Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter Mai 2017
«Forvaltningsrevisjon av effektivitet og kvalitet i internkontrollen» Mai 2017 Prosjektplan utarbeidet for Bergen kommune av Deloitte AS. Deloitte AS Postboks 6013 Postterminalen, 5892 Bergen tlf: 51 21 81 00 www.deloitte.no Member of Deloitte Touche Tohmatsu Limited
Innhold 1. Formål og problemstillinger 4 1.1 Bakgrunn 4 1.2 Formål og problemstillinger 4 2. Revisjonskriterier 5 3. Metode 7 3.1 Dokumentanalyse 7 3.2 Intervju 7 3.3 Utvalg av enheter 7 3.4 Verifisering og høring 7 4. Tid og ressursbruk 8 4.1 Nøkkelpersonell 8 4.2 Ressursbruk 8 Member of Deloitte Touche Tohmatsu Limited
1. Formål og problemstillinger 1.1 Bakgrunn Deloitte har i samsvar med bestilling fra kontrollutvalget (sak 27-17) utarbeidet en prosjektplan for forvaltningsrevisjon av effektivitet og kvalitet i Bergen kommunes internkontroll. 1.2 Formål og problemstillinger Formålet med forvaltningsrevisjonen er å undersøke hvordan Bergen kommune sikrer kvalitet og effektivitet i kommunens internkontroll (jf. kommuneloven 20 sitt krav om betryggende kontroll). Med bakgrunn i formålet er det utarbeidet følgende problemstillinger som vil bli undersøkt: 1. I hvilken grad er arbeidet med internkontroll hensiktsmessig organisert å sikre en god kontrollstruktur? 2. I hvilken grad benyttes risikovurderinger for å sikre kvalitet og effektivitet i internkontrollen, og har risikovurderingene tilfredsstillende kvalitet? 3. I hvilken grad er det etablert system, rutiner og kontroller som skal sikre at vesentlige risikoer blir håndtert? 4. I hvilken grad er det etablert et tilfredsstillende regime for å overvåke og følge opp at internkontrollen fungerer som planlagt? 5. Etterleves etablerte system og rutiner som skal sikre tilfredsstillende internkontroll? 4
2. Revisjonskriterier Innsamlede data vil bli vurdert opp mot revisjonskriterier i form av lover, regelverk og relevante kommunale vedtak og retningslinjer. Kriteriene er utledet fra autoritative kilder i samsvar med kravene i gjeldende standard for forvaltningsrevisjon. 1 Revisjonskriterier vil bli utledet med fokus på regelverk, styringsinstrukser, prosedyrer og andre retningslinjer som er spesielt aktuelle for intern kontroll i Bergen kommune. Et sentralt kriterium i denne revisjonen er kommuneloven 20. I kommuneloven, 20, pkt. 2 går det frem at kommunerådet har ansvar for at saker er forsvarlig utredet før de legges frem for behandling i folkevalgte organ: «Kommunerådet. skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet og at de vedtak som er truffet blir iverksatt. Kommunerådet. skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll» Det er en rekke lover og forskrifter har bestemmelser som definerer krav til internkontroll på ulike områder, blant annet: Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter Forskrift om internkontroll i sosial- og helsetjenesten Forskrift om miljørettet helsevern 12 Internkontroll Forskrift om internkontroll for kommunens oppgaver etter lov om barneverntjenester Personopplysningsloven 14 Internkontroll Helseregisterloven 17 Internkontroll Forskrift om internkontroll for å oppfylle lov om vassdrag og grunnvann I Direktoratet for økonomistyring sin veileder om internkontroll er det fastsatt at: «Internkontroll er en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og kostnadseffektiv drift Pålitelig rapportering Overholdelse av lover og regler» Det finnes flere rammeverk for hvordan en kan utarbeide et overordnet internkontroll system. Et av de mest brukte rammeverkene for internkontroll er COSO-modellen. 2 Hovedelementene i COSO-modellen består av elementer som er felles for flere av de ulike rammeverkene for internkontroll. Viktige elementer er: kontrollmiljø risikovurdering kontrollaktiviteter kommunikasjon og informasjon ledelsens oppfølging 1 RSK 001, standard for forvaltningsrevisjon 2 Se norsk oversettelse i Internkontroll et integrert rammeverk. Norges interne revisorers forening (1996), Oslo: Norges interne revisorers forening (NIRF). 5
I kommunale vedtak og styrende dokumenter er det også fastsatt bestemmelser som utgjør aktuelle revisjonskriterier i denne revisjonen. Blant annet har kommunen i byrådssak 1401/14 skisser rammeverket for internkontroll i Bergen kommune. Det vil bli utledet detaljerte revisjonskriterier i forbindelse med oppstart av oppdraget. 6
3. Metode Deloitte utfører forvaltningsrevisjon i samsvar med gjeldende standard for forvaltningsrevisjon (RSK 001) og kvalitetssikring er underlagt kravene til kvalitetssikring i Deloitte Policy Manual (DPM). Revisjonen foreslår at det samles inn data til forvaltningsrevisjonsprosjektet ved hjelp av dokumentanalyse, case-studier og kvalitative intervju. 3.1 Dokumentanalyse Revisjonen vil innhente kommunale styringsdokumenter og dokumentasjon som belyser krav til og gjennomført internkontroll på ulike nivåer i Bergen kommune. Dokumentene vil bli benyttet både som bakgrunnsinformasjon, og som data til bruk i analyse av internkontrollens effektivitet og kvalitet. 3.2 Intervju For å få utfyllende informasjon om internkontrollsystemet vil det være aktuelt å gjennomføre intervju med representanter for byrådsledelsen og de enkelte byrådsavdelinger. Vi vil intervjue til sammen 12-14 personer. 3.3 Utvalg av enheter Det vil velges ut byrådsavdelinger og enheter hvor det vil bli foretatt spesifikke kontroller for å undersøke om gjennomført internkontroll er i samsvar med beskrevne rutiner som gjelder for virksomheten. 3.4 Verifisering og høring Utkast til rapport vil bli sendt til kommunen for verifisering og høringsuttalelse Kommunens uttalelse vil bli vedlagt endelig rapport. 7
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ("DTTL"), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as "Deloitte Global") does not provide services to clients. Please see www.deloitte.no for a more detailed description of DTTL and its member firms. Deloitte Norway conducts business through two legally separate and independent limited liability companies; Deloitte AS, providing audit, consulting, financial advisory and risk management services, and Deloitte Advokatfirma AS, providing tax and legal services. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500 companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients most complex business challenges. To learn more about how Deloitte s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter. 2017 Deloitte AS 9