Intern kontroll og styring



Like dokumenter
FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE. Kommunestyret Møtedato: Saksbehandler: Eva Bekkavik

Internkontroll i Gjerdrum kommune

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Betryggende kontroll Internkontrollen til rådmannen

Skjetlein grønt kompetansesenter (SGK)

Internkontroll og avvikshåndtering

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Gjelder fra: Godkjent av: Fylkesrådet

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Veiledning- policy for internkontroll

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Kontrollutvalget MØTEINNKALLING

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

PLAN FOR FORVALTNINGSREVISJON

MØTEINNKALLING. Varamedlemmer, til orientering Ordfører Rådmann Oppdragsansvarlig revisor. : KONTROLLUTVALGET Møtedato : kl. 17.

Gjelder fra: Godkjent av: Camilla Bjørn

I N N S T I L L I N G

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

Saksbehandler: Reidar Bråtveit Arkiv: 430 Arkivsaksnr.: 15/1320. Hovedutvalg administrasjon

Plan for forvaltningsrevisjon Stokke kommune

Systematisk håndtering av avvik i Meldal kommune

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene

PLAN FOR FORVALTNINGSREVISJON

Kommunestyrets overordnede tilsynsansvar

PLAN FOR FORVALTNINGSREVISJONN Selbu kommune. Vedtatt i kommunestyrets møte , sak 68/14.

Arbeidsgruppe som skal foreslå tiltak for åstyrke egenkontrollen

FORVALTNINGSREVISJON. Avvikshåndtering PROSJEKTPLAN. Meldal kommune. Juni 2018 FR1044

Plan for kontroll og tilsyn. Plan for forvaltningsrevisjon

Egenevaluering av internkontrollen

KU og forvaltningsrevisjon

Trondheim byarkiv v/elin E. Harder. Forvaltningsrevisjon sett fra en arkivars side om forvaltningsrevisjon, compliance og arkiv

Instruks for. administrerende direktør. Sørlandet sykehus HF

PLAN FOR FORVALTNINGSREVISJON

Prinsipper for virksomhetsstyring i Oslo kommune

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Ledelsesprinsipper i nye Stavanger kommune

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Risikostyring Intern veiledning

Hvorfor internkontroll?

Prosjekt: Utvikling av egenkontrollen i kommunene

Økonomidirektør og sjefssamling 2015

Kontrollutvalget legger saken frem for fylkestinget med slikt forslag til

Instruks for administrerende direktør HELSE SØR-ØST RHF

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

1 Bakgrunn og formål med forvaltningsrevisjon Om planlegging av forvaltningsrevisjon... 2

Styrket kommunal egenkontroll. Arbeidsgruppas rapport Bjørn Arild Gram

Instruks for administrerende direktør HELSE SØR-ØST RHF

Instruks for administrerende direktør. Sykehuspartner HF

Prosjekt: Utvikling av egenkontrollen i kommunene Fornyingskonferansen 31. oktober 2013

Mobbing i grunnskolen

Instruks for administrerende direktør. Sykehuset Telemark HF

FORVALTNINGSREVISJON. Eiendomsforvaltning PROSJEKTPLAN. Inderøy kommune. Mai 2019 FR 1084

Forvaltningsrevisjonsplan

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Riksrevisjonens undersøkelse av kommunenes styring og kontroll med tjenester med nasjonale mål Dokument 3:7 ( )

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Samarbeidsforum internkontroll

Instruks for konsernrevisjonen Helse Sør-Øst

INSTRUKS TIL STATISTISK SENTRALBYRÅ Fastsatt av Finansdepartementet 1. august 2014

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Instruks for daglig leder. Sykehuset Østfold HF. Behandles i styremøte 24. september 2012

Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Informasjon og kommunikasjonsstrategi Sør-Trøndelag fylkeskommune

Styring og intern kontroll.

Deanu gielda - Tana kommune Arkiv: 216 Arkivsaksnr: 2016/ Saksbehandler: Frode Gundersen

Instruks for daglig leder SYKEHUSAPOTEKENE HF

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Instruks for administrerende direktør. Akershus universitetssykehus HF. Vedtatt i styremøte

Saker til oppfølging forvaltningsrevisjon og selskapskontroll per

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Mobbing i grunnskolen

Plan for kontroll og tilsyn. Plan for forvaltningsrevisjon

RSK 001 Standard for forvaltningsrevisjon

Sammen om Vestfolds framtid Kultur og identitet

Styret Helse Sør-Øst RHF 24. april 2014 SAK NR RAMMEVERK FOR ANTIKORRUPSJONSPROGRAM I HELSE SØR-ØST

Offentlige anskaffelser

Lederavtale. inngått mellom: (navn) (navn) Dato. Denne avtalen erstatter tidligere inngått avtale og gjelder inntil ny inngås.

Gratulerer med vervet som medlem av kommunestyret/fylkestinget!

Kirkemøtet Trondheim, april Kontrollutvalgets innstilling til Kirkemøtet vedrørende forvaltningsrevisjon, budsjett mv.

Møteinnkalling Kontrollutvalget Marker

Arkivplan som verktøy for internkontroll i kommunene

FORSLAG. Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Personalpolitiske retningslinjer

Evaluering av kontrollutvalg og kontrollutvalgssekretariat. FKTs Sekretariatssamling

FORVALTNINGSREVISJON. Barnevern PROSJEKTPLAN. Skaun kommune. Juni 2019 FR1097

Rådmannens internkontroll - hva kan kontrollutvalgene forvente?

Saksframlegg FORVALTNINGSREVISJONSRAPPORT "SELSKAPSKONTROLL EIDSIVA - OM ROLLER, HABILITET OG SPONSING"

Omorganiseringsprosesser i Ringerike kommune

PLAN FOR FORVALTNINGSREVISJON Orkdal kommune. Vedtatt i kommunestyret i sak 79/14 den

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Håndtering av habilitet i folkevalgte organ

Retningslinjer for kontrollutvalgenes arbeid

FORVALTNINGSREVISJON OG SELSKAPSKONTROLL SOM VERKTØY I KOMMUNAL EGENKONTROLLEN

Transkript:

Intern kontroll og styring Sør-Trøndelag fylkeskommune Mai 2009

Forord Denne forvaltningsrevisjonen er gjennomført på oppdrag av Sør-Trøndelag fylkeskommunes kontrollutvalg i perioden september 2008-mai 2009. Undersøkelsen er utført i henhold til NKRFs standard for forvaltningsrevisjon, RSK 001. Revisjon Midt- Norge IKS vil takke alle som har bidratt med informasjon i undersøkelsen. Trondheim, 29/5-2009 Anna Ølnes /s/ Ansvarlig forvaltningsrevisor Torbjørn Berglann /s/ Prosjektmedarbeider - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 3

Sammendrag Kontrollutvalget i Sør-Trøndelag fylkeskommune har bestilt en forvaltningsrevisjon med fokus på intern kontroll og styring. I rapporten vurderer vi, med utgangspunkt i STFKs plan for intern kontroll og styring hvordan det overordnede styringssystemet (BMS) fungerer. Plan for intern kontroll og styring viser til COSO-rammeverket. Det er et internasjonalt anerkjent rammeverk, der kjente prinsipper og forutsetninger for måloppnåelse i en virksomhet er samlet og satt i system. Her beskrives også prinsipper for intern kontroll, og forutsetningene for denne. COSO-rammeverket er, sammen med kommunelovens 23-2, brukt som kilde for revisjonskriterier. Data er samlet inn via intervju og en spørreundersøkelse til enhetslederne. Oppslutningen i spørreundersøkelsen var på 84 prosent. I tillegg har vi gjort søk i EQS, og benyttet mulighetene for å ta ut statistikk fra dette programmet. Videre har vi foretatt noen versjonskontroller av dokumentene i EQS og på intranettsidene. Vi har også benyttet utvalgte rapporter fra forvaltningsrevisjon som datagrunnlag. I forvaltningsrevisjonen sikter vi til virksomhetsstyring med begrepet intern kontroll. Kravene til internkontroll, slik de framkommer i arbeidsmiljøloven og andre lover, berøres derfor ikke av undersøkelsen. STFKs plan for intern styring og kontroll viser til COSO-rammeverket. I dette rammeverkte er det 5 element, som er viktige for den interne kontrollen; kontrollmiljø, risikovurderinger, kontrollaktiviteter, informasjon og overvåking. På denne bakgrunnen har revisor formulert følgende hovedproblemstilling: Har STFK et betryggende system for intern kontroll? For å besvare hovedproblemstillingen har revisor utarbeidet fem delproblemstillinger. - Delproblemstilling 1: Har STFK et tilfredsstillende kontrollmiljø? - Delproblemstilling 2: Gjør STFK risikovurderinger, som kan bidra til å identifisere og analysere risikoer som kan hindre at man når fastsatte mål? - Delproblemstilling 3: Deltar hele organisasjonen i kontrollaktiviteter? - Delproblemstilling 4: Får medarbeidere på alle nivå tilstrekkelig informasjon til å utføre arbeidsoppgavene? - Delproblemstilling 5: Hvordan sikrer STFK at de interne kontrollsystemene blir gjenstand for vurdering? Konklusjonen på hovedproblemstillingen er et betinget ja; STFK har et betryggende system for intern kontroll og styring. Konklusjonen er betinget av flere årsaker: Hva som ligger i kommunelovens begrep om "betryggende" kontroll kan være vanskelig å måle. Det kan ikke trekkes noen grense, der man på den ene siden kan fastslå at kontrollen er betryggende, og den andre siden at kontrollen ikke er betryggende. Revisor fastslås likevel at STFK ivaretar prinsippene for intern kontroll på noen områder, men med noen mangler. Revisor peker på at STFK mangler et overgripende system for intern kontroll, basert på prinsippene som ligger til grunn for plan for intern kontroll og styring. Videre framgår det av undersøkelsen at BMS har mangler, fordi systemet mangler indikatorer på områder som kontrollmiljø og informasjon. Indikatoren påvirkning på ytre miljø er fortsatt ikke utviklet. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 4

Resultatene av undersøkelsens svar på de fem delproblemstillingene er heller ikke entydige: 1. Har STFK et tilfredsstillende kontrollmiljø? Det ser ut til å være høy grad av enighet mellom rådmann og enhetslederne om fordeling av ansvar og oppgaver. Det er sentralt i en organisasjon med høy grad av ansvarsdelegering. De etiske retningslinjene har vært tema for ledersamlinger og rektormøter. Det ser imidlertid ut som de i for liten grad bringes videre ned i organisasjonen av enhetslederne. Undersøkelsen har vist at plan for intern kontroll og styring ikke er tilstrekkelig forankret i toppledelsen. Revisor vil påpeke viktigheten av å ha et bevisst forhold til denne delen av ledelsesoppgavene. BMS er tilpasset plan for intern kontroll og styring på flere områder, men ikke prinsippene som ligger til grunn for planen. BMS dekker for eksempel ikke kontrollmiljøet generelt, og arbeidet med de etiske retningslinjene spesielt. 2. Gjør STFK risikovurderinger, som kan bidra til å identifisere og analysere risikoer som kan hindre at man når fastsatte mål? STFK gjør risikovurderinger på en rekke områder og i en rekke sammenhenger, blant annet som en følge av prosessene i forbindelse med BMS. Undersøkelsen viser at det er noen mangler også her. Blant annet er det flere ledere som ikke gjennomfører vernerunder, slik de skal i henhold til rammeplanen for HMS-arbeid. Vernerundene kan være viktige bidrag i risikovurderinger av virksomheten for den enkelte enhet og for STFK som helhet. Det er derfor viktig at STFK bringer forholdet i orden. STFK foretar ikke risikovurderinger på miljøområdet som en del av BMS. Det skyldes manglende indikatorer i BMS. I en organisasjon med høye ambisjoner på området er det viktig at styringssystemet også omfatter miljøpåvirkning. Viktigst er imidlertid at man også her systematiserer den interne kontrollen, slik at risikovurderingene blir en del av en styrt og gjentagende prosess. 3. Deltar hele organisasjonen i kontrollaktiviteter? I STFK gjennomføres det en rekke kontrollaktiviteter på alle nivå. Blant annet ser det ut for at man har etablert gode system for å følge opp politiske vedtak og signaler, og at man gjennom BMS utfører en rekke kontrollaktiviteter. Videre har man sentrale system som går på tilgang til datasystemene. STFK har imidlertid en utfordring når det gjelder å følge opp de reglene og rutinene som gjelder allerede. 4. Får medarbeidere på alle nivå tilstrekkelig informasjon til å utføre arbeidsoppgavene? Det har vært uklarheter om EQS er et felles kvalitetssystem, eller et system for opplæringssektoren. Videre ligger ulike versjoner av styrende dokument ute på EQS og på intranett. Dette bidrar til å skape forvirring om hvilken versjon som er den til en hver tid gyldige. Resultatene fra spørreundersøkelsen til lederne kan tyde på at lederne er for lite flinke til å ta opp rutiner og regelverk i medarbeidersamtaler. 5. Hvordan sikrer STFK at de interne kontrollsystemene blir gjenstand for vurdering? STFK gjennomfører i noen grad vurderinger av de interne kontrollsystemene. Revisors vurdering av dette arbeidet er at det ikke er preget av den nødvendige systematikken. Som en følge av konklusjonene, anbefaler revisor fylkesrådmannen å videreutvikle BMS, slik at systemet kan brukes til å rapportere på områder som det i liten grad rapporteres på i dag, særlig med vekt på kontrollmiljø og informasjon. Videre anbefaler revisor fylkesrådmannen å vurdere og sentralisere deler av arbeidet med dokumentasjon og kvalitetssikring. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 5

- Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 6

Innholdsfortegnelse Sammendrag... 4 1 Innledning... 8 1.1 Intern kontroll og styring i norske kommuner... 8 1.2 COSO-rammeverket... 9 2 Avgrensning, problemstilling, metode og revisjonskriterier... 10 2.1 Avgrensing og problemstilling... 10 2.2 Metode... 11 2.3 Revisjonskriterier... 11 3 Resultat... 13 3.1 BMS...13 3.2 Kontrollmiljø... 14 3.3 Risikovurderinger... 17 3.4 Kontrollaktiviteter... 19 3.5 Informasjon... 22 3.6 Overvåking av interne kontrollsystem... 25 3.7 Revisors vurdering... 27 4 Høring... 30 5 Konklusjon og anbefalinger... 32 5.1 Konklusjon... 32 5.2 Anbefalinger... 33 Kilder... 34 Vedlegg 1) Referat fra høringsmøte... 35 Vedlegg 2) Årsrapport for HMS-arbeidet 2008... 37 Vedlegg 3) Enhetsleders egenkontroll... 39 Vedlegg 4) Elektronisk spørreundersøkelse... 42 Figurer Figur 1 Forholdet mellom komponentene i COSO... 9 Figur 2 Hovedstyringskortet i STFK... 13 Figur 3 Årshjulet - 2007... 14 Figur 4 Antall dokumenter i EQS ved de videregående skolene... 23 Figur 5 Hvordan vil du betegne enhetens arbeid med kvalitetssikring og dokumentasjon?... 27 Tabeller Tabell 1 Ansvarsdelegering... 15 Tabell 2 Risikovurderinger... 19 Tabell 3 Tilbakemeldinger etter enhetsbesøk i 2007 og 2008... 21 Tabell 4 Kontrollaktiviteter... 22 Tabell 5 Dokumentstatistikk fra EQS per 14.5.2009 - utvalgte enheter... 24 Tabell 6 Informasjon. Antall... 25 - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 7

1 Innledning Kontrollutvalget i Sør-Trøndelag fylkeskommune har bestilt en forvaltningsrevisjon med fokus på intern kontroll og styring 1. I bestillingen ber utvalget om at revisor orienterer om innfallsvinkel og aktuell tilnærming på utvalgets møte i september -08. Daværende ansvarlig revisor deltok på kontrollutvalgets møte i september 2008 og la fram en prosjektskisse med utgangspunkt i STFKs plan for intern kontroll og styring 2. Slik revisor forstår bestillingen ønsker kontrollutvalget en vurdering av hvordan det overordnede styringssystemet (BMS) fungerer, og om prosessene rundt systemet støtter opp om det. I plan for intern kontroll og styring vises det til COSO-rammeverket 3. I dette rammeverket beskrives intern kontroll og forutsetninger for denne. En del av undersøkelsen er rettet mot å vurdere BMS-systemet opp mot COSO-rammeverkets prinsipp for intern kontroll. COSOrammeverket er brukt som kilde for revisjonskriterier. COSO-rammeverket er et internasjonalt anerkjent rammeverk, der kjente prinsipper og forutsetninger for måloppnåelse i en virksomhet er samlet og satt i system. 1.1 Intern kontroll og styring i norske kommuner Siden kommuneloven ble endret i 1992 har intern kontroll og (fylkes)kommunale tilsynsordninger vært tema for flere forskningsrapportert og utredninger. I en rapport fra 2000 konkluderte Norsk institutt for by- og regionforskning, NIBR, med at lovendringen hadde bidratt til å vitalisere tilsynsarbeidet i norske kommuner og fylkeskommuner. I 2007 undersøkte Nordlandsforskning kontrollutvalgenes uavhengighet av organene de skal kontrollere. Rapporten konkluderer med at verken kontrollutvalgsmedlemmer, ordførere, rådmenn eller opposisjonspolitikere ser det som problematisk at kontrollutvalgene er bundet av organene de skal kontrollere. De nevnte rapportene omhandler det eksterne tilsynet. Det interne tilsynet er administrasjonssjefens ansvar. I følge kommuneloven skal administrasjonssjefen se til at administrasjonen er gjenstand for betryggende kontroll 4. Den interne kontrollen i kommunene er behandlet i en rapport fra Agenda utredning og utvikling (2008). Rapporten gir blant annet en oversikt over hvordan kommunene praktiserer kommunelovens krav. Her heter det blant annet at... bevisstheten rundt internkontroll i sammenheng med organisasjonsutvikling og omstilling i kommunene er lite utviklet. (...) Samtidig sidestilles internkontroll i stor grad med styring, noe som er et viktig element i nesten all organisasjonsutvikling i kommunene. Heller ikke fra politisk nivå er det særlig stor oppmerksomhet mot internkontrollarbeidet. Det går fram av rapporten at internkontroll ikke har vært et spesielt synlig tema i kommunene. Det er også en utfordring å forstå hva som ligger i kommunelovens begrep betryggende kontroll. Kommunene har likevel hatt et betydelig fokus på å avverge avvik og misligheter de siste årene, særlig på innkjøpssiden. I rapporten anbefaler Agenda at kommunene må utvikle konkrete rutiner for intern kontroll, og etablere et overordnet system for rapportering til ledelsen om internkontrollarbeidet. Høsten 2008 nedsatte Kommunal- og regionaldepartementet, KRD, en arbeidsgruppe som skal foreslå tiltak for å styrke den administrative internkontrollen i kommuner og fylkeskommuner. I tillegg skal gruppa foreslå tiltak for å styrke kontrollutvalget og revisjonen. På KRDs nettsider heter det at bakgrunnen for å sette ned utvalget er at man har avdekket et behov for å styrke egenkontrollen i (fylkes)kommunene, blant annet i departementets arbeid med etikk i kommunesektoren og i forbindelse med oppfølgingen av Terra-saken. Resultatet av gruppas arbeid skal være klart ved utgangen av 2009. 1 Brev av 1.7.2008 fra Kontrollutvalgssekretariat Midt-Norge, sak KU-37/2008. 2 FU-sak 71/04 3 COSO: The comittee of Sponsoring Organizations of the Treadway Commission 4 Kommuneloven 23-2 - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 8

1.2 COSO-rammeverket Den første utgaven av rammeverket ble utgitt i 1992; COSO - Integrert rammeverk. COSOrammeverket ble laget for å bistå alle typer virksomheter med evaluering og forbedring av systemene for intern kontroll. I 2005 ble det utgitt en utvidelse av rammeverket; COSO - helhetlig risikostyring. Som det framgår av tittelen er risikostyring et sentralt moment i det nye rammeverket. Det nye rammeverket bygger på 1992-utgaven, men setter et sterkere og mer omfattende fokus på helhetlig risikostyring 5. Den nye utgaven skal bidra til at virksomheter kan identifisere, evaluere og håndtere risiko effektivt. Intensjonen er ikke at det skal erstatte rammeverket for intern kontroll, men snarere oppta det gamle i det nye rammeverket. I følge forordet i det nye rammeverket kan en virksomhet derfor beslutte å bruke det nye rammeverket for helhetlig risikostyring til både å dekke sine behov for intern kontroll, og til å bevege seg i retning av en mer omfattende prosess for risikostyring. I COSOrammeverket pekes det på 5 innbyrdes sammenhengende komponenter 6 : Kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon og overvåking av kontrollsystem. De fem komponentene er sammenfattet i en figur, som antyder forholdet mellom dem. Figur 1 Forholdet mellom komponentene i COSO Kilde: COSO-rammeverket og Agenda utredning og utvikling Begrensninger I COSO-rammverket understrekes det at intern kontroll har begrensninger. Intern kontroll kan bistå i arbeidet med å nå fastsatte mål, og gi informasjon om status for virksomheten i forhold til målene. Dårlig lederskap kan ikke håndteres av intern kontroll, heller ikke eksterne forhold, som endring i økonomiske og juridiske rammebetingelser. Intern kontroll er heller ingen sikring mot misligheter eller sammenbrudd på grunn av feilvurderinger. Intern kontroll er underlagt ressursbegrensninger, og nytten av systemet må vurderes opp mot kostnadene. Roller og ansvar COSO-rammeverket omhandler også ansvarsfordelingen for den interne kontrollen. Den øverste lederen må føle et visst eierskap til den interne kontrollen. Det er fordi lederen setter en standard "som påvirker integritet, etikk og andre faktorer i et positivt kontrollmiljø." Lederen skal også gi den øvrige ledelsen råd og veiledning, og følge med på hvordan øvrig ledelse kontrollerer virksomheten. Ansvaret delegeres videre ned i organisasjonen, og den enkelte leder er i prinsippet ansvarlig for sitt område, eller ansvarssfære. COSO-rammeverket vektlegger ledere i økonomifunksjoner som særlig viktige, fordi deres kontrollaktiviteter gjennomsyrer resten av organisasjonen. Styrets rolle i COSO- 5 COSO (2005) forord. 6 Denne gjennomgangen bygger på den norske oversettelsen av COSO-rammeverket (1996) side 5-9. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 9

rammeverket er mer tilpasset privat enn offentlig sektor; for eksempel heter det at "Effektive styremedlemmer er objektive, kompetente og vitebegjærlige." I fylkeskommunal sammenheng er det nærliggende å betrakte politisk nivå i styrerollen. Å kreve objektive politikere gir liten mening. Styrets rolle kan likevel sammenlignes med den rollen politikerne har overfor administrasjonen, nemlig å benytte informasjon om regnskap, jus og internrevisjon til å identifisere og rette opp problemer. Internrevisjon spiller en sentral rolle i evaluering av kontrollsystemenes effektivitet. Den har ofte en overvåkingsrolle. Øvrig personale bør ha intern kontroll som en del av arbeidsbeskrivelsen, implisitt eller eksplisitt. De ansatte bør også ha et ansvar for å formidle informasjon om brudd på forretningsmoral, strategier og handlingsplaner, eller ulovlige handlinger oppover i organisasjonen. Eksterne aktører, som ekstern revisjon, kunder og andre som samhandler med virksomheten kan bidra med nyttig informasjon i ledelsens og styrets arbeid, men er ikke en del av virksomhetens interne kontrollsystem. 2 Avgrensning, problemstilling, metode og revisjonskriterier I dette kapitlet presenteres undersøkelsens fokus. Videre beskriver vi framgangsmåten for innhenting av opplysninger til rapporten, og hvilke kriterier vi legger til grunn for vurderinger og konklusjoner. 2.1 Avgrensing og problemstilling I kommuneloven er det et implisitt krav om at rådmannen skal sørge for et system for intern kontroll: (...) Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. (Kommuneloven 23-2). Intern kontroll oppfattes som virksomhetsstyring i denne forvaltningsrevisjonen. Kravene til internkontroll, slik de framkommer i arbeidsmiljøloven og andre lover, omfattes derfor ikke av undersøkelsen. Slik revisor tolker oppdraget fra kontrollutvalget, er det sentrale i bestillingen hvordan det overordnede styringssystemet (BMS) fungerer, og om prosessene rundt systemet støtter opp om det. Fordi COSO-rammeverket er mer omfattende enn BMS, er en del av undersøkelsen rettet mot å kartlegge hvordan STFK ivaretar elementene i COSO-rammeverket; kontrollmiljø, risikovurderinger, kontrollaktiviteter, informasjon og overvåking. På denne bakgrunnen har revisor formulert følgende hovedproblemstilling: Har STFK et betryggende system for intern kontroll? For å besvare hovedproblemstillingen har revisor, med utgangspunkt plan for intern kontroll og styring og COSO-rammeverket laget fem delproblemstillinger. - Delproblemstilling 1: Har STFK et tilfredsstillende kontrollmiljø? - Delproblemstilling 2: Gjør STFK risikovurderinger, som kan bidra til å identifisere og analysere risikoer som kan hindre at man når fastsatte mål? - Delproblemstilling 3: Deltar hele organisasjonen i kontrollaktiviteter? - Delproblemstilling 4: Får medarbeidere på alle nivå tilstrekkelig informasjon til å utføre arbeidsoppgavene? - Delproblemstilling 5: Hvordan sikrer STFK at de interne kontrollsystemene blir gjenstand for vurdering? - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 10

2.2 Metode Data er samlet inn via intervju med fylkesrådmannen, økonomidirektøren, lederen for jus- og innkjøpstjenesten, opplæringsdirektøren, fagleder for plan- og styringsavdelinga, og rådgiver med blant annet EQS 7 som arbeidsområde. I tillegg er det foretatt to telefonintervju med ledelsen ved to videregående skoler. Dette som et ledd i forberedelsene til en elektronisk spørreundersøkelse, som ble sendt ut til alle enhetsledere, og til fagledere med lønns- og personalansvar. Oppslutningen i spørreundersøkelsen var på 84 prosent. Noen av spørsmålene i undersøkelsen kan besvares på en skala fra 1 til 5. I rapporten er svaralternativene 1 og 2 slått sammen til én kategori. Svaralternativ 3 er en midtkategori, som vi tolker i retning av et nøytralt svar, mens svaralternativ 4 og 5 er slått sammen til en tredje kategori 8. Dette bidrar til å forenkle resultatene, og gir bedre oversikt. Nyansene forsvinner imidlertid ved slik forenkling. Størrelsesforholdet mellom kategoriene blir også forandret, fordi midtkategorien beholder sin opprinnelige størrelse, mens de øvrige verdiene slås sammen. De fleste intervjuene er gjort med personer i ledelsen i STFK, eller med enhetsledere. Dette er gjort på bakgrunn av en vurdering av hvor den mest omfattende kunnskapen om interne kontrollsystem i STFK finnes. Resultatene fra intervjuene bør leses med dette i mente. Samtidig vil revisor vise til at det er innhentet informasjon fra andre kilder. Datagrunnlaget anses derfor som tilstrekkelig til å belyse problemstillingene. Alle som er intervjuet har fått referatene til gjennomlesing, og har hatt mulighet til å korrigere referatene, slik at de skulle bli i tråd med deres syn. I tillegg til intervju har vi gjort søk i EQS, og benyttet mulighetene for å ta ut statistikk fra dette programmet. I tillegg har vi foretatt noen versjonskontroller av dokumentene i EQS og på intranettsidene. Videre har vi benyttet utvalgte rapporter fra forvaltningsrevisjon som datagrunnlag. 2.3 Revisjonskriterier Revisjonskriteriene er målestokken i en forvaltningsrevisjon, og danner grunnlaget for revisors vurderinger, konklusjoner og anbefalinger. Revisjonskriteriene skal hentes fra autoritative kilder. Det vil si at de skal være utformet av instanser som er i posisjon til å fastsette standarder på et område. Lover og politiske vedtak er typiske revisjonskriterier. På områder der det ikke finnes lovmessige føringer kan man benytte veiledere, eller literattur som har allmenn aksept for området som skal revideres. Kravet i kommuneloven om at administrasjonssjefen skal sørge for at administrasjonen handler i henhold til lover og regler, og at han skal sørge for betryggende kontroll er det overordnede revisjonskriteriet i denne undersøkelsen (Kommuneloven 23-2). Det finnes ikke krav til hvordan kontrollen skal utføres. I STFKs plan for intern kontroll og styring heter det imidlertid at man har lagt COSO-rammeverket fra 1992 til grunn for STFKs arbeid på området. Derfor er planen brukt som kilde for revisjonskriterier. Planen er det overordnede styringsdokumentet i fylkeskommunen, og er vedtatt i fylkesutvalget. I dokumentet beskrives grunnleggende prinsipper for intern kontroll. COSOs generelle definisjonen av innholdet i intern kontroll er gjengitt innledningsvis: Intern kontroll, definert bredt, er en prosess gjennomført av foretakets styre, bedriftsledelse og annet personell, utviklet for å gi rimelig sikkerhet for å nå mål i følgende kategorier: - Måleffektiv og kostnadseffektiv drift - Pålitelige regnskap - Overholdelse av lover og forskrifter Seinere i plan for intern kontroll og styring er denne definisjonen noe omskrevet, og presentert som en målformulering for arbeidet med intern kontroll og styring i STFK: Intern kontroll er ikke et mål i seg selv, men et virkemiddel til å nå andre mål, som å sikre etterlevelse av lover og regler, forebygge misligheter, sikre at driften er målrettet og 7 EQS: Extend quality system - STFKs elektroniske kvalitetssystem fram til medio 2009. 8 Graderingen på de sammenslåtte svarkategoriene varierer med spørsmålene; helt uenig/helt enig og i liten grad/i stor grad. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 11

kostnadseffektiv, samt sikre pålitelig regnskapsrapportering. Sør-Trøndelag fylkeskommunes styringskort angir fylkeskommunens strategiske mål. Et annet sted i planen heter det at: God internkontroll i Sør-Trøndelag fylkeskommune (STFK) skal gi en rimelig grad av sikkerhet for å nå mål innenfor styringskortets strategiske mål. I planen heter det også at dokumenter som er styrende for STFKs virksomhet skal være lett tilgjengelig på STFKs intranett. På dette området er ikke planen oppdatert, fordi STFK har innført et elektronisk kvalitetssystem, EQS. Dette er en elektronisk plattform for STFKs styrende dokument, og for andre dokument som inngår i kvalitetsarbeidet. På STFKs intranettsider for styrende dokument heter det at EQS er STFKs felles elektroniske kvalitetssystem, og at det er der man finner de styrende dokumentene som gjelder for den enkelte enhet. Revisjonskriteriene beskrives nærmere i sammenheng med presentasjonen av resultatene. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 12

3 Resultat I dette kapitlet presenterer vi resultatene fra undersøkelsen. Først i en beskrivelse av BMS, deretter følger fem underkapitler med overskrifter tilsvarende de fem delproblemstillingene; kontrollmiljø, risikovurderinger, kontrollaktiviteter, informasjon og vurdering av interne kontrollsystem. 3.1 BMS I STFKs målstyringssystem er det utarbeidet 4 styringskort, ett for hvert tjenesteområde i fylkekommunen: Opplæring, tannhelse, regional utvikling (herunder nærings- og lokalsamfunnsutvikling, fylkesveier, kollektivtransport og kulturaktivitet) og administrasjon og støttetjenester. Hvert styringskort inneholder fire elementer som er felles; ambisjon, verdigrunnlag, styringsperspektiv og strategiske mål. Disse framgår av de tre første radene i figuren under (hovedstyringskortet): Figur 2 Hovedstyringskortet i STFK Ambisjon: Utvikle Trøndelag til Europas mest kreative region Verdier: - vi skal gjøre hverandre gode Styringsperspektiv Brukere Regional utvikling Interne prosesser Økonomi Medarbeidere, læring og fornyelse Strategiske mål STFK skal gi brukertilpass ede og framtidsrettede tjenester av høy kvalitet til folk i fylket. STFK skal aktivt skape samspill om utvikling av kompetanse, kultur, miljø og næringsliv i fylket, og aktivt synliggjøre gode prestasjoner Arbeidsprosesse ne i STFK skal være enkle og effektive med fokus på kvalitet og samspill og service i alle ledd. I STFK skal vi utnytte tilgjengelige ressurser effektivt og kreativt etter prioriteringer basert på mål og verdier. STFK skal være en nytenkende, dynamisk organisasjon med medarbeidere som har vilje og lyst til å møte - og evne til å mestre dagens og morgendagens utfordringer. Kritiske suksessfaktorer Måleindikatorer Kilde: STFK Som det framgår av figuren over er de strategiske målene i styringskortene i BMS svært generelle. For hvert styringskort er det satt opp noen kritiske suksessfaktorer (indikert i rad 4). Dette er faktorer der STFK må innfri forventningene for å kunne hevde at målene er nådd. De kritiske suksessfaktorene er operasjonalisert, eller konkretisert, i måleindikatorer (indikert i rad 5). Indikatorene er dels felles, dels er de differensiert etter tjenesteområde. For hver indikator er det fastsatt et ambisjonsnivå, det vil si et nivå for minimumsverdier. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 13

Prosessene som gjennomføres som en del av BMS er sammenfattet i årshjulet. Hjulet er i prinsippet likt fra år til år, men med noen mindre endringer. Figur 3 Årshjulet - 2007 Kilde: STFK Som det framgår av årshjulet gjennomfører STFK og eksterne instanser en rekke spørreundersøkelser i løpet av 4. og 1. kvartal. Undersøkelsene gir viktig informasjon i styringen av STFK. Årshjulet synliggjør også rapporteringen fra administrasjonen til politisk nivå, og den administrative og politiske behandlingen av utfordringsdokumentet og strategiplanen. 3.2 Kontrollmiljø Revisjonskriterier I følge COSO-rammeverket setter kontrollmiljøet standarden for holdningene til kontroll og styring. Kontrollmiljøet omfatter integritet, etiske verdier, ansattes kompetanse, ledelsens filosofi og driftsform, fordeling av ansvar og myndighet, organisering og utvikling av de menneskelige ressursene og styrets tilsyns- og styringsfunksjon. Styret i denne undersøkelsen kan best sammenlignes med politisk nivå, men noen direkte parallell er det ikke. Fylkeskommunen har sitt kontroll- og tilsynsorgan i kontrollutvalget. Kontrollutvalget skal føre "det løpende tilsyn og kontroll med den kommunale eller fylkeskommunale forvaltningen på vegne av kommunestyret eller fylkestinget..." (Forskrift om kontrollutvalg i kommuner og fylkeskommuner, 4). I denne sammenhengen regnes slikt tilsyn som eksternt, mens tilsyn og kontroll som er initiert av rådmannen regnes for internt. Når vi likevel trekker sammenligninger mellom politisk nivå og styret er det fordi administrasjonen står til ansvar overfor politisk nivå, slik den daglige ledelsen i et privat selskap gjør overfor styret. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 14

Som det framgår av ovenstående er kontrollmiljøet mer en beskrivelse av en kultur enn av konkrete hendelser. BMS inneholder ingen indikator på kontrollmiljø. Vi har delt kontrollmiljøet i fire; administrativ forankring, ansvarsdelegering, forståelse av lederrollen og etiske verdier. Administrativ forankring På spørsmål om hvor prinsippene for internkontrollen er hentet fra viser økonomidirektøren til BMS. Da BMS ble innført støttet man seg til teoretiske bidrag, for dette var en ny måte å tenke på. Økonomidirektøren har ikke brukt COSO-rammeverket aktivt selv, og kjenner den ikke. Fylkesrådmannen er heller ikke kjent med COSO-rammeverket. Blant dem vi har intervjuet er det bare lederen for jus- og innkjøpstjenesten som kjenner rammeverket i noen grad. Hun er, i følge EQS, dokumentansvarlig og forfatter av plan for intern kontroll og styring, og brukte rammeverket under utarbeidelsen av planen. Ansvarsdelegering I 2002 ble STFK organisert etter en tonivåmodell. Modellen innebærer en mer direkte styringsform, med rådmannsnivået direkte over den enkelte virksomhet, eller enhet. De fleste enhetene har en leder med faglig ansvar, personalansvar og budsjettansvar, som i de videregående skolene. I noen av de administrative støttefunksjonene er ansvaret delt mellom direktør (rådmannsnivå) og en faglig leder. Opplæringsavdelinga er organisert på denne måten. Den er delt i tre grupper, og opplæringsdirektøren har det øverste ansvaret for gruppene. Faglederne har fagansvar og personalansvar, mens budsjettansvaret ligger til direktøren. I oppstartsintervjuet med fylkesrådmannen fikk vi opplyst at man ikke benytter formelle lederavtaler som styringsinstrument. Nå gjennomføres en årssamtale etter at årsrapportene fra enhetene foreligger. Det skrives et referat fra samtalen, som fungerer som en type lederavtale. I referatene beskrives mål og områder for forbedring i kommende periode. Fylkesrådmannen viste også til skjemaet "leders egenkontroll", og at dette brukes i medarbeidersamtalene med enhetslederne. I den elektroniske spørreundersøkelsen har vi spurt lederne om ulike forhold rundt ansvarsdelegeringen. Svarene framgår av tabellen under. Tabell 1 Ansvarsdelegering Påstand Antall Ja Verken Nei enig/uenig Jeg er godt kjent med mitt ansvarsområde 35 1 0 Arbeidsoppgavene mine er klart definert 35 1 0 Arbeidsområdet er klart avgrenset mot administrasjonen 25 6 5 Jeg har ikke behov for en nærmere utdyping av mitt ansvarsområde* 32 2 1 Jeg er godt kjent med de forventninger som stilles til meg som enhetsleder 34 2 0 Jeg er godt kjent med mitt ansvar i hht. til plan for intern kontroll og styring 34 2 0 * En av lederne har ikke svart på spørsmålet Kilde: Revisjon Midt-Norge Som det framgår av tabellen er så godt som alle lederne inneforstått med ansvarsområdet sitt, og de oppgir at arbeidsoppgavene er klart definert. På spørsmål om arbeidsområdet er klart avgrenset mot administrasjonen har flere krysset av for verken enig eller uenig. Fem av lederne oppfatter ikke at arbeidsområdet er klart avgrenset mot administrasjonen. Det er usikkert hvordan lederne har forstått begrepet administrasjonen. Det kan forstås som administrasjonen på hver enhet; at man har en klar arbeidsdeling internt i enheten. Spørsmålet kan også forstås som det administrative nivået over enheten. Resultatene må derfor forstås med dette som forbehold. 32 av lederne mener likevel at de ikke har behov for en utdyping av eget ansvarsområde. En høy andel av lederne er kjent med forventningene som stilles til dem, og i tillegg til ansvaret de har i henhold til plan for intern kontroll - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 15

og styring. I 2007 gjennomførte Revisjon Midt-Norge en kontroll av kjennskapet til plan for intern kontroll og styring blant lederne. Kontrollen ble gjort i forbindelse med enhetsbesøk som en del av den finansielle revisjonen. Kontrollen viste at sju av ni enhetsledere ikke kjente planen. Forståelse av lederrollen Fylkesrådmannens ledelsesfilosofi er, slik den framkommer i oppstartsmøtet, at ledelse er mest tydelig gjennom dialog og kommunikasjon, der forventninger uttrykkes klart. Fylkesrådmannen sier også at dette innebærer at det sies fra når det trås feil. Fylkesrådmannen sier videre at han ikke har tro på en hierarkisk modell som ledelsesredskap. Den daglige ledelsen må selv få rom til å definere løsningene i organisasjonen, ut fra organisasjonens forutsetninger. I den grad av frihet som er utviklet, må fylkesrådmannen ha tillit til at enhetsleder er like målrettet som fylkesrådmannen. Selv om ledelsesprinsippene er størst mulig lokal frihet, prøver fylkeskommunen, i følge fylkesrådmannen, å unngå intern konkurranse. Også økonomidirektøren viser til at dialog er et viktig redskap for å gjøre lederne kjente med ansvaret for STFKs policy på ulike områder. Han peker også på viktigheten av at lederne blir trukket med i helhetsansvaret, og sier at alle har et ansvar for at STFK skal lykkes. For å etablere en felles forståelse driver man opplæring av nye ledere. Mye av opplæringen omhandler ansvarsforståelse. Økonomidirektøren sier at i den grad det har vært utfordringer på området, har det vært å få enhetslederne til å bruke ansvaret den enkelte har. Han sier at det er stadige diskusjoner i ledergruppa om hvordan dette skal fungere, slik at man håndterer dette likt. Opplæringsdirektøren sier at det er høy grad av ansvarsdelegering i STFK, og at det er mye oppmerksomhet om hvem som har ansvar for at de ulike delene i lovverket blir fulgt opp. Hun sier videre at det tradisjonelt har vært for lite lovforståelse i skolen, og lite oppmerksomhet mot hvilken betydning elevenes rettigheter har for skolenes virksomhet. Dette vil det nye kvalitetssystemet bidra til å rette opp. I intervjuene med ledergruppene ved to av de videregående skolene gir ledelsen uttrykk for at man er kjent med ansvaret for å gjennomføre STFKs policy på ulike områder, og hva som ligger i dette. På begge skolene er ansvaret fordelt internt, og man jobber med en arbeidsdeling i administrasjonen. Etiske verdier Vi tar som utgangspunkt at STFKs etiske verdier uttrykkes gjennom de etiske retningslinjene. Retningslinjene er vedtatt i fylkestinget, og den siste revideringen ble foretatt februar 2009 9. Den nyeste versjonen av retningslinjene er lagt ut på intranettsidene til STFK. Økonomidirektøren sier at man tar i bruk de ordinære kanalene i tonivåmodellen for å gjøre de etiske retningslinjene kjent: De er tema i rektorgruppa og enhetsledermøtene, i møter med lederne for de interne enhetene på fylkeshuset, og i fellesmøtet for enhetslederne. Det er enhetsledernes ansvar å ta tema herfra videre i interne diskusjoner. Økonomidirektøren sier videre at rådmannsnivået følger dette opp i medarbeidersamtalene med lederne. I jus- og innkjøpstjenesten diskuteres de etiske retningslinjene ofte i internmøter, i følge lederen. Hun sier videre at enheten har et sterkt fokus på etikk, fordi man her har ansvar for innkjøp i STFK. Flere av de vi intervjuet på rådmannsnivået viste til skjemaet "enhetsleders egenkontroll", der enhetslederne blant annet skal oppgi om de har gjort de etiske retningslinjene kjent i egen virksomhet. Opplæringsdirektøren sier at rektor må være spydspiss for dette arbeidet i egen organisasjon. På en av de videregående skole oppgir ledelsen at de nye etiske retningslinjene ble behandlet på et internseminar i vinter, og at de har vært tatt opp med samtlige ansatte tidligere. Ledelsen ved den andre skolen sier at de forsøker å diskutere emner der etikk er tema, men at dette er ett av mange emner som må konkurrere om oppmerksomheten. Ved denne skolen har man derfor ikke rukket å diskutere endringene i de etiske retningslinjene fra februar i år. De er sendt ut på e-post til alle ansatte, og er i tillegg tilgjengelige på intranettsidene. Et søk på intranett og EQS (se avsnitt 3.5 for nærmere beskrivelse av EQS) viser at de nyeste etiske retningslinjene er tilgjengelige elektronisk på intranett og i STFKs kvalitetssystem, EQS. På intranett ligger den nyeste versjonen, mens den tidligere utgaven av retningslinjene ligger i EQS, med status utgått. 9 Sak FT 14/09. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 16

REVISJONSRAPPORT FRA REVISJON MIDT-NORGE IKS I den elektroniske spørreundersøkelsen til lederne har vi stilt spørsmål om noen i ledelsen har hatt samtaler med medarbeiderne der de etiske retningslinjene har vært tema. Her svarer 26 av lederne bekreftende. 6 ledere svarer vet ikke, mens fire ledere svarer at de ikke har hatt slike samtaler. 3.3 Risikovurderinger Revisjonskriterier Etter at det er etablert målsettinger skal man, i følge COSO-rammeverket, gjennom å foreta risikovurderinger, identifisere og analysere ulike former for risikoer som kan hindre måloppnåelsen. Risikovurderingene omfatter vurdering av interne og eksterne risikoer. Forutsetningen for risikovurderingen er at man har etablert internt forenlige målsettinger i virksomhetens nivå. Man må også etablere mekanismer for å vurdere og håndtere endringer i økonomiske, bransjemessige, regulerende og driftsmessige forhold. Risikovurderinger i STFK Av ovenstående er det rimelig å anta at man må foreta et bredt spekter av risikovurderinger i en organisasjon som har et så bredt virksomhetsområde som STFK. Intervjuene dekker rimeligvis ikke alle disse vurderingene. Vi har vært opptatt av å belyse risikovurderinger som er sentrale for virksomheten. Økonomidirektøren viser til at STFK har en beredskapsplan. Denne er ikke rettet mot økonomisk risiko, men mot andre hendelser. Man har fokus på økonomiske risikoer og resultater gjennom strategiplanprosessen. Økonomidirektøren viser videre til at utfordringsdokumentet er et ledd i økonomiplanprosessen, og at man gjennom denne prosessen går langt i å diskutere risikoer på inntekts- og utgiftssiden. Prosessen er en del av årshjulet i BMS. I denne prosessen foretas vurderinger som vedrører drift og nedleggelse, og nye mulige oppgaver. Som et eksempel peker økonomidirektøren på fylkeskommunens overtakelse av fylkesvegene. I følge direktøren har man jobbet hardt for å dempe risikoen i den forbindelse. Han viser også til diskusjoner i sammenhenger utenfor STFK; fylkesrådmannen har vært leder for rådmannskollegiet, og i tillegg har fylkesordføreren hatt et sterkt fokus på dette arbeidet. Økonomidirektøren peker også på at STFK arbeider med beredskap på IKT-området, med en egen plan. Han sier at det jobbes kontinuerlig med planen, nettopp for å fange opp de risikoene STFK er utsatt for. Videre at det har vært jobbet mye for å eliminere risiko på IKT-området, blant annet gjennom sentralisering. Det foretas også risikovurderinger i forbindelse med innføring av nytt økonomisystem; valgene som foretas åpner for nye risikoer. Økonomidirektøren viser også til at STFK har et reglement for å registrere økonomiske interesser utenfor STFK. Videre er det et fokus på de ansattes risiko i HMS-planen. Kriminalitet er ikke nevnt spesielt her, men direktøren sier at STFK skal ha en organisasjon som kan håndtere uønskede hendelser. Han sier at systemene for øvrig skal avdekke økonomisk kriminalitet. Systemene for innkjøp og godkjenning er relativt transparente. Økonomidirektøren framhever viktigheten av et transparent miljø i organisasjonen. Fylkestinget har vedtatt at det skal rapporteres om hvordan driften påvirker ytre miljø 10. Det er likevel ikke rapportert på indikatoren "påvirkning på ytre miljø". Administrasjonen har kommentert dette forholdet i flere årsrapporter. Mangelen på rapportering skyldes at det ikke er utviklet noen indikator. Dette fordi det har vist seg vanskelig å finne indikatorer for hele fylkeskommunen. Fylkestinget vedtok at arbeidet med å utvikle indikatoren bør prioriteres, og ba, i forbindelse med behandlingen av nevnte forvaltningsrevisjon, om en tilbakemelding fra fylkesrådmannen innen 1. mai 2009. Opplæringsdirektøren sier at man har flere tilnærmningsmåter til å foreta risikovurderinger, og nevner tre hovedkilder: Det er egne rutiner for søkeprosess og inntak til de videregående skolene. Risiko for sviktende søkning til enkelte studieprogram, og konsekvensene av det, ivaretas av disse rutinene. Alle skolene har en beredskapsplan, i tillegg til at fylkeskommunen har en overordna beredskapsplan. 10 Sak FT-70/06 - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 17

REVISJONSRAPPORT FRA REVISJON MIDT-NORGE IKS Rapporteringssystemet innen økonomi er en risikoreduserende aktivitet. Noen skoler har problemer med å budsjettere realistisk der det er manglende samsvar mellom timer og ressurser. Hun sier videre at den største utfordringen for videregående opplæring er å sikre elevrettigheter. Det brukes mye tid på denne prosessen, direktøren sier at lederne er engasjert i dette. Rektorene er ikke nødvendigvis interesserte i hele strategiplanen, og har ikke så stor kjennskap til fylkeskommunens virksomhet og utfordringer som helhet. Skolene forholder seg til lover gitt av Stortinget. Fylkestingets vedtak har tradisjonelt hatt mindre oppmerksomhet. Av kvalitetshåndboka for videregående opplæring 11 framgår det at skolene skal utarbeide et lokalt plandokument for forbedringstiltak (kvalitetshåndboka, side 20). Dette skal gjøres i løpet av utgangen av mars hvert år. Dokumentet skal arkiveres i det elektroniske systemet for styrende dokumenter, for tiden er det EQS. Dokumentet skal inneholde alle planlagte, større tiltak på grunnlag av gjennomførte målinger og analyser, i tillegg til pålagte forbedringstiltak etter revisjon. Det heter videre at planen skal omfatte en beskrivelse av avvik og utfordringer, mål, tiltak, ansvar, frist og en effektvurdering. Et eget avsnitt skal omhandle tiltak som ligger utenfor enhetens myndighetsområde. Dette skal danne grunnlag for arbeid med utfordringsdokumentet. Det framgår også at planen skal inneholde en effektvurdering av tiltakene, og videre at det skal oppdateres rundt årsskiftet med en effektvurdering etter nye målinger. Et søk i EQS viser at kun to av de videregående skolene har lagt dokumentet i EQS. I intervjuet opplyser opplæringsdirektøren at mange av de videregående skolene sendte dokumentet til opplæringsavdelinga på e-post. Ved en av de videregående skolene sier rektor at det ble laget en plan for forbedring til årsmeldinga, som ble innsendt på nyåret. Rektor har oppfattet at dokumentet som ble sendt inn i forbindelse med årsmeldinga er det samme som det som ble etterspurt som en følge av kravene i kvalitetshåndboka, og sier i den forbindelse at det er vanskelig å forstå oppgavene som skal utføres. Ved den andre skolen sier ledelsen at man har et system med tillitsvalgte og skoleutvalg der man drøfter eventuelle endringer i rammebetingelsene. Diskusjonene og konklusjonene fra disse møtene tas med videre til opplæringskdirektøren. Skolens utfordringer med å opprettholde bredden i utdanningstilbudet tas også opp i drøftingsmøtene med de tillitsvalgte. Disse diskuteres også i skolemiljøutvalget. Personalmøtet holdes orientert. Rektor sier videre at skolens lederteam behandler de fleste slike saker. Ledelsen ved begge skolene forteller at de gjennomgår de ulike undersøkelsene som gjennomføres i STFK, og peker ut to områder der de skal jobbe med forbedring. På den ene skolen fikk vi opplyst at man jobber med dette i personalgruppa ved skolene. Ved den andre skolen trekker man også med elevene. Leder for Plan og styringsavdelinga sier at de innenfor enheten i all hovedsak har et system for å identifisere risikoer. STFK er prisgitt at informasjonen de får fra Vegdirektoratet om vegene er korrekt, og at Riksrevisjonen gir tilbakemelding dersom der er feil i informasjonen. I forbindelse med vegreformen er enheten nå i ferd med å styrke kontrollen, ved å tilsette en person med spesielt ansvar for veg, og kvalitetssikring av informasjon rundt dette. Lederen for plan og styringsavdelinga sier videre at det jevnlig blir foretatt vurderinger av internkontroll og risiko, både i enheten og på ledersamlinger. Lederen for jus- og innkjøpstjenesten opplyser at man ikke skriftliggjør risikovurderinger i forbindelse med oppgaver og beslutningsprosesser, men at enhetens arbeidsmetoder ivaretar dette ved planlegging og utføring av anskaffelser, og andre oppgaver som utføres ved enheten. Lederen opplyser videre at det blant annet foretas risikovurderinger i alle prosesser i forbindelse med anskaffelser. Som eksempel nevner hun at det gjøres risikovurderinger vedrørende leverandørenes evne til å oppfylle kontraktsforpliktelsene ved den enkelte anbudskonkurranse, blant annet om leverandørenes kvalifikasjoner. I konkurransegrunnlaget stilles det kriterier som leverandører må oppfylle for å redusere denne risikoen. 11 Godkjent av fylkesrådmannen 11.11.2008. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 18

I spørreundersøkelsen har vi spurt lederne om noen risikovurderinger, og aktiviteter som er nært forbundet med slike vurderinger. Svarene er gjengitt i tabellen under. Tabell 2 Risikovurderinger Det er i de siste 12 månedene gjennomført vernerunder (samtale med verneombud) innenfor mitt ansvarsområde Har dere på din enhet benyttet STFKs strategiplan i deler av arbeidet de siste 12 månedene? Har du de siste 12 månedene diskutert STFKs overordnede strategier i internmøter/personalmøter osv? Har du de siste 12 månedene diskutert mulige endringer i rammebetingelser for enheten i internmøter/personalmøter osv? Har du benyttet resultatene fra BMS i egen virksomhet de siste 12 månedene? Kilde: Revisjon Midt-Norge Ja Vet ikke Nei 26 5 5 32 2 2 27 3 6 30 3 3 33 1 2 En måte å foreta risikovurderinger på er å ha et fungerende HMS-system, der man vurderer konkrete risikoer ved enheten i forbindelse med vernerunder. Risikovurderinger som gjøres i denne forbindelse er mest knyttet til den daglige driften heller enn til de overordnede styringssystemene. HMS-arbeidet kan likevel bidra til å avdekke forhold som kan ha vesentlig innflytelse på driften. Resultatene fra spørreundersøkelsen viser at lederne ved 10 av enhetene enten ikke kjenner til om det er gjennomført vernerunder, eller de har ikke gjort dette. Kjennskap til målsettinger er sentralt for å vurdere risiko. 32 av lederne har benyttet strategiplanen i arbeidet det siste året, mens 27 av dem har diskutert overordnede strategier internt. De resterende 9 har enten ikke gjort dette, eller de kjenner ikke til om det er gjort. Risikovurderinger kan bestå i å diskutere og vurdere endringer i rammebetingelsene for virksomheten. 30 av lederne har gjort dette internt, mens de resterende lederne enten ikke har gjort det, eller ikke vet om det har blitt gjort. Kjennskap til BMS-resultatene er viktig for å vurdere styrker og svakheter, på samme måte som kjennskap til strategiplanen er viktig for å kunne foreta risikovurderinger. Også her svarer en stor andel av lederne bekreftende; BMS-resultatene har blitt benyttet i 33 av enhetene, mens to av lederne svarer at de ikke har benyttet resultatene internt det siste året. 3.4 Kontrollaktiviteter Revisjonskriterier Kontrollaktiviteter er, i korte trekk, handlingsplaner og rutiner som skal sikre gjennomføringen av ledelsens føringer. Kontrollaktivitetene skal bidra til at tiltak som foreslås som et resultat av risikovurderingen blir iverksatt. Aktivitetene skal skje på alle nivå i organisasjonen, og kan bestå i blant annet godkjennelser, anvisninger, verifikasjoner, avstemminger, gjennomgåelse av driften, sikring av ressurser og ansvarsfordeling. Mange av kontrollaktivitetene skal inngå i den daglige driften, mens andre skjer mer sporadisk. Kontrollaktiviteter i STFK I intervjuene har vi bedt om eksempler på kontrollaktiviteter. Økonomidirektøren sier at kontrollsystemene på driftssiden ligger i systemene med attestasjon og anvisning. Dette framgår også av intervjuene med ledergruppene på de videregående skolene, som sier at det alltid er to personer involvert. En av rektorene sier at e-handel også bidrar til kontrollen. Økonomidirektøren peker på dialogen mellom rådmannsnivået og lederne som en kontrollaktivitet. Han sier også at den enkelte ansvarlige skal følge med budsjettet i forhold til regnskapet. Det rapporteres på totalnivå tre ganger i året, men økonomidirektøren sier at avvik skal rapporteres fortløpende, slik at man kan gjøre noe med dem så snart som mulig. Plan- og styringsavdelinga står for økonomirapportene til politisk nivå. Disse er en del av den totale virksomhetsrapporteringen, som skjer to ganger i året. Det er også en tredje, mindre omfattende rapportering, som hovedsakelig omhandler økonomi. I en forvaltningsrevisjon om - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 19

oppfølgingen av overordnede miljømål i plan- og styringssystemet 12 påpekes det at STFK ikke har etablert BMS-indikator for påvirkning på ytre miljø. Derfor rapporteres det heller ikke om dette i BMS. Administrativt har man etablert et system for å følge opp politiske vedtak og signaler. Lederen for plan- og styringsavdelingen sier at de ansatte fra avdelinga er til stede i fylkesutvalget og fylkestinget for å fange opp politiske signaler. I komiteene er ansvarlige fra rådmannen til stede og fanger opp slike. Disse videreformidles til plan- og styringsavdelingen. I forbindelse med revidert budsjett og foran kommende års budsjett, gjennomgås alle politiske vedtak for å få med politiske ønsker. I oppstartmøtet og møtet med økonomidirektøren ble det vist til et eget system i saksbehandlingssystemet for vedtaksoppfølging. Dette systemet sikrer at man tar hensyn til politiske vedtak. Vi har fått tilgang til oppfølgingsmodulen i ElArk 13. Det hører en hjelpefil med til oppfølgingsmodulen. Her er det en beskrivelse av prosessen fra politisk vedtak til rapportering fra administrasjonen. I tillegg til at prosessen i oppfølgingsmodulen beskrives gis det også et bilde av saksgangen. Hver sak sorteres i kategorier etter hvilke handlinger som kreves av administrasjonen. Kategoriene varierer fra "krever ingen handlinger" til "ta signaler (endre praksis, forsterke fokus etc)". Sakene fra oppfølgingsmodulen følges opp overfor fylkestinget 3-4 ganger per år, i følge økonomidirektøren. En annen sporadisk kontrollaktivitet er skjemaet leders egenkontroll (vedlegg 3). I følge opplysninger fra fylkesrådmannen blir dette brukt i medarbeidersamtaler for tilbakemelding fra enhetslederne. Også økonomidirektøren sier at skjemaet gjennomgås i samtaler med lederne. I følge direktøren gir det en oversikt over hva som er utført. Opplæringsdirektøren har brukt skjemaet aktivt i samtalene. Hennes inntrykk er at lederne er ærlige på hva de har gjort og ikke gjort. Hun mener at skjemaet skal være en støtte for lederne, ikke utelukkende et kontrollverktøy for den politiske ledelsen. Opplæringsdirektøren sier at skjemaet normalt sendes ut på e-post, og ikke blir registrert i ElArk eller EQS. Opplæringsdirektøren opplyser i intervju at det er plan- og styringsenheten som administrerer utsendingen av leders egenkontroll. Foran årets ledersamtaler ble ikke skjemaet sendt ut. Direktøren kjenner ikke bakgrunnen for dette. Videre sier hun at det mangler ressurser til å følge opp denne, og andre lignende rapporteringer, og at det foreligger planer om å omdisponere ressurser i den anledning. Et annet eksempel på sporadiske kontrollaktiviteter er kravet til de videregående skolene om en plan for forbedring. I følge rådgiveren i opplæringsavdelinga med kvalitetssystemene som arbeidsområde skal planen legges i EQS. Den skal være enhetens plan for lukking av avvik og andre forbedringstiltak. Avvik/behov kan være avdekket i resultater fra elevundersøkelsen, medarbeiderundersøkelsen, lærerundersøkelsen, eller gjennom informasjon fra regnskapet. I tillegg skal skolene fylle ut en sjekkliste mot en del krav i opplæringslova. En del av kontrollaktivitetene testes årlig gjennom enhetsbesøkene fra revisorer innenfor finansiell revisjon. Vi har sammenfattet resultatet fra de to siste årenes kontroller i tabellen under, mens resultatet fra 2006 er gjengitt i tekstform under tabellen. Det skyldes at brevet fra revisjonen hadde en annen struktur for 2006. 12 Miljøstyring - STFK (November 2008). 13 STFKs elektroniske saksbehandlingssystem og arkiv. - Intern kontroll og styring i Sør-Trøndelag fylkeskommune - 20