Sisäinen valvonta ja riskienhallinta
Revisionsnämnden har årligen i utvärderingsberättelsen behandlat den interna kontrollens och riskhanteringens tillstånd i stadsorganisationen. Under åren 2018 och 2020 fokuserades i utvärderingsberättelserna speciellt på att granska övervakningen av stadens köpserviceavtal och utvecklandet av den. I utvärde-ringsberättelsen för år 2021 inriktades utvärderingen som gällde den interna kontrollen på stadskoncernens riskhantering med tanke på ledande av målen. Riskhanteringen leds inom Vasa stad som en del av planerings- och uppföljningsprocessen för verksamheten och ekonomin, vilket innebär att de planer för intern kontroll och riskhantering som upprättats av resultatområdena rapporteras till nämnderna och direktionerna. Sedan år 2014 har resultat-områdena också satt budgetmål som gäller intern kontroll. Stadsstyrelsen ger enligt kommunallagen i verksamhetsberättelsen som ingår i bokslutet en redogörelse för hur den interna kontrollen och riskhanteringen är organiserad samt de centrala slutsatserna.
Intern kontroll och riskhantering
Stadsfullmäktige i Vasa har år 2012 godkänt stadens riskhanteringspolicy och år 2013 stadens samt stadskoncernens grunder för intern kontroll och riskhantering. Stadens anvisning för intern kontroll har godkänts i stadsstyrelsens år 2003. I slutet av år 2022 tillsattes en arbetsgrupp som ska bereda en ny anvisning för intern kontroll och riskhantering som upphäver och ersätter de nuvarande anvisningarna. I den nya anvisningen är det meningen att riskhanteringen anpassas så att den motsvarar det ändrade världsläget. Enligt en guide som Kommunförbundet givit ut år 2020 genomförs den kommunala beredskapen och säkerhetsplaneringen som en del av helheten för intern kontroll och riskhantering. I slutet av år 2021 rekryterade staden en riskhanterings- och säkerhetschef (den nuvarande titeln beredskaps- och säkerhetschef). Vasa stad har för den ledningsgrupp som ansvarar för den interna kontrollen och riskhanteringen som hjälp KORI-arbetsgruppen för övergripande riskhantering, utöver vilken organen och de redovisningsskyldiga tjänsteinnehavarna svarar för den interna kontrollen och riskhanteringen inom sina egna ansvarsområden. Staden har tagit i bruk en etisk rapporteringskanal inom ramen för övergångstiden för en lagstiftning som trätt i kraft 1.1.2023.
Enligt den lägesbild som stadsstyrelsen presenterar i bokslutet är bassystemet för intern kontroll och riskhantering i skick inom Vasa stad. Utifrån granskningarna upplevs att den interna kontrollen fungerar åtminstone tillfredsställande. Enligt stadsstyrelsens bedömning ansluter sig de största hoten till den ökade efterfrågan på service i en föränderlig verksamhetsmiljö samt till en ökning av skuldbeloppet i förhållande till stadens bärkraft. Enligt den redogörelse som internrevisionen berett borde emellertid vid ordnandet av den interna kontrollen och riskhanteringen bättre beaktas hur de förfaranden som gäller dem stöder säkerställandet av att stadens bindande mål uppfylls. Enligt stadens riskhanteringspolicy är den interna kontrollens och den därtill knutna riskhanteringens egentliga syfte att säkerställa att stadens mål på lång och kort sikt uppfylls. Inom riskhanteringen borde uppmärksamhet fästas på vilka risker som ansluter sig till vilket bindande mål som satts i budgeten och om riskerna och målen har några inbördes samband.
Revisionsnämnden har redan i utvärderingsberättelsen år 2021 lyft fram saker som framkommit i internrevisionen, såsom det att i en del av riskhanteringsplanerna fastställs som risker också saker där kontrollen utgör en del av den verksamhetsmiljö som är på den redovisningsskyldigas ansvar och som ska hanteras med sedvanliga metoder för intern kontroll. När det gäller de här sakerna borde det identifieras i vilken mån de kan anses vara egentliga väsentliga risker. Dessutom förs i många riskhanteringsplaner fram risker i anslutning till arbetarskyddet, vilka emellertid representerar bara ett delområde av riskhanteringen och där väsentligheten borde bedömas och nödvändiga åtgärder planeras som en del av arbetarskyddet. Inom riskhanteringen borde fokus inte ligga bara på förhindrande av fysiska skador eller olyckor, utan de borde ses som hantering av funktioner där siktet är inställt på att uppfylla de skyldigheter och mål och som satts för staden.
I redogörelsen för den interna kontrollen lyfts några enskilda faktorer fram som har inverkan på stadens interna kontroll som helhet. En sådan sak är att stadens allmänna interna anvisningar inte är klart samlade på en plats, till exempel på intranätet. Staden har inte heller något enhetligt inventarieregister i användning och förteckningar över inventarier till den del de finns sköts manuellt. Dessutom borde stadsstyrelsen enligt redogörelsen besluta vilket system som används för administration av avtal. Även om det inom staden år 2022 inte har kommit fram uppgifter om missbruk, borde också för observerande och förebyggande av missbruk samt anmälan om misstanke om missbruk finnas en anvisning i användning.
Redovisningsskyldigheten hänger enligt redogörelsen för den interna revisionen vid sidan om skyldigheten att balansera budgeten också samman med att de mål som ställts nås inom ramen för anslagen. Även organen och de förtroendevalda som hör till dem är redovisningsskyldiga, varför organen för sin del borde övervaka att tjänsteinnehavarna handlar enligt planerna och besluten. I organen borde de rapporteringsskyldigheter som förutsatts samt till dem anslutna planer följas upp, vilket betyder att det vid behov genom en ändring av planerna går att säkerställa att målen nås. Riskhanteringen borde vara medveten, planmässig och fortgående verksamhet, varför det inte räcker med att ämnet behandlas till exempel bara en gång per år i anslutning till verksamhetsberättelsen, utan i riskhantering handlar det om fortgående ledning och redovisningsskyldighet i anslutning till det. Av riskhanteringsplanerna borde det framgå på vilket sätt de identifierade riskerna ansluter sig till uppnåendet av stadens bindande mål, och vid identifieringen av riskerna borde fokus ligga på de väsentligaste riskerna som äventyrar uppnåendet av målen.
Yhteenveto
Ärendet eller målet har framskridit väl och/eller det har positiva verkningar:
Vasa stad har 15.2.2023 tagit i bruk en för personalen avsedd lagstadgad etisk rapporteringskanal för rapportering av allvarligt missbruk. Rapporteringskanalen bereddes förutseende inom ramen för en process som inletts i slutet av år 2021, och det slutliga ibruktagandet skedde inom den övergångstid på tre månader som förutsattes i visselblåsarlagen som trädde i kraft 1.1.2023.
Stadens riskhantering och beredskap har stärkts i och med rekryteringen av en beredskaps- och säkerhetschef. I det rådande världsläget är också faktorer i anslutning till beredskap och säkerhet i tilltagande omfattning en del av planeringen av kommunens verksamhet. Enligt de uppgifter som revisionsnämnden fått har i stadens beredskapsplan behandlats till exempel faktorer som ansluter sig till kommunikation, hantering av störningssituationer och bildande av en lägesbild. Beredskapen har år 2022 förts till en praktisk nivå, till exempel i en anvisning som publicerats för de anställda om agerande under eventuella elavbrott.
Ärendet kan utvecklas eller uppnåendet av målet kan främjas:
I Vasa stad finns praxis avsedd för identifiering, bedömning och rapportering av risker, vilken genomförs inom ledningen och organen som en del av den årliga budgetprocessen. Inom riskhanteringen ligger fokus emellertid inte alltid tillräckligt på risker som påverkar uppnåendet av stadens bindande mål. Enligt revisionsnämndens uppfattning ska förverkligandet av de mål som fullmäktige ställt vara kärnan i all verksamhet inom staden, vilket innebär att också riskbedömningen och -hanteringen ännu bättre borde inriktas på risker som äventyrar uppnåendet av de bindande målen.
I den årliga redogörelsen för internrevisionen upprepas samma saker som under föregående år. Enligt revisionsnämndens tidigare utvärderingsberättelser har situationen för den interna kontrollen utvecklats mot det bättre i staden, men revisionsnämnden har emellertid ingen klar uppfattning om hurdana åtgärder som har vidtagits i staden utifrån internrevisionens senaste observationer.
Stadens resultatområden har i anslutning till budgetmålen åt sig själv också satt mål som ansluter sig till riskhanteringen och den interna kontrollen. Revisionsnämnden fäster ändå uppmärksamhet på formuleringen av vissa mål: Till exempel risker som beror på kunders beteende är inte som sådana risker inom den interna kontrollen, utan vid den interna kontrollen ska uppmärksamheten fästas på sårbarhet som framkommer i enhetens egen organisation.
Ärendet eller målet har inte framskridit och/eller det har negativa verkningar:
I de riskhanteringsplaner som resultatområdena gör upp rapporteras fortsättningsvis om sådana ärenden som är antingen ärenden som ska hanteras inom ramen för normal intern kontroll och är på den redovisningsskyldigas ansvar, eller alternativt inriktas identifieringen av risker på sådana risker som hör till arbetarskyddet eller andra skaderisker. Enligt revisionsnämnden ska vid identifiering av risker fokus mer än tidigare riktas speciellt på risker i anslutning till förverkligande av stadens bindande mål för verksamheten.