Mødedato: 22.05.2018, kl. 15:30
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Revisionsrapport - Risikobaseret ledelsestilsyn

Se alle bilag
Økonomiudvalget får Intern Revisions rapport vedr. risikobaseret ledelsestilsyn forelagt til efterretning.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at Intern Revisions rapport om revision af ledelsestilsynet i Københavns Kommune, samt forvaltningernes tiltag, tages til efterretning.

Problemstilling

På baggrund af Intern Revisions (IR) kritik af ledelsestilsyn fra 2015 besluttede Økonomiudvalget (ØU) på deres møde den 12. april 2016, at revisionen i forbindelse med årsregnskabet skulle rapportere til udvalget om, hvorvidt det ledelsestilsyn, som foretages i forvaltningerne, er betryggende.

På baggrund af dette har IR udarbejdet en samlet rapport for hele kommunen, der sammenfatter revisionen af ledelsestilsynet i de enkelte forvaltninger (bilag 8), samt en selvstændig rapport for hver forvaltning (bilag 1-7).

Revisionsmålet for undersøgelserne er at foretage en overordnet vurdering af kommunens design af styringsregler, som varetages af Økonomiforvaltningen (ØKF) samt forvaltningernes implementering af ledelsestilsynets regler og retningslinjer.

For design af styringsreglerne er det IR vurdering, at ØKFs arbejde med kommunens styringsregler forløber godt og planmæssigt. Govenance på IT-området er efter revisionens opfattelse en væsentlig opgave, som bør prioriteres højt.

For implementeringen af ledelsestilsynet er det IRs vurdering, at forvaltningerne har haft en positiv tilgang og er påbegyndt arbejdet med implementering af et nyt ledelsestilsyn, men at arbejdet med procesbeskrivelser, interne kontroller og ledelsesinformation vil være en flerårig proces. I forhold til de områder, der har været fokus på i 2017, har forvaltningernes handleplaner vist, at de fleste forvaltningerne har fået gennemført de planlagte aktiviteter, og kun enkelte forvaltninger endnu ikke er helt i mål med beskrivelse af delegation samt selvevaluering og prioritering af risikoområder. Ved IRs vurdering af forvaltningernes arbejde i 2017 har IR lagt vægt på, at den største risiko i forvaltningernes har været implementeringen af kommunens nye økonomisystem Kviantum.

Nedenstående tabel giver et samlet overblik over revisionen af ledelsestilsynet i Københavns Kommune.

Tabel 1 - Oversigt over revisionen af ledelsestilsynets fordelt på forvaltning og observation

Design af styringsregler

Implementering af ledelsestilsyn

Delegation af beslutningskompetence

Handleplan for 2017

Økonomi-
forvaltningen

Kultur- og Fritids-
forvaltningen

Børne- og Ungdoms-
forvaltningen

Sundheds- og Omsorgs-
forvaltningen

Socialforvaltningen

Teknik- og Miljø-
forvaltningen

Beskæftigelses- og Integrations-
forvaltningen

*En forklaring på farverne kan findes på side 22 i bilag 8.

Løsning

Følgende punkter vedrører Økonomiforvaltningen:

Design af styringsregler (Gul)

Det er IRs vurdering, at ØKFs arbejde med kommunens styringsregler forløber godt og planmæssigt.

Vedrørende governance på it-området er der etableret en it-kreds, der består af de syv forvaltningers it-direktører/chefer. Der er vedtaget et kommissorium og arbejdsprogram for kredsen, og kredsmøder er påbegyndt primo 2018.

Der udestår udarbejdelse af en informationssikkerhedspolitik samt et informationssikkerheds-regulativ, der beskriver kommunens overordnede styringsregler for it-beskyttelse/sikkerhed og databeskyttelse.

Endvidere udestår med hjemmel i informationssikkerhedsregulativet og i overensstemmelse med kommunes regelhierarki at udarbejde og implementere Forretningscirkulærer for henholdsvis informationssikkerhedsrisici, adgangsstyring og kontrol samt sikkerhedshændelser.

Endelig udestår beskrivelse af it-livscyklus i Forretningscirkulærer for anskaffelsesprocessen og drift/vedligehold, anmodning/ændringer, support, afvikling og compliance.

Handleplan

Koncern IT prioriterer højt i 2018 at udarbejde et nyt informationssikkerhedsregulativ og -politik, forretningscirkulære for it-anskaffelser, forretningsgang for it-leverancer (”Leverancemodellen”) og forretningsgang for sikkerhedshændelser. Arbejdet med de ovenfor omtalte cirkulærer og forretningsgange er påbegyndt og udarbejdes i regi af It-kredsen samt med løbende inddragelse af forvaltningerne og sparring med IR. Nedenstående leverancer forventes i løbet af 2018.

  • Informationssikkerhedsregulativ og -politik

  • Fællesadministrativt forretningscirkulære for informationssikkerhedsregler

  • Fællesadministrativ forretningsgang for sikkerhedshændelser

  • Fællesadministrativ forretningsgang for adgangsstyring og kontrol

  • Fællesadministrativt forretningscirkulære for it-anskaffelser

  • Bølgeplan for øvrige forretningscirkulærer og forretningsgange på it-livscyklusområdet

  • Udarbejdelsen af cirkulærer for persondatabeskyttelsen

Delegation af beslutningskompetence (Gul)

ØKF har foretaget en omfattende delegation, hvilket efter IR vurdering er nødvendigt for at sikre, at der på alle risikoområder i ØKF er klarhed over rammer og grænser for delegationen. Der udestår fortsat endelige delegationsbeskrivelser for Koncernservice (KS) og Koncern IT (KIT). IR anbefaler, at de udestående styringsregler på it-området prioriteres højt i 2018.

For KS og KIT er delegationsbeskrivelserne under opdatering på baggrund af gennemførte organisationsændringer i december/januar. IR vurderer, at delegationsbeskrivelserne for de to koncernenheder ikke i tilstrækkelig grad præciserer ansvaret for enhedernes risikoområder. For KIT er dette en konsekvens af de manglende styringsregler på it- og persondataområdet.

Handleplan

KS og KIT meddeler, at delegationsbeskrivelserne nu er ajourført og opdateret. Dog mangler indarbejdelsen af flytningen af Betaling og Kontrol fra Kultur- og Fritidsforvaltningen til KS, da der ikke her tidligere har været arbejdet med delegationsskrivelser i Betaling og Kontrol.

På baggrund af revisionsrapportens konklusion vil KS og KIT tage en dialog med Intern Revision med henblik på at sikre, at delegationsbeskrivelserne fremadrettet fuldt ud omfatter risikoområderne i organisationen, samt aftale hvilke processer på ledelsestilsyns-området, der skal arbejdes videre med i 2018.

Følgende punkter vedrører Kultur- og Fritidsforvaltningen:

Delegation af beslutningskompetence (Gul)

Der foreligger ifølge IR endnu ikke en samlet beskrivelse af delegationen af beslutningskompetence i Kultur- og Fritidsforvaltningen (KFF), der tydeliggør ledelsesansvaret og ledelsestilsynet således, at alle ledere kender deres ansvarsområde, og hvilke krav der stilles til supplerende forretningsgange og til et risikobaseret ledelsestilsyn.

IR anbefaler, at KFF i 2018 opprioriterer tilvejebringelsen af overblik over forvaltningens forretningsprocesser, så beslutningskompetencen kan fastlægges endeligt. IR anbefaler endvidere, at forvaltningen sikrer, at beslutningskompetencen præciserer de identificerede risikoområder i forvaltningen. Endelig anbefaler IR, at der tilrettelægges et årshjul, der fremadrettet sikrer en årlig gennemgang og opdatering af delegationsbeskrivelserne.

Handleplan

KFF vil på baggrund af IRs bemærkninger justere workshopforløbet med enhederne, således at der hurtigere tilvejebringes overblik over forvaltningens samlede risikoområder og derefter kan gennemføres en prioritering af arbejdet med håndtering heraf. Dette forventes tilendebragt i 1. halvår 2018.

Handleplaner for 2017 (Gul)

IR vurderer at KFFs arbejde med håndtering af risikoområdet bør opprioriteres.

Forvaltningens arbejde med håndtering af risikoområder er delvist forløbet som planlagt. To områder er håndteret fuldt ud. For risikoområdet ejendomsskat udestår færdiggørelse af risikovurdering og design af kontroller, og området er primo 2018 i organisatorisk henseende overført til Økonomiforvaltningen. Book Byen er ikke håndteret fuldt ud. It-systemet forventes taget i brug på første lokation primo april 2018. Dokumentation af processerne er dog påbegyndt. Arbejdet med kommunale tilskud er påbegyndt, og der er etableret en task force, som skal arbejdet videre med risikoområdet i hele 2018.

Handleplan

KFF er enig i revisionens observationer, og forvaltningen vil i 2018 have fokus på de to risikoområder Book Byen og kommunale tilskud. Konkret er der allerede etableret en task force, der skal håndtere kommunale tilskud og arbejdet med Book Byen er påbegyndt. Forvaltningen vil endvidere på baggrund af risikovurderingerne nævnt under forvaltningens tiltag vedr. pkt. 5.2 foretage en prioritering af det videre arbejde.

Følgende punkter vedrører Børne- og Ungdomsforvaltningen:

Delegation af beslutningskompetence (Gul)

IR oplyser at Børne- og Ungdomsforvaltningen (BUF) for de enkelte risikoområder har anført en procesansvarlig enhed/leder, men har endnu ikke implementeret egentlige delegationsbeskrivelser. Forvaltningen har designet et udkast til delegationsbeskrivelser, hvor beslutningskompetence er afgrænset i forhold til forvaltningens identificerede risikoområder. Delegationsbeskrivelser forventes ifølge forvaltningen at blive implementeret fra medio marts 2018.

IR anbefaler, at BUF sikrer, at delegationsbeskrivelser implementeres som forventet, og at forvaltningen tilrettelægger en proces, der sikrer årlig gennemgang og opdatering af delegationsbeskrivelser.

Handleplan

BUF har i 2018 på baggrund af afdækningen af delegationsansvaret til mellemlederniveau for de enkelte processer igangsat implementering af delegationsbeskrivelser, der gør det klart for den enkelte leder, hvilke processer lederen er ansvarlig for, og hvad det ansvar indebærer.

Forvaltningen vil desuden implementere et årshjul for arbejdet med risikoledelse og styring, sådan at det sikres, at der arbejdes aktivt og strategisk med risici i forvaltningen og sikres at delegationsbeskrivelser, forretningsgangsdokumentation mv. løbende bliver opdateret.

Handleplan for 2017 (Gul)

Børne- og Ungdomsforvaltningens (BUF) arbejde med håndtering af risikoområder er ifølge IR ikke forløbet som planlagt. En af de 5 prioriterede risikoområder for 2017 er udgået, og de resterende 4 risikoområder er ikke håndteret og videreføres derfor til 2018.

Handleplan

Herudover har BUF med ekstern bistand beskrevet processer for anvendelse af it-systemet EAT, der benyttes til betaling for skolemad. Arbejdet, der håndteres i overensstemmelse med kommunens kvalitetsstandard for dokumentation af forretningsgange, forventes færdigt med udgangen af april 2018.

BUF har identificeret processer med største risici, og forvaltningen har nu påbegyndt arbejdet med at dokumentere disse processer og deres risici samt indføre kvalitetsstandarder, der kan medvirke til at skabe betryggende administrative processer. Dette arbejde forventes afsluttet ultimo 2018.

Forvaltningen vil i 2018 fortsætte risikoafdækningen ved fortsat at interviewe procesansvarlige og videns personer i prioriteret rækkefølge ud fra processens vurderede risiko.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

Forvaltningerne arbejder videre med ledelsestilsynet, som vil blive genbesøgt i forbindelse med den løbende revision for 2018.

 

Peter Stensgaard Mørch                               / Mads Grønvall

Beslutning

Dagsordenspunkt 7: Revisionsrapport - Risikobaseret ledelsestilsyn (2018-0107786)

Økonomiudvalgets beslutning i mødet den 22. maj 2018

Indstillingen blev taget til efterretning uden afstemning.

Til top