7: Intern kontroll och riskhantering
Vasa stads revisionsnämnd har årligen i sina utvärderingsberättelser granskat situationen för den interna kontrollen och riskhanteringen. Under de senaste åren har huvudvikten legat på intern kontroll och stadens avtalshantering samt på hanteringen och tillsynen av tjänster som köps externt. I det följande behandlas stadskoncernens riskhantering ur målstyrningsperspektiv.
7.1: Riskhantering i förändring
Vasa stads riskhantering leds vid granskningstidpunkten som en del av budgetprocessen. Utöver att sektorerna och förvaltningarna genomför mål som är bindande i förhållande till fullmäktige definierar de mål för intern kontroll och riskhantering för sig själva. Målen för intern kontroll och riskhantering ska basera sig på separat utarbetade riskhanteringsplaner. I praktiken behandlas till exempel förvaltningarnas riskhanteringsplaner och mål i staden i samband med utarbetandet av budgetar och utfallet av dem rapporteras till nämnderna i samband med behandlingen av boksluten. För helheten svarar stadsstyrelsen, för vilken ärendena bereds av stadens ledningsgrupp. Till sin hjälp har ledningsgruppen en arbetsgrupp för den övergripande riskhanteringen.
Intern kontroll och riskhantering är en del av redovisningsskyldigheten. I redovisningsskyldigheten ingår inom den offentliga förvaltningen tanken om bland annat hur målen nås genom iakttagande av budgeten och vilka risker den processen innehåller. Likaså borde man vara medveten om hur ledningen och förvaltningen av den här processen, det vill säga den interna kontrollen, har skötts.
Under de senaste fullmäktigeperioderna har riskhanteringens rapporteringssystem kunnat utvecklas i Vasa stadskoncern. Den interna kontrollens och riskhanteringens roller har klarlagts. Enligt revisionsnämnden kan man konstatera att intern kontroll och riskhantering motsvarar det system som allmänt har avsetts för den offentliga förvaltningen. Men det finns rum för utveckling. Revisionsnämnden delar i det följande in granskningen av utvecklingen av riskhanteringen i två huvudlinjer. Det är fråga om hur genomförandet av strategiskt viktiga mål kan stödas genom riskhanteringens mål. Å andra sidan är det fråga om hur riskhanteringsmålen väljs som objekt för utveckling av den interna kontrollen.
Vad gäller stadskoncernens mål har val redan träffats färdigt i staden och som en följd av dem styrs verksamheten i önskad riktning. Gällande målen för riskhantering borde samma val av tyngdpunkt göras. Vid granskningstidpunkten stöder till exempel de i budgeten föreslagna och i boksluten rapporterade målen för intern kontroll och riskhantering inte tillräckligt förverkligandet av målen för verksamheten. Det är fråga om hur man förmår definiera sådana mål för riskhanteringen att förverkligandet av dem påverkar även förverkligandet av stadskoncernens strategiska mål positivt. Ur revdovisningsskyldighetsperspektiv innebär det här att de redovisningsskyldiga behärskar och känner sina ansvarsområden och vilka faktorer som påverkar uppnåendet av målen.
I stadskoncernens mål för riskhantering fokuserar man till många delar på två delområden. Antingen är det fråga om sådana specialvillkor inom den offentliga verksamheten som man inte kan påverka eller så ingår de i de redovisningsskyldigas sedvanliga ansvarsområde. Dylika är till exempel ekonomisk stabilitet, felaktig måluppställning, utgiftskontroll och verksamhetens laglighet. Å andra sidan fokuserar man på sådana mål, som i regel består av verifiering av fysiska skador, faror och olyckor och är således en del av ett delområde inom riskhanteringen, bedömning av faror på arbetsplatserna och förebyggande av fysiska risker.
Som en del av budgetrapporteringen bör utfallet för riskhanteringsplanerna följas upp. En av de viktigaste betydelserna av riskhanteringsplanerna är att konstaterade risker hanteras med hjälp av intern kontroll. Den interna kontrollen är då både planerad, styrd och en verksamhet. Syftet med intern kontroll är att hantera observerade risker och att säkerställa att de uppsatta målen uppnås. Ur redovisningsskyldighetens perspektiv innebär det här att verksamheten leds och att behövligt ansvar tas för verksamheten.
Här gäller det alltså huruvida man riktar aktiva åtgärder till riskhanteringen eller om man väntar på att risken ska realiseras. Ledarskap kan inte outsourcas. Att ledningen förbinder sig är en absolut förutsättning för att arrangemangen för den interna kontrollen och riskhanteringen ska fungera ändamålsenligt och resultatrikt. Huvudvikten borde vila på att de största observerade riskerna också har satts upp som objekt för den interna kontrollen. Då blir riskhanteringen systematisk, rapporterad och verifierbar information. På så sätt kan uppgifterna som rapporterats på basis av riskhanteringsplanerna verifieras. Samtidigt kan innehållet i rapporterna som resultatområdesdirektörerna gör verifieras på ett tillförlitligt sätt. I nuläget skulle detta ytterliga utveckla stadens verksamhet i enlighet med strategin, eftersom man redan i det praktiska ledarskapet har förbundit sig till att genomföra målen.
7.2: Sammanfattning
Vasa stads riskhantering leds vid granskningstidpunkten som en del av budgetprocessen. Utöver att sektorerna och förvaltningarna genomför mål som är bindande i förhållande till fullmäktige definierar de mål för intern kontroll och riskhantering för sig själva.
Under de senaste fullmäktigeperioderna har riskhanteringens rapporteringssystem kunnat utvecklas i Vasa stadskoncern. Den interna kontrollens och riskhanteringens roller har klarlagts. Enligt revisionsnämnden kan man konstatera att intern kontroll och riskhantering motsvarar det system som allmänt har avsetts för den offentliga förvaltningen.
Vid granskningstidpunkten stöder till exempel de i budgeten föreslagna och i boksluten rapporterade målen för intern kontroll och riskhantering inte tillräckligt förverkligandet av målen för verksamheten.
I stadskoncernens mål för riskhanteringen fokuserar man till många delar på två delområden. På sådana specialvillkor inom den offentliga verksamheten som man inte kan påverka eller så ingår de i de redovisningsskyldigas sedvanliga ansvarsområde. Å andra sidan fokuserar man bara på sådana mål som i regel är en del av bedömningen av faror på arbetsplatserna och förebyggande av fysiska risker.
Riskhanteringen ska vara aktiv verksamhet och man ska inte vänta på att riskerna realiseras. Att ledningen förbinder sig är en absolut förutsättning för att arrangemangen för den interna kontrollen och riskhanteringen ska fungera ändamålsenligt och resultatrikt.
Huvudvikten för riskhantering och intern kontroll borde vila på att de största observerade riskerna också sätts upp som objekt för den interna kontrollen. Då blir riskhanteringen systematisk, rapporterad och verifierbar information. På så sätt kan uppgifterna som rapporterats utgående från riskhanteringsplanerna verifieras. Samtidigt kan innehållet i rapporterna som resultatområdesdirektörerna gör verifieras på ett tillförlitligt sätt. I nuläget skulle detta ytterligare utveckla stadens verksamhet i enlighet med strategin, eftersom man redan i det praktiska ledarskapet har förbundit sig till att genomföra målen.