Revision och kontroll

Tarkastus ja valvonta -sivusto

Kontrollen över kommunens verksamhet och ekonomi består av extern och intern kontroll. Den externa kontrollen består av revisionsnämndens utvärdering och den lagstadgade revisionen. Intern kontroll ingår i den dagliga ledningen av verksamheten, och ledningen kan då använda internrevisionen som stöd.

Den externa kontrollen är oberoende av kommunens verkställande ledning, medan den interna kontrollen utgör en del av den fortlöpande styrningen och uppföljningen av kommunens verksamhet och ekonomi.

Läs mer:

Revision 

Revisionstillsynen

God revisionssed inom den offentliga förvaltningen

Öppna alla

Revision

Fullmäktige väljer en revisionssammanslutning för granskning av förvaltningen och ekonomin. Sammanslutningen ska förordna en OFGR-revisor till ansvarig revisor. Revisorn utför sitt uppdrag under tjänsteansvar.

Revisionssammanslutningen kan väljas för granskning av förvaltningen och ekonomin för högst sex räkenskapsperioder i sänder.

Till revisor i kommunens dottersammanslutningar ska väljas kommunens revisionssammanslutning, om det inte i anslutning till ordnandet av granskningen finns en grundad anledning att avvika från detta. De allra minsta bolagen har befriats från att ordna revision enligt revisionslagen. I koncerndirektivet kan kommunen dock med hänvisning till kommunallagen slå fast att lagstadgad revision ska ordnas i alla dottersammanslutningar. I praktiken förutsätter det bestämmelser i bolagsordningen.

Revisorn ska ha förutsättningar att verkställa revisionen på ett oberoende sätt och i tillräckligt stor omfattning.

Revisorns uppgifter 

Revisorn ska före utgången av maj månad granska räkenskapsperiodens förvaltning, bokföring och bokslut med iakttagande av god revisionssed inom den offentliga förvaltningen ( 123 § i kommunallagen). 

Revisorn ska granska om:

  1. kommunens förvaltning har skötts enligt lag och fullmäktiges beslut
  2. kommunens bokslut och det därtill hörande koncernbokslutet ger en rättvisande bild av kommunens resultat, ekonomiska ställning, finansiering och verksamhet enligt bestämmelserna och föreskrifterna om upprättande av bokslut
  3. uppgifterna om grunderna för statsandelarna är riktiga
  4. kommunens interna kontroll och riskhantering samt koncernövervakningen har ordnats på behörigt sätt.

Revisorns rätt till upplysningar

Enligt 124 § 2 mom. i kommunallagen har en revisor rätt att förutom av kommunens myndigheter få sekretessbelagda upplysningar också direkt av sammanslutningar som hör till kommunkoncernen, om revisorn anser att upplysningarna behövs för skötseln av revisionsuppdraget. Rätten till upplysningar gäller enskilda revisorer.

Den organisation som revisionen gäller ska bistå revisorn vid insamlingen av uppgifter som hänför sig till revisionen. Om revisorn inte får tillgång till uppgifter som är väsentliga med tanke på revisionen, ska revisorn i revisionsberättelsen nämna att revisionen inte har kunnat utföras i tillräcklig omfattning enligt god revisionssed inom den offentliga förvaltningen.

God revisionssed inom den offentliga förvaltningen

Enligt 6 § i lagen om revision inom den offentliga förvaltningen och ekonomin ska en revisor vid utförande av ett revisionsuppdrag iaktta god revisionssed inom den offentliga förvaltningen. I Finland är det Finlands revisorer rf som bestämmer vad som är god revisionssed inom den offentliga förvaltningen.

Enligt 123 § i kommunallagen ska revisorerna före utgången av maj månad granska räkenskapsperiodens förvaltning, bokföring och bokslut med iakttagande av god revisionssed inom den offentliga förvaltningen.

I rekommendationen God revisionssed inom den offentliga förvaltningen konstateras att revisorn ska beakta den offentliga förvaltningens särdrag vid planeringen och genomförandet av revisionen och rapporteringen av revisionens resultat.

Läs mer i rekommendationen God revisionssed inom den offentliga förvaltningen på Finlands revisorer rf:s webbplats.

Skriftligt uttalande till revisorn

Revisorerna begär varje år skriftliga uttalanden (bekräftelsebrev) av kommunernas och samkommunernas ledning, dvs. av kommunstyrelsens ordförande och kommundirektören, innan de avger revisionsberättelsen.

Genom bekräftelsebrevet får revisorn en skriftlig bekräftelse på att ledningen har uppfyllt sina lagstadgade skyldigheter när det gäller att upprätta bokslutet och att ledningen ger revisorn all relevant information om den organisation som revisionen gäller och de omständigheter som påverkar bokslutet. Syftet med brevet är alltså inte att fastställa ansvaret och skyldigheterna eller att ge ledningen ett större ansvar än vad lagstiftningen kräver.

Revisionstillsyn och examina

Revisionstillsynen, som verkar i anslutning till Patent- och registerstyrelsen, svarar för den allmänna styrningen och utvecklingen av revisionen samt för tillsynen över revisorer (7 kap. 2 § i revisionslagen).

På Revisionstillsynens webbplats redogörs närmare för dess uppgifter, bl.a. om:

  • revisorsregistret
  • examina:
    • GR-examen (grundexamen för revisorer)
    • CGR-examen
    • OFGR-examen och
  • annan aktuell information som gäller revisionsområdet. 

Läs mer:

Patent- och registerstyrelsen

Intern kontroll och riskhantering

Syftet med intern kontroll är att främja en fungerande ledning av kommunens verksamhet, att förebygga och hantera risker, att utnyttja möjligheter och starka sidor, att kontinuerligt utveckla verksamheten och att utvärdera verksamhetens resultat.

Med intern kontroll avses i allmänhet alla de arbetsrutiner och förfaranden som de redovisningsskyldiga organen, tjänsteinnehavarna och övriga chefer tillämpar för att säkerställa att

  • kommunens verksamhet är ekonomisk och resultatrik
  • informationen som besluten bygger på är tillräcklig och tillförlitlig
  • lagstiftning, myndighetsföreskrifter och beslut av olika organ iakttas
  • egendom och resurser tryggas.

Den interna kontrollen och riskhanteringen baserar sig på kommunens primära uppgift, omvärldsanalys, kommunstrategin samt målen för verksamheten och ekonomin. Riskhanteringen omfattar identifiering, bedömning, prioritering och en resultatrik hantering av de risker som utgör ett hot mot kommunens mål. För att de mål som fullmäktige godkänt ska nås och god förvaltningssed uppfyllas bör tillvägagångssätten för identifiering och hantering av risker samt intern kontroll införlivas i bland annat:

  • lednings- och beslutsprocesserna
  • planeringen av verksamheten, ekonomin och investeringarna ur risk- och mervärdesperspektiv
  • arbetsrutinerna i verksamheten (inkl. datasystemen), egendomsförvaltningen, den övriga förvaltningen och skötseln av ekonomin.

Riskhanteringen, som ledningen bär ansvaret för, är en del av den interna kontrollen och dess syfte är att i rimlig utsträckning trygga att kommunens strategiska mål och målen för verksamheten och ekonomin uppfylls och att verksamheten fortgår utan störningar. Genom riskhanteringen förebyggs händelser som hotar en kontinuerlig och ostörd verksamhet. Det är fråga om att identifiera kärnverksamheterna och systemen, slå fast en godtagbar risknivå och införa tillräckliga riskhanteringsmetoder. Riskhanteringsprocessen omfattar

  • omvärldsanalys
  • tillräcklig och övergripande identifiering och beskrivning av risker och möjligheter
  • analys av sannolikheten för och följderna av att risker och möjligheter förverkligas
  • definition av förfaranden och utnyttjande av möjligheter inom riskhanteringen samt
  • rapportering och utvärdering av kontrollen och resultaten. 

Målen för kommunstrategin, verksamheten och ekonomin samt för den interna kontrollen och den övergripande riskhanteringen bör sammankopplas, så att den interna kontrollen och riskhanteringen inte blir separata funktioner. En resultatrik riskhantering utgör en väsentlig del av en genomskådlig, högkvalitativ och ansvarsfull beslutsprocess. Den inbegriper tillräckliga konsekvensbedömningar och baserar sig på fakta.

Ur ägarstyrningsperspektiv kan man trygga att beslutsfattandet och riskhanteringen håller en hög nivå genom bestämmelser i koncerndirektivet, sakkunniga styrelseledamöter och en skyldighet att före beslutsfattandet inhämta kommunens åsikt i betydande sakfrågor som anges i koncerndirektivet. 

Läs mer:

Intern kontroll och riskhantering i praktiken

Exempel på hur man säkerställer att den interna kontrollen fungerar

Intern kontroll: uppdelning av arbetsuppgifter

Intern kontroll och riskhantering

Rekommendation: Genomförandet av kommunallagens bestämmelser om intern kontroll och riskhantering

Internrevision

Vad är internrevision?

Internrevisionen är en del av den interna kontrollen. Internrevisionen är en oberoende stödfunktion för kommunstyrelsen, koncernledningen och den högsta ledningen. Den utvärderar objektivt kommunens och kommunkoncernens förvaltnings- och ledningsmetoder, interna kontroll och riskhantering samt bedömer om koncernkontrollen är ändamålsenligt och effektivt ordnad. För att vara oberoende borde internrevisionen ha rätt att utan hinder av sekretessbestämmelserna få tillgång till de uppgifter och handlingar som behövs för revisionen av kommunens verksamhet och höra nödvändiga personer. Vidare borde den även ha rätt att fritt och självständigt besluta om inspektions- och konsulteringsuppgifterna samt om hur de ska riktas till kommunens verksamhet enligt definitionen i 6 § i kommunallagen.

Internrevisionen är inriktad på hela organisationens interna kontroll, riskhantering samt lednings- och förvaltningsprocesser. Avsikten med internrevisionen är att se till att organisationens verksamhet är förenlig med målen, verksamhetsprinciperna samt lagstiftningen och andra bestämmelser.

I kommunallagen finns det inga bestämmelser om internrevision, eftersom kommunerna och samkommunerna har olika storlek och organisationsform och det därför inte går att hitta en enhetlig modell för alla kommuners och samkommuners internrevision. Det är dock befogat att framför allt medelstora och stora kommuner och samkommuner har en professionell internrevision. Den kan ordnas till exempel som kommunens/kommunkoncernens eller samkommunens egen verksamhet eller i samarbete med andra kommuner. Den kan också köpas av utomstående serviceproducenter.

Internrevisionens plats i organisationen

För att säkerställa att internrevisionen är oberoende och objektiv bör den vara underställd kommunstyrelsen, dess sektion eller kommitté, varvid internrevisionen rapporterar resultaten av sin verksamhet till organet samt till kommundirektören eller borgmästaren. Rapporteringen till ett kollegialt organ tryggar en objektiv och oberoende behandling av resultaten av verksamheten samt verkningsfullheten hos internrevisionens verksamhet. Dessutom är det viktigt att ledamöterna i organet i fråga är oavhängiga och har tillräcklig sakkunskap för uppgiften.

Kommunförbundets styrelse har 23.4.2015 godkänt bland annat följande rekommendation i anknytning till ledningen av kommunen samt kommunens ägar- och koncernstyrning:

Rekommendation 15: I de grunder för kommunens och kommunkoncernens interna kontroll och riskhantering som fullmäktige fattat beslut om fastställs riktlinjerna, målen och delområdena för den interna kontrollen och riskhanteringen och hur de ska genomföras, följas upp och utvärderas. I grunderna fastställs också skyldigheten att ordna internrevision om den interna kontrollen och riskhanteringen inte ger koncernledningen tillräcklig säkerhet om att den interna kontrollen och riskhanteringen är ändamålsenligt och effektivt ordnad i kommunen och kommunkoncernen.  

Läs mer:

Ordnandet av internrevision

Enkätresultat: Internrevision i kommuner och samkommuner

Formulär för riskbedömning

Riskhanteringen bör utgöra en integrerad del av den normala verksamheten i kommunkoncernen och dess organisationer. Det är alltså inte fråga om någon fristående process. Syftet med riskbedömningsformuläret i dessa anvisningar är att stödja riskbedömningen och riskhanteringen i ledningsarbetet och den dagliga verksamheten. Formuläret är inte avsett att användas som sådant, utan det kan omformas enligt organisationens karaktär och behov.

ISO 31000-standarden definierar risk som ”osäkerhetens effekt på mål” och "En effekt är en avvikelse från det förväntade – positiv och/eller negativ".

Enligt standarden är riskhanteringen effektiv när organisationen har en omfattande och riktig bild av riskerna i dagsläget och organisationens risker överensstämmer med dess riskkriterier. Riskhanteringen bör tillämpas i allt beslutsfattande och den bör utvecklas kontinuerligt. Kontinuerligt utbyte av information utgör en viktig del av riskhanteringen.

Riskhanteringen kan också kallas prognostisering. Med hjälp av den tolkas organisationens verksamhet och de interna och externa faktorer som påverkar den. Avsikten är att identifiera, bedöma och hantera risker.

Riskhanteringen utgör en del av den interna kontrollen och syftar till att uppnå rimlig visshet om hur organisationens mål nås samt om kontinuiteten och störningsfriheten i verksamheten.

Riskhanteringsprocessen grundar sig på

  1. identifiering och beskrivning av risker
  2. bedömning av riskens konsekvenser (hur betydande risken är) och sannolikheten att risken realiseras
  3. möjligheterna att hantera risken med olika metoder (kontroll)
  4. rapportering och uppföljning av risker.

Kommunens och kommunkoncernens risker kan indelas i till exempel strategiska risker, operativa risker, ekonomiska risker och egendomsrisker. En del av riskerna är interna inom kommunen och kommunkoncernen medan andra kommer utifrån. Om riskerna realiseras kan de påverka kommunens ställning, ekonomi, serviceförmåga, tillgång till arbetskraft och den allmänna konkurrenskraften i konkurrensen om invånare och företag.

I kommunkoncernen bör riskhanteringen kopplas till de grunder för intern kontroll och riskhantering som fullmäktige godkänt. Dessutom ska uppgifts- och ansvarsfördelningen i förvaltningsstadgan beaktas.

Syftet med det bifogade formuläret är att ge perspektiv på riskhanteringsarbetet och underlätta en systematisk och dokumenterad riskbedömning.

Riskernas effekt bedöms på skalan 1–6: Ju större effekt risken har på målen, verksamheten eller ekonomin, desto större värde anges.

Riskernas sannolikhet bedöms på skalan 1–6: Ju större sannolikheten är att risken realiseras, desto större värde anges.

Den sammanlagda bedömningen av risken utgående från effekt och sannolikhet (de angivna siffrorna multipliceras med varandra; skalan är då 1–36): Ju större sannolikhet och effekt, desto allvarligare och signifikantare är risken.

Exempel på sammanlagd bedömning: Utgående från det tal som beräknats delas riskerna in i olika grupper enligt signifikans: 
 
1–2: obetydlig risk
3–4: liten risk
5–8: måttlig risk
9–16: kännbar risk
18–25: betydande risk
26–36: oacceptabel risk

riskens sannolikhet och påverkan

Det gäller också att avgöra hur man ska förhålla sig till riskerna och vilka åtgärder som krävs. Ju större risk, desto snabbare och effektivare måste hanteringsmetoderna utarbetas och införas.

Omarbeta formuläret enligt egna behov: lägg till rader, dela in formuläret efter område, komplettera. Fortsätt bedöma riskerna regelbundet och på allt djupare plan och gör riskbedömningen till en del av det dagliga arbetet.

Formulär för riskbedömning

tags
Sari Korento

Sari Korento

Utvecklingschef
Enheten för livskraft och ekonomi, Kommunalekonomi
+358 9 771 2616
Ansvarsområden
  • sekreterare i bokföringsnämndens kommunsektion
  • ekonomistyrning
  • revision
  • intern kontroll
  • riskhantering