Forvaltningsrevisjonsrapport 2/2009 Internkontroll lønn Flekkefjord kommune Mai 2010
SAMMENDRAG I plan for forvaltningsrevisjon som ble vedtatt i kommunestyresak 57/08, ble en grundig gjennomgang av rutiner og oppfølging av rutiner på lønnområdet prioritert. Kontrollutvalget bestilte forvaltningsrevisjon i sak 2/09. Utgangspunktet for rådmannens internkontroll kan hentes fra kommunelovens 23 nr. 2 hvor det står:.administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Revisjonskriteriene som revisor har brukt i undersøkelsen er hovedsakelig hentet fra Cosorammeverket om Intern kontroll et integrert rammeverk, samt kommunens egne regler og retningslinjer. Revisor har intervjuet ledere og andre nøkkelpersoner som utfører lønnsarbeid. Alle intervju er verifisert. En har videre gjennomgått kommunens regler og retningslinjer som vedrører intern kontroll innen lønnsområdet, som økonomireglement og delegasjonsreglement. Rapporten har vært til høring hos rådmannen. Følgende problemstillinger har dannet utgangspunkt for arbeidet: 1. Har kommunen et tilfredsstillende system for internkontroll på lønnsområdet 2. Følges kommunens rutiner innen lønnsområdet og skjer rapportering og utbetaling i henhold til krav i lov, forskrift og etter aktuelle retningslinjer? 3. Er systemet for internkontroll sammen med kommunens etterlevelse av rutiner egnet for å ivareta betryggende kontroll, jfr. kommuneloven 23.2? Revisjonen har brukt Coso s fem komponenter i sin gjennomgang av kommunens internkontroll på lønnsområdet. Disse komponentene er: kontrollmiljøet, målsetning og risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt oppfølging. Våre anbefalinger følger således denne strukturen og gjennomgås nedenfor: Kontrollmiljøet Kontrollmiljøet er selve grunnlaget for en internkontroll. Det dreier seg om integritet, etiske verdier og kompetanse hos virksomhetens medarbeidere, lederens filosofi og driftsform, fordeling av ansvar og myndighet, organisering og utvikling av virksomhetens menneskelige ressurser, samt tilsyn og kontroll. Revisjonen vil på bakgrunn av forvaltningsrevisjonen komme med følgende anbefalinger: Etiske retningslinjer utarbeides og forankres i organisasjonen. Det anbefales at alle nyansatte signerer for at de har lest og forpliktet seg til å følge kommunens etiske regelverk når disse er på plass. Internkontroll lønn Flekkefjord kommune Side 2
Revisjonen anbefaler at ansvar for internkontroll presiseres i aktuelle dokumenter som delegasjonsreglement, økonomireglement mv. Revisjonen anbefaler at kompetanse innen lønnsområdet bygges opp ytterligere i organisasjonen for å sikre korrekt utbetaling og innrapportering av lønn og godtgjørelser. Etablering av målsettinger og risikovurdering. Kommunen har, selv om denne ikke er nedfelt skriftlig, en klar målsetning når det gjelder lønnsområdet: lønn skal utbetales korrekt. For å håndtere forhold som kan påvirke dette målet er det viktig å foreta en identifisering og analyse av relevante risiki og ha et kontinuerlig fokus på dette. Revisjonen vil gi følgende anbefalinger når det gjelder kommunens målsetning og risikovurdering innen lønnsområdet: at målsettinger for lønnsområdet nedfelles skriftlig og kommuniseres ut i organisasjonen. at det foretas en vurdering av hvilke hendelser som kan bidra til at målene innen lønnsområdet ikke nås, og identifisere hvilke interne og eksterne faktorer som driver hendelsene. at risikoen ved hendelsene vurderes for å avgjøre hvor mye kontroll som skal etableres. at sannsynligheten for at hendelsene inntreffer og kvensekvensene av de, vurderes for å avgjøre hvor mye oppmerksomhet og kontroll de skal gis. at det innføres en regelmessig og systematisk oppdatering av risikovurderinger og design av kontrollaktiviteter, herunder også vurderinger av de interne og eksterne faktorer som bidrar til risiko på lønnsområdet (for eksempel endringer i bemanning, endringer i lovverk og regelverk). etablerte kontrollaktiviteter gjennomgås mht hvilken risiko som skal reduseres, og hvilke faktorer som driver hendelsene. Det bør vurderes om noe av risikoen kan fanges opp i andre og mer effektive kontroller. at det foretas en risikovurdering og risikoanalyse i forhold til å oppnå rett regnskapsrapportering innen lønnsområdet. Kontrollaktiviteter Kontrollaktiviteter etableres for å håndtere risikofaktorer som kan bidra til at målsettingen om at korrekt lønn utbetales, ikke nås. Kontrollene kan virke forebyggende, oppdagende, eller de kan korrigere avdekkede feil. Revisjonen har i sin gjennomgang funnet flere forhold som vi mener kan forbedres og har følgende anbefalinger: Internkontroll lønn Flekkefjord kommune Side 3
Revisjonen anbefaler at viktige retningslinjer og rutiner for lønnsområdet utarbeides skriftlig. Rutinene bør angi kontrollpunkter, hva som skal kontrolleres, dokumentgrunnlag, ansvar for gjennomføring, tidsfrister mv. Revisjonen anbefaler at det etableres en rutine for autorisering av tilganger og utmeldinger fra lønnssystemet Det bør etableres en jevnlig kontroll med at kun personer som skal være autorisert til å ha tilgang til lønns- og regnskapssystemet er de som faktisk har slik autorisering. Revisjonen anbefaler at oversikt over gitte fullmakter til å kunne anvise og attestere til enhver tid er a jour. Ansvarlig person for å påse at dette foreligger bør utpekes. Revisjonen anbefaler at det etableres en kontroll som sikrer at lønnsbilag som ikke tilfredsstiller krav til anvisning og attestasjon blir avvist. Det bør etableres en kontroll som sikrer at arbeidsavtaler og endringer i disse er signert av begge parter før opplysninger blir lagt inn i lønnssystemet. Det bør etableres en kontroll med endringer av lønnsdata etter sentrale og lokale forhandlinger. Bokføringer i lønnssystem og regnskapssystem bør avstemmes jevnlig i løpet av regnskapsåret. Det bør etableres en kontroll med at alle naturalytelser blir korrekt innberettet. Revisjonen vil også anbefale at etterkontroll etter lønnskjøring gjennomgås i forhold til hvilke risikoer som skal reduseres og hvilke kontrollpunkter som skal kontrolleres. Revisjonen anbefaler at kommunen vurderer å ta i bruk modul for beregning av refusjonskrav av sykepenger fra NAV. Revisjonen anbefaler at ansatte med ansvar for å gjennomføre kontroller får den nødvendige opplæring/kompetanse til å utføre kontrollen tilfredsstillende. Revisjonen anbefaler at det etableres en kontroll som sikrer at alle ytelser i lønnssystemet får rett behandling mht oppgave- og trekkplikt. Ved gjennomgang av utførte kontrollaktiviteter har revisjonen funnet avvik ved følgende kontrolltiltak: Variabel lønn utbetales uten at lønnsbilaget både er attestert og anvist. Reiseregningene er ikke korrekt utfylt. Etterkontroll av utbetalt lønn har ikke fungert tilfredsstillende. Revisjonen anbefaler at kontroller som ikke gjennomføres som forutsatt følges opp. Internkontroll lønn Flekkefjord kommune Side 4
Det anbefales at gjennomførte kontroller dokumenteres for å kunne følge opp og overvåke internkontrollen. Informasjon og kommunikasjon Informasjon og kommunikasjon er av vesentlig betydning for å kunne utøve styring og kontroll, og for å kunne utføre oppgaver i samsvar med fastsatte retningslinjer. Revisjonen registrerte at målsettingene for lønnsområdet ikke er kommunisert skriftlig ut i organisasjonen. Følgende anbefales: Revisjonen anbefaler at målsetningene for lønnsområdet blir nedfelt skriftlig og kommunisert ut i organisasjonen. Revisjonen anbefaler at viktige retningslinjer og rutiner utarbeides skriftlig og kommuniseres til de som har ansvaret for å gjennomføre rutinene og kontrollene. Det bør framgå hvem som har ansvaret for å gjennomføre kontrollene. Revisjonen anbefaler at informasjonsbehov registreres og at relevant og nødvendig informasjon formidles slik at ansatte kan ivareta sine ansvarsområder. Revisjonen anbefaler at varslingsrutiner innføres og gjøres kjent i organisasjonen. Overvåking, oppfølging og læring Kommunen har ikke etablert et systematisk oppfølgings- og rapporteringssystem for internkontrollen innen lønnsområdet. En systematisk oppfølging er viktig for å sikre at internkontrollen fungerer effektivt og hensiktsmessig. Revisjonen mener at det også må sikres at mangler ved internkontrollen blir rapportert til riktig instans slik at oppfølging kan utøves. Revisjonen anbefaler at kommunen utarbeider og gjennomfører oppfølgingsprosedyrer for å skaffe kunnskap om internkontrollen er effektiv og hensiktsmessig. Revisjonen anbefaler at det etableres et system for rapportering av mangler i internkontrollen i tide til de som har ansvar for å iverksette korrigerende tiltak, og til rådmannen når det er påkrevet. Revisjonen anbefaler at rådmannen påser at internkontrollen følges opp og fungerer hensiktsmessig og effektivt. Konklusjon I følge kommuneloven skal rådmannen sørge for at administrasjonen er gjenstand for betryggende kontroll. Generelt 1 så er det store forbedringsmuligheter i kommunene når det 1 85 tilrådingar for styrkt eigenkontroll i kommunane. Kommunal og regionaldepartementet, 2010 Internkontroll lønn Flekkefjord kommune Side 5
gjelder internkontroll. Så kan vel også sies om Flekkefjord. Selv om kontroller blir gjennomført innen lønnsområdet, er disse av karakter usystematiske og uformelle. Med utgangspunkt i COSO-rammeverket kan revisjonen ikke konkludere med at Flekkefjord kommune har et tilfredsstillende system for internkontroll på lønnsområdet. Det er ikke etablert noe system for risikovurdering og håndtering i forhold til målsetningen om rett lønn til rett person til rett tid. Det er heller ikke noe system for oppfølging og rapportering av kontrollenes effektivitet og hensiktsmessighet. Kommunens rutiner er enkle og ikke oppdatert. De angir ikke viktige kontrollpunkter, når og hvordan kontrollene skal utføres, hensikten med kontrollen og hvem som er ansvarlig for gjennomføringen. Videre etterlyser revisjonen etiske retningslinjer, samt varslingsrutiner. Internkontroll for lønnsområdet bør således utvikles og styrkes slik at risikoen for feil og mangler og risikoen for manglende overholdelse av lover og regler blir redusert. Forvaltningsrevisjonen avdekket også at rutinen for etterkontroll etter lønnsutbetaling ikke kan sies å ha fungert tilfredsstillende. Det er også flere mangler ved utfylling av reiseregninger, og vi mener at det ikke er tilstrekkelig kontroll med at alle ytelser rapporteres riktig i henhold til krav i lov og forskrift. Revisjonen kan således ikke konkludere med at kommunens rutiner følges og at utbetaling og rapportering skjer i henhold til aktuelle retningslinjer. Internkontroll lønn Flekkefjord kommune Side 6
INNHOLD 1. INNLEDNING... 9 1.1 Bakgrunn... 9 1.2 Formål og problemstillinger... 9 1.3 Gjennomføring, avgrensning og metode:... 10 2. REVISJONSKRITERIER... 11 2.1 Lovhjemler... 11 2.2 Rammeverk for vurdering av internkontroll... 12 2.2.1 Presentasjon av COSO og CoCo... 12 2.3 Revisjonskriterier relatert skatte- og avgiftsmessig håndtering av ytelser... 14 2.4 Øvrige revisjonskriterier... 15 2.4.1 Revisjonskriterier offentlig rapportering... 15 2.4.2 Interne retningslinjer Flekkefjord kommune... 15 2.4.3 Veiledere... 15 3. KOMMUNENS SYSTEM FOR INTERN KONTROLL OG ETTERLEVELSE AV DENNE... 16 3.1 Kontrollmiljø... 16 3.1.1 Etikk... 16 3.1.2 Organisering og ansvarsforhold... 17 3.1.3 Kompetanse og hjelpemidler... 18 3.2 Etablering av målsettinger og risikovurdering... 19 3.3 Kontrollaktiviteter... 21 3.3.1 Gjennomgang av kontrollaktiviteter... 21 3.3.2 Oppsummering kontrollaktiviteter... 26 3.4 Informasjon og kommunikasjon... 27 3.4.1 Formidling av informasjon og kommunikasjon... 27 3.5 Overvåkning, oppfølging og læring... 30 3.5.1 Oppfølging... 30 4. OPPSUMMERING OG KONKLUSJON... 32 4.1 Oppsummering... 32 4.2 Konklusjon... 35 5. HØRING... 36 5.1 Rådmannens tilbakemelding... 36 Internkontroll lønn Flekkefjord kommune Side 7
FORORD Flekkefjord kommune vedtok plan for forvaltningsrevisjon i kommunestyresak 57/08. I planen er en gjennomgang av rutiner og oppfølging av rutiner på lønnsområdet, et prioritert prosjekt for forvaltningsrevisjon. Kontrollutvalget bestilte forvaltningsrevisjonen i sak 02/09. Undersøkelsen er utført i henhold til NKRFs standard for forvaltningsrevisjon, RSK 001 og gjennomført i perioden mars 2009 februar 2010. Planen var å være ferdig med forvaltningsrevisjonen innen våren/sommeren 2009, men mangel på personalressurser i Kommunerevisjonen Vest har ført til at leveringen er blitt forsinket. Flekkefjord, 21. mai 2010 (sign.) Irene Loka revisjonssjef Internkontroll lønn Flekkefjord kommune Side 8
1. INNLEDNING 1.1 Bakgrunn Kontrollutvalget vedtok i møte 02.02.2009 å gjennomføre et forvaltningsrevisjonsprosjekt innenfor internkontroll på lønnsområdet i Flekkefjord kommune, og se på rutinene som er etablert for å sikre betryggende kontroll over lønnsområdet. Prosjektet er prioritert av kommunestyret i Plan for forvaltningsrevisjon for Flekkefjord kommune for perioden 2008-2011. Flekkefjord kommune hadde i 2009 634 årsverk. 2 Lønnsutgiftene inkl. sosiale utgifter utgjorde 67 % av de totale driftsutgiftene og var på 381 mill kr 3. Det vil si at en svært stor andel av pengestrømmen gjennom året kan knyttes til lønnsområdet. Å ha god internkontroll på området har stor betydning fordi det stilles store krav fra både den ansatte som skal ha riktig lønn utbetalt, skattemyndighetene som skal innberettet riktige opplysninger, og for kommunen som har ansvaret for at riktig lønn blir utbetalt og at opplysninger blir korrekt innberettet. 1.2 Formål og problemstillinger Formålet med prosjektet er å foreta en gjennomgang av rutinene på lønnsområdet. Lønnsområdet påvirker mange personer både i forhold til å være lønnsmottaker og være ansvarlig for tilrettelegging og utbetaling av lønn. Lønnsområdet berører også alle tjenestestedene, samt at offentlige myndigheter krever stor nøyaktighet på dette området. Det er derfor av stor betydning at kommunen har lagt opp til gode rutiner som sikrer at alle lønnsutgifter som vedrører kommunen blir korrekt utbetalt, regnskapsført og innberettet og at det bare utbetales og regnskapsføres lønn til personer som har et reelt arbeidsforhold til kommunen. Følgende problemstilling har dannet utgangspunkt for arbeidet: 1. Har kommunen et tilfredsstillende system for internkontroll på lønnsområdet 2. Følges kommunens rutiner innen lønnsområdet og skjer rapportering og utbetaling i henhold til krav i lov, forskrift og etter aktuelle retningslinjer? 3. Er systemet for internkontroll sammen med kommunens etterlevelse av rutiner egnet for å ivareta betryggende kontroll, jfr. kommuneloven 23.2? 2 Årsrapporter 2009 3 Årsregnskap 2009 Internkontroll lønn Flekkefjord kommune Side 9
1.3 Gjennomføring, avgrensning og metode: Avgrensning Prosjektet er avgrenset til rutiner og kontroll knyttet til lønnsområdet. Vi har således ikke gått inn og sett på enkeltutbetalinger, eller om opplysninger er korrekt innberettet til skattemyndighetene. Når det gjelder sykepengerefusjoner har vi sett på rutinen etter at sykemelding er mottatt på lønningskontoret, og dermed ikke gått inn på rutiner for hvordan sykemeldinger blir håndtert ute på tjenestestedene. Metode Undersøkelsen er gjennomført ved dokumentanalyse og intervjuer. Alle intervjuer er verifisert. En har også brukt resultatet av kontroller utført i forbindelse med regnskapsrevisjon. Internkontroll lønn Flekkefjord kommune Side 10
2. REVISJONSKRITERIER Revisjonskriteriene er de normer og standarder som er relevante for det området som skal undersøkes i en forvaltningsrevisjon. Under gjennomføringen av dette prosjektet har revisjonen benyttet følgende former for revisjonskriterier: Relevante lovhjemler (krav i lov og forskrift) Anerkjent rammeverk for intern kontroll Kommunens egne regler og retningslinjer, herunder kommunens eventuelle system for intern kontroll Øvrige relevante kriterier Revisjonskriteriene vil bli presentert nærmere under. Der kriteriene er omfattende vil de relevante elementene bli presentert nærmere under aktuelt kapitel. 2.1 Lovhjemler Kommuneloven Utgangspunktet for vurderingen av kommunens internkontroll er Kommunelovens 23 som slår fast at: administrasjonssjefen skal påse at de saker som legges frem for folkevalgte organer er forsvarlig utredet og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. I tillegg til dette finnes en rekke bestemmelser i kommuneloven og ulike særlover og forskrifter som er relevante for kommunenes arbeid med intern kontroll. Arbeidsmiljøloven Arbeidsmiljølovens 14-5 inneholder blant annet bestemmelser om at skriftlig arbeidsavtale skal inngås i alle arbeidsforhold og at arbeidsgiver skal utforme utkast til avtale i henhold til minimumskrav som er gitt i lovens 14-6. Arbeidsmiljøloven 2-4 inneholder bestemmelser rundt varsling i virksomheter. Videre er det i arbeidsmiljøloven bestemmelser om arbeidstakers vern mot gjengjeldelse etter varsling, samt krav om at arbeidsgiver skal legge forholdene til rette for intern varsling. Internkontroll lønn Flekkefjord kommune Side 11
2.2 Rammeverk for vurdering av internkontroll 2.2.1 Presentasjon av COSO og CoCo Som grunnlag for forvaltningsrevisjonen har vi brukt COSO-rapporten 4 Intern kontroll et integrert rammeverk. I tillegg har vi brukt CoCo-rapporten 5 Forvaltning, styring og kontroll, en veileder i kontroll. Nedenforstående er således hentet fra disse rapportene. Intern kontroll defineres slik i COSO-rapporten: Intern kontroll defineres i videste forstand som en prosess, iscenesatt og gjennomført av foretakets styre, ledelse og ansatte. Den utformes for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og kostnadseffektiv drift Pålitelig ekstern regnskapsrapportering Overholdelse av gjeldende lover og regler. Kontroll omfatter de elementer i en organisasjon som, sett under ett, støtter personer i deres arbeid for å nå organisasjonens målsettinger. Disse målsettingene kan inndeles i tre generelle kategorier: Målrettet, hensiktsmessig og effektiv drift inkluderer målsettinger som er knyttet til organisasjonens mål for å unngå uheldig bruk eller tap av organisasjonens ressurser og sørger for at forpliktelser identifiseres og håndteres. Pålitelig intern og ekstern rapportering inkluderer målsettinger om nøyaktig vedlikehold av regnskapsdokumenter, at informasjon som benyttes innad i organisasjonen og informasjon offentliggjort til tredeparter er pålitelig. Dette inkluderer at regnskapsdokumenter beskyttes mot to former for bedrageri: At tyveri skjules og at resultatene er feilaktig framstilt bevisst eller ubevisst. Overholdelse av gjeldende lover og regler samt interne retningslinjer inkluderer målsetninger som skal sikre at organisasjonens forretningsdrift utføres i samsvar med lover og regler og interne retningslinjer. En effektiv og hensiktsmessig kontroll er ifølge CoCo-rapporten en kontroll som gjør en organisasjon pålitelig med hensyn til måloppnåelse. Kontrollen er effektiv og hensiktsmessig i den grad den gir rimelig sikkerhet for og at man kan ha tillit til at organisasjonen vil oppnå sine målsettinger. Eller sagt på en annen måte, kontrollen er effektiv og hensiktsmessig i den grad de gjenværende risiki for at organisasjonen ikke skal nå sine målsettinger, anses som akseptable. 4 COSO rapporten Intern kontroll et integrert rammeverk ble utgitt av The Committee of Sponsoring Organizations of the Treadway Commission i 1992. Den ble oversatt til norsk og utgitt av NIRF i samarbeid med Norsk Bankrevisorforening i 1996. 5 CoCo rapporten ble utgitt av The Canadian Institute of Chartered Accountants i 1995. Den ble oversatt til norsk og utgitt av NIRF i samarbeid med Norsk Bankrevisorforening i 1997. Internkontroll lønn Flekkefjord kommune Side 12
Kontroll kan kun gi rimelig sikkerhet, ikke absolutt sikkerhet. Dette fordi det ligger innebygde begrensninger i kontroll som muligheten for feilaktige evalueringer i beslutningsprosessen, sammenbrudd på grunn av menneskelig svikt, at kontrollaktiviteter omgås ved at to eller flere personer inngår felles avtaler som hemmeligholdes, eller at ledelsen overstyrer kontrollsystemet. Kontroll kan bidra til å minimalisere faren for at det skjer feil og sammenbrudd, men kan ikke gi en absolutt sikkerhet for at dette ikke skjer. Videre bør en ta hensyn til kost-/nyttebetraktninger når kontrollsystemer skal utformes i en organisasjon. Kostnadene forbundet med kontroll må holdes opp mot nytteverdien, herunder de risikoene som den aktuelle kontrollaktiviteten er ment å skulle håndtere. Avgjørelser om utformingen innbefatter at en må akseptere en viss grad av risiko: Resultater eller handlinger kan ikke forutses med absolutt sikkerhet. I COSO-modellen deles den interne kontrollen inn i fem innbyrdes sammenhengende komponenter; kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt oppfølging. Det er samspillet mellom og anvendelsen av disse komponentene som er avgjørende for om et foretak vil lykkes i å nå målsettingene for den interne kontrollen. Kontrollmiljøet er forutsetningen for at de andre komponentene i kontrollstrukturen skal fungere effektivt og bidra til god intern kontroll. Kontrollmiljøet formes av ledelsen ved deres holdninger til og vektlegging av intern kontroll i organisasjonen. Kontrollmiljøet påvirkes av faktorer som integritet og etiske verdier, organisasjonsstruktur, ledelsesfilosofi og lederstil, personal- og rekrutteringspolitikk. Risikovurdering har betydning for valg av relevante kontrollaktiviteter og gjennomføring av nødvendige endringer i de eksisterende kontrollene. Gjennom risikovurderingen skaffes det oversikt over hvilke risikofaktorer som eksisterer for at man ikke skal nå målene, og konsekvensene av at de inntreffer. En viktig del av ledelsens risikovurdering blir å vurdere hva som totalt sett er akseptabel risiko for foretaket. Kontrollaktiviteter er spesifikke kontrolltiltak som etableres for å håndtere de risikofaktorene som foreligger, og for å sikre at en når målsettingene med den interne kontrollen. Kontrollene kan virke forebyggende, oppdage feil, eller de kan korrigere avdekkede feil. Informasjon og kommunikasjon er av vesentlig betydning for å kunne utøve styring og kontroll, og for å kunne utføre oppgaver i samsvar med fastsatte retningslinjer. Oppfølging er viktig for å ha en regelmessig vurdering av hvor effektive de eksisterende kontrollene er, om de er i stand til å håndtere nye risikofaktorer som oppstår, og om kontroller faktisk blir utført. Intern kontroll omfatter alle former for kontrollaktiviteter, uansett om det gjelder tekniske, driftsmessige, regnskapsmessige eller administrative prosesser. De fem komponentene i den interne kontrollstrukturen i COSO-modellen, skal forhindre, oppdage og korrigere feil og uregelmessigheter som måtte oppstå. Kontrollen må utformes ut fra kommunens størrelse og organisasjonsstruktur. Om den interne kontrollen har fått en hensiktsmessig utforming, Internkontroll lønn Flekkefjord kommune Side 13
avhenger dessuten av om den er tilpasset de risikofaktorene som kommunen må forholde seg til. 2.3 Revisjonskriterier relatert skatte- og avgiftsmessig håndtering av ytelser Regelverket for skatte- og avgiftsmessige behandling av godtgjørelser og naturalytelser er komplekst. En rekke bestemmelser stiller klare krav til hvordan lønn og lønnsrelaterte ytelser skal innberettes og hvilken dokumentasjon som skal foreligge. Virksomhetene skal kontrollere den skattemessige, avgiftsmessige og regnskapsmessige behandlingen av de ytelser som ligger til grunn for innberetningen av lønnsytelser. Bestemmelsene omfatter både naturalytelser og utgiftsytelser. Naturalytelser er en økonomisk fordel som ytes i annet enn kontanter eller andre lignende betalingsmidler. Fordeler som en arbeidstaker mottar i form av naturalytelser er som hovedregel skattepliktig inntekt, men det er gitt fritak for enkelte ytelser. Eksempler på naturalytelser er avis, bil og telefon. Utgiftsytelser er økonomisk godtgjørelse i arbeidsforhold som arbeidstaker mottar til dekning av utgifter i forbindelse med utførelsen av arbeid. Eksempler på utgiftsgodtgjørelse er bruk av telefon eller kostgodtgjørelse på reise med overnatting refundert etter statens satser. Slike utgiftsgodtgjørelser er skattefrie dersom satser og dokumentasjonskrav følges, og kan da utbetales uten skattetrekk og uten arbeidsgiveravgift. Det er også et skille mellom det som er skattepliktig, trekkpliktig, oppgavepliktig og arbeidsgiverpliktig. Oppgavepliktige ytelser vil omfatte alle de ytelser som skal innberettes til ligningsmyndighetene, også de ytelser som ikke er skattepliktige eller trekkpliktige. Som eksempel på oppgavepliktige ytelser kan nevnes bilgodtgjørelse etter statens staser. Trekkpliktige ytelser skal det trekkes skatt av før de utbetales. Det skal beregnes arbeidsgiveravgift av trekkpliktige naturalytelser og godtgjørelser. Feil behandling av trekkpliktige naturalytelser og utgiftsgodtgjørelser kan føre til at ytelser og godtgjørelser ikke blir korrekt lønnsinnberettet. Arbeidsgiver kan bli økonomisk og strafferettslig ansvarlig hvis det ikke foretas forskuddstrekk, jfr. ansvars- og straffebestemmelsene i skattebetalingslovens kap. 10. Arbeidsgiver kan også bli ilagt tilleggsavgift, jfr. folketrygdloven 24-4 tredje ledd 6. Hvis det ved et senere bokettersyn avdekkes at ytelser og godtgjørelser ikke er innberettet mv., kan arbeidstaker/skattyter risikere å bli etterlignet og få skatten forhøyet for det år ytelsen skulle vært innberettet. 6 Dersom arbeidsgiveren ikke gir årsoppgave etter 24-3 andre ledd, eller gir en uriktig eller ufullstendig oppgave, kan ligningsmyndighetene fastsette eller endre grunnlaget for arbeidsgiveravgiften. For et slikt vedtak gjelder ligningsloven kapittel 9 om saksbehandling, 10-2 til 10-5 om tilleggsskatt, og 11-2 om søksmål fra det offentlige. Internkontroll lønn Flekkefjord kommune Side 14
2.4 Øvrige revisjonskriterier 2.4.1 Revisjonskriterier offentlig rapportering Skattebetalingsloven av 17.06.2005 nr 67 Loven samler regleverket om betaling og innkreving av skatte- og avgiftskrav. Forskrift om forskuddstrekk i utgiftsgodtgjørelser (skattedirektoratet) av 14.10.1976 nr 9830 Forskriften gir nærmere regler om forskuddstrekk. Skatteetatens Lignings-ABC Skatteetatens Lignings-abc for 2008 inneholder definisjon på naturalytelser og regelverk rundt verdsettelse og trekkplikt for slike ytelser. 2.4.2 Interne retningslinjer Flekkefjord kommune Økonomireglement for Flekkefjord kommune, datert 30.01.2008 Delegasjonsreglement, vedtatt av Flekkefjord bystyre 14.06.2007 2.4.3 Veiledere Varsling hvordan utvikle gode rutiner for varsling i kommuner og fylkeskommuner utarbeidet av KS. Varsling om kritikkverdige forhold på arbeidsplassen, utarbeidet av Arbeids- og Inkluderingsdepartementet. Internkontroll lønn Flekkefjord kommune Side 15
3. KOMMUNENS SYSTEM FOR INTERN KONTROLL OG ETTERLEVELSE AV DENNE Problemstilling 1 ble innledningsvis definert som: Har kommunen et tilfredsstillende system for intern kontroll på lønnsområdet? Vår gjennomgang vil følge inndelingen i de fem komponentene fra COSO som vi presenterte under gjennomgangen av revisjonskriterier. Vi vil så foreta en samlet vurdering av kommunens system for internkontroll. Der vi underveis i gjennomgangen ser forslag til mulige forbedringer på enkeltområder vil vi likevel kommentere dette. 3.1 Kontrollmiljø Kontrollmiljøet setter standarden for en organisasjon når det gjelder å påvirke de ansattes holdning til kontroll. Det danner grunnlaget for de øvrige kontrollkomponentene og gir orden og struktur. Kontrollmiljøfaktorer består av integritet, etiske verdier og kompetanse hos virksomhetens medarbeidere, lederens filosofi og driftsform, måten ledelsen fordeler ansvar og myndighet på, og hvordan den organiserer og utvikler virksomhetens menneskelige ressurser, samt til slutt styrets tilsyns- og kontrollfunksjon. (Coso-rapporten). Følgende er vurdert: Er felles etiske verdier etablert, formidlet og praktisert i hele organisasjonen? Er myndighet, ansvar og den/de man blir holdt ansvarlig overfor klart definert og i samsvar med organisasjonens målsettinger slik at beslutninger tas og gjennomføres av rette vedkommende Har personer tilstrekkelig kunnskap, ferdigheter og hjelpemidler til å bidra til oppnåelse av organisasjonens målsettinger? 3.1.1 Etikk Rammeverket fra COSO viser til at ledelsens preferanser i forhold til integritet og etiske verdier påvirker adferdsnormene i organisasjonen. Ledelsens integritet er en forutsetning for etisk adferd i alle aspekter ved en virksomhets aktiviteter. Å ivareta kommunens gode navn og rykte krever at adferdsnormene går ut over den rene etterlevelsen av lovkrav. Flekkefjord kommune har ikke utarbeidet egne etiske retningslinjer for sin virksomhet. Revisjonens vurdering: Det anbefales at etiske retningslinjer blir etablert og formidlet i organisasjonen, og at det sikres etterlevelse gjennom systematisk (og løpende) informasjons- og opplæringstiltak. Revisjonen anbefaler også at alle nyansatte signerer for at de har lest de etiske retningslinjene og at de forplikter seg til å følge kommunens etiske regelverk når dette er på plass. Internkontroll lønn Flekkefjord kommune Side 16
Anbefalinger: Revisjonen anbefaler at etiske retningslinjer blir utarbeidet og forankret i organisasjonen. Det anbefales videre at alle nyansatte signerer for at de har lest og forpliktet seg til å følge kommunens etiske regelverk når dette er på plass. 3.1.2 Organisering og ansvarsforhold Organisasjonsstrukturen gir et rammeverk for å planlegge, utføre, kontrollere og følge opp organisasjonens aktiviteter. Derfor inkluderes en definisjon av nøkkelområder for ansvar og myndighet, og etablering av formålstjenelige rapporteringslinjer. Delegering av makt og myndighet i organisasjonen er en sentral del av det interne miljøet. Tildeling av ansvar og myndighet handler om i hvilken grad enkeltpersoner eller grupper blir bemyndiget og oppmuntret til å ta opp og løse problemstillinger, så vel som tildelingen begrenser deres myndighet. For å oppnå målsettinger er det sentralt at hver enkelt medarbeider forstår hvordan egne handlinger henger sammen med andres (COSO). Flekkefjord kommune er organisert med rådmann og tre kommunalsjefer for områdene politisk styring og administrasjon, oppvekst og kultur, helse og velferd, samfunn og teknikk. Det er 11 tjenestesteder. Økonomiavdelingen har 6,47 årsverk og ansvaret for lønn, regnskap, faktura, innfordring og skatt. Delegasjon av myndighet Kommunens delegasjonsreglement ble sist revidert 02.04.2009 og angir bl.a. den myndighet som er delegert til rådmannen og tjenestestedsledere. I følge pkt 2.2. er det økonomireglementet som er styrende for tjenestestedsledernes handlingsrom når det gjelder økonomi. Tjenestestedsleder er gitt all myndighet for det respektive fagfeltet til tjenestestedet så langt dette ikke strider mot lov, forskrift eller ikke er av prinsipiell betydning. 7 Revisjonens vurdering: Det framgår ikke av økonomireglementet at tjenesteleder også har ansvar for internkontroll på sitt tjenestested. For å styrke fokus på kontroll og fordi det i praksis ikke er klart for alle i enhver sammenheng hvem som har kontrollansvaret, anbefales det at kontrollansvaret presiseres i aktuelle dokumenter som bl.a. delegasjonsreglement og økonomireglement. Anbefaling: Revisjonen anbefaler at ansvar for internkontroll presiseres i aktuelle dokumenter som delegasjonsreglement, økonomireglement mv. 7 Delegasjonsreglementets pkt 2.0. Internkontroll lønn Flekkefjord kommune Side 17
3.1.3 Kompetanse og hjelpemidler Kompetanse og ferdigheter I henhold til COSO gjenspeiler kompetansen den kunnskap og de ferdigheter som er nødvendige for å utføre tildelte oppgaver. Ledelsen må beslutte hvilket kvalitetsnivå som er påkrevd for hver enkelt oppgave og foreta en avveining mellom kompetanse og kostnader. Videre understreker CoCo- rammeverket at prosessen med å skaffe seg personer med nødvendige ferdigheter, dyktighet og evner starter med utvelgelsen av personalet. Tjenestestedslederne har tilgang til bokførte lønnsutbetalinger via web-rapport. Det framgår ikke her opplysninger som stillingsprosent, og årslønn. Det har i vår vært avholdt opplæring i bruk av rapportene og gjennomføring av etterkontroll av lønnsutbetalinger. Fra lønningsmedarbeider er det gitt uttrykk for at det er behov for ytterligere kunnskap om hvordan lønnssystemet fungerer. Pga at det kun er en person som fram til nå har hatt ansvaret for å kjøre kommunens lønninger, har det vært vanskelig å rydde tid til opplæringstiltak. Det har etter hvert også blitt en faktor at kommunen skal oppgradere Agresso til en ny versjon og at en venter på at dette skal skje før en gjennomfører mer opplæring.. Revisjonens vurdering Gjennomgangen viser at det kan være behov for ytterligere kompetanse og opplæring innen lønnsområdet både på lønningskontoret og på tjenestestedene. Lønnsområdet er komplisert samtidig som det stilles svært høye krav til nøyaktighet og rapporteringer. Revisjonen mener derfor at det bør sikres jevnlige oppdateringer av kunnskapen både innen lønnssystemet og innen fagområdet. Mye feil ved formalia knyttet til utfylling av reiseregninger 8, samt manglende etterkontroller av lønnsutbetalinger er tegn på at kompetansen bør styrkes. Det er således positivt at det i vår er gjennomført opplæring ifm bruk av web-rapporter til bruk ved etterkontroll. Anbefaling: Revisjonen anbefaler at kompetanse innen lønnsområdet bygges opp ytterligere for å sikre korrekt utbetaling og innrapportering av lønn og godtgjørelser. 8 jfr kap. 3.3.1 Internkontroll lønn Flekkefjord kommune Side 18
3.2 Etablering av målsettinger og risikovurdering Enhver virksomhet står overfor en rekke eksterne og interne risiki som den må forholde seg til. En forutsetning for å kunne vurdere disse er etablering av internt forenlige målsettinger som er knyttet til hvert enkelt nivå i bedriften. Risikovurdering består av identifisering og analyse av risiki som er relevante når det gjelder oppnåelse av virksomhetens målsettinger. Identifiseringen og analysen danner så et grunnlag for hvordan risiko skal håndteres. Siden økonomiske, bransjemessige, reguleringsmessige og driftsmessige forhold til enhver tid vil endre seg, trengs det også mekanismer som kan identifisere og håndtere den spesielle typen risiko som er forbundet med endringer. (Coso-rapporten). Følgende er vurdert: Er målsettinger etablert og kommunisert? Er vesentlige interne og eksterne risiki som kan hindre kommunen i å nå de målsettinger den har fastsatt, identifisert og evaluert? Overvåkes eksterne og interne miljø for å fange opp informasjon som kan gi signaler om eventuelle behov for å revurdere kommunens kontroll? Etablering av målsettinger er i henhold til COSO en forutsetning for identifisering av hendelser, risikovurdering og risikohåndtering. Målsettinger gir virksomheten milepæler som den beveger seg i retning av ved å utføre sine aktiviteter. Identifisering av hendelser har betydning for å rette risikovurderingen mot de viktigste funksjonene og områdene. En hendelse er en episode eller begivenhet med utspring i interne eller eksterne kilder som påvirker måloppnåelsen. Hendelser som har negative konsekvenser utgjør risikoer som krever vurdering og håndtering fra ledelsen. Både eksterne og interne faktorer kan påvirke at målsettingen ikke nås. For å få en effektiv risikovurdering er det avgjørende at disse faktorene identifiseres. Risiko som vil ha stor betydning for virksomheten og med en viss sannsynlighet vil inntreffe, må gis oppmerksomhet og det må vurderes hvordan risikoen bør håndteres, dvs. iverksette aktiviteter for å redusere risikoen. I tillegg dreier risikovurdering seg om hvilket nivå av risiko man er villig til å akseptere. Å identifisere og analysere risiko er en kontinuerlig og iterativ prosess og en kritisk komponent i et effektivt internt kontrollsystem (Coso-rapporten). Det er også svært viktig for risikovurderingen at man identifiserer endringer i omgivelsene og tar de nødvendige forholdsregler fordi det som regel er forhold som stadig endrer seg. Overvåking av eksterne og interne faktorer er viktig for å fange opp informasjon som kan gi signaler om eventuelle behov for å revurdere kontrollen. En må derfor ha på plass en formell eller uformell prosess som kan identifisere endringer i forhold som kan påvirke målsettingen på lønnsområdet. Denne prosessen kan være parallell med eller en del av den ordinære risikovurderingsprosessen. Internkontroll lønn Flekkefjord kommune Side 19
Fakta: Det er ikke etablert 9 skriftlige målsettinger knyttet til lønnsområdet, men rådmannen mener det ikke er noen tvil om hvilken målsetting som gjelder; Rett lønn til rett tid til rett person for arbeid utføt for Flekkefjord kommune. I følge rådmannen er også vesentlige interne og eksterne risiki som kan hindre kommunen i å nå de målsettingene som den har fastsatt, identifisert og evaluert, men dette er ikke dokumentert. Det utføres videre ikke noen spesiell overvåking av eksternt og internt miljø for å fange opp informasjon som kan gi signaler om eventuelle behov for å revurdere kommunens kontroll, men rådmannen mener en fanger opp de signaler som kommer. Revisjonens vurdering: Målsettingen for lønnsområdet er ikke skriftlig nedfelt, men rådmannen mener at det ikke er tvil om hvilken målsetting som gjelder for lønnsområdet. Etter revisjonens vurdering bør målsettingen likevel nedfelles skriftlig og kommuniseres ut i organisasjonen for å sikre at det blir en felles forståelse av hva som skal oppnås. Å ha etablert målsettinger er også en forutsetning for å identifisere hendelser og hvilke interne og eksterne faktorer som driver disse, samt vurdere risikoen for om målet vil nås og hvordan en skal håndtere risikoen for at en ikke når målet. Gjennomgangen viser at kommunen ikke har foretatt en vurdering av hvilke hendelser som kan påvirke målsettingen om rett utbetalt lønn. Revisjonen anbefaler at hendelser vurderes og at interne og eksterne faktorer som driver hendelsene identifiseres og gis oppmerksomhet og oppfølging. Det bør også etableres en systematisk og regelmessig oppfølging slik at man kan få en bevissthet på truende forhold før disse oppstår og uønskede konsekvenser inntreffer. Oppfølgingen vil også gi anledning til en bevisst evaluering av de kontrolltiltakene som allerede er iverksatt for å redusere risikoen, og om disse fungerer som tenkt. Anbefalinger: at målsettinger for lønnsområdet nedfelles skriftlig og kommuniseres ut i organisasjonen. at det foretas en vurdering av hvilke hendelser som kan bidra til at målene innen lønnsområdet ikke nås, og identifisere hvilke interne og eksterne faktorer som driver hendelsene. at risikoen ved hendelsene vurderes for å avgjøre hvor mye kontroll som skal etableres. at det innføres en regelmessig og systematisk oppdatering av risikovurderinger og design av kontrollaktiviteter, herunder også vurderinger av de interne og eksterne 9 Oppstartsmøte 20.03.09 Internkontroll lønn Flekkefjord kommune Side 20