet, og gi beskjed til aktuelle saksbehandlere dersom frister er overskredet - påse at systemet teknisk sett fungerer, og foreslå endringer eller utbedringer dersom det er nødvendig - overvåke behovet for opplæring, og fremme forslag til kurs/opplæring når behovet oppstår I spørreundersøkelsen ble enhetslederne bedt om å ta stilling til om de er enig i følgende påstander, se tabell 7 nedenfor. Overordnet internkontroll 25
Tabell 7 Risikovurdering Enig Delvis enig Uenig Vet ikke Enheten har vurdert risiko/fare for å ikke nå målene man styrer mot Enheten har vurdert risiko/fare for manglende kvalitet i tjenesten Enheten har vurdert risiko/fare for manglende lov- og regeletterlevelse Enheten har vurdert risiko/fare for feil/avvik på økonomiområdet 6 6 0 0 9 3 0 0 7 5 0 0 7 3 2 0 Enheten har vurdert risiko/fare for feil/avvik innenfor HMS 7 4 1 0 Kilde: Revisjon Midt-Norge Enhetslederne foretar en årlig risikovurdering av hele enhetens arbeidsområde i forbindelse med budsjettprosessen og ROS-analyser ved behov, men tilbakemeldingen i spørreundersøkelsen tyder på at det er delte meninger om dette er en tilstrekkelig risikovurdering. Det kommenteres for øvrig i spørreundersøkelsen at man er enig i at enheten utfører risikovurdering, men at: Risikovurderingen på enheten burde vært mer systematisk, det gjøres, men ikke systematisk nok. Enhetsleder ved Drift og vedlikehold forteller at han ikke kjenner til om det er gjennomført skriftlige risikovurderinger når det gjelder enhetens innkjøp. Fra tabell 7 ser vi at to av enhetsledere sier at de ikke har vurdert risiko/fare for feil/avvik på økonomiområdet. Kommunalsjef Helse og omsorg forteller at enhetslederne jevnlig rapporterer (3-6 ganger i året) status på økonomi, og hvis det skulle oppstå økonomiske utfordringer i enheten, prøver kommunalsjefen å dekke dette opp ved intern regulering før det eventuelt søkes om en tilleggsbevilgning. Videre ser vi at en enhet ikke har vurdert risiko/fare for feil/avvik innenfor HMS. 3.2.3 Revisors vurdering Kommunen har som målsetting at alle planer skal befestes i politiske overordnede målsettinger. Det synes å være en sammenheng mellom de ulike plan og styringsdokumentene. Målstrukturen kan stort sett følges, med delmål og konkrete tiltak i Overordnet internkontroll 26
eksempelvis folkehelseplan, og videre til oppfølging av tiltakene. Et eksempel på overordnet mål er brukermedvirkning som følges opp av tiltak som brukerundersøkelse. Identifikasjon og analyse av risikoer er en kritisk komponent i et internt internkontrollsystem. Revisors undersøkelse viser at det gjennomføres risikovurderinger og fastsettes tiltak på sentrale områder i Klæbu kommune. Enhetslederne foretar årlige risikovurderinger for enheten i forbindelse med den årlige budsjettprosessen. I tillegg gjennomføres det ROSanalyser ved behov. Å gjennomføre risikovurderinger «ved behov» er uheldig. I en relativt liten og oversiktlig kommune kan det være en realitet at man stort sett kjenner hvor utfordringene ligger, og revisor ser at kommunen på flere områder likevel gjør slike vurderinger implisitt, blant annet ved de planer som utarbeides og de rutiner som innføres. Et eksempel på dette er den jevnlige oppfølgingen innenfor budsjett og økonomi. Den systematiske tilnærmingen til dette arbeidet, med risikovurdering, vesentlighetsvurdering og iverksettelse av konkrete tiltak knyttet direkte til risikovurderingene slik dette illustreres i COSO-rammeverket, synes imidlertid å mangle. Et eksempel på dette er bruk av veileder for offentlige anskaffelser, hvor enhetsleder er usikker på om det er utført skriftlig risikovurdering. 3.3 Rutiner og kontrollaktiviteter 3.3.1 Revisjonskriterier Kontrollaktivitetene er de tiltakene som blir iverksatt for å sikre etterlevelse av regelverk, retningslinjer og krav til tjenesteutførelse, og for å håndtere risiko avdekket i risikovurderingen. Formålet med kontrollaktivitetene er å bidra til at rutiner og system skal fungere slik som bestemt. Aktivitetene skal skje på alle nivå i organisasjonen, og kan bestå i blant annet godkjennelser, anvisninger, verifikasjoner, avstemminger, gjennomgåelse av driften, sikring av ressurser og ansvarsfordeling. Revisor vil her se på om kommunen har: Dokumenterte rutiner Klar organisering av roller og oppgaver Oversikt over gjennomføring/status på sentrale kontroller Håndteringen av avvik Overordnet internkontroll 27
3.3.2 Data Dokumenterte rutiner Det går frem av intervjuene at det meste av håndbøker, rutiner, retningslinjer og prosedyrer synes å være tilgjengelig elektronisk, men at det er ulikheter mellom enhetene. Rådmannen forteller at QM+ er lagringsmedium for styringsdokumenter og retningslinjer som er kritiske med tanke på forsvarlig drift. Her vil det finnes dobbel arkivering, både i QM+ og på Intranettet. Ikke driftskritiske retningslinjer vil kun finnes på Intranettet, fordi dette er lettere tilgjengelig for medarbeidere flest. Leder av arbeidsgruppen som har ansvaret for QM+ forteller at: «Jeg er usikker på hvem som har ansvaret for innholdet per i dag, og det er ikke helt avklart hvilken informasjon som skal ligge hvor. I prosjektgruppa har vi ansvaret for at det som ligger i QM+ er oppdatert til enhver tid. Intranett er utenfor vårt mandat». Kommunalsjefen for Kultur og oppvekst forteller at skriftlig informasjon gjøres tilgjengelig på intranettet til kommunen. Målet er at informasjonen skal være kjent og lett tilgjengelig for de ansatte. Linker direkte til lovverket mm sørger for at dette er oppdatert. Det jobbes også med at alle maler og retningslinjer skal være elektronisk tilgjengelig på et sted på intranettet. Han forteller videre at QM+ er et hjelpemiddel for enhetslederne, hvor det legges inn avvik. Alle avvik skal lukkes av enhetsleder med få unntak hvor det havner hos rådmann eller politisk nivå. Kommunen har klare rutiner for hvordan avvik skal behandles. Kommunalsjef Helse og omsorg er møteleder for kvalitetsstyringsgruppa. Dette er den overordna gruppen for QM+ verktøyet, for kvalitet helse, miljø og sikkerhet-gruppen, for kvalitet på eksterne og interne tjenester og for Samfunnssikkerhet og beredskapsgruppen. Denne gruppen koordinerer alt av kvalitetssikringsarbeid i kommunen. Han forteller at: Alle rutiner, styrende dokument og reglementer skal inn i QM+. Det er gitt instruks om dette til organisasjon. Det er tema i alle enhetsledermøter og i møtene med kommunalsjefene og stab. Instruks om bruk av QM+ er ikke skriftliggjort; å bruke dette er en selvfølgelighet. Om det ikke er det; blir dette tatt opp på individuell basis. Enhetsleder Drift og vedlikehold er usikker på om rutiner for informasjon, saksbehandling med mer er elektronisk tilgjengelig. Mer driftsrelaterte rutiner ligger i organisasjon i tilknytning til drift. Det enheten har er tilgjengelig i permer. Enhetsleder ved Klæbu sykehjem forteller også at rutinene ligger i permene, ikke i QM+. De har begynt å legge inn referater i QM+, Overordnet internkontroll 28
men hun tror imidlertid ikke de ansatte vil finne dem ved å lete etter et referat i QM+, det samme gjelder rutinene. «Målet er at alt skal ligge inne i QM+, og at man har bare ett system å forholde seg til. Vi har ikke kommet ditt ennå.» Klar organisering av roller og oppgaver Basert på en risikovurdering bør enhetene utarbeide dokumenterte rutiner som angir sentrale kontroller 10. Videre bør det være klare rutiner for gjennomføring og arbeidsdeling når det gjelder sentrale kontroller 11. Rutiner, retningslinjer, prosedyrer og håndbøker bør videre inneholde opplysninger om hvem som har utarbeidet rutinene, når de er utarbeidet og når de eventuelt er revidert. Det bør videre være en jevnlig gjennomgang av rutinene slik at man er sikker på at de er korrekt til enhver tid. Her er det eksempler på begge deler hos kommunen. - Rutinen for post og arkiv (mm) i Klæbu kommune inneholder bl.a. rutine for journalføring av inngående post, saksbehandlerutiner og vedtakskontroll- SRU. Det fremgår ikke av dokumentet hvem som har utarbeidet rutinene, hvem som har godkjent disse, eller når rutinene er laget og eventuelt oppdatert. - Tjenesteteamet har saksbehandlingsprosedyrer for enkel sak og sammensatt sak. Eneste opplysningen på disse skjemaene er datoen «15.12.05». Oversikt over gjennomføring/status på sentrale kontroller Rådmannen forteller at alle vedtak og/eller tilsyn skal være hjemlet i lover, forskrifter eller andre bestemmelser. Et av kravene i resultatavtalene er at enhetsleder skal ha kontroll på at enheten drives innenfor de til enhver tid gjeldende lover, forskrifter og eventuelle føringer knyttet til dette. Rådmannen forteller videre at dokumentasjon og sporbarhet av gjennomførte kontrollaktiviteter kan variere mellom virksomhetsområdene. Elektronisk sporbarhet i saksbehandlingssystemet ESA kan være noe mangelfull, for eksempel på innkjøpsområdet. Kommunene har et forbedringspotensiale når det gjelder kontrollrutiner innenfor innkjøp. Når det gjelder større innkjøp utarbeides anskaffelsesprotokoller, men for innkjøp under 100.000 og mellom 100.000 500.000 finnes ikke noe standardiserte rutinebeskrivelser. 10 Operasjonelle aktiviteter der eventuelle mangler vil ha høy konsekvens, for eksempel manglende innkjøpsprotokoll der dette er et lovkrav i forbindelse med anskaffelser. 11 For eksempel i forbindelse med kvalitetssikring, attestering, mm. Overordnet internkontroll 29
Enhetsleder ved Drift og vedlikehold forteller at: Veileder for offentlige anskaffelser er styrende. Alle må følge veileder for offentlige anskaffelser; setter seg inn i rutiner, retningslinjer og lovkrav for hvordan ting skal utføres. Alt relevant dokumentasjon dokumenteres i innkjøpsprotokollen. Vinteren 2014 kontrollerte revisjonen anskaffelser i Klæbu kommune der kommunen ikke har rammeavtaler, enten gjennom fylkesavtalen eller innkjøpsavtale med Trondheim kommune på IT-utstyr og drift av IT-systemer. Resultatet fra denne undersøkelsen kommenteres i Revisjonsberetning Klæbu kommune 2013. Vår revisjon av kommunens rutiner for overholdelse av lov om offentlige anskaffelser, viser at kommunen har gjennomført flere anskaffelser av varer og tjenester uten at det kan dokumenteres at bestemmelsene i lov om offentlige anskaffelser er fulgt. Håndteringen av avvik Intervjuinformasjonen er entydig på at det er etablert gode systemer for korrigering av avvik. Avvik varsles, korrigeres på lavest mulig nivå, og lukkes elektronisk i systemet. Vanligvis lukkes avvik av nærmeste enhetsleder. Det rapporteres på alle typer avvik. Kommunalsjef får kopi av alle avvik i systemet, og forteller at systemet fungerer, og skal være kjent på alle nivå i organisasjonen. Han forteller videre at de som melder inn avvik får beskjed når avviket er lukket. Flere enhetsledere sier at et avvik i prinsippet kan være hva som helst, og de har jevnlige diskusjoner i enhetene om hva som er et avvik. Hensikten med en risikovurdering er å kartlegge hva som kan gå galt slik at man vurdere om enheten har tatt tilstrekkelige forholdsregler eller om ytterligere tiltak er nødvendig. I spørreundersøkelsen ble enhetslederne bedt om å ta stilling til om de er enig i følgende påstander som omhandler kontrolltiltak, se tabell 8 nedenfor. Overordnet internkontroll 30
Tabell 8 Rutiner og kontrollaktiviteter Enig Delvis enig Uenig Vet ikke Ved min enhet er det utarbeidet tiltak for å møte de risikoområdene (muligheter for feil/avvik) som er identifisert Enheten har tilstrekkelig skriftlige rutiner og prosedyrer som sikrer at enhetens gjøremål kan bli korrekt utført Jeg har kontroll på at enheten drives innenfor det til enhver tid gjeldende krav og regelverk Enheten/kommunen har et system for å sikre at alle rutiner til enhver tid er oppdatert Kilde: Revisjon Midt-Norge 6 6 0 0 6 4 1 1 8 3 0 1 2 7 3 0 Vi så i tabell 7 at drøyt halvparten (pluss/minus) av enhetslederne var enig påstandene vedrørende gjennomføringen av ulike former for risikovurderinger innenfor enheten. I tabell 8 ser vi den sammen tendensen rundt halvparten av enhetslederen er enig i påstandene om rutiner og kontrolltiltak det er altså delte meninger om det er tilstrekkelig med rutiner og kontrollaktiviteter i enhetene. 1 enhetsleder er uenig i at enheten har tilstrekkelig skriftlige rutiner og prosedyrer som sikrer at enhetens gjøremål kan bli korrekt utført. 3 av enhetslederne er uenig i at kommunen har et system for å sikre at alle rutiner er oppdatert. En av enhetslederne kommenterte følgende: «Vi jobber kontinuerlig med rutiner, nye samt justere de eksisterende. Krever tid/prioritering. Har ikke fått systemet inn i QM+ ennå.» 3.3.3 Revisors vurdering Vår oppfatning er at det innenfor alle operasjonelle aktiviteter der eventuelle svakheter i internkontrollen vil ha høy konsekvens, må være etablert et kontrollsystem. Det er ikke noen fasit på hvilke kontroller som bør iverksettes. Alle kontrolltiltak bør imidlertid være etablert og innrettet med utgangspunkt i en risikovurdering. Iverksetting av kontrolltiltak har til hensikt å redusere identifisert risiko. På overordnet nivå har kommunen god systematikk for å følge opp arbeidet som utføres i enhetene. Rådmannens oppfølging er og må være på overordnet nivå. Overordnet internkontroll 31
Det synes likevel å være mangler når det gjelder etterprøvbarhet på gjennomførte kontrolltiltak i kommunen. Hensikten med etterprøvbarhet er at handlinger, vurderinger og avgjørelser som er gjennomført i saksbehandlingen kan dokumenteres. Mangelfull eller manglende dokumentasjon f.eks. av begrunnelser for vedtak, kan føre til problemer i forbindelse med klagebehandling og/eller merknader fra tilsynsmyndigheter. Revisjonen har imidlertid ikke i tilstrekkelig grad fått dokumentert at kontrollaktivitetene er basert på risikovurderinger, og det foreligger heller ikke kontrollbeskrivelser og kontrollbevis for alle kontrollaktivitetene. Et eksempel på dette er at det ikke kan dokumenteres at lov om offentlige anskaffelser er fulgt i flere saker. Alle rutiner bør videre lagres elektronisk, med versjonskontroll, og opplysninger om når er de lagret, endret, revidert og av hvem. Manglende enhetlig praksis for å tilgjengeliggjøre og oppdatere/revidere prosedyrer og rutiner kan etter revisjonens vurdering medføre en fare for feil. Revisjonen mener at et felles system for rutiner og prosedyrer, som er oppdatert og tilgjengelig for de ansatte, er avgjørende for å sikre god internkontroll i kommunen. Det ser foreløpig ikke ut for at kommunen har tatt i bruk kvalitetssikringssystemet Qm+ i så stor grad som planlagt. Årsaken til at systemet ikke brukes fullt ut er sammensatt. For å lykkes med implementering av et slikt system, mener revisor det er viktig at rådmannen stiller krav til bruk av systemet. Revisor kan ikke se at dette er gjort i tilstrekkelig grad, og det synes å være noe ulik oppfatning internt i kommunen hvor ulike typer dokumenter skal være lagret. Kommunen har oversikt over hvor eventuelle avvik oppstår, og setter inn tiltak for å lukke/begrense avvik på en systematisk måte. Manglende definisjon av hva som skal betraktes som et avvik, kan muligens bidra til underrapportering. Det synes imidlertid som om kommunen er oppmerksom på dette, og at forhold rundt avvik diskuteres jevnlig på enhetsmøter mm. 3.4 Informasjon og kommunikasjon 3.4.1 Revisjonskriterier For å oppnå god internkontroll er det ifølge COSO-modellen viktig med effektiv og tidsriktig informasjon og kommunikasjon, både horisontalt og vertikalt i organisasjonen. Dette er nødvendig for at den enkelte skal kunne utføre det ansvaret de er tildelt. Kommunen bør ha rutiner og system for: Å formidle forventninger og krav Identifisering og formidling av viktig informasjon Årshjul/planarbeid Overordnet internkontroll 32
3.4.2 Data Å formidle forventninger og krav Rådmannen forteller at et viktig element i internkontrollen til kommunen er den etablerte møtestrukturen. Det avholdes administrativt ledermøte hver uke, der rådmann, kommunalog fagsjefer deltar. Det avholdes månedlige møter mellom kommunalsjef og enhetsledere på de enkelte områdene. Hver måned avholdes det også møte mellom rådmann og samtlige kommunalsjefer, enhetsledere og fagsjefer. Dette for å sikre informasjon som er felles for hele kommunen. Dette er en felles plattform for budsjett- og resultatoppfølging, drøfting av etiske problemstillinger, handlingsoppfølging, grensesnitt politikk/administrasjon etc. Prinsippet er at alle skal høre det samme. Intervjuinformasjon viser videre at det oppfattes som enkelt å ta kontakt med rådmannsnivået for å få informasjon og avklaringer både muntlig og via e-post. Det pekes også på at kommunen er liten og man har god oversikt det som foregår. Enhetsleder innenfor Drift og vedlikehold forteller at det er ukentlige gruppemøter hvor ansatte i Bygg og VVA møtes. Her oppsummeres forrige ukes hendelser/aktiviteter og i tillegg legges det planer for kommende uke. På disse møtene informerer enhetsleder om aktuelle vedtak i politiske organ, informasjon fra ledermøter, mm. Han forteller videre at det er for krevende å ha samme opplegget for alle ansatte innen for eksempel renhold, bl.a fordi de jobber for spredt og er veldig pressa på tid. Her ivaretar gruppeleder informasjonsflyten i større grad. Informasjon formidles også på mail og ved intranett. Videre er det gruppeledermøte både med gruppeleder renhold og gruppeleder VVA. Han forteller videre at det to ganger i året er det fellesmøte for alle ansatte både innen renhold og VVA. «Etter min vurdering er informasjonsflyten tilstrekkelig mellom ledelse og ansatte. Det gjennomføres også medarbeidersamtaler en gang i året.» Identifisering og formidling av viktig informasjon Rådmannen forteller at informasjon genereres på ulike nivå i kommunen. Skriftlig informasjon gjøres tilgjengelig på intranettet til kommunen og i QM+. Målet er at informasjonen skal være kjent og lett tilgjengelig for de ansatte. Per i dag er det ingen klare retningslinjer for hvilken informasjon som skal ligge tilgjengelig i hvilket system. Mye av informasjonen ligger tilgjengelig begge plassene. Kommunalsjef Helse og omsorg forteller at alle rutiner, styrende dokument og reglement skal inn i QM+. Det er tema i alle enhetsledermøter og i møtene med kommunalsjefene og stab. Instruks om bruk av QM+ er ikke skriftliggjort; å bruke dette er en selvfølgelighet. Overordnet internkontroll 33
I spørreundersøkelsen ble enhetslederne bedt om å ta stilling til om de er enig i følgende påstander som omhandler informasjon, se tabell 9 nedenfor. Tabell 9 Informasjonstiltak Enig Delvis enig Uenig Vet ikke Internkontroll er jevnlig tema på enhetsmøtene 2 7 3 0 Det er god intern kommunikasjon i enheten 7 4 1 0 Jeg har tilstrekkelig informasjon for å kunne styre enheten 11 1 0 0 Kilde: Revisjon Midt-Norge - Fem av 12 enhetsledere mener de har tilstrekkelig kunnskap om hvordan internkontroll skal drives i praksis, jf. tabell 3. - Syv av enhetslederne var enig i at enheten har vurdert risiko/fare for manglende lov- og regeletterlevelse, jf. tabell 7. - Seks av enhetslederne var enig i påstanden om at enheten har tilstrekkelig skriftlige rutiner og prosedyrer som sikrer at enhetens gjøremål kan bli korrekt utfør, jf tabell 8. - Tre av tolv enhetsledere er uenig i at internkontroll jevnlig er tema på enhetsmøtene. 11 av 12 enhetsledere er likevel enig i påstanden om at de har tilstrekkelig informasjon for å kunne styre enheten. Årshjul/planarbeid Gitt at målet er å integrere internkontrollens aktiviteter (risikovurderinger, kontrolltiltak, avvikshåndtering mv) i helheten, så bør også kommunikasjon og en del dokumentasjon av internkontroll også gjøres innenfor samme helhet f.eks. i årshjul, planarbeid og rapporteringer. Dette gjelder selvfølgelig bare på overordnet/aggregert nivå. Detaljerte kartlegginger, prosedyrer, rapporter mv skal ikke inngå i styringsdokumentene. Det er ikke noe mål å ha mest mulig dokumentasjon, men å dokumentere de vurderinger og aktiviteter som faktisk utføres, og sikre at dette er tilgjengelig 12. Internkontroll synes ikke å være nevnt i kommunens styrende dokumenter, og det synes heller ikke å være rutiner for jevnlig evaluering (interne) av internkontrollsystemet eller de rutiner som er etablert. 12 KS: Rådmannens internkontroll. Orden i eget hus (2012). Overordnet internkontroll 34
3.4.3 Revisors vurdering Deling av informasjon og god kommunikasjon er nødvendig for at den enkelte skal kunne utføre det ansvaret de er tildelt. Etter revisjonens oppfatning bidrar en god og hensiktsmessig møtestruktur til god informasjonsflyt i kommunene. Intervjuinformasjon tyder også på at det er enkelt å ta kontakt med rådmannsnivået for å få informasjon og avklaring både muntlig og via e-post. Når det gjelder informasjon som er eller burde vært elektronisk lagret, er ikke kommunen helt i mål. En del rutiner/dokumentasjon finner man på kommunens intranett, noe finner man lagret i QM+, og noe finner man i permer ute på de enkelte enhetene. Det er imidlertid ikke kritisk om dokumentene ligger «her eller der», det viktige er de er kjent og lett tilgjengelig. Det er imidlertid uheldig hvis dokumenter ligger flere steder med tanke på oppdateringer/endringer, noe som ser ut til å være tilfellet i Klæbu kommune. Etter revisors oppfatning er det usikkert om ledergruppen i tilstrekkelig grad har kommunisert behovet for internkontroll på en tydelig måte, hensikten med internkontroll, og om den enkelte enhetsleder forstår den sentrale rollen de har i kommunens internkontrollsystem. 3.5 Evaluering og kontroll 3.5.1 Kriterier For å sikre gjennomføring av handlinger eller endringer som er nødvendige for å oppnå god internkontroll, er også ledelsens oppfølging viktig. Resultater skal følges opp for å avdekke om de er i samsvar med virksomhetens strategier og planer. For rådmannen/rådmannsnivået vil det ikke være mulig eller ønskelig å ha detaljert kunnskap hverken om hvilke oppgaver som utføres eller risikoer som finnes. Her må kommunen ha vurdert og avklart hva som skal aggregeres fra tjenestenivå og oppover/videre i organisasjonen. Kommunen bør ha rutiner for: Oppfølging av måloppnåelse Oppfølging av avvik Iverksetting av korrigerende tiltak Etterlevelse av besluttede tiltak, regler, krav Overordnet internkontroll 35
3.5.2 Data I spørreundersøkelsen ble enhetslederne bedt om å ta stilling til om de er enig i følgende påstander som omhandler informasjon, se tabell 10 nedenfor. Tabell 10 Evaluering og kontroll Enig Delvis enig Uenig Vet ikke Rådmannen er tilstrekkelig informert om de krav og utfordringer som gjelder min enhet Ledelsen gjennomfører jevnlig evaluering av om enheten når sine mål Jeg får tilstrekkelig tilbakemelding på de krav og utfordringer som meldes opp til ledelsen. Kilde: Revisjon Midt-Norge 10 2 0 0 10 2 0 0 8 2 1 1 Rådmannen blir oppdatert på driften gjennom jevnlig møtevirksomhet. Det kommenteres fra enhetsledere at rådmannen er engasjert i enhetenes arbeid og godt orientert om driften. Intervjuinformasjon tyder også på korte kommunikasjonslinjer, og at det er lett å ta kontakt med ledelsen/rådmannen. Videre at «spesielle saker» når som helst ved behov kan drøftes med rådmannen på tomannshånd. Dette støttes også av resultatene fra spørreundersøkelsen, hvor 10 av 12 enhetsledere mener det er riktig at rådmannen er tilstrekkelig informert om de krav og utfordringer som gjelder deres enhet. I spørreundersøkelsen spurte vi videre om enhetslederne er enig i at ledelsen gjennomfører jevnlig evaluering av om enheten når sine mål. 10 av 12 enhetsledere er enig i at dette stemmer. Dette stemmer også bra med intervjuinformasjon. Enhetsleder har blitt delegert ansvaret for at lov- og regelverket blir fulgt innenfor enhetens ansvarsområde. Rådmannen forteller at den formaliserte kontrollen av enheten i hovedsak består av enhetenes årsmelding, oppfølging av lederavtaler mellom rådmannen og enhetslederne, og at det for deler av enhetene er etablert en resultatavtale i tilknytning til denne. Enhetsledere har en årlig rapportering (årsrapport) til kommunalsjef. Kommunalsjef oppsummerer dette til rådmannen. Oppfølging av resultatavtalene foretas 2-3 ganger i året. I tillegg har kommunalsjefen tjenesteområdemøter med sine enhetsledere og sin stab. Kommunalsjefen har også årlige individuelle utviklingssamtaler med de han er direkte overordnet, samt individuelle månedlige samtaler med sin stab og sine enhetsledere etter behov se vedlegg 2. Overordnet internkontroll 36
Flere enhetsleder forteller at budsjettmålene er styrende, og de utfordringer de ser for sin enhet tas med og kommenteres i deres innspill til budsjettforarbeidet. Dette begrunnes med at utfordringene gjerne har en økonomisk konsekvens, og at det derfor er nødvendig å gi signaler om dette i budsjettarbeidet. Videre kommenteres enhetens utfordringer i årsmeldingen, både for å kommentere de utfordringer man har hatt og de utfordringer enheten ser framover. Hovedmålene i økonomi- og handlingsplanen evalueres i økonomirapporteringen til kommunestyret tre ganger i året. Rådmannen forteller videre at det er etablert tiltakslister som synliggjør hvilke tiltak som skal gjennomføres i løpet av budsjettåret for at kommunen skal nå sine mål. Her angis det hvem som er ansvarlig for iverksettelse av de ulike tiltakene samt tidsfrister for når tiltakene skal være gjennomført. Det synes videre å være variabelt hvorvidt det stilles krav om rapportering på måloppnåelse og målsettinger i resultatavtalen på annen måte fra rådmannens side. Kommunalsjef Helse og omsorg har en skriftlig oppfølging og evaluering på hvert punkt i resultatavtalen, herunder frister, status, og hvordan dette skal følges opp. Kommunalsjef Kultur og oppvekst har ikke en tilsvarende oppfølging. Oppfølging av avvik Det blir gjort løpende gjennomgang av avvik. Alle avvik skal dokumenteres i QM+, og lukkes på lavest mulig nivå. Ved eventuelle avviksmeldinger prøver enheten/amu å forhindre nye avvik ved for eksempel å endre eksisterende rutiner. Få avvik behandles på rådmannsnivå, dette tyder på de fleste avvik løses på et lavere nivå. 3.5.3 Revisors vurdering Ett effektivt internkontrollsystem krever oppfølging og overvåkning, både for å kunne avdekke mangler og for å kunne forbedre systemet. Administrasjonen har fokus på målsettingene som er fastsatt politisk, og har etablert mekanismer som skal sikre at disse målene blir fulgt opp. Revisor mener det er viktig at målene for kommunen på overordnet nivå konkretiseres slik at den enkelte enhetsleder kan forholde seg til disse i hverdagen, og tilpasse disse til sin enhet. Tiltakslista bidrar i så måte til å sikre at målene blir implementert ned i organisasjonen og at ansvaret for oppfølging blir plassert. Målsettinger i resultatavtalen følges opp av kommunalsjef og rådmann. Det er ulikheter i forhold til hvordan kommunalsjefene følger resultatavtalene opp. Revisor ser med stor Overordnet internkontroll 37
tilfredshet på måten kommunalsjef Helse og omsorg følger opp sine enhetsledere, med en skriftlig evaluering og oppfølging av målene i resultatavtalene. Selv om rådmannen har delegert ansvar for enhetenes oppgaveløsning til enhetslederne, har fremdeles rådmannen ansvaret. Innenfor alle operasjonelle aktiviteter der eventuelle svakheter i internkontrollen vil ha høy konsekvens, må rådmannen kreve at det kan fremskaffes kontrollbevis slik at man faktisk kan dokumentere at man er innenfor det til enhver tid gjeldende lov- og regelverk. Kommunen har mangler på dette området. Et av flere forhold som bør kunne dokumenteres et at lov om offentlige anskaffelser er fulgt. For en kommune med stram økonomi, vil overholdelse av budsjettet være en avgjørende målsetting. Ledelsens fokus på budsjettoppfølging og budsjettkontroll, speiler den risikovurdering som implisitt gjøres i forhold til målet om budsjettbalanse. 3.6 Sektorspesifikke krav internkontroll i sosial- og helsetjenesten. 3.6.1 Kriterier Veilederen Hvordan holde orden i eget 13 hus inneholder utfyllende fortolkninger av forskrift om internkontroll i helse- og omsorgstjenesten. Veilederen viser til at det finnes mange alternative måter å organisere og styre virksomhet og arbeidsprosesser på. Allikevel er det noen grunnleggende elementer som må være på plass for at virksomheten skal ha tilstrekkelig internkontroll 14. Den/de ansvarlige for virksomheten skal: a) beskrive virksomhetens hovedoppgaver og mål, herunder mål for forbedringsarbeidet samt hvordan virksomheten er organisert. Det skal klart fremgå hvordan ansvar, oppgaver og myndighet er fordelt, b) sikre tilgang til aktuelle lover og forskrifter som gjelder for virksomheten, c) sørge for at arbeidstakerne har tilstrekkelig kunnskap og ferdigheter innenfor det aktuelle fagfeltet samt om virksomhetens internkontroll, d) sørge for at arbeidstakerne medvirker slik at samlet kunnskap og erfaring utnyttes, e) gjøre bruk av erfaringer fra pasienter/tjenestemottakere og pårørende til forbedring av virksomheten, 13 Hvordan holde orden i eget hus Internkontroll i sosial- og helsetjenesten (12/2004) Overordnet internkontroll 38
f) skaffe oversikt over områder i virksomheten hvor det er fare for svikt eller mangel på oppfyllelse av myndighetskrav, g) utvikle, iverksette, kontrollere, evaluere og forbedre nødvendige prosedyrer, instrukser, rutiner eller andre tiltak for å avdekke, rette opp og forebygge overtredelse av sosial- og helselovgivningen, h) foreta systematisk overvåking og gjennomgang av internkontrollen for å sikre at den fungerer som forutsatt og bidrar til kontinuerlig forbedring i virksomheten Vektleggingen av de ulike elementene vil variere avhengig av virksomhetens karakter, 3.6.2 Data Beskrive virksomhetens hovedoppgaver og mål Enhetsleder synes å ha god oversikt over enhetens oppgaver og mål. Årsplaner, møteplaner samt arbeidsplaner for å sikre at ansatte får den praktiske hjelpen de skal ha er tilgjengelig og skriftliggjort. Enheten har videre skriftliggjort lederstruktur, pasientkontakter og primærkontakter, mm. Enhetsleder forteller at det er fokus på å sikre gode rutiner og at alt til enhver tid er oppdatert, lett tilgjengelig og at de ansatte bruker rutinene. - Enheten synes likevel ikke å ha en oppdatert HMS-håndbok, noe som ikke er i tråd med kommunens føringer for HMS. Sikre tilgang til aktuelle lover og forskrifter som gjelder for virksomheten Enhetsleder forteller at alle ansatte er orientert om regelverk og myndighetskrav, og at dette er noe de skal arbeide opp mot i det daglige. Alt av aktuelle lover og forskrifter skal være lagt inn i QM+, og linket opp mot Lovdata. Hun forteller videre at hun får beskjed fra sin leder dersom det kommer endringer i lov- og/eller regelverk. Alle endringer i lov- og avtaleverk og eventuelle konsekvenser av dette drøftes i enhetsmøtene. Sørge for at arbeidstakerne har tilstrekkelig kunnskap og ferdigheter Enhetsleder forteller at enheten har en kompetanseplan som rulleres årlig. Hvis det for eksempel skulle komme nye pasienter med nye behov blir dette hensyntatt i planen. De ansatte kan også melde inn behov. Hun forteller videre at enheten ikke har eget kartleggingsskjema for kompetanse, men det er egne signeringslister for hvilke kurs man har deltatt på. I kompetanseplanen oppfordres de ansatte til videreutdanning, og enhetsleder forteller at det nå er to stykker som har starter opp på utdanning som helsefagarbeider. De ansatte har fått fri med lønn til å følge undervisning, men får ikke dekket noe utover dette. Hun forteller videre at enheten nå har et prosjekt som omhandler demens, aldring og helse. Overordnet internkontroll 39
Det er mange som deltar på dette, og hun forventer at denne kunnskapen skal komme til nytte i sykehjemmet. Enhetsleder forteller at de har en egen plan for opplæring av nyansatte, for å sikre at nye ansatte har den riktige kompetansen i bruk av utstyr og prosedyrer, vet hvor man finner permer med oppdaterte rutinebeskrivelser, mm. Alt av informasjon om enhetene er tilgjengelig i permer med rutiner for hvordan de skal håndtere alt. Enhetsleder forteller at de har begynt å lagre referater i QM+, men hun tviler på at de ansatte vil finne på å lete etter et referat i QM+, heller ikke rutiner. - Målet er at alt skal ligge inne i QM+, og at man har bare et system å forholde seg til. Vi har ikke kommet ditt ennå. Sørge for at arbeidstakerne medvirker slik at samlet kunnskap og erfaring utnyttes, Enhetsleder forteller at de ansatte har stor innvirkning på tjenesteutviklingen og organiseringen av arbeidet. De har månedlige sykepleiermøter hvor de drøfter forhold som kan/bør endres, og aktuelle faglige utfordringer og problemstillinger. Hun forteller videre at det er begrenset med muligheter for å delta på ekstern kursvirksomhet, og enheten har derfor en del internundervisning. «Vi kan forskjellige ting, og kan/bør lære av hverandre. Hvis for eksempel en av de ansatte har vært på kurs om høreapparat, så blir dette tema på neste møte. De med kurs blir ressurs på området.» Enhetsleder forteller at hun forsøker å ha medarbeidersamtale en gang i året, men at det foreløpig har vært vanskelig å få dette til for alle ansatte Gjøre bruk av erfaringer Enhetsleder forteller at de jevnlig gjennomfører brukerundersøkelser med pasientene. Forrige gang undersøkelsen ble gjennomført, gikk de rundt til de pasientene som kunne svare. Det ble i den forbindelse iverksatt noen tiltak. En tilbakemelding var at de ansatte burde ha navneskilt, noe som er innført. Hun forteller videre at enheten har refleksjonsgrupper etisk refleksjon et prosjekt i regi av KS. Her drøfter de for eksempel en tilbakemelding fra en pårørende. De har videre pårørende-møter 2 ganger i året, og samarbeid med en pårørende-foreningen i forbindelse med tilstelninger ol. Overordnet internkontroll 40
Oppfyllelse av myndighetskrav, Enhetsleder forteller at enheten gjennomfører ROS-analyser ved eventuelle endringer. Et eksempel på dette er at de har startet opp med multidose for å redusere antall avvik med feilmedisinering. Her ble det gjennomført en ROS-analyse for å kartlegge eventuelle risikoer ved dette. Hun er videre tydelig på at de ved eventuelle avviksmeldinger hele tiden prøver å forhindre nye avvik ved for eksempel å endre eksisterende rutiner. Eventuelle klager på vedtak sendes til tjenesteteamet. Avdekke, rette opp og forebygge overtredelse av sosial- og helselovgivningen, Enhetsleder forteller at tjenestene de skal yte blir definert av tjenesteenheten. Hun synes at dagens system fungerer utmerket og at de har de møteplassene de trenger for å justere kursen. Enhetsleder forteller videre at avvikssystemet er sentralt i enhetens internkontroll. Alle avvik som meldes inn går til nærmeste leder samt kommunalsjef. Alle avvik drøftes i det lokale AMU. De kan for eksempel be om at rutinene presiseres. Avvik tas også opp på avdelingsmøtene. Hun forteller videre at inntrykket er at de ansatte synes det er greit å bruke systemet. Hvis avviksmeldinger stadig repeteres tyder dette på at vi ikke klarer å lukke avvikene og systemet er for dårlig. Har tidligere vært en del avvik på feilmedisinering, men mulighetene for avvik på dette skal være vesentlig redusert nå. Ellers kan det være vanskelig å definere hva et avvik er er det svikt i rutiner, manglende rutiner, osv. Foreta systematisk overvåking og gjennomgang av internkontrollen Enhetsleder forteller at kommunens overordnede systemer og rutiner for styring, delegering og kontroll gjelder for sykehjemmet på lik linje med de øvrige enhetene. Enhetsleder forteller videre at de etter hennes skjønn har alle dokumenter på plass, men at de mangler noe på overordnet kontroll. Det er ikke dokumentert en samlet beskrivelse av hele internkontrollsystemet til enheten eller hvordan man sikrer at dette systematisk blir overvåket og fulgt opp. Enhetsleder forteller videre at det ikke foreligger noen instruks for bruk av QM+ utover det at alle avvik skal følges opp via dette systemet. Det er likevel et signal fra ledelsen om at alle rutiner og styrende dokumenter på sikt skal inn i QM+, og at de ansatte skal finne alt de trenger der. 3.6.3 Revisors vurdering Enhetsleder forteller at kommunens overordnede systemer og rutiner for styring, delegering og kontroll gjelder for sykehjemmet på lik linje med de øvrige enhetene. De forhold som er Overordnet internkontroll 41
påpekt ovenfor i kapittel 3.1 3.5 vedrørende kommunens internkontrollsystem gjelder naturlig nok også for Klæbu sykehjem. Driften av Klæbu sykehjem antas likevel å være i samsvar med Forskrift om internkontroll i helse- og omsorgstjenesten. Revisor vil i tillegg påpeke følgende: - Enheten har rom for forbedring når det gjelder dokumenthåndtering og en systematisk tilrettelegging av dokumenter. Enheten må bl.a sørge for å ha en oppdatert HMShåndbok. - Det må gjennomføres medarbeidersamtaler i tråd med kommunens retningslinjer for dette. Overordnet internkontroll 42
4 Høring Rådmannen har fått anledning til å gi tilbakemelding på en foreløpig versjon av rapporten. Han har i et høringsmøte pr 30.01.2015 gitt følgende tilbakemelding: Rapporten synes å gi et tilfredsstillende bilde av status for Klæbu kommunes internkontroll Rådmannen vil likevel kommentere enkelte punkter. Rapporten påpeker at kommunen mangler en systematisk tilnærming til risikovurderinger. Kommunen er god på ROS-analyser, men har ingen systematikk på dette utover at det gjennomføres når noe har skjedd og/eller ved større endringer, samt en enkel ROS-analyse ved enhetsledernes årlige innspill til budsjett. Det gjennomføres heller ingen årlig gjennomgang av kommunens internkontrollsystem. Som rapporten påpeker har kommunen imidlertid en jevnlig evaluering og oppfølging av økonomi og budsjett. Målsettingen er at QM+ skal være kommunens overordnede og helhetlige kvalitetssystem. Vi mener at det er tydelige føringer på bruken av dette systemet, men ser at kommunen ennå ikke er i mål når det gjelder bruk av QM+. Her må vi bli mer tydelige i våre føringer på hva som skal lagres elektronisk, hvor det skal lagres, samt rutiner for oppdatering, vedlikehold og endringer. Kommunens intranett er for øvrig ikke en del av kommunens kvalitetssystem. Det vil bli igangsatt tiltak for å få på plass de siste brikkene i et velfungerende internkontrollsystem. Et viktig tiltak kan være å ha oppfølging av internkontroll som et fast punkt på enhetsledermøtene. Overordnet internkontroll 43
5 Konklusjoner og anbefalinger Problemstillingen i denne undersøkelsen er om Klæbu kommune har etablert et internkontrollsystem som ivaretar kommunelovens krav om betryggende kontroll. 5.1 Konklusjon Selve begrepet internkontroll kan være et fremmedgjørende ord som tilslører at dette handler om systematisk arbeid og dokumentasjon av egen praksis, forbedring av arbeidsmetoder og samhandling for å sikre måloppnåelse, og for å unngå lovbrudd og andre uønskede hendelser. COSO-modellen fordrer at arbeidet med internkontroll er forankret i ledelsen for at man skal kunne ha en velfungerende internkontroll i virksomheten. Kommunens ledergruppe har klare formeninger om hvordan man bør legge til rette for et hensiktsmessig internkontrollsystem, og har også omsatt dette i praksis. Klæbu kommune har mange elementer som kan og bør inngå i et helhetlig styringssystem. Det mangler imidlertid noen elementer som bør være på plass for at kommunen har etablert en god internkontroll i samsvar med COSO-modellen. Generelt oppfattes det som en svakhet at enkelte viktige elementer i styringssystemet er lite formalisert. Det er enhetslederne som arbeider med den operasjonelle delen av kommunens internkontroll. Undersøkelsen tyder på at enhetslederne ikke synes å ha et like bevisst forhold til internkontroll som kommunens ledelse. Enhetslederne synes videre å ha en noe uklar forståelse for sammenhengen mellom risikovurderinger og gjennomføring av kontrolltiltak på områder med antatt høy risiko. For å få på plass de siste brikkene i et godt internkontrollsystem, må rådmannen i samarbeid med kommunalsjefene legge «trykk» på enhetslederne. - Etter revisors mening mangler kommunen en systematisk tilnærming til forhold som risikovurderinger og evaluering av kontrollenes effektivitet. Kommunen bør ha rutiner for systematisk risikokartlegging og vurderinger som gjør at enheten får en oversikt over områder i virksomheten hvor det er fare for svikt eller mangel på oppfyllelse av myndighetskrav. Risikoreduserende tiltak må iverksettes ved høy risiko, og en mer systematisk evaluering/kontroll av iverksatte kontrolltiltak må også innarbeides i et helhetlig styringssystem. - Etter revisors mening bør kommunen ha mer tydelige føringer på hva som skal lagres elektronisk, hvor det skal lagres, samt rutiner for oppdatering, vedlikehold og endringer. Overordnet internkontroll 44
Det bør etterstrebes å ha klare føringer på hvor dokumenter skal lagres, og hva som skal lagres. Nå lagres for eksempel noen rutiner lokalt i permer, noe i QM+ og noe på intranett. Videre bør kommunens reglementer/rutiner mm inneholde opplysninger om når er de utviklet, når er de revidert, hvem som har ansvaret, osv. - Det bør være en jevnlig gjennomgang av om internkontrollsystemet fungerer som ønskelig, og om det eventuelt er nødvendig med endringer. Dette for å sikre at internkontrollen fungerer som forutsatt, samt å iverksette eventuelle forbedringer. Herunder bør ledelsen jevnlig kommunisere hvordan kommunens internkontrollsystem fungerer, og hensikten med dette. 5.2 Anbefaling Med bakgrunn i informasjonen som har kommet fram i denne rapporten vil vi anbefale følgende: 1. En større grad av formalisering av risikovurderinger og iverksetting av kontrolltiltak er hensiktsmessig. Det bør etableres overordnede føringer for gjennomføring av systematisk risikovurdering knyttet til regelverketterlevelse, måloppnåelse og kvalitet i tjenesten. 2. Kommunen bør ha en enhetlig praksis for lagring av dokumentasjon, prosedyrer og rutiner, herunder bruk av QM+. 3. Kommunen bør ha en systematisk/årlig egenevaluering av kommunens internkontrollsystem. Overordnet internkontroll 45
Kilder Lov og forskrift Kommuneloven Helsetilsynsloven Forskrift om internkontroll i helse- og omsorgstjenesten Veiledere: Hvordan holde orden i eget hus. Internkontroll i sosial og helsetjenesten. Veileder. 2004 Øvrige kilder Helhetlig risikostyring et integrert rammeverk. COSO The Committee of Sponsoring Organization of the Treadway Commission. September 2004/ Oktober 2005. Styrking av administrasjonssjefens internkontroll og risikovurdering (2011). Rådmannens internkontroll. Orden i eget hus (2012) 85 tilrådingar for styrkt eigenkontroll i kommunane. Overordnet internkontroll 46
Vedlegg 1 Overordnet internkontroll 47
Overordnet internkontroll 48
Vedlegg 2 Overordnet internkontroll 49
Overordnet internkontroll 50
Overordnet internkontroll 51
Overordnet internkontroll 52
Overordnet internkontroll 53
Postadresse: Sandenveien 5, 7300 Orkanger Hovedkontor: Statens hus, Orkanger Tlf. 907 30 300 - www.revisjonmidtnorge.no