KONTROLLUTVALGETS SEKRETARIAT Bergen Rådhus Postboks 7700, 5020 Bergen Sentralbord 05556 Kontrollutvalgets.sekretariat@bergen.kommune.no Bystyret i Bergen kommune Deres ref. Deres brev av: Vår ref. Emnekode Dato 201528731-30 EKTRU-0224 16. november 2016 GYSP KTRU sak 78-16 Kartlegging av arbeid med å forbygge, avdekke og håndtere økonomisk kriminalitet - Tilleggsopplysninger 1 fra Kontrollutvalget 1. Kontrollutvalget behandlet sak med de tre rapportene og høringsuttalelsene til disse, i møtet 20.09.16 sak 78-16. Utvalget vedtok å sende saken til Bystyret i Bergen kommune for behandling. 2. Forretningsutvalget sendte saken via møte i Komite for finans, kultur og næring den 06.10.16, fra saksprotokollen fremgår følgende: «Saken ble utsatt. I forretningsutvalget ble det stilt prinsipielle spørsmål ved saksutredningen, og forretningsutvalget ba ordfører ta opp saken overfor kontrollutvalget for å få svar på noen av kontrollutvalgets anbefalinger som er problematisert av byrådsleders avdeling og forretningsutvalget. På denne bakgrunn besluttet ordfører at hun ikke vil sette saken på sakskartet til bystyrets møte 19. oktober, men vil avvente notat fra byrådsleders avdeling og kontrollutvalgets behandling av dette.» 3. Etter dette mottok Kontrollutvalget brev fra Byrådsleders avdeling (07.10.16) om Byrådets valg av løsning i arbeidet med å sikre betryggende kontroll. Brevet gir tilbakemelding på kontrollutvalget innstilling til Bystyret i saken Kartlegging av arbeid med å forebygge, avdekke og håndtere økonomisk kriminalitet som Kontrollutvalget behandlet i møte 20.09.16, sak 78-16. Hovedkonklusjonen i brevet fra Byrådsleders avdeling er at Byrådet i møte 29.09.16, sak 1316-16, vedtok å overføre Seksjon for internkontroll fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling fra 1.10.16. Dette for å etablere (synliggjøre) en 3.dje forsvarslinje med uavhengighet og distanse til andre utførende enheter. Byrådets arbeid med oppfølging/overvåking på området vil styrkes, jamfør sak 1316-16 som Byrådet behandlet den 29.09.16. 1 Kontrollutvalget behandlet sak om tilleggsopplysninger til kontrollutvalgssak 78-16 (20.09.16) i møtet 15.11.16, sak 110-16. Dette brevet ble vedtatt ettersendt saken til Bystyrets behandling.
4. Kontrollutvalget behandlet brevet i saken Byrådets valg av løsning i arbeidet med å sikre betryggende kontroll i møtet 18.10.16, sak 94-16, og fattet følgende vedtak: Kontrollutvalget tar opplysningene i brev fra Byrådsleders avdeling av 7.10.16 til foreløpig orientering. 5. Ordføreren har etter dette bedt kontrollutvalget «vurdere om eller evnt. begrunne at saken er tilstrekkelig utredet for behandling i bystyret». 6. Tilleggsopplysninger til kontrollutvalgssaken Kommuneloven har egne bestemmelser som regulerer parlamentarisme, jf. 18-21. I et parlamentarisk system blir byrådet kommunens utøvende politiske og administrative ledelse. Byrådet har i følge kommuneloven 20 nr. 1 samme ledelsesansvar og beslutningsmyndighet som rådmannen har innenfor formannskaps-modellen. Byrådet er den øverste ledelse for den samlede kommunale administrasjon innenfor rammene bystyret fastsetter, med ansvar for saksforberedelse for besluttende politiske organ og iverksetting av vedtak. Byrådet har ansvaret for at tilfredsstillende intern kontroll er etablert og virker. Byrådets strategiske overtakelse av administrasjonen medfører at innføring av parlamentarisme bidrar til et mer majoritetspreget styresett. Når et byråd overtar innstillingsretten, iverksettelsesansvaret og samordningen av administrasjonen gir dette økt innflytelse i alle ledd i den politiske saksbehandlingen. Risiko med dette kan være at man svekker fagstyret eller at man kan få samordningsproblemer, fordi rådet er et kollegium, mens rådmannen har eneansvar. En compliance-funksjon er en organisatorisk enhet i virksomheten, eller en enhet som kan kjøpes fra eksterne fagmiljøer, som skal rapportere til øverste ledelse og være objektiv og uavhengig av resten av organisasjonen og områdene den «reviderer». En compliance-funksjon vil primært være virksomhetslederens/byrådslederens redskap. Den skal ikke være involvert i linjeorganisasjonens gjennomføring av det ledelsen har besluttet. Uavhengighet omfatter også organisasjonsmessig uavhengighet ved at funksjonen rapporterer funksjonelt til byrådet. Side 2 av 7
Begrepet intern revisjon sier ikke noe om revisjonens innhold (forsvarslinje 3). Eksistensen av interne finansielle revisorer har vært og er, knyttet til bank, finans og større konsern. I praksis kan vi si at internkontroll er byrådets formalisering, i form av dokumenter, rutiner (arbeidsformer, kontrolltiltak, prosedyrer og rapporteringer) som utarbeides, vedlikeholdes, kontrolleres og følges opp for å sikre at kommunen har den ønskede utvikling, at lover og regler overholdes, at det er kvalitet og effektivitet i tjenestene, og at omdømme og legitimitet ikke svekkes. Et av kravene til byrådets dokumentasjon av kommunens internkontroll kan mellom annet være en organisasjonsplan for virksomheten. Organisasjonsplanen bør danne grunnlaget for kommunens organisering av internkontrollen alt etter organisering/oppdeling, fullmaktstruktur og delegering. Forenklet sagt vil kommunens internkontroll på et overordnet plan, kunne sammenfattes i tre begreper som samlet, og med bakgrunn i risikovurderinger, kan bidra til å presentere og kommunisere dette temaet. Disse tre hovedvirkemidler i kommunes styring med henblikk på effektiv måloppnåelse i tråd med lover, regler og vedtak er: 1) Organisasjonsplanen/oppdelingen av kommunen 2) Kontroll-/styringsmetodene som brukes i forbindelse med arbeidsutførelsen (prinsipielle) 3) Kontroll-/styringstiltakene som er i den enkelte rutine (transaksjonskontroller) Videre vil metodekontroller klassifiseres som sekundære kontroller og vil først inntre på 2.dre eller 3.dje forsvarslinje (jf. veileder for Compliance) da de vil ha forskjellig grad av generell karakter i seg, f.eks. opplæring, vedlikehold (oversikt) og instruksverk. Primærkontroller vil være kontroller i spesifikke rutiner og vil således representere førstelinjekontroller (jf. veileder for Compliance). Punktene omtalt over er rammene eller strukturen i det omgrepet som omtales som intern kontroll (indre kontroll/egen kontroll). Lovhjemmel for byrådets ansvar for internkontrollen finner vi i kommuneloven: 76 angir at det er bystyret som har den øverste tilsynsfunksjonen/myndigheten i kommunen 20 angir at det er byrådet som skal sørge for at betryggende kontroll er etablert og at denne virker. 77 angir kontrollutvalgets tilsynsfunksjon som skjer på vegne av bystyret. Side 3 av 7
Foranstående tilsier at bystyret har en eksplisitt hjelpefunksjon i kontrollutvalget til å utføre kontroll og tilsyn med kommunen. Organisatorisk går kontrollutvalget direkte ut fra bystyret over ordfører og komiteer. Kontrollutvalget kommuniserer formelt med Bystyret på bakgrunn av planer og gjennom rapporter fra bestillingsrevisjoner. Utvalget er ansvarlig for kvaliteten på disse rapportene. Den 4.de forsvarslinjen er den eksterne uavhengige finansielle revisjonen som munner ut i den årlige revisjonsberetningen, som kommuniseres direkte til bystyret, med kopi til kontrollutvalget. Ekstern revisor er selv ansvarlig for kvaliteten. Kontrollutvalget skal påse at kvaliteten er forsvarlig. Byrådets oppgaver og ansvar i dette systemet har fått angitt rammene i kommunelovens 20. Byrådet må organisere og dimensjonere kontroll-aktivitetene sine egenhendig uten noen at det fremgår noen formell støttefunksjon i lovverket. Det lovmessige kravet er uttalt til å være betryggende, uten krav om konkret eksistens og funksjonalitet. I 2005 behandlet Bergen bystyre rapporten Kommunestyrets tilsyns- og kontrollfunksjon i en kommunal parlamentarisk styringsform fra Econ Analyse. Ett av forslagene der var å dele opp den daværende kommunerevisjonen som var organisert i egenregi. Regnskapsrevisjonen ble foreslått satt bort til et eksternt revisjonsregime/selskap uavhengig av kommunen. Resterende daværende kommunerevisjon skulle forbli i kommunen, men åpenbart ikke for å utføre parallelle interne revisjonsoppgaver i forhold til den nye eksterne regnskapsrevisjonen (dette måtte i så fall vært regulert i kontrakt og i revisjonsstandard ISA610) Forslaget om deling av kommunerevisjonen innebar en ansvarsoppgang mellom hva som var en eventuell ekstern uavhengig finansiell revisors og hva som var kommunens interne kontrollansvar (kommuneloven 20). Bergen kommune valgte å inngå kontrakt med ekstern uavhengig revisor fra og med regnskapsåret 2012. Denne er fornyet i 2016. Arbeidsutførelsen er regulert i lover og standarder, og i kontrakten mellom revisor og kommunen. I tillegg utstedes det et engasjementsbrev som presiser enkelte ansvarsforhold. En «rendyrking» av uavhengig finansiell revisjon som i compliance-veilederen er presentert i 4.de forsvarslinje, er BDO ansvarlig for. Revisjonsselskapet er underlagt flere kontroll- og tilsynsregimer, både interne og eksterne, herunder det statlige Finanstilsynet. Finanstilsynet gjengir på sine nettsider relevante forhold og saker. BDO avgir, på lik linje med andre profesjonelle revisorer, en årlig åpenhetsrapport om selskapets kvalitetsstyringssystem og prosesser (organisering, ledelse, kvalitetsregimer etc. (jf. ISOC1. «sjefsstandarden»). Fastpriskontrakten med BDO omfatter hovedsakelig den lovpålagte finansielle revisjonen. Verdien av revisjonsberetningen (4.de forsvarslinje) underbygges av revisors uavhengighet og eget ansvar for profesjonelt arbeid. Uten disse basis-forutsetningen kunne rapporteringen tapt tillit og derav relevans, for brukerne. Den 3.dje forsvarslinje i compliance-veilederen som vi henviser til, omfatter således ikke en finansiell intern revisjon. Den 3.dje forsvarslinjen i veileder framstår ofte som en sentralisert støttefunksjon av koordinerende, overvåkende og kommuniserende karakter som samler trådene totalt i virksomheten, og som gir og kommuniserer et samlet og nyansert syn på Side 4 av 7
kommunens egenkontroll og risikobilde, f.eks. når det det gjelder kvalitet og effektivitet i kontrollregimet i den mangslungne og store kommuneorganisasjonen (helhetlig fullstendighetsbilde), jf. organiseringen i BIR med konserncontrollerfunksjon. Størrelsen på den 3.dje forsvarslinje trenger nødvendig vis ikke være stor, men kompetent, fleksibel og a jour. Bruk av underleverandører /rammekontrakter kan skape nødvendig fleksibilitet i kapasitet og kompetanse. Dette med fleksibilitet framkom også i Econ-rapporten i 2005. Kompetansen, herunder virksomhetsforståelsen i 3.dje forsvarslinje vil ha vesentlig påvirkning på funksjonens uavhengighet og relevans. Hvis kvalitet i transaksjoner og handlinger hadde vært faktum, trengte en minimalt med kontroller og feilrettingsavdelinger. Feilsøkingsregimer er kostbare og kan være selvforsterkende, og er i dag en aktuell vekstnæring (granskning). «Profesjonell skepsis» er et utgangspunkt i feilsøkingsverden. Det innebærer at det kan skje feil og avvik. Det viktige er da at det blir riktig neste gang, dvs. at den aktuelle feilen er eliminert framover. Læring av feil kjennetegner de såkalte «lærende organisasjoner» som organiserer seg for å håndtere læringssirkelen. Strukturer for kunnskaps- og kompetansespredning vil være avgjørende og 3.dje forsvarslinje i den aktuelle veilederen vil kunne ha en sentral rolle her. Kommunens kontrollregime vil være representert på flere kontrollnivåer, jf. veilederens nummering av forsvarslinjer. Kontrollutvalget har sine kommunikasjonslinjer mot bystyret. Bystyret kommuniserer med byrådet. Kontrollutvalgets innstilling i den aktuelle saken avspeiler dette forholdet. I flere av de større byene er revisjonsregimet fortsatt etablert med egne ansatte kommunerevisorer. Denne ordningen er i tilbakegang. Siste avgang var Asker kommune i 2015 som avviklet den historiske kommunerevisjonen i egenregi. Bank og forsikring hadde tilsvarende revisjonsløsninger tidligere, også Norges Bank. Kostnadsbildet for kommunerevisjonsordningene i egenregi, kan indikere at de kan være en kombinasjon av intern og ekstern revisjon, som kan medføre en utvidet revisjon i kontrollenheter (3.dje pluss 4.de forsvarslinje). Oslo kommunerevisjon har f.eks. ca. 50 ansatte og et budsjett på ca. 45 millioner kroner, men Oslo kommune har i tillegg en intern revisjon med 5 ansatte. Utgifter til kontroll og revisjon i storbyene framgår som under i Kommunal rapport 29. september 2016: En eventuell etablering av 3.dje forsvarslinje i Bergen fremstår ikke å være uoverstigelig med henblikk på kompetanse og økonomi. Vi kjenner ikke til særskilte regulatoriske forhold som Side 5 av 7
er avgrensende /hindrende. Vi mener at dette temaet bør være forbeholdt byrådet som har mange forhold å ta hensyn til i en virksomhet med årlig «omsetning» på ca. 20 milliarder kroner. Det pågår sannsynligvis kontinuerlige tilpasninger og justeringer hele tiden alt etter behov, kapasitetsgrenser og risikobilde. I risikovurderinger fra Deloitte og BDO (jf. kontrollutvalgssak 83-16) som kontrollutvalget har mottatt i forbindelse med utarbeiding av ny plan for forvaltningsrevisjon, indikeres også at 3.dje forsvarslinje bør vurderes som et aktuelt tema. For eksempel fremgår det i BDO AS sin analyse (side 5) følgende konklusjon om mulig påvirkning på risiko for misligheter og irregulære forhold: «Deler av ansvaret for å forebygge, avdekke og håndtere eventuelle misligheter og irregulære forhold er slik BDO oppfatter det, delegert til Byrådsavdeling for finans, eiendom og eierskap. Det er BDOs vurdering at det overordnete ansvaret for å forebygge misligheter og irregulære forhold ikke er tydelig plassert i Bergen kommune.» I Deloitte AS sin analyse fremgår følgende om risiko for svakheter i organiseringen i Bergen kommune (side 22): Side 6 av 7
Internkontrollens styrke er ikke først og fremst avhengig av enkeltkontroller men av samspillet mellom dem. Ved fravær av en av forsvarslinjene (jf. veileder) kan det innebære at også den totale kontrollen svekkes, jf. for eksempel granskningsrapportene i Troms kraft og DNB. Kontrollutvalget i Bergen kommune, 15. november 2016. Med hilsen KONTROLLUTVALGETS SEKRETARIAT Gudny Spjeld - saksbehandler Dette dokumentet er godkjent elektronisk. Side 7 av 7