Revisionsrapporter - Risikobaseret ledelsestilsyn 2021

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

1. at Intern Revisions rapport om revision af ledelsestilsynet i Københavns Kommune for 2021, samt forvaltningernes tiltag, tages til efterretning.

Problemstilling

På baggrund af Intern Revisions kritik af kommunens ledelsestilsyn besluttede Økonomiudvalget i 2016, at revisionen i forbindelse med årsregnskabet skulle rapportere til udvalget om, hvorvidt det ledelsestilsyn, som foretages i forvaltningerne, er betryggende.

På baggrund af dette har Intern Revision udarbejdet en samlet rapport for hele kommunen, der sammenfatter revisionens vurdering af ledelsestilsynet i de enkelte forvaltninger (bilag 1), samt en selvstændig rapport for hver forvaltning (bilag 2-8).

Siden 2020 er der lukket en gul (prioritet 2) bemærkning til Teknik- og Miljøforvaltningen. De enkelte bemærkninger og handleplanerne hertil fremgår af bilag 1.

Målet med undersøgelserne er dels at foretage en overordnet vurdering af kommunens design af styringsregler, som varetages af Økonomiforvaltningen, og dels at vurdere forvaltningernes implementering af ledelsestilsynets regler og retningslinjer. I rapporterne følges desuden op på handleplaner for vurderingen fra 2021.

Løsning

Rapporterne indeholder alene grønne bemærkninger til alle forvaltninger. Intern Revision anvender grønne bemærkninger for forhold, der anses for mindre væsentlige, og som derfor kun rapporteres til ledelsen som opmærksomhedspunkter.

Revisionen peger i rapporterne på en række tværgående forhold, som skal understøtte ledelsestilsynet på tværs af forvaltningerne, disse gennemgås herunder. Intern Revision har drøftet rapporternes konklusioner med ledelsen i de enkelte forvaltninger, der er enige i indholdet heraf. På dette grundlag har forvaltningerne formuleret en række tiltag i handleplaner for 2022, disse fremgår af de enkelte forvaltningsrapporter.

Fastere struktur omkring ledelsestilsynet i forvaltningerne (videreført fra 2021)
Arbejdet med en fastere struktur omkring ledelsestilsynet fortsætter i 2022. I forlængelse af drøftelserne i Økonomidirektørkredsen har Økonomiforvaltningen identificeret fire tværgående initiativer, som skal sikre, at hver forvaltning inden for samme overordnede konceptuelle ramme kan arbejde videre med at implementere aktiv risikostyring og et mere struktureret ledelsestilsyn. Disse omfatter en fælles metode for risikostyring, netværk for arbejdet med ledelsestilsyn, tværgående kompetenceudvikling samt brug af algoritmer til at identificere anormaliteter i indkøbs- og godkendelsesmønstre.

Forventninger og styringsinformation på finansområdet (videreført fra 2021)
Økonomiforvaltningen har opdateret et bilag til forretningscirkulære om Ledelsestilsyn, bilaget tager afsæt i de fælles administrative forretningsgange og oplister de risici, som det påhviler forvaltningerne at vurdere og håndtere. Der udestår opdatering vedrørende debitorprocessen, som forventes gennemført i 2. halvår 2022 og 2023 i forlængelse af det igangværende arbejde med driftsstabilisering af debitorområdet og udarbejdelse af nye forretningsgange for alle debitorprocesser.

Ledelsessystem for informationssikkerhed (ny)
Økonomiforvaltningen arbejder videre med to initiativer, som Deloitte har omtalt i deres rapport ”Revision af generelle IT-kontroller 2021”. De to initiativer vedrører henholdsvis en styrkelse af ledelsessystemet for informationssikkerhed baseret på ISO 27001 (ISMS) og en vurdering af, hvorledes styring af informationssikkerhed mest hensigtsmæssigt organiseres og styrkes.

Håndtering af Databeskyttelsesrådgiverens anbefalinger (ny)
I overensstemmelse med Københavns Kommunes Informationssikkerhedsregulativ udarbejder Databeskyttelsesrådgiveren årligt pr. 1. oktober en statusrapport. Rapporten indeholder en vurdering af databeskyttelsen i Københavns Kommune. Databeskyttelsesrådgiveren har foretaget en overordnet risikovurdering, som peger på seks konkrete områder som de største risici i Københavns kommune, herunder compliance med GDPR-reglerne, fortegnelser over behandlingsaktiviteter, risikovurdering af behandlingsprocesser, konsekvensanalyser, tilsyn med databehandlere samt oplysningspligten.

Økonomiforvaltningen har udarbejdet en handleplan for de konkrete aktiviteter, og på nuværende tidspunkt er aktiviteter vedr. fortegnelser over behandlingsaktiviteter, risikovurdering af behandlingsprocesser, konsekvensanalyser gennemført, mens aktiviteter vedrørende de tre øvrige områder er igangsat.

Anbefalinger til forvaltningerne
Revisionen har på en række områder anført enslydende anbefalinger til flere forvaltninger. Disse udgøres af følgende:

Etablering af fastere struktur for ledelsestilsyn (Børne- og Ungdomsforvaltningen, Kultur- og Fritidsforvaltningen, Sundheds- og Omsorgsforvaltningen, Teknik- og miljøforvaltningen samt Økonomiforvaltningen): Jf. den tværgående anbefaling, anbefaler Intern Revision at forvaltningerne arbejder videre med at etablere en fastere struktur for ledelsestilsynet.

Implementering af procesportal (ChangeDriver) (alle fagforvaltninger): Intern Revision anbefaler, at forvaltningerne arbejder videre med at udarbejde procestegninger og risikovurderinger for alle relevante processer i forvaltningen i systemet ChangeDriver.

Implementering af retningslinjer for takstberegning, herunder interne takster (Kultur- og Fritidsforvaltningen, Socialforvaltningen samt Sundheds- og Omsorgsforvaltningen): Intern Revision anbefaler at forvaltningerne fortsætter arbejdet med implementering af den fællesobligatoriske forretningsgang for takster.

De pågældende forvaltninger har udarbejdet handleplaner for det videre arbejde på de anførte områder.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

Forvaltningerne arbejder videre med ledelsestilsynet, som vil blive genbesøgt i forbindelse med den løbende revision for 2022.