Internkontroll Nissedal kommune 2014 :: 730 007
Innhald Samandrag... iii 1 Innleiing... 1 1.1 Bestillinga frå kontrollutvalet...1 1.2 Problemstillingar og revisjonskriterium...1 1.3 Avgrensing...2 1.4 Metode og kvalitetssikring...2 2 Organisering, ansvar og roller... 3 3 Risikovurdering av internkontrollpliktige område... 4 3.1 Risikovurdering rutinar og gjennomføring...4 4 Oppfølging av kartlagd risiko... 7 4.1 Reglement og rutinar...7 4.2 Oppdagande kontrollaktivitetar... 18 5 Avvikshandtering... 20 5.1 System for å melde og handsame avvik... 20 5.2 Kultur for å melde avvik... 21 5.3 Vurderingar... 24 6 Konklusjonar og tilrådingar... 26 6.1 Konklusjonar... 26 6.2 Tilrådingar... 26 Litteratur og kjeldereferansar... 27 Tabelloversikt... 28 Figuroversikt... 28 Vedlegg... 28 Vedlegg 1: Høyringsuttale frå rådmannen... 29 Vedlegg 2: Revisjonskriterium... 30 Vedlegg 3: Metode og kvalitetssikring... 38 Foto framside: www.freeimages.com ii
Samandrag Forvaltningsrevisjonen internkontroll og kvalitetssystem blei bestilt av kontrollutvalet i Nissedal kommune i sak 18/13 med seinare godkjenning av prosjektskisse i sak 3/14. Bakgrunnen for forvaltningsrevisjonen er overordna analyse og plan for forvaltningsrevisjon 2012-2015. Vi har innretta forvaltningsrevisjonen på eit overordna, sektorovergripande nivå. Vidare har vi fokusert på utvalde støtteprosessar, som personalforvaltning, datatryggleik og anskaffingar. Følgjande problemstillingar vert tekne opp i rapporten: 1. Korleis har kommunen organisert verksemda? Skildring av ansvar og roller 2. Har kommunen rutinar for vurdering av risiko på tverrgåande internkontrollpliktige område, og er risikovurderingar gjennomført? 3. I kva grad arbeider kommunen systematisk med oppfølging av kartlagd risiko? Har kommunen grunnleggande reglement og rutinar? Gjennomfører kommunen oppdagande kontrollaktivitetar? 4. Har kommunen system og kultur for avvikshandtering? Revisjonskriteria 1 i denne forvaltningsrevisjonen er henta frå lovverk, internasjonalt rammeverk for internkontroll, rettleiarar frå KS og andre offentlige dokumenter. Konklusjonar Kommunen har rutinar for risikovurderingar på HMS, gjennom rutinane for vernerundar. Risikovurderingane er gjennomført, men ikkje samanfatta for heile kommunen. Kommunen har ikkje rutinar for risikovurdering av informasjonstryggleiken. Kommunen har kartlagt omfanget av personopplysningar, men gjer det for sjeldan. Mange einingar har gjort risikovurderingar på område som gjeld informasjonstryggleik. 1 Revisjonskriterium er dei reglar og normer som gjeld innanfor det området vi skal undersøke. Revisjonskriteria er grunnlaget for de analysar og vurderingar som revisjonen gjer og dei konklusjonane vi får. Revisjonskriteria er eit viktig grunnlag for å kunne dokumentere samsvar, avvik eller svakheiter. iii
Risikovurderingane er fragmentert. Kommunen har ikkje oppdatert risikovurdering for informasjonstryggleiken for heile kommunen. Kommunen har rutinar og reglement for dei fleste områda. Rutinane for informasjonstryggleik manglar heilskap. Rutinane for offentlege innkjøp manglar enkelte sentrale praktiske verkemiddel for god etterleving av regelverket. Kommunen har system for å melde og handsame avvik på HMS. Avviksystemet kan også nyttast på informasjonstryggleik. Det blir ikkje meldt mange avvik, men avvika som er meldt inn er relevante. Det er sannsynleg at mange problem som ville blitt meldt som avvik i større organisasjonar, blir meldt munnleg og løyst utanfor systemet i ein liten organisasjon som Nissedal kommune. Tilrådingar Kommunen bør treffe tiltak for å sikre at risikovurderingane dekker heile kommunen og alle relevante tema, treffe tiltak for å sikre regelmessig kartlegging av personopplysningar, og vurdere verkemiddel for å sikre god etterleving av innkjøpsregelverket. iv
1 Innleiing 1.1 Bestillinga frå kontrollutvalet Forvaltningsrevisjonen internkontroll og kvalitetssystem blei bestilt av kontrollutvalet i Nissedal kommune i sak 18/13 med seinare godkjenning av prosjektskisse i sak 3/14. Bakgrunnen for forvaltningsrevisjonen er overordna analyse og plan for forvaltningsrevisjon 2012-2015. Vi har innretta forvaltningsrevisjonen på eit overordna, sektorovergripande nivå. Vidare har vi fokusert på utvalde støtteprosessar, som personalforvaltning, datatryggleik og anskaffingar. Rapporten er utarbeidet av forvaltningsrevisorane Dag Oftung og Gerd Smedsrud Mikelborg, oppdragsansvarleg forvaltningsrevisor er Kirsti Torbjørnson. 1.2 Problemstillingar og revisjonskriterium Følgjande problemstillingar vert tekne opp i rapporten: 5. Korleis har kommunen organisert verksemda? Skildring av ansvar og roller 6. Har kommunen rutinar for vurdering av risiko på tverrgåande internkontrollpliktige område, og er risikovurderingar gjennomført? 7. I kva grad arbeider kommunen systematisk med oppfølging av kartlagd risiko? Har kommunen grunnleggande reglement og rutinar? Gjennomfører kommunen oppdagande kontrollaktivitetar? 8. Har kommunen system og kultur for avvikshandtering? Revisjonskriteria 2 i denne forvaltningsrevisjonen er henta frå lovverk, internasjonalt rammeverk for internkontroll, rettleiarar frå KS og andre offentlige dokumenter. Kriteria går fram under kvar problemstilling nedanfor, og er nærmare omtala i vedlegg 2 til rapporten. 2 Revisjonskriterium er dei reglar og normer som gjeld innanfor det området vi skal undersøke. Revisjonskriteria er grunnlaget for de analysar og vurderingar som revisjonen gjer og dei konklusjonane vi får. Revisjonskriteria er eit viktig grunnlag for å kunne dokumentere samsvar, avvik eller svakheiter. 1
1.3 Avgrensing Data er samla inn og analysert i tidsrommet april august 2014, og rapporten speglar dei funn som låg føre innafor dette tidsrommet. Vi har ikkje sett på utvikling over tid. Denne forvaltningsrevisjonen har ei overordna vinkling og har ikkje undersøkt kontrollkrav knytt til tenestespesifikke områder som til dømes opplæring, mattryggleik, helse, omsorg eller tekniske tenester. Kommune har avvikssystem som gjeld innanfor dei enkelte fagområda, omsorg, helse og habilitering, skule og barnehage. Dei har vi ikkje undersøkt i denne rapporten. Vi har avgrensa mot NAV, sidan dei NAV-tilsette i Nissedal er statleg tilsette. NAV har mange eigne rutinar og system. Vi avgrensar også mot andre interkommunale samarbeidsordningar som ikkje ligg til kommuneadministrasjonen i Nissedal Plankontoret er eit samarbeid mellom kommunane Nissedal og Kviteseid. Alle medarbeidarane er tilsette i Nissedal kommune, og jobbar med oppgåver innan arealplanlegging, kartfesting, oppmåling og byggesaksbehandling frå begge kommunane. Sidan plankontoret ligg i Nissedal kommune, er det en del av rapporten. 1.4 Metode og kvalitetssikring Heimel for forvaltningsrevisjon er gitt i kommunelova 77 nr. 4, jamfør forskrift om kontrollutval kapittel 5 og forskrift om revisjon kapittel 3. I forvaltningsrevisjonen har vi henta data gjennom intervju, dokumentgjennomgang og spørjeundersøking. Vi har intervjua rådmann, kommunalsjef for økonomi, kommunalsjef for personal og utvikling, IKT-/rekneskapssjef samt alle einingsleiarar i kommunen. Vi har nytta delvis strukturert intervjuguide for å sikre at intervjua skjer på ein mest mogleg lik måte. Det er skrive referat frå intervjua, og referata er godkjende av intervjuobjekta. Spørjeundersøkinga er gjennomført blant dei tilsette med e-postadresse hjå kommunen. Ca 50 % av dei spurde svara på undersøkinga. Ikkje alle einingar er like godt representert i svarmaterialet, men vi meiner at det sikrar eit representativt resultat. Gjennomføringa av spørjeundersøkinga er nærare omtalt i vedlegg 3. Utvalet i spørjeundersøkinga er lite, og subjektive tolkingar av spørsmål kan slå ut i eit lite utval. Dette kan til dømes gjelde for spørsmål om kjennskap til reglement. Vi 2
meiner at resultatet at undersøkinga likevel gir eit bilde av tilstanden i organisasjonen som kan gi administrasjonen eit utgangspunkt for å jobbe vidare med internkontrollen. 2 Organisering, ansvar og roller Nissedal kommune har om lag 260 tilsette fordelt på 173,02 årsverk og har følgjande organisasjonsstruktur: Rådmann Stab Plankontor Fellestenester NAV Eining for omsorg Eining for barnehage Eining for kultur Eining for skule Eining for helse og habilitering Eining for teknisk drift Figur 1 Oversikt over Nissedal kommune si organisering (sist oppdatert 12.02.2013) I rådmannsgruppa sit rådmannen, kommunalsjef økonomi og kommunalsjef personal/utvikling. Kommunalsjef for økonomi har mellom anna ansvar for budsjett, finans og innkjøp. Kommunalsjef for personal og utvikling har mellom anna ansvar for personalpolitikken i kommunen. Rådmannen har vidare ei leiargruppe som kallast leiarforum, med dei seks einingsleiarane, leiar for NAV, plankontoret og rekneskap/ikt-leiar. Leiarforum har møte annankvar veke. Det er stor forskjell på korleis einingane i kommunen er organisert og kor mange tilsette dei har. 3
3 Risikovurdering av internkontrollpliktige område 3.1 Risikovurdering rutinar og gjennomføring Har kommunen rutinar for vurdering av risiko på tverrgåande internkontrollpliktige område og er risikovurderingar gjennomført? Revisjonskriterium Kommunen skal ha rutinar for å gjere risikovurdering av informasjonstryggleiken og HMS Kommunen skal ha oversikt over kva personopplysningar dei handsamar Kommunen skal ha gjennomført dokumenterte risikovurderingar av informasjonstryggleiken og HMS Dei tverrgåande internkontrollpliktige områda er HMS (helse, miljø og sikkerhet) og informasjonstryggleik. 3.1.1 Rutinar for risikovurdering Kommunen har ikkje felles rutinar for å vurdere risiko. HMS Kommunen har rutinar for vernerundar kvart år. På intranett ligg ei sjekkliste over ulike risikoområder som blir vurderert på vernerunda. Basert på dei funna administrasjonen gjer under vernerunda, skal dei utarbeide ein handlingsplan. Ein mal for handlingsplan ligg saman med rutinane for vernerunda. Kommunen har tre forskjellige malar for risikovurderingar. I tillegg har dei ein mal for risiko- og sårbarhetsanalyse (ROS-analyse). Kommunen har også mal for handlingsplanar basert på risikoanalysane. Informasjonstryggleik Kommunen har ikkje rutinar for å vurdere risiko for informasjonstryggleik. Kommunen har deltatt i prosjektet «IKT-strategi for Vest-Telemark» saman med kommunane Fyresdal, Kviteseid, Seljord, Tokke og Vinje. Vest-Telemarkrådet vedtok IKT-strategien i sak 42/12, kommunestyret i Nissedal vedtok strategien i sak 73/12. I 4
dette arbeidet meldte alle kommunane at informasjonstryggleik var ei utfordring. Informasjonstryggleik blei det likevel ikkje arbeidd vidare med i prosjektet. 3.1.2 Gjennomføring av risikovurderingar Einingane for barnehage, helse og habilitering, omsorg og teknisk, har gjennomført dokumenterte risikovurderingar i samband med kommunens beredskapsarbeid. Her er det også vurdert hendingar som gjeld HMS og informasjonstryggleik. HMS Kommunen har gjennomført årlige vernerundar. Ved vernerundane skal einingane også vurdere andre risikofaktorar i tilgrensande områder. Risikoanalysane og handlingsplanar ligg i arkivmappa for vernerundane under kvar eining. Administrasjonen meiner risikoanalysane og handlingsplanane kunne vore samla og vurdert samla. AMU har handsama handlingsplanane frå vernerundane i sak 19/14. Resultatet av årets vernerundar har blitt rapportert til kommunestyret i 1.tertialrapport i sak 42/13. Fleire einingar opplyser at dei gjer risikovurderingar, men at ikkje alle dokumenterer vurderingane. Dei fleste einingane har gjennomført risikoanalyser i ein eller annen form ved hjelp av malane på HMS. Kommunen har inngått avtale med bedriftshelsetenesta om at dei skal gjennomføre ei undersøking om «eigenrapportert yrkeshelse», der dei tilsette også skal uttale seg om arbeidsmiljø. Dette er førebels ikkje gjennomført. Grunnen til at det ikkje er gjennomført er at administrasjonen ikkje har avgjort korleis dei tilsette skal bli gruppert slik at leiinga kan få nyttige rapporter utan at dei inneheld personopplysningar Informasjonstryggleik I 2006 blei det gjennomført ei kartlegging av personopplysningar i Nissedal. Kommunen opplyser at dei kartla all behandling av personopplysningar, og har prøvd å kartlegge all anna sensitiv informasjon (alt som er unntatt offentligheit, men ikkje er personopplysningar). Dei kartla også papirformatet. Mykje var i papirformat og mykje er no skanna. Siste gong kommunen kartla personopplysningar var i 2012. Kartlegginga i 2006 blei følgt opp av risikoanalyser for kvar eining, som blei samanfatta i eit felles dokument. Kommunen har ikkje gjort tilsvarande risikoanalyse seinare, og 5
har ikkje eit oppdatert dokument med skriftlege risikovurderingar av informasjonstryggleiken for heile kommunen. 3.1.3 Vurderingar Kommunen har ikkje særskilt rutine for risikovurdering av HMS. Kommunen har gode rutinar for vernerundar. Så lenge kommunen inkluderer fleire relevante tema inni vernerundane, fungerer dei som risikovurderingar på HMS for kommunen. Administrasjonen har sjølv sett at dei bør samle dokumenta for vernerundane. Dette kan gi leiinga ei betre oversikt over situasjonen i kommunen. Kommunen har ikkje rutine for risikovurdering av informasjonstryggleiken. Kommunen har kartlagd personopplysningar. Vi meiner kommunen har gjort kartlegginga for sjeldan. For ein liten kommune er det ein god ide å legge risikovurderingane av informasjonstryggleiken som ein del av andre risikovurderingar, men dei risikovurderingane som er gjort som ein del av beredskapsarbeidet, er ikkje fullstendige. 6
4 Oppfølging av kartlagd risiko 4.1 Reglement og rutinar Har kommunen etablert grunnleggande reglement og rutinar? Kommunen skal ha eit samla delegasjonsreglement. etiske retningsliner retningsliner og rutinar for å sikre eit godt arbeidsmiljø reglement for økonomi og finansforvaltning rutinar for datatryggleik og personvern rutinar for innkjøp Reglement og rutinar bør vere tilgjengeleg for tilsette i kommunen Nissedal kommune har eit intranett som nær alle tilsette har tilgang til. Tilgang til intranettet er beskytta med brukarnamn og passord. Alle rutinar og reglement kommunen har, ligg på intranettet. Administrasjonen opplyser at intranett hovudsakleg er eit støtteverktøy for dei som har personal- og økonomiansvar. Rådmannen meiner at særleg leiarar med personalansvar bør kjenne rutinane for HMS. Vi har spurt om kor ofte tilsette nyttar kommunen sine intranettsider. 80% 70% 74% 60% 50% 40% 30% 20% 10% 0% 10% 11% 40% 24% 23% 16% 4% 0% 0% Dagleg Kvar veke Kvar månad Sjeldan Aldri vore på intranettet Andre tilsette Leiarar Figur 2: Kor ofte nyttar du kommunen sine intranettsider? Tabellen syner at 100 % av leiarane brukar intranettet kvar månad eller oftare, og 85 % kvar veke eller oftare. For andre tilsette er fordelinga noko annleis. Her er det om lag 7
75 % som brukar intranettet kvar månad eller oftare, og om lag 50 % kvar veke eller oftare. Det er om lag 25 % som sjeldan eller aldri nyttar intranettsidene. Administrasjonen har utvikla eit introduksjonsprogram for nytilsette, både for å ta godt i mot dei nytilsette og for at dei skal bli kjende med alle rutinar og reglement. 4.1.1 Delegasjonsreglement Det politiske delegasjonsreglementet blei vedtatt av kommunestyret i sak 26/13. Delegeringsreglementet delegerer mynde til politiske utval og til rådmann. Ny plan- og bygningslov tredde i kraft 1.7.2009 og 1.7.2010. Mynde etter ny lov blei delegert kommunestyresak 66/09. Ved ei forgløyming blei ikkje endringane etter ny plan- og bygningslov tatt med i delegeringsreglementet i 2013, og administrasjonen arbeider etter delegeringsvedtak 66/09. Det administrative delegeringsreglementet er fastsett av rådmannen 25.04.2012. Her er gjort greie for delegering av mynde og ansvar frå rådmann til einingsleiarar. Både under fana økonomi og fana personal/personalhåndbok på intranettet finn vi det administrative delegeringsreglementet. Einingsleiarane opplyser i intervju at dei kjenner delegeringsreglementet. Vurdering Kommunen har både politisk og administrativt reglement for delegering. 4.1.2 Retningsliner for etisk standard Nissedal kommune har etiske retningsliner. Dei ligg tilgjengeleg under fana personal/personalhåndbok på intranett. Retningslinene er handsama i AMU i sak 4/08 og vedteke av kommunestyret i sak 26/08. Siste oppdatering er frå 05.07.2013. Retningslinene gjeld for både administrasjonen og dei folkevalde. Administrasjonen har jobba med å oppdatere retningslinene i perioden vi har gjennomført revisjon. 3 Grunnen til oppdateringa er at det er seks år sidan kommunestyret vedtok dei. Administrasjonen meiner retningslinene er gode og berre treng mindre endringar. 3 Etiske retningsliner blei lagt fram for kommunestyret i oktober 2014, sak 66/14. 8
I retningslinene er det vist til eige reglement for registrering i styrevervregisteret vedtatt av kommunestyret i sak 13/07. Dette reglementet er ikkje lagt ut på intranettet. Rutinar og retningsliner skal vere kjende i organisasjonen. Vi har spurt i kva grad dei tilsette kjenner dei etiske retningslinene. 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 8% 0% 1 I svært liten/ingen grad 12% 11% 28% 29% 5% 21% 16% 47% 7% 16% 2 3 4 5 6 I svært stor grad Andre tilsette Leiarar Figur 3: I kva grad kjenner du kommunen sine etiske retningsliner? Av leiarar med personalansvar har 84 % svart at dei kjenner dei etiske retningslinene godt (grad 4, 5 og 6). 11 % av leiarane har svart grad 2, som betyr at dei opplev at dei har lite kjennskap til dei etiske retningslinene. Av dei andre tilsette har 57 % svart grad 3 og 4, som er midt på treet. Alle einingsleiarane og rådmannsgruppa opplyste i intervju at dei kjenner dei etiske retningslinene. Dei etiske retningslinene er i bruk ved behov, og leiarane opplever dei som nyttige. Vurdering Kommunen har etiske retningsliner som gjeld både for politikarar og tilsette. Retningslinene er vedtekne av kommunestyret. Retningslinene er tilgjengeleg for alle tilsette gjennom intranettet, og er godt kjende blant dei fleste leiarar og andre tilsette. 9
4.1.3 Retningsliner om personalforvaltning og arbeidsgivarområdet På intranett inneheld fana personal fleire relevante reglement og oversikter. Her ligg HMS-handbok med mellom anna: styringsdel med definisjonar, organisering og ansvar rutinar for verneombod rutinar for arbeidsmiljøutvalet oppfølging av sjukmeldte linkar til lovverk diverse skjema HMS-rutinane er i utarbeida av Vest-Telemark kommunane i fellesskap. I 2012 hadde administrasjonen ein prosess i kommunane i Vest-Telemark for å gå gjennom kva som er bra og kva som treng oppdatering. Dei har oppdatert teksten i samsvar med regelverket. Administrasjonen har ikkje gått gjennom teksten med mål om å vurdere om rutinane er i samsvar med gjeldande mål og verdiar for Nissedal kommune. Personalsjefen meiner det er ein større prosess som må inkludere tillitsvalde og leiarar. Styringsdelen til HMS-systemet er ikkje vedtatt politisk eller administrativt. Administrasjonen meiner det burde vore administrativt vedtatt t.d. av AMU. Kommunen har rutine for vernerundar kvart år. Rutinen gjer greie for når vernerunda skal vere gjennomført, kven som skal delta, kven som skal fylgje opp vernerundane. Kommunen har ein sjekkliste for kva som skal vurderast under vernerunda. Rutinen for vernerundar er godkjent i AMU 18.02.2014. Under fana personal ligg også Personalhandboka med desse underpunkta: 10
Når HMS-rutinane skal endrast, er det ofte personalsjefen som er ansvarleg for å gjere den administrative jobben. Ho opplyser at ho som regel involverer fleire relevante personar i administrasjonen. Slik blir mange kjend med nye rutinar medan dei er under arbeid. Når rådmannen spør einingsleiarar om innspel, forventar han at dei ved behov har diskutert saka med medarbeidarane sine. Administrasjonen opplyser at ofte kan det vere enkelthendingar som fører til at rutinane blir endra, fordi ein ser at rutinane ikkje er gode nok, eller gir utslag som ikkje er meininga. 11
Alle einingsleiarane opplyser i intervju at dei kjenner HMS-reglane og personalhandboka. Frå spørjeundersøkinga har vi følgande svar: 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 6% 1 I svært liten/ingen grad 13% 0% 0% 33% 16% 28% 26% 19% 47% 1% 11% 2 3 4 5 6 I svært stor grad Andre tilsette Leiarar Figur 4: I kva grad kjenner du kommunen sine HMS-rutinar? Av leiarar med personalansvar har 84 % svart 4 eller betre. Ingen leiarar har svart at dei kjenner HMS-rutinane så lite som grad 1 og 2. Blant dei andre tilsette er det ein jamn fordeling av kjennskap til HMS-rutinane, med ei overvekt på midten. 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 14% 1 I svært liten/ingen grad 11% 0% 0% 25% 5% 24% 42% 20% 26% 26% 2 3 4 5 6 I svært stor grad 5% Andre tilsette Leiarar Figur 5: I kva grad kjenner du personalhandboka til kommunen? 12
Av leiarane med personalansvar svarar dei fleste at dei i stor grad kjenne personalhandboka. Blant dei andre tilsette er det relativt jamt fordelt kor godt dei kjenner personalhandboka. Vurdering Kommuneadministrasjonen har sentrale rutinar for HMS og personal. Dei er godt kjend, men også her er det nokre få leiarar som bør ha betre kjennskap til rutinane. 4.1.4 Rutinar for datatryggleik og personvern Kommunen har ikkje samla rutinar for informasjonstryggleik. Nissedal kommune har elektronisk arkiv for sensitive personopplysningar om tilsette, elevar og barn i barnehagar. Rekneskapsprogram med lønn og skatt inneheld også personopplysningar. I tillegg har kommunen eigne fagsystem for einingane helse og habilitering og omsorg. Kommunen har ikkje sensitive personopplysingar i papirarkiv. Kommunen har rutinar for kven som skal ha tilgang til ulik informasjon, men det kan vere utfordrande teknisk. IKT og rekneskapssjefen opplyser at administrasjonen har forsøkt å bygge organisasjonen slik at dette problemet skal vere minst mogleg. Under fane arkiv post ligger rutine for elektroniske elevarkiv, personalarkiv og retningslinjer for elektroniske saker som gjeld barn i barnehagar. Desse rutinane er utarbeida av IKA Kongsberg. Einingsleiarane er kjende med rutinane for handsaming av elektronisk arkiv. Kommunen har rutinar for at tilsette underskriv erklæring om teieplikt. Fleire av einingane har eigne rutinar og vurderingar av kva slags informasjon dei kan gi og til kven. Nissedal kommune har ikkje skriftlege rutinar for å sende melding til Datatilsynet. Kommunen sende melding til Datatilsynet i 2010 om handsaming av personopplysningar, men har ikkje sendt melding til Datatilsynet i 2013. Nissedal kommune kjøper IKT-tenester frå IT-selskapet Aspit AS. Kommunen kjøpte tenesta saman med kommunane Fyresdal og Seljord i 2012. Kommunen og Aspit AS har ein driftsavtale «om kjøp av driftstjenester knytt til maskinvare, infrastruktur og programvare». Avtalen er basert på statens standardavtalar for IT-anskaffelsar. Dagleg 13
leiar i Aspit AS og IKT-/rekneskapssjefen i Nissedal kommune har skrive under på avtalen. I tillegg har kommunen ein databehandlaravtale med Aspit AS. Databehandlaravtalen regulerer informasjonstryggleiken og handsaming av personopplysningar. Databehandlaravtalen er ikkje underskriven. Vurdering Kommunen har fleire rutinar som skal vere med på å sikre informasjonstryggleiken, men rutinane er fragmenterte og manglar heilskap. Administrasjonen har likevel løysingar for å trygge dei sensitive personopplysningane i elektroniske arkiv og fagsystem. Kommunen har databehandlaravtale, men den er ikkje dokumentert som forpliktande. 4.1.5 Reglement for økonomi og finansforvaltning Kommunen har Økonomireglement Reglement for finansforvaltning Rutine for finansforvaltning Økonomireglementet inneheld rutinar for lønn rutinar for fakturering rutinar for innkrevjing rutinar for attestasjon og tilvising rutinar for bestilling av varer og tenester retningsliner for føring i investeringsregnskapet Alle tema i økonomireglementet tar utgangspunkt i delegeringsreglementet. Økonomireglementet har vore til uttale hos i 18.10.2012. Økonomireglementet vart vedtatt av kommunestyret i sak 4/13. 14
Reglement og rutinar for finansforvaltning er vedtatt av kommunestyret i sak 78/11. Dei er kvalitetssikra av i to brev datert 08.08.2011. 4 Revisjonen vurderte at reglementet og rutinane er i samsvar med kommuneloven og forskrift om kommuners og fylkeskommuners finansforvaltning. I spørjeundersøkinga har vi spurt om kjennskap til økonomireglementet. 60% 50% 40% 30% 20% 10% 0% 6% 35% 0% 0% 0% 1 I svært liten/ingen grad 18% 11% 11% 8% 24% 25% 15% 50% 32% 32% 3% 17% 16% 2 3 4 5 6 I svært stor grad Attestantar Tilviserar Leiarar Figur 6: I kva grad kjenner du til kommunen sitt økonomireglement? Her har vi skild mellom leiarar med personalansvar, dei som kan attestere fakturaer, og dei som kan tilvise fakturaer. Dei fleste leiarar med personalansvar har også mynde til å tilvise. Dette er likevel ikkje heilt same gruppe. Å attestere ein faktura vil seie å kontrollere at fakturaen er i samsvar med levert vare/teneste, fakturert kvantum er i samsvar med levert kvantum, pris er i samsvar med avtalt pris, kreditt-tid er i samsvar med avtalt lengde, og at fakturaen ikkje er betalt tidligare. Blant dei som har mynde til å tilvise, har dei fleste svart at dei har god kjennskap til økonomireglementet. Blant leiarar med personalansvar er det nokre som meiner at dei kjenner økonomireglementet mindre godt. Blant dei som har mynde til å attestere har heile 41 % svart at dei kjenner økonomireglementet i mindre grad (grad 1 og 2). 4 Jamfør forskrift om kommuners og fylkeskommuners finansforvaltning 8 skal en uavhengig instans med kunnskap om finansforvaltning vurderer rutinene. 15
Vurderingar Kommunen har reglement for økonomi og finansforvaltning. Det er for låg kjennskap til økonomireglementet blant dei som har mynde til å attestere fakturaer. 4.1.6 Rutinar for offentlege anskaffingar Eit kapittel i økonomireglementet for Nissedal kommune handlar om offentlege anskaffingar. I kapittelet om «kjøp og sal av varer og tenester, tilvising og fakturering» minner kommunen om at kjøp skal vere i samsvar med kommunen sine innkjøpsavtalar og lov om offentlige anskaffelser. I økonomireglementet er kapittelet om offentlege anskaffingar er inndelt i føremål, ansvar, målsetjing, innkjøpsmetodar og merknader til prosessen. Under avsnittet om innkjøpsmetodar blir desse spørsmåla stilt: Har kommunen avtale for denne vara/tenesta? Er anskaffinga av ein slik storleik at det skal gjennomførast anbodsprosess eventuelt minikonkurranse mellom leverandørar det er inngått parallelle avtaler med? Er anskaffinga av ein slik storleik at det skal gjennomførast anbodskonkurranse med m.a. utlysing i Doffin, nasjonal utlysing? Er anskaffinga av ein slik storleik at det skal utlysast full anbodskonkurranse gjennom Doffin i heile EØS-området? Kommunen har ikkje link til reglane om offentlege anskaffingar eller andre innkjøpsverktøy frå intranett. Kommunen har ein link til gjeldande innkjøpsavtalar/rammeavtalar på intranettet. Rutinane gir ikkje sentral praktisk informasjon, som oversikt over gjeldane terskelverdiar, mal for protokoll eller sjekkpunkt for innhenting av skatteattest eller HMS-erklæring. I spørjeundersøkinga har vi spurt tilsette om dei har gjort innkjøp på vegne av kommunen. Dei som har gjort innkjøp, anten etter rammeavtale, i anbodsprosess, eller andre mindre innkjøp, har fått spørsmål om dei kjenner regelverket og innkjøpsrutinane i kommunen. Nesten alle leiarane og om lag halvparten av endre tilsette har gjort innkjøp for kommunen. 16
50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 12% 26% 0% I svært liten/ingen grad 1 31% 28% 26% 23% 9% 9% 12% 9% 46% 46% 23% 12% 0% 0% 0% 2 3 4 5 I svært stor grad 6 Innkjøp etter rammeavtaler Mindre innkjøp Anbud Figur 7: I kva grad kjenner du til lov og forskrift om offentlege anskaffingar? Ingen opplever at dei kjenner lov og forskrift om offentlege anskaffingar svært godt. Av dei som har gjennomført anbodsprosessar svarte 91 % at dei kjende lov og forskrift om offentlege anskaffingar godt (grad 4 eller 5). Blant dei som gjer innkjøp i samsvar med rammeavtalar og andre mindre innkjøp, svarte fleire at dei kjenner regelverket i mindre grad. Teknisk eining er ansvarleg for dei fleste større investeringane i kommunen. Einingsleiar for teknisk opplyser at dei har god kompetanse på offentleg anskaffingar og brukar konsulentar ved behov. 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 19% 4% 4% 0% I svært liten/ingen grad 1 21% 23% 19% 9% 9% 27% 21% 18% 35% 14% 46% 8% 7% 18% 2 3 4 5 I svært stor grad 6 Innkjøp etter rammeavtalar Mindre innkjøp Anbud Figur 8: I kva grad kjenner du til kommunes innkjøpsrutinar? Av dei som har gjennomført anbodsprosessar svarte 82 % at dei kjenner kommunens innkjøpsrutinar godt eller svært godt (grad 4, 5 og 6). For dei som har gjort innkjøp 17
etter rammeavtaler har også flest svart at dei kjenner rutinane godt. Blant dei som gjer mindre innkjøp har 59 % svart at dei i mindre grad kjenner rutinane (grad 1, 2 og 3). 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 8% 8% I svært liten/ingen grad 1 38% 15% Figur 9: I kva grad kjenner du til kommunens rammeavtalar? Her har viser vi svar berre frå dei som har gjort innkjøp etter rammeavtalar. Vi meiner det ikkje er relevant om dei er leiarar eller ei. Det er mogleg at dei som har svart berre gjer innkjøp frå nokre få rammeavtalar, og har svart på om dei kjenner alle rammeavtalane til kommunen. 31% 2 3 4 5 I svært stor grad 6 0% Vurdering Nissedal kommune har rutinar for innkjøp i økonomireglementet. Etter vår vurdering manglar rutinane enkelte element som kan vere gode praktiske hjelpemiddel for å sikre betre etterleving og betre innkjøp. Dette gjeld til dømes mal for protokoll og rutinar for å hente inn skatteattest og HMS-erklæring. Protokoll er den viktigaste dokumentasjonen på at innkjøpet er gjort i samsvar med regelverket, og kan også fungere som ei sjekkliste for at reglane er følgt. Derfor er det eit godt risikoreduserande tiltak om mal for protokoll er lett tilgjengeleg og kjent for alle deler av organisasjonen, og at rutinane oppmodar til bruk av protokoll. 4.2 Oppdagande kontrollaktivitetar Kommunen har som vist i kapittel 4.1 rutinar og reglement på dei fleste områda vi har undersøkt. Mange av rutinane krev at det blir utført kontrollaktivitetar. Fleire av einingsleiarane opplyser at dei opplever at kommunen har mange rutinar, og dei fleste områda og behova er dekt. Døme på kontrollaktivitetar er vernerundar og sjekklister for oppfølging av sjukmelde. 18
Kommunen har også kontrollaktivitetar som ikkje går fram av dei skriftlege rutinane. Til dømes ein fakturakontroll, der IKT- og rekneskapssjefen går gjennom alle fakturaer til kommunen som har blitt lagt inn i rekneskapssystemet. I denne gjennomgangen kontrollerer han både mva, innkjøp, osb. Fleire av einingsleiarane har opplevd at dei har fått beskjed frå økonomi om at dei har kjøpt noko utanfor rammeavtalene. 19
5 Avvikshandtering Har kommunen system og kultur for avvikshandtering på HMS-området? 5.1 System for å melde og handsame avvik Revisjonskriterier: Kommunen skal ha system for å melde avvik Kommunen skal ha system for å handsame avvik Administrasjonen har eit system for å melde og handtere avvik knytt til HMS. Avviksskjema er utforma generelt, og kan også bli brukt på avvik som ikkje gjeld HMS, til dømes informasjonstryggleik. Avviksskjema ligg tilgjengeleg på intranett. Nokre einingar har også skrive ut skjema, slik at det ligg tilgjengeleg på papir for dei tilsette. Avvikssystemet blei innført i 2011 etter at Arbeidstilsynet peika på manglar ved dette i eit tilsyn. Då avvikssystemet blei innført, sendte personalsjefen ut e-post til alle tilsette med informasjon. I tillegg oppmoda personalsjefen alle einingsleiarar å informere om avvikssystemet i sine einingar. Avvika skal leverast leiar, og bli skanna og lagt inn i kommunen sitt sakshandsamingssystem. HMS-avvik blir handsama av AMU. Rådmannen opplyser at det er sjeldan det blir registrert avvik. Leiarforum har ein fast post i møta der leiarar skal ta opp dei avvika dei har fått inn til seg. I spørjeundersøkinga har vi spurt i kva grad dei tilsette kjenner rutinane for avvikhandtering på HMS i kommunen. 20
35% 32% 32% 30% 25% 24% 23% 20% 15% 12% 16% 19% 14% 16% 10% 5% 0% 5% 1 I svært liten/ingen grad 0% 2 3 4 5 6 I svært stor grad 7% Andre tilsette Ledere med personalansvar Figur 10 I kva grad kjenner du rutinane for avvikshandtering i kommunen? Leiarar med personalansvar har i gjennomsnitt svart 4,3, mens tilsette har i gjennomsnitt svart 3,1. For andre tilsette er det 41 % som har svart 4 eller betre. For leiarar med personalansvar 80 % svart 4 eller betre. 5.2 Kultur for å melde avvik Revisjonskriterium: Avvikssystemet skal vere kjent og ha tillit blant dei tilsette Først vil vi vise ein oversikt over avvik som er registrert i kommunens sakshandsamingssystem dei siste tre åra. 2012 2013 2014 Eining for helse og habilitering 5 5 Eining for omsorg 1 1 2 Eining for teknisk drift 5 Eining for skule 7 4 Fleirbrukshuset 1 Fellestenester 1 Avvik totalt for året: 19 11 2 Tabell 1 Avvik 21
Vi har spurd dei tilsette i ei spørjeundersøking kor mange som har meldt avvik knytt til HMS dei siste tre åra 5 : 60,0% 56% 50,0% 40,0% 30,0% 29% 20,0% 15% 10,0% 0,0% Ja, skrifteleg Ja, munnleg Nei, aldri Figur 11 Har du meldt avvik knytt til HMS på arbeidsplassen dei siste tre årene? Dei fleste einingane og avdelingane følgjer omtrent denne fordelinga. På planavdelinga har ingen meldt HMS-avvik dei siste tre åra. På eining for omsorg har 31% svart at dei ikkje har meldt avvik på HMS. Vi har ikkje funne nokon samanheng mellom svara frå kor godt dei tilsette kjenner rutinane for å melde avvik på HMS og svara frå om dei tilsette har meldt avvik. Dei tilsette som ikkje har meldt avvik, har fått spørsmål om kvifor dei ikkje har meldt avvik. Ingen har svart at dei ikkje har meldt avvik fordi dei ikkje veit korleis dei skal melde avvik. Dei fleste vi har intervjua opplyser at det er vanskeleg å finne ei god avgrensing på kva som er eit avvik. Noko er for lite og noko er stort. Vi har spurt dei som har meldt avvik kva for type hendingar som blei meldt, og har fått svar: støy på arbeidsplassen skade på tilsette utagerande åtferd frå brukarar/publikum 5 Figuren er ikkje inndelt i leiarar med personalansvar og andre tilsette, fordi det er så små tal at det går utover anonymiteten til tilsette. 22
dårleg inneklima utforming av arbeidsplass rutineavvik store problem med IT Administrasjonen opplever at avvikssystemet er lite i bruk. Personalsjefen trur at det kan henge saman med at Nissedal er ein liten kommune, der det er lav terskel for å snakke direkte til leiar eller verneombod. Personalsjefen kan høyre at medarbeidarar snakkar om hendingar og ordningar dei er misnøgde med, utan at medarbeidarane rapporterer om det i avvikssystemet. Vi har spurt dei som har meldt avvik om dei opplever at melde avvik blir følgt opp. 60% 50% 40% 42% 36% 36% 50% 30% 24% 20% 10% 0% 8% 3% 0% 1 Aldri 2 Sjeldan 3 Ofte 4 Alltid Andre tilsette Leiarar med personalansvar Figur 12 Opplev du at melde avvik blir følgt opp? Til saman 40 % av dei som har meldt avvik, har svart at avvika sjeldan eller aldri blir følgt opp. I grafen viser at 42 % av leiarar med personalansvar som har meldt avvik opplever at avvika sjeldan blir følgt opp. Administrasjonen opplyser at avvik som gjeld bygg (til dømes ventilasjon og solskjerming) kan krevje budsjettvedtak, og det kan derfor ta tid å løyse problemet. 23
60% 57% 50% 40% 42% 43% 30% 26% 20% 10% 0% 18% 10% 4% 0% 0% 0% 0% 0% Andre tilsette Leiarar med personalansvar Figur 13 Kvifor ha du ikkje meldt avvik? Leiarar med personalansvar som ikkje har meldt avvik, har berre svart at dei ikkje har opplevd avvik som var stort nok til å melde. Av dei som har svart «anna» har nokre kommentert at dei var fleire som fann avviket og at andre melde avviket eller at dei har sagt frå til leiar. 10 % av tilsette har ikkje meldt avvik fordi dei ikkje trur avviket ville bli følgt opp av leiar. Rådmannsgruppa opplever at det har vore for få avviksmeldingar til at rutinane for å handsame avvik har vore godt utprøvd. 5.3 Vurderingar Kommunen har system for å melde og handsame avvik. Dei avvika som blir meldt er relevante. Vi meiner det er litt for dårleg kjennskap til rutinane for avvikshandtering, særleg blant leiarar med personalansvar. Samstundes kan det henge saman med at dei er lite i bruk, og at mange dermed ikkje opplever at dei kjenner dei godt. 24
Når 40 % av alle som har meldt avvik, opplever at avvika sjeldan eller aldri blir følgt opp, er det for mange. Av dei som ikkje har meldt avvik er det 10 % som svarar at årsaken er at dei ikkje trur avviket blir følgt opp. Dette kan indikere at tilliten til avvikssystemet ikkje er så god som ein kunne ønske. Ein årsak til dette kan vere at leiinga ikkje informerer godt nok tilbake til han eller ho som melde avviket. I ei organisasjon med omtrent 260 tilsette, er det ikkje sikkert ein kan forvente fleire avvik på HMS. 25
6 Konklusjonar og tilrådingar 6.1 Konklusjonar Kommunen har rutinar for risikovurderingar på HMS, gjennom rutinane for vernerundar. Risikovurderingane er gjennomført, men ikkje samanfatta for heile kommunen. Kommunen har ikkje rutinar for risikovurdering av informasjonstryggleiken. Kommunen har kartlagt omfanget av personopplysningar, men gjer det for sjeldan. Mange einingar har gjort risikovurderingar på område som gjeld informasjonstryggleik. Risikovurderingane er fragmentert. Kommunen har ikkje oppdatert risikovurdering for informasjonstryggleiken for heile kommunen. Kommunen har rutinar og reglement for dei fleste områda. Rutinane for informasjonstryggleik manglar heilskap. Rutinane for offentlege innkjøp manglar enkelte sentrale praktiske verkemiddel for god etterleving av regelverket. Kommunen har system for å melde og handsame avvik på HMS. Avviksystemet kan også nyttast på informasjonstryggleik. Det blir ikkje meldt mange avvik, men avvika som er meldt inn er relevante. Det er sannsynleg at mange problem som ville blitt meldt som avvik i større organisasjonar, blir meldt munnleg og løyst utanfor systemet i ein liten organisasjon som Nissedal kommune. 6.2 Tilrådingar Kommunen bør treffe tiltak for å sikre at risikovurderingane dekker heile kommunen og alle relevante tema, treffe tiltak for å sikre regelmessig kartlegging av personopplysningar, og vurdere verkemiddel for å sikre god etterleving av innkjøpsregelverket. 26
Litteratur og kjeldereferansar Lover og forskrifter: Lov 25. september 1992 nr. 107 om kommunar og fylkeskommunar (kommuneloven). Forskrift 15. juni 2004 nr. 905 om revisjon i kommunar og fylkeskommunar mv. Forskrift 9. juni 2009 nr. 635 om kommuners og fylkeskommuners finansforvaltning Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) Forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger (personopplysningsforskriften) Lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. (arbeidsmiljøloven) Forskrift 6. desember 1992 nr. 1127 om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften) Lov 16. juli 1999 nr. 69 om offentlige anskaffelser [anskaffelsesloven] Forskrift 7. april 2006 nr. 402 om offentlige anskaffelser Rettleiarar: «Rådmannens internkontroll. Hvordan få orden i eget hus?» (2013) KS «KS prosessveileder i arbeidet med etikk samfunnsansvar og antikorrupsjonsarbeid i kommunen. Hvordan forankre og sikre gode, etiske holdninger og handlinger?» (2006) KS «85 anbefalingar om styrkt eigenkontroll i kommunane» (2009) Kommunal- og regionaldepartementet 27
Tabelloversikt Tabell 1 Avvik... 21 Figuroversikt Figur 1 Oversikt over Nissedal kommune si organisering (sist oppdatert 12.02.2013)... 3 Figur 2: Kor ofte nyttar du kommunen sine intranettsider?... 7 Figur 3: I kva grad kjenner du kommunen sine etiske retningsliner?... 9 Figur 4: I kva grad kjenner du kommunen sine HMS-rutinar?... 12 Figur 5: I kva grad kjenner du personalhandboka til kommunen?... 12 Figur 6: I kva grad kjenner du til kommunen sitt økonomireglement?... 15 Figur 7: I kva grad kjenner du til lov og forskrift om offentlege anskaffingar?... 17 Figur 8: I kva grad kjenner du til kommunes innkjøpsrutinar?... 17 Figur 9: I kva grad kjenner du til kommunens rammeavtalar?... 18 Figur 10 I kva grad kjenner du rutinane for avvikshandtering i kommunen?... 21 Figur 11 Har du meldt avvik knytt til HMS på arbeidsplassen dei siste tre årene?... 22 Figur 12 Opplev du at melde avvik blir følgt opp?... 23 Figur 13 Kvifor ha du ikkje meldt avvik?... 24 Vedlegg Vedlegg 1: Høyringsuttale frå administrasjonssjefen/rådmann Vedlegg 2: Revisjonskriterium Vedlegg 3: Metode og kvalitetssikring 28
Vedlegg 1: Høyringsuttale frå rådmannen 29
Vedlegg 2: Revisjonskriterium Kommuneloven 23-2 seier at administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I forarbeida til loven står det at selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som bl.a. skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. Heftet Rådmannens internkontroll - Hvordan få orden i eget hus? blei utgitt av Kommunenes Sentralforbund (KS) i 2013. Den byggjer på resultata av eit samarbeid mellom KS og Kommunal- og regionaldepartementet gjennom prosjektet «styrket kommunal internkontroll». Heftet kjem med ei rekke tilrådingar for god internkontroll. Hovudbodskapet er først og fremst å gjere internkontrollen meir risikobasert (treffsikker) og meir formalisert gjennom dokumentasjon og klargjering av ansvar. Ifølge KS er grunnleggande føresetnader for intern kontroll at kontrollen bygger på risikovurderingar, at den er formalisert og at det blir gjort kontrollaktivitetar. KS har gjort eit utval av reglement og retningsliner som dei meiner at kommunen bør ha på plass. KS meiner at det å ha reglement «på plass» inneberer både å utarbeide, oppdatere, å gjere kjent i organisasjonen og å sikre at det blir følgde. Har kommunen rutinar for vurdering av risiko på tverrgåande internkontrollpliktige område og er risikovurderingar gjennomført? Det er eit hovudelement i internkontrolltenking at tiltak og rutinar skal vere tilpassa den risiko som ligg føre ved verksemda. Kartlegging og vurdering av risiko er såleis eit sentralt element i internkontrollarbeidet. På enkelte internkontrollpliktige område er det eit lovkrav at risikovurderingar skal gjennomførast og dokumenterast. Det følgjer av arbeidsmiljølova 3-1, (2), c) og internkontrollforskriften 5 andre ledd at skal kommunen kartlegge farer og problemer og på denne bakgrunn vurdere risikoforholdene i virksomheten, utarbeide planer og iverksette tiltak for å redusere 30
risikoen. Kommunen må dokumentere risikovurderingane skriftleg. Kor detaljert kartlegginga skal vere, kjem an på art, størrelse og risikoforhold på verksemda. I følgje personopplysningslova 13 skal den behandlingsansvarlege etablere og halde ved like tiltak som trengst for å sikre informasjonstryggleik. Internkontrollen for informasjonstryggleik er regulert i 14, og skal vere fundert på risikovurderingar, jamfør personopplysningsforskrifta 2-4. Verksemda skal sjølv fastlegge kriterier for akseptabel risiko knytt til handsaminga av personopplysningar. Resultatet av risikovurderinga skal dokumenterast, jf. personopplysningsforskrifta 2-4. Eit viktig ledd risikovurderinga er at det blir ført oversikt over kva slags personopplysningar som verksemda handsamar, jf. personopplysningsforskrifta 2-4. Basert på dette har vi utleidd følgjande revisjonskriterium: Kommunen skal ha rutinar for å gjere risikovurdering av informasjonstryggleiken og HMS Kommunen skal ha oversikt over kva personopplysningar dei handsamar Kommunen skal ha gjennomført dokumenterte risikovurderingar av informasjonstryggleiken og HMS I kva grad arbeider kommunen systematisk med oppfølging av kartlagd risiko? Har kommunen grunnleggande reglement og rutinar? Gjennomfører kommunen oppdagande kontrollaktivitetar? I kva grad har kommunen etablert grunnleggande reglement og rutinar? Når kommunen har vurdert risikoen på ulike områder, bør kommunen følgje opp vurderingane med førebyggande tiltak. Førebyggjande tiltak er alt kommunen har gjort for å unngå at det skal gå galt. Til dømes rutinar, sjekklistar, saksbehandlingsreglar og arbeidsdeling. Dei førebyggjande tiltaka skal redusere risikoen for uønskte hendingar. 6 6 Rådmannens internkontroll s. 58 31
Delegeringsreglement Etter kommunelova 6 er kommunestyret det øvste organet i kommunen. Kommunestyret gjer vedtak på vegne av kommunen dersom ikkje anna følgjer av lov eller delegeringsvedtak. Kommunelova gir kommunestyret og andre folkevalde organ høve til å delegere mynde i vid utstrekning, både til andre politiske organ og til administrasjonssjefen, avgrensa til enkeltsaker og saker som ikkje er av prinsipiell interesse. Den omfattande saksmengda kommunane har, og dei mange avgjerdene ein kommune må ta, tilseier at mykje mynde må delegerast. Mynde kan delegerast både i form av eit generelt reglement og i enkeltsaker. Etter kommunelova 39 nr. 2 pliktar kommunestyret å vedta eit samla delegeringsreglement for kvar valperiode innan utgangen av første år etter valåret. 7 I følgje idéheftet om rådmannens internkontroll «Rådmannens internkontroll. Hvordan få orden i eget hus?» skal kommunen ha på plass eit delegasjonsreglement. Delegasjonsreglementet bør omfatte delegering frå kommunestyret til rådmannen og administrative fullmakter frå rådmannen ut i organisasjonen. Dei administrative fullmaktene bør dessutan innehalde krav om skriftleg vidaredelegering, krav til etablering av internkontrolltiltak og rapportering på disse, samt rapportering generelt. Retningslinjer for etisk standard Eit av formåla med kommunelova er å legge til rette for ei tillitsskapande forvaltning som bygger på ein høg etisk standard. 8 KS og Transparency International Norge (TI) har saman gitt ut handboka «Beskytt kommunen». Dei tilrår at kommunar har etiske retningsliner for tilsette og folkevalde, og at kommunestyret handsamar retningslinene. Også i idéheftet frå KS, «Rådmannens internkontroll. Hvordan få orden i eget hus?», har KS trekt fram etiske retningsliner som eit av reglementa kommunen bør ha på plass. 7 Vedtatt ved lov 25 mai 2012 nr. 28, i kraft 1. juli 2012. 8 Kommuneloven 1, andre punkt. 32
Retningsliner om personalforvaltning og arbeidsgivarområdet Arbeidsmiljølova stiller krav om systematiske tiltak for å sikre helse- miljø og tryggleik på arbeidsplassen. 9 Internkontrollforskriften er heimla i arbeidsmiljølova og gjer nærare greie for kravet om systematiske tiltak (internkontroll). 10 Eit av krava er at verksemda skal iverksette rutiner for å avdekke, rette opp og forebygge overtredelser av krav fastsatt i eller i medhold av helse-, miljø- og sikkerhetslovgivningen. Rutinane må dokumenterast skriftleg. Reglement for økonomi og finansforvaltning Kommunestyret skal gi reglar for finansforvaltninga til kommunen. 11 Ein uavhengig instans skal kvalitetssikre finansreglementet før kommunestyret vedtar reglementet. 12 Kommunestyret skal vedta reglane om finansforvaltninga i kvar kommunestyreperiode. Bortsett frå reglane om finansreglement, stiller ikkje kommunelova konkrete krav om at kommunane skal ha bestemte reglement når det gjeld økonomi, men det følgjer likevel av kommuneloven 23 nr. 2 om alminnelig internkontroll at kommunen bør visse formaliserte retningslinjer. I følgje idéheftet om rådmannens internkontroll «Rådmannens internkontroll. Hvordan få orden i eget hus?» bør kommunen ha eit økonomireglement. Økonomireglementet bør minimum innehalde: 13 rutinar for lønnskøyring rutinar for fakturering rutinar for innkrevjing rutinar for mva.-handtering rutinar for attestasjon og tilvising rutinar for bestilling av varer og tenester kan ha retningsliner for føring i investeringsrekneskapen og eventuell rebudsjettering av investeringsbudsjett 9 Jf. lov 17. juni 2005 nr 62 om arbeidsmiljø, arbeidstid og stillingsvern mv (aml) 1-3 10 Jf. forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (internkontrollforskriften) 5 11 Forskrift om kommuners finansforvaltning 2 12 Forskrift om kommuners finansforvaltning 5 13 Rådmannens internkontroll s. 86 33
Rutinar for datatryggleik og personvern Føremålet med personopplysningslova er å beskytte den einskilde mot at personvernet blir krenka gjennom handsaming av personopplysningar. Vidare skal lova bidra til at personopplysningar blir handsama i samsvar med grunnleggjande personvernomsyn, som omfattar behovet for personleg integritet, privatlivets fred og tilstrekkeleg kvalitet på personopplysningar. Kommunen ved rådmannen er behandlingsansvarlig for dei personopplysningane som kommunen handsamar. I følgje personopplysningslova 13 og 14 skal kommunen gjennom planlagde og systematiske tiltak sørge for tilfredsstillande informasjonstryggleik og at krav i lova vert oppfylt. Kommunen skal dokumentere tiltaka. Dokumentasjonen skal vere tilgjengeleg for dei tilsette i kommunen. Personopplysningslova 31 set krav om at kommunen skal melde frå til Datatilsynet om handsaming av personopplysningar i elektroniske system. Kommunen skal sende ny melding kvart tredje år. Når kommunen gir andre tilgang til å handsame personopplysningar på vegne av kommunen, skal kommunen inngå ein databehandlaravtale, som skal sikre at databehandlaren set i verk tiltak for å sikre personopplysningane, jf. personopplysningsforskrift 2-15. Reglane for offentlege anskaffingar om offentlege anskaffelsar inneheld ikkje særskilte krav om internkontroll. For kommunen følgjer internkontrollplikten av av kommunelova 23-2, som seier at «Administrasjonsskefenskal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll». I følgje forarbeida til kommunelova vert dette rekna som eit alminneleg krav om å etablere rutinar og system som skal bidra til å sikre at organisasjonen når dei måla som er sett. Kommunen skal føre protokoll for anskaffingar som overstig 100.000 kroner utan mva. Protokollen skal beskrive alle vesentlege forhold og viktige val gjennom heile prosessen. 14 14 Anskaffelsesforskriften 3-2 34