Arbeta med intern kontroll i praktiken Innehll Vad

Arbeta med intern kontroll i praktiken • • • Innehåll: Vad är intern kontroll? Varför intern kontroll? Vad är uppföljningen av intern kontroll? Vem har ansvar för intern kontroll? Såhär kan en chef arbeta med intern kontroll! Att göra en riskanalys! Stödmaterial till chef- Februari 2021

Vad är intern kontroll? Intern kontroll avser de strukturer, system och processer som syftar till att verksamheten med rimlig säkerhet fullgör sina uppgifter och följer lagar och regler Ø Vi gör rätt saker på rätt sätt eller Ø Vi vet vad som kan gå fel och därför kan vi förhindra det

Varför intern kontroll? • Förebygga, upptäcka och åtgärda fel och brister i verksamheten (ständigt förbättringsarbete) • Skydda organisationen från risker, förluster, bedrägerier, misstankar och skador (arbeta proaktivt med risker) • Bygga och stödja trygghet och tillit, ordning och reda, förtroende och utveckling • Säkerställa att invånarnas ärenden hanteras rättssäkert, att skattemedel används effektivt och att invånarna får tjänster av hög kvalitet

Vad är uppföljning av intern kontroll? Enligt kommunallagen ska nämnden se till att den interna kontrollen är tillräcklig. Varje förvaltning gör årligen: • en riskanalys • plan för uppföljning av intern kontroll till nämnden • granskar ett antal interna processer för att bedöma hur väl den intern kontrollen fungerar • rapporterar resultatet till nämnden • åtgärdar avvikelser och följer upp dessa Denna process kallas Uppföljning av intern kontroll. Uppföljningen av intern kontroll är nämndens sätt att leva upp till kommunallagens krav.

Roller och ansvar Kommunstyrelsen Nämnden Ansvarar för: • att det finns en god intern kontroll i Helsingborgs stad • Organisation upprättas Ansvarar för: • att det finns en god intern kontroll inom respektive verksamhetsområde. • att det finns en process för uppföljning av intern kontroll Revisorer Ansvarar: enligt kommunallagen för att pröva om den interna kontroll som har utövats inom nämnderna är tillräcklig. Medarbetare Ansvarar för: att bidra med sin kompetens och uppmärksamma sin chef när de upptäcker brister och avvikelser Förvaltningschef Ansvarar för: • att arbetsmetoder och rutiner bidrar till en god intern kontroll • att konkreta regler och stödmaterial utformas för att upprätthålla en god intern kontroll. • att löpande rapportera till nämnden hur den interna kontrollen fungerar Övriga chefer Ansvarar för: • att arbetsmetoder och rutiner bidrar till en god intern kontroll. • att informera medarbetare om innebörden av en god intern kontroll.

Såhär kan en chef arbeta med intern kontroll! 2022 -01 -15 Sida 6

Chefens arbete med intern kontroll Du som chef har ett ansvar att det finns en god intern kontroll i verksamheten. Det innebär att du är ansvarig för att verksamheten med rimlig säkerhet fullgör sina uppgifter, följer lagar och regler och att verksamheten når sina mål. I ansvaret ligger också att informera de anställda om vad god intern kontroll innebär, åtgärda och rapportera risker och brister till närmaste chef. Ett sätt arbeta med intern kontroll i praktiken är att se det som tre delar. 1. Det förebyggande arbetet 2. Det löpande arbetet 3. Det uppföljande arbetet

1. Det förebyggande arbetet Handlar om: • Ordning och reda i verksamheten • Koll på risker och brister (riskanalys) • En kultur som uppmuntrar medarbetare att rapportera fel, brister och risker

2. Det löpande arbetet Handlar om att ha koll på att processer och rutiner följs och fungerar, exempelvis genom: • • Ställa frågor Hålla ”ögon och öron” öppna Samtal medarbetare eller i verksamhetsdialoger Input från invånare Stickprov Automatiserade kontroller Kontroller som sker baserat på annan lagstiftning, t ex avvikelsehantering enligt hälso- och sjukvårdslagen eller egenkontroll inom livsmedelsregelverket

3. Det uppföljande arbetet Handlar om att få en helhetsbild över hur den interna kontrollen fungerar • Hur ser vårt förebyggande arbete ut? Fungerar det väl – eller behöver något förbättras? • Vilka stickprov eller andra kontroller sker löpande? Fungerar kontrollerna som tänkt? Vad visar de? Är de tillräckliga? • Finns det några brister, dvs områden där vi inte har tillräcklig koll? • Gäller vår riskanalys ännu eller har det dykt upp andra risker? Dvs gör ny riskanalys eller uppdatera befintlig riskanalys • Finns det några områden som är särskilt viktiga att följa upp för att säkerställa att de fungerar som tänkt? Kan t ex leda till att man vill kolla något område lite extra under året. Vissa verksamheter har en plan för vilka områden de särskilt vill kontrollera under året. • Input från nämndens uppföljning

Intern kontroll är en del i verksamhetsstyrningen Att arbeta för att skapa en god intern kontroll i verksamheten är en del i det systematiska kvalitetsarbetet och verksamhetsstyrningen. Det gemensamma syftet är att utveckla och förbättra verksamheten. Intern kontroll är en del i nulägeskollen (som är en del i konceptet för verksamhetsstyrning). I nulägeskollen följer vi upp risker och brister och identifierar vilka områden som verksamheten behöver jobba vidare med. Här kan du läsa mer om nulägeskoll

Att göra en riskanalys! 2022 -01 -15 Sida 12

Risk och riskanalys Vad är en risk? En risk är en möjlig händelse eller omständighet som hotar eller hindrar att uppdrag kan genomföras och att mål för verksamheten nås samt att det sker på avsett och säkert sätt. Tänk på att en ”icke-händelse” också kan vara en risk – t ex att inte göra något som borde göras Vad kan hota eller hindra? Här är vi Hit ska vi - Mål Beslut Lagar, regler, bestämmelser Ramar Vad är en riskanalys? Riskanalys är att identifiera, analysera och värdera risker. Riskanalysen dokumenteras. Utifrån riskanalysen bestäms hur risker ska hanteras. Det sker genom åtgärder som förebygger, begränsar eller undanröjer risken eller med uppföljande kontroll. I vissa fall kan också en risk accepteras.

Att identifiera risker och brister- Riskanalys Att identifiera risker ingår i nulägeskollen. Genom riskanalysen får du syn på svagheter i verksamheten; omständigheter som kan försvåra eller förhindra att ditt uppdrag kan genomföras. En riskanalys genomförs regelbundet och alltid vid större förändringar i verksamheten eller större förändringar i omvärlden som påverkar verksamheten. Inom arbetsmiljöområdet finns särskilda regler för riskanalyser. Genom riskanalysen kan du identifiera de åtgärder som behöver genomföras. Åtgärderna blir en del i verksamhetsplaneringen. I nulägeskollen ingår också att identifiera om det finns några brister i verksamheten. Brister uppstår om den interna kontrollen inte fungerar. Även här behövs åtgärder för att rätta till bristerna. En riskanalys kan göras på olika sätt och vara olika omfattande beroende på vilket behov du och din verksamhet har.

Att göra en riskanalys En riskanalys kan göras på olika sätt och vara olika omfattande beroende på vilket behov du och din verksamhet har. Ø Mini – ”Skrivbordsriskanalys” – analysera risker och brister på egen hand Ø Small – ”Brainstorming” – analysera bredare genom att tänka utifrån olika perspektiv (invånare, skattebetalare, rättssäkerhet, teknik, mm) Ø Medium – Traditionell riskanalys – utgå från verksamhetens olika rutiner och processer Ø Large: - Mixad riskanalys – använd en kombination av varianterna ovan för att få många infallsvinklar i riskanalysen Se konkreta förslag på hur du kan göra en riskanalys på efterföljande sidor

Förslag riskanalys-Mini ”Skrivbordsriskanalys” – analysera risker och brister på egen hand (kan även göras i grupp, t ex vid apt eller ledningsgrupp) 1. Identifiera risker Fundera på vilka risker som finns kopplat till verksamhetens grunduppdrag och syfte: • Vad kan gå fel i vår verksamhet? • Vad är största orosmolnet? Var har vi inte koll (brister)? • Finns det något som inte fungerar som det ska? • Vilken rubrik vill vi inte se i tidningen? (Att tänka på tidningsrubriker kan hjälpa oss att vidga perspektiven) 2. Bedöm riskerna som identifierats Nästa steg är att värdera riskerna som identifierats. Hur stora är riskerna? Vilka blir konsekvenserna? Gör en enkel värdering för att hitta de största riskerna eller för att hitta de risker som ger de största konsekvenserna. 3. Hitta orsakerna till riskerna. Orsaker behöver identifieras för att åtgärder ska kunna planeras 4. Bestäm vilka åtgärder som ska genomföras och för in dem i planeringen Om du hittat brister, planera in åtgärder även för dessa 5. Genomför och följ upp 2022 -01 -15 Sida 16

Förslag riskanalys-Small ”Brainstorming” – analysera bredare genom att tänka utifrån olika perspektiv (invånare, skattebetalare, rättssäkerhet, medarbetare, teknik, media, mm) 1. Identifiera risker Vad kan gå fel i vår verksamhet? Fundera på vilka risker som finns kopplat till de olika perspektiven: Tänk att du är skattebetalare: Var finns det risk att pengar ”läcker ut”? Osv Tänk att du är invånare: Var finns det risk att en person inte får rätt stöd/insatser? Osv… Tänk utifrån rättssäkerhet: Var är störst risk att våra beslut inte blir korrekta Tänk utifrån teknik: Var är störst risk att information kommer i fel händer? Tänk utifrån medarbetare: Var är störst risk att medarbetaren gör fel på grund av otydliga rutiner Tänk utifrån media: Vilken rubrik vill vi inte se i tidningen? 2. Bedöm riskerna som identifierats Nästa steg är att värdera riskerna som identifierats. Hur stora är riskerna? Vilka blir konsekvenserna? Gör en enkel värdering för att hitta de största riskerna eller för att hitta de risker som ger de största konsekvenserna. 3. Hitta orsakerna till riskerna. Orsaker behöver identifieras för att åtgärder ska kunna planeras 4. Bestäm vilka åtgärder som ska genomföras och för in dem i planeringen Om du hittat brister, planera in åtgärder även för dessa 5. Genomför och följ upp 2022 -01 -15 Sida 17

Förslag riskanalys-Medium – Traditionell riskanalys – utgå från verksamhetens olika rutiner och processer 1. Identifiera de viktigaste processerna och rutinerna i verksamheten 2. Identifiera risker Gå igenom varje process och rutin för att identifiera riskerna: • Vad kan gå fel i våra processer och rutiner? • Vad kan hindra oss att göra det vi ska? • Vad är största orosmolnet? Var har vi inte koll (brister)? • Vilken rubrik vill vi inte se i tidningen? (Att tänka på tidningsrubriker kan hjälpa oss att vidga perspektiven) 3. Nästa steg blir att bedöma riskerna som identifierats. • Hur stora är riskerna? (Bedöm sannolikheten att felet kan uppstå) • Vilka blir konsekvenserna? (Bedöm hur stora konsekvenserna blir om felet skulle uppstå) 4. Plocka ut riskerna med störst riskvärde 5. Hitta orsakerna till riskerna. Orsaker behöver identifieras för att åtgärder ska kunna planeras 6. Bestäm vilka åtgärder som ska genomföras och för in dem i planeringen Om du hittat brister, planera in åtgärder även för dessa 7. Genomför och följ upp Mall riskanalys 2022 -01 -15 Sida 18

Förslag riskanalys-Large: - Mixad riskanalys – använd en kombination av varianterna ovan för att få många infallsvinklar i riskanalysen Exempel på kombinationer: Exempel 1. Förbered en traditionell riskanalys (medium) genom att på förhand använda ”skrivbordsriskanalys” (mini) för att sortera ut de största riskerna. Genomför sedan en traditionell riskanalys på dessa risker. Fördel: Kan förkorta tiden som behövs till traditionella riskanalysen. Ger möjlighet att använda tiden till fördjupad diskussion. Nackdel: viktiga risker kan sorteras bort för tidigt. Exempel 2. Dela upp medarbetarna i två grupper: Låt deltagarna i den ena gruppen var för sig göra en skrivbordsriskanalys (mini). Låt deltagarna i andra gruppen få var sitt perspektiv och identifiera/brainstorma risker utifrån sitt perspektiv (small). Sammanställ båda gruppernas analyser. Fördel: Alla måste tänka till själva, inte ”åka snålskjuts”. Ger bred analys. Nackdel: Kan bli omfattande att sammanställa. Kan blir svårt att veta vilka risker som är störst om medarbetarna värderat riskerna olika. Exempel 3. Utgå från processerna och rutinerna i den traditionella riskanalysen (medium). Tilldela medarbetarna olika perspektiv som de särskilt ska beakta när den traditionella riskanalysen genomförs. Fördel: ger en bred analys. Nackdel: Kan ta längre tid att genomföra. 2022 -01 -15 Sida 19

Mer information om intern kontroll Här kan du hitta mer information om intern kontroll 2022 -01 -15 Sida 20