Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap Prosjektplan/engagement letter September 2013
Innhold 1. Innledning... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 4 2. Revisjonskriterier... 5 3. Metodisk tilnærming... 8 3.1 Dokumentanalyse... 8 3.2 Revisjonsbesøk... 8 3.3 Verifisering og høring... 8 4. Tid og ressursbruk... 9 4.1 Nøkkelpersonell... 9 4.2 Tidsbruk... 9 4.3 Gjennomføringsperiode... 9 4.4 Fakturering... 9
1. Innledning 1.1 Bakgrunn Deloitte har med utgangspunkt i bestilling fra kontrollutvalget 19. juni 2013, sak 42/13, utarbeidet en prosjektplan for forvaltningsrevisjon av Internkontroll i Byrådsavdeling for finans, eiendom og eierskap i Bergen kommune. Dette prosjektet inngår som del av en rekke forvaltningsrevisjoner av internkontroll i utvalgte enheter i Bergen kommune. Det ble vinteren 2013 gjennomført forvaltningsrevisjon av internkontroll i fem resultatenheter. Kontrollutvalget har bedt revisjonen om å gjennomføre tilsvarende forvaltningsrevisjoner i flere enheter, herunder Byrådsavdeling for finans, eiendom og eierskap. Valg av enhet fremgår av kontrollutvalgets vedtak i sak 42/13. Bakgrunnen for valg av Byrådsavdeling for finans, eiendom og eierskap, er et ønske om å se nærmere på styring og kontroll på overordnet nivå i en byrådsavdeling. Fokus vil derfor ikke være på de enkelte underliggende avdelinger. Byrådsavdelingene skal være et støtteapparat for den politiske ledelsen i kommunen, og sørge for at byrådets politikk blir iverksatt. Byrådsavdeling for finans, eiendom og eierskap har følgende underliggende enheter: Arbeidsgiver/Forhandling Bedriftshelsetjenesten BFEE - Økonomiseksjonen Byggvedlikehold Etat for eiendom Etat for utbygging HR-bemanning HR-seksjonen IKT Drift Innkjøpsseksjonen Kemneren Konkurranse og eierskap Lønns- og regnskapssenteret Seksjon IKT Konsern Ifølge nettsiden til Byrådsavdeling for finans, eiendom og eierskap (BFEE), skal avdelingen gjennom rådgivning, styring og støtte bidra til at Bergen kommune som organisasjon når sine mål. Byrådsavdelingen har det overordnede ansvaret for kommunens økonomistyring, innkjøp, arbeidsgiverpolitikk, informasjons- og kommunikasjonsteknologi, organisasjonsutvikling, og kommunens bygningsmasse. Byrådsavdelingen følger også opp de kommunale foretakene, eierskap i aksjeselskap og arbeidsmarkedsbedriftene. 3
1.2 Formål og problemstillinger Formålet med forvaltningsrevisjonen er å undersøke i hvilken grad Byrådsavdeling for finans, eiendom og eierskap har etablert et tilfredsstillende system for internkontroll. Under dette vil det være viktig å se på hvordan byrådsavdelingen gjennom internkontrollen sikrer nødvendig styring, oppfølging og kontroll av underliggende enheter. Med bakgrunn i formålet, er det utarbeidet følgende hovedproblemstillinger: 1. I hvilken grad har byrådsavdelingen etablert et tilfredsstillende kontrollmiljø? 2. I hvilken grad blir det gjennomført risikokartlegginger og vurderinger for å kartlegge fare for svikt, feil eller mangler? 3. I hvilken grad er det etablert rutiner, kontroll og rapportering som del av internkontrollen? 4. Har byrådsavdelingen hensiktsmessige systemer for å sikre god informasjon og kommunikasjon i internkontrollarbeidet? 5. Er det etablert rutiner for oppfølging av om internkontrollen fungerer som forutsatt? 4
2. Revisjonskriterier Det fremgår av kommuneloven 1 20.2 at kommunerådet «skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll.» I Ot.prp. nr. 70 (2002 2003) fremgår det at administrasjonssjefen har et selvstendig ansvar for å føre kontroll med kommunens virksomhet. Det er ledelsen i en organisasjon som har ansvaret for å etablere et tilfredsstillende internkontrollsystem. Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder: - Målrettet og effektiv drift - Pålitelig ekstern rapportering - Overholdelse av gjeldende lover og regelverk. Det finnes flere rammeverk for hvordan en kan utarbeide et overordnet internkontroll system. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen. 2 Hovedelementene i COSO-modellen består av elementer som er felles for flere av de ulike rammeverkene for internkontroll. Viktige elementer er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsens oppfølging Komponentene er gjensidig avhengige av hverandre, og likeverdige deler av et internkontrollsystem. COSO-modellen kan illustreres slik: 1 Kommunal- og regionaldepartementet: Lov om kommuner og fylkeskommuner (kommuneloven). LOV-1992-09-25-107. 2 Se norsk oversettelse i Internkontroll et integrert rammeverk. Norges interne revisorers forening (1996), Oslo: Norges interne revisorers forening (NIRF). 5
Figur 1: Illustrasjon av COSO-modellen Kontrollmiljøet er grunnmuren i internkontrollsystemet, og består av medarbeidernes holdninger, etiske verdier og kompetanse. Kontrollmiljøet blir påvirket av hvordan virksomheten er organisert, hvilken ledelsesfilosofi som gjelder og hvordan lederskapet blir praktisert. Videre skal risikovurderinger sikre at de arbeidsprosessene som har høyest sannsynlighet for, og konsekvens av, svikt, feil eller mangler blir identifisert. Det er et mål at ledelsen skal ta hensyn til risikovurderingene i utformingen av internkontrollen, ved at man fokuserer og avgrenser internkontrollen til de arbeidsprosessene som har høyest risiko. Kontrollaktivitetene er de tiltakene som blir iverksatt for å sikre etterlevelse av regelverk, retningslinjer og krav til tjenesteutførelse, og for håndtere risiko avdekket i risikovurderingen. Formålet med kontrollaktivitetene er å bidra til at rutiner og system skal fungere slik som bestemt. For å oppnå god internkontroll er det ifølge COSO-modellen videre viktig med effektiv og tidsriktig informasjon og kommunikasjon, både horisontalt og vertikalt i organisasjonen. Dette er nødvendig for at den enkelte skal kunne utføre det ansvaret de er tildelt. For å sikre gjennomføring av handlinger eller endringer som er nødvendige for å oppnå god internkontroll, er også ledelsens oppfølging viktig. Resultater skal følges opp for å avdekke om de er i samsvar med virksomhetens strategier og planer. 6
De ulike elementene er oppsummert i tabellen under: COSO Område Beskrivelse Praktiske eksempler Kontrollmiljø Fundamentet for god internkontroll. Ledelsens holdning, adferd og definerte retningslinjer er utgangspunktet for god internkontroll. Retningslinjer, organisering, ansvars- og myndighetsfordeling Retningslinjer og rutiner Ressurser og kompetanse Samhandling Risikovurdering Risikovurdering foretas på både overordnet og detaljert plan. Konkrete handlinger iverksettes for å møte risikoen. Fastsette mål Identifisere risiko Vurdere og prioritere risiko Håndtere risiko Kontrollaktiviteter Kontrollaktiviteter etableres for å sikre at retningslinjer, prosedyrer og andre krav etterleves i praksis. Etableres for å redusere risiko og unngå uønsket adferd. Retningslinjer, prosedyrer og rutiner Nøkkelkontroller, detaljerte kontrollaktiviteter som møter identifisert risiko Systemstøtte og IT-kontroller Informasjon og kommunikasjon Det må legges til rette for effektiv kommunikasjon, informasjonsdeling og rapportering Rapportering oppover Kommunikasjon nedover / oppover / til siden IT-systemstøtte for effektiv kommunikasjonsflyt Oppfølging Ledelsen må etablere mekanismer for å følge opp at internkontrollen fungerer Løpende oppfølging Evalueringer Korrigerende tiltak ved avvik Det er ikke et krav i regelverket at internkontrollsystemet i kommunen skal være basert på COSOmodellen, men modellen representerer hovedelementer som bør inngå i en overordnet vurdering av internkontroll. Det er også viktig at internkontrollen tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. I dette prosjektet er modellen benyttet som et retningsgivende rammeverk for god internkontroll. 7
3. Metodisk tilnærming Oppdraget vil bli utført i samsvar med gjeldende standard for forvaltningsrevisjon (RSK 001). 3.1 Dokumentanalyse Revisjonen vil hente inn og gjennomgå dokumentasjon på byrådsavdelingens internkontroll. Dette kan omfatte for eksempler ulike retningslinjer og rutiner, rapporteringskrav, reglement mv. 3.2 Revisjonsbesøk For å få innsyn i hvordan retningslinjer og rutiner blir praktisert, vil vi gjennomføre revisjonsbesøk ved byrådsavdelingen. I denne forbindelse vil vi ha samtaler med kommunaldirektør og andre aktuelle personer med ansvar for internkontroll i byrådsavdelingen. I tillegg vil vi gjennomgå relevant dokumentasjon. 3.3 Verifisering og høring Faktadelen i rapporten vil bli sendt til byrådsavdelingen for verifisering, eventuelt vil det bli gjennomført et verifiseringsmøte. Deretter vil hele rapporten, inkludert vurderingsdel og forslag til tiltak, blitt sendt til byrådsavdelingen ved kommunaldirektør for uttalelse. Høringsuttalelsen vil bli vedlagt den endelige rapporten. 8
4. Tid og ressursbruk 4.1 Nøkkelpersonell Oppdragsansvarlig partner vil være Stein Ove Songstad. Senior manager Birte Bjørkelo og senior manager Line M. Johansen vil være ansvarlige for gjennomføringen. 4.2 Tidsbruk Med utgangspunkt i formål og problemstillinger for prosjektet, og den planen som er lagt for hvordan prosjektet skal gjennomføres, er det stipulert at det vil ta inntil 240 timer å gjennomføre prosjektet. Dette inkluderer forberedelser, utarbeiding av problemstillinger og prosjektplan, forberedelser og gjennomføring av datainnsamling, analyse av empiri opp mot revisjonskriterium, og utarbeiding og kvalitetssikring av rapport. 4.3 Gjennomføringsperiode Tidspunkt for oppstart og gjennomføring vil bli nærmere avtalt med kontrollutvalget. Vi foreslår oppstart rundt begynnelsen av oktober 2013. Rapportene vil da kunne leveres til kontrollutvalget ved sekretariatet innen 31. januar 2014. 4.4 Fakturering Fakturering av kostnadene knyttet til prosjektet vil bli gjort i samsvar med avtale mellom Deloitte og Bergen kommune. Bergen, 16. september 2013 Stein Ove Songstad Ansvarlig partner 9