Förstudie avseende SOLTAK
Förstudie avseende SOLTAK
För beslut i:
Kommunstyrelsen, Kungälvs kommun
För kännedom till: Kommunfullmäktige
EY har på uppdrag av de förtroendevalda revisorerna i Kungälvs kommun genomfört en förstudie av SOLTAK AB (SOLTAK). Syftet med förstudien har varit att översiktligt kartlägga kommunens styrning och uppföljning avseende SOLTAK.
I bifogad rapport har det lämnats en beskrivning av gjorda iakttagelser samt identifierade risker. Revisorerna översänder här rapporten till kommunstyrelsen för kännedom och behandling i enlighet med fastslagen rutin för avrapportering av revisionens granskningar.
Förstudien visar att det inom flera områden saknas avtal och överenskommelser som framförallt tydliggör ansvarsförhållandet inom de verksamhetsområden kommunen överlämnat till SOLTAK. Avsaknaden av avtal och överenskommelser har bidragit till att skapa risker kopplat till kommunens styrning, uppföljning och kontroll. Merparten av de risker som identifierats i förstudien avser IT-säkerhet. Dessa risker återfinns framförallt på grund av att det saknas avtal och överenskommelser inom IT-området.
Kommunrevisionen avser att följa vilka åtgärder kommunstyrelsen vidtar med anledning av de risker som framgår i förstudien (se bilaga 1).
Kommunrevisionen emotser, att senast den 20 juni 2018, få ett skriftligt svar på vilka åtgärder som kommunstyrelsen planerar att vidta med anledning av bifogad rapport och de områden som uppmärksammats ovan.
Kungälv den 27 april 2018 För Kommunrevisionen
Xxxxxxxxx Xxxxxxxx Ordförande
KOMMUNREVISIONEN
ADRESS Stadshuset · 442 81 Kungälv
TELEFON 0000-00 00 00 vx
FAX 0000-000 00
Bilaga 1.
• Risk för bristande styrning och uppföljning avseende SOLTAK på grund av att det saknas överenskommelser och avtal som till exempel tydliggör ansvarsfördelning och kvalitetsmått.
• Risk för otydliga beslutsprocesser mot bakgrund av att kundrådens mandat, roll och funktion uppfattas som otydlig.
• Risk för bristande uppföljning då det saknas mätbara mål som möjliggör en tillfredställande uppföljning av SOLTAK.
• Risk för att kommunens nuvarande IT-stöd inte utvecklas och underhålls på en rimlig nivå till den ersätts mot bakgrund av att det saknas en fastställd migreringsplan.
• Risk för att de IT-lösningar som utvecklas inom ramen för den kommungemensamma IT-miljön inte är tillräckligt anpassade efter de olika verksamheternas behov.
• Risk för att kommunen inte erhåller de IT-tjänster som förväntas och som kommunen betalar för mot bakgrund av att det saknas detaljerade avtal som beskriver ansvarsförhållanden och gränsdragning mellan beställare och leverantör.
• Risk för bristande möjlighet att ställa krav på SOLTAK på grund av att det inte överenskommits eller reglerats vilken nivå av tjänst SOLTAK ska tillhandahålla.
• Risk för bristande IT-support då det saknas servicenivåavtal som definierar nivå på till exempel tillgänglighet och omfattning på stöd till beställaren.
• Risk för att kommunens informationstillgångar inte har tillräckligt skydd på grund av att det saknas detaljerade avtal som reglerar hur informationstillgångar ska hanteras.
• Risk för felaktiga och/eller uteblivna löneutbetalningar mot bakgrund av att kommunen inte säkerställer att SOLTAK utför kontroller i löneutbetalningsprocessen.
• Risk för att felaktiga löneutbetalningar, avsiktliga såväl som oavsiktliga, inte upptäcks på grund av att kommunen inte säkerställer att SOLTAK utför kontroller i löneutbetalningsprocessen.
KOMMUNREVISIONEN
Revisionsrapport 2017
Genomförd på uppdrag av revisorerna Mars 2018
Kungälvs kommun
Innehållsförteckning
1.2. Syfte och revisionsfrågor 3
2. Styrning, uppföljning och kontroll av SOLTAK 4
2.3. Organisation och beslutsprocesser 6
2.4. Uppföljning och kontroll 6
4.2. Kontroll av löneutbetalningar 13
5. Svar på förstudiens frågor och slutsats 14
5.1. Svar utifrån revisionsfrågorna 14
Bilagor:
Bilaga 1: Bakgrund till förstudien
Bilaga 2: Vidareutveckling av revisionsfrågorna Bilaga 3: Källförteckning
Sammanfattning
På uppdrag av de förtroendevalda revisorerna i Kungälvs kommun har EY genomfört en förstudie avseende SOLTAK AB (SOLTAK). Förstudien syftar till att översiktligt kartlägga kommunens styrning och uppföljning avseende SOLTAK. Inom ramen för förstudien har det inte genomförts intervjuer med representanter för SOLTAK. Detta innebär att förstudien inte avser SOLTAK AB:s interna arbetssätt, processer med mera.
Kommunfullmäktige fastställde i december 2017 den nuvarande bolagsordningen, ägardirektivet och aktieägaravtalet för SOLTAK. Bolagsordningen beskriver utöver föremålet för bolaget bland annat ändamålet med bolagets verksamhet. Ägardirektivet syfte är att möjliggöra en aktiv styrning samt underlätta för ägarna att följa och kontrollera verksamheten i bolaget. Aktieägaravtalet beskriver bland annat avsikten med bolaget.
Förstudien visar att det saknas avtal och överenskommelser som beskriver vilken kompetensnivå SOLTAK ska upprätthålla. Det avtal som finns mellan kommunen och SOLTAK är på en övergripande nivå och tydliggör inte kompetensnivåer.
Av förstudien framgår att kommunen genomfört en riskanalys och utarbetat ett förslag på internkontrollplan som innehåller kontroller kopplat till SOLTAK. Vidare beslutade kommunstyrelsen i december att erhålla månadsvis uppföljning av ekonomi avseende SOLTAK.
För att SOLTAK ska kunna starta ett nytt tjänsteområde ska enligt ägardirektivet minst två ägarkommuner besluta att ge bolaget uppdraget att etablera den nya tjänsten. Därtill visar förstudien att det i aktieägaravtalet framgår att beslut av principiell beskaffenhet ska föregås av ställningstagande i respektive ägarkommuns kommunfullmäktigeförsamling.
Utifrån förstudien framgår att de avtal som tecknats mellan kommunen och SOLTAK inte reglerar krav på IT-säkerhet samt inte innehåller de IT-säkerhetsaspekter som enligt praxis bör inkluderas i avtal med en extern leverantör av IT-miljö. Av förstudien framgår vidare att det finns förbättringsmöjligheter kopplat till kommunens processer och kontroller avseende SOLTAK:s lönehantering. Kommunen och SOLTAK har i samråd kartlagt processer och utarbetat tjänstebeskrivningar för lönehantering i syfte att tydliggöra ansvarsförhållanden. Förstudien visar dock att det saknas servicenivåavtal för andra HR-relaterade aktiviteter såsom handläggning av anställningsavtal.
Merparten av de risker som identifierats i förstudien avser IT-säkerhet. Enligt vår mening återfinns dessa risker framförallt på grund av att det saknas avtal och överenskommelser inom dessa områden. I avsnitt 5.2 framgår de risker som identifierats i förstudien.
1. Inledning
1.1. Bakgrund
De förtroendevalda revisorerna har beslutat att avropa en förstudie avseende SOLTAK AB. Bakgrunden till förstudien beskrivs närmare i bilaga ett.
1.2. Syfte och revisionsfrågor
Förstudien syftar till att översiktligt kartlägga kommunens styrning och uppföljning avseende SOLTAK AB. Syftet har konkretiserats av kommunrevisionen i nedanstående revisionsfrågor som därefter har vidareutvecklats enligt bilaga två:
⯈ Kompetensnivå: Upprätthåller SOLTAK gällande kompetens utifrån ingånget avtal? (Hur upprätthåller man adekvat kompetensnivå)
⯈ Xxxxx xxxxxx och konsekvenser har, och kan tänkas, uppkommit för kommunen när man arbetar med SOLTAK. Såväl ekonomiska som tidsmässiga ska analyseras utifrån befintliga upparbetade processer? (Hur påverkar processerna situationen)
⯈ Hur ser beslutprocesserna ut genom SOLTAK och kommunen från idé till fattat beslut och hur effektiva är dessa?
⯈ IT-säkerhet. (Vem ansvarar för IT-säkerheten). Vilka processer finns idag för att upprätt- hålla adekvat IT-säkerhet och hur väl är säkerheten anpassad utifrån gällande lag- stiftning?
⯈ Lönehantering. Hur hanteras den och finns det förbättringsmöjligheter?
1.3. Avgränsning
Förstudien är inriktad på att ge en översiktlig bild av området och syftar i första hand till att utgöra ett kunskapsunderlag för revisorerna i det fortsatta granskningsarbetet.
Förstudien avgränsas till att avse kommunens styrning, uppföljning och kontroll av SOLTAK AB. Vi har inom ramen för förstudien inte intervjuat representanter från SOLTAK AB. Detta innebär att förstudien inte avser SOLTAK AB:s interna arbetssätt, processer med mera.
1.4. Metod
Förstudien har genomförts genom dokumentstudier och intervjuer. Källförteckning framgår i bilaga tre. Samtliga intervjuade har getts tillfälle att sakfelsgranska rapporten.
2. Styrning, uppföljning och kontroll av SOLTAK
2.1. SOLTAK AB
Kommunfullmäktige beslutade i september 2012 att godkänna bolagsordning och ägardirektiv för SOLTAK AB (nedan kallat SOLTAK). Av beslutet från 2012 framgår att bolaget ska utföra stöd- och servicetjänster åt ägarkommunerna Kungälv, Stenungsund, Lilla Edet, Tjörn, Ale och Orust1. Bolaget bildades formellt i januari 2013. I december 2017 antogs en ny bolagsordning (se avsnitt 2.2.2).
Av nuvarande bolagsordning framgår att föremålet för bolagets verksamhet är att ”… tillhanda- hålla ägarkommunerna stöd- och servicetjänster inom verksamhetsområdena löne- administration, ekonomiadministration, IT-drift och support. Bolaget kan också tillhandahålla tjänster inom växeltelefoni, gemensam upphandling, fordonsförsörjning, juridik mm, samt specialistfunktioner inom samhällsplanering och teknik.”
Utöver bolagsordningen har kommunfullmäktige antagit ett aktieägaravtal och ägardirektiv för SOLTAK. Därtill finns ett avtal mellan SOLTAK och Kungälvs kommun undertecknat i april 2016 av tidigare kommunchef samt VD för bolaget (se avsnitt 2.2.3). Enligt avtalet arbetade bolaget under 2015 med att skapa förutsättningar för att kunna gå i drift med av kommunerna överförd personal och verksamhet. Under året upphandlades bland annat nya ekonomi-, HR- och personalsystem. Per den 1 januari 2016 överfördes cirka 80 medarbetare från kommu- nerna Kungälv, Stenungsund, Lilla Edet och Tjörn till bolaget.
Under 2013 genomförde ett externt konsultföretag en förstudie. Syftet med förstudien var att utarbeta beslutsunderlag som skulle ligga till grund för respektive kommuns ställningstagande om vilken eller vilka verksamheter som skulle lämnas över och skötas av SOLTAK. Av förstudien framgår bland annat en nulägeskartläggning, omvärldsanalys, genomförandeplan, styrande principer samt en beskrivning av möjligheter och risker kopplat till bolaget (se avsnitt 2.2.3).
2.2. Styrning av bolaget
Till grund för kommunens styrning av SOLTAK finns en aktivitet i kommunens årsplan, bolags- ordning, ägardirektiv, aktieägaravtal samt ett avtal mellan Kungälvs kommun och bolaget. Dessa dokument beskrivs nedan.
2.2.1. Mål och aktiviteter kopplat till SOLTAK
Av kommunstyrelsens årsplan 2017-2019 framgår en aktivitet avseende SOLTAK:
⯈ Utreda ytterligare samarbetsområden med SOLTAK
Av beskrivningen till aktiviteten framgår att bolaget är inne i en expansiv fas. Ytterligare samarbetsområden ska enligt beskrivningen värderas i syfte att nå en ökad kommunal hus- hållning, ökad kvalitet och minskad chefsbelastning. Denna aktivitet återfinns även i förvaltningsplanen för 2018-2019.
1 Orust kommun anmälde hösten 2012 intresse om att få medverka i bolaget.
Utifrån intervjuer, årsplanen samt förvaltningsplanen framgår att det inte återfinns av kom- munen ytterligare beslutade aktiviteter eller mål som avser SOLTAK.
2.2.2. Bolagsordning, ägardirektiv och aktieägaravtal
Den nuvarande bolagsordningen antogs av kommunfullmäktige i december 2017. Bolags- ordningen beskriver utöver föremålet för bolaget bland annat ändamålet med bolagets verk- samhet som är att ”… främja ägarkommunernas behov av administrativa stödresurser på ett kostnadseffektivt sätt”. Därtill framgår till exempel styrelsesammansättning, allmänhetens rätt att ta del av bolagets handlingar, genomförande av årsstämman samt bolagstämmans kom- petens.
Ägardirektivet antogs av kommunfullmäktige i december 2017. Ägardirektivets syfte är att möjliggöra en aktiv styrning samt underlätta för ägarna att följa och kontrollera verksamheten i bolaget. Vidare framgår att ägarkommunerna löpande ska utvärdera verksamheten och verksamhetsformerna samt bolagets strategier och mål och hur dessa överensstämmer med ägarkommunernas övriga verksamheter. Xxxxxxx ska ägarkommunerna enligt ägardirektivet bedöma hur verksamheten i bolaget sköts av styrelse och ledning. I ägardirektivet beskrivs även att respektive kommunstyrelse inom ramen för uppsiktsplikten har ett ansvar att ha en överblick och kontroll över bolagets verksamhet.
Aktieägaravtalet antogs av kommunfullmäktige i december 2017. Av aktieägaravtalet framgår att avsikten med bolaget är att ”… åstadkomma en legal form för samverkan mellan ägar- kommunerna. Samverkan syftar till att ägarkommunerna ska kunna utföra stöd- och service- tjänster mer kostnadseffektivt än om varje ägarkommun gör det för sig och därmed ge med- borgarna större nytta för skattepengarna samt tillföra ägarkommunernas kärnverksamheter mer pengar”. I aktieägaravtalet framgår även att respektive ägarkommun ska utse två personer som representerar respektive kommunstyrelse att ingå i ett ägarråd. Ägarrådet ska enligt avtalet vara ett forum där politiker och tjänstemän diskuterar långsiktiga ägarfrågor. Till ägar- rådet ska även respektive kommunchef kallas.
2.2.3. Avtal mellan SOLTAK och Kungälvs kommun
I april 2016 undertecknade tidigare kommunchef samt VD för SOLTAK ”Avtal mellan SOLTAK AB och Kungälvs kommun”. Av avtalet framgår att bolaget ska förvalta kommunernas befintliga IT-miljöer och erbjuda kommunernas verksamheter samma servicenivå som innan verksamhetsövergången till bolaget. Vidare framgår att SOLTAK efter relevanta upphandlingar 2015-2016 ska överta ägarkommunernas ekonomi-, HR- och löneadministration.
Enligt tillförordnad kommunchef och förvaltningscontroller är avtalet övergripande och bidrar till exempel inte till att tydliggöra hur bolaget ska utföra de tjänster som överlämnats till SOL- TAK. Vidare framgår att det inte finns avtal som fastställer vilken kompetensnivå bolaget ska upprätthålla för att utföra överlämnade tjänsteområden.
Enligt ekonomichefen säkerställs att bolaget har rätt kompetens avseende ekonomifrågor genom att det är tidigare medarbetare från kommunen som utför arbetet i bolaget. Vidare framgår att dialogen mellan teamledaren för ekonomi i bolaget och ekonomichefen fungerar
på ett bra sätt. Enligt ekonomichefen diskuterar teamledaren och ekonomichefen vid behov frågor som avser till exempel kompetens.
Av den förstudie som genomfördes inför uppstarten av SOLTAK (se avsnitt 2.1) framgår att bolaget ”… kommer leverera ett antal fördefinierade tjänster till kommunerna samt support kring dessa enligt överenskommelser som tecknas mellan SOLTAK AB och den enskilda kommunen”. Enligt förstudien är överenskommelserna en ”ofrånkomlig” komponent i skap- andet av en beställar-utförarrelation. Vidare framgår att överenskommelserna är beställarens viktigaste instrument för att säkerställa leverans av rätt kvalitet. Överenskommelserna ska enligt förstudien bland annat tydliggöra ansvarsfördelning i berörda processer, servicenivåer, kundsupport, kvalitetsmått och prismodell. Utifrån intervjuer framgår att det inte finns överenskommelser mellan kommunen och SOLTAK. Vid intervju med tillförordnad kommun- chef och förvaltningscontroller framgår att detta inte utarbetats. Avsaknaden av mer detal- jerade avtal och överenskommelser har enligt tillförordnad kommunchef och förvaltnings- controller bidragit till att samverkan mellan kommunen och bolaget försvårats.
2.3. Organisation och beslutsprocesser
⯈ Kundråd lön
⯈ Kundråd ekonomi
⯈ Kundråd IT
⯈ Kundråd kommunchefer
Kundråden är forum där representanter från SOLTAK träffar ägarkommunernas repre- sentanter. I kundråd ekonomi ingår respektive ekonomichef, i kundråd HR respektive HR- eller personalchef, i kundråd IT respektive IT-chef samt i kundråd kommunchef respektive kommunchef. Enligt den förstudie som utarbetades inför bildandet av bolaget ska det i kundråden diskuteras strategiska frågor som är gemensamma för alla kommuner. Detta kan till exempel avse förslag till nya tjänster, leverans- och serviceuppföljning samt behov av gemensamma investeringar.
Vid intervjuer med tidigare kommunchef och förvaltningscontroller framgår att det inte finns närmare anvisningar för kundråden. Enligt tidigare kommunchef, HR-chef och IT-chef är det till exempel inte tydligt vilket mandat kundråden har. Detta har bidragit till att kundrådens roll och funktion upplevs som otydliga. Vidare framgår under intervjuer att information om till exempel utmaningar eller verksamhetsområden som inte fungerar tillfredställande ska eskaleras till kundrådet för kommunchefer. Enligt tidigare kommunchef fungerar inte detta på ett tillfredställande vis då denna information sällan eskaleras till kundrådet för kommunchefer. Utifrån intervjuar framgår att otydligheter i kundrådens roll, funktion och mandat har bidragit till att försvåra styrningen och uppföljningen av bolaget.
Enligt ekonomichefen fungerar arbetet i kundråd ekonomi på ett bra sätt. Vid intervju framgår att ekonomicheferna i rådet sedan starten haft en gemensam målbild och vilja om att arbetet i
kundrådet ska fungera. Detta har enligt ekonomichefen bidragit till att arbetet i kundrådet fungerar på ett tillfredställande vis.
SOLTAK tillhandahåller stöd- och servicetjänster inom tjänsteområdena löneadministration, ekonomiadministration samt IT-drift och support. Enligt ägardirektivet för SOLTAK förutsätter ett nytt tjänsteområde att minst två av ägarkommunerna beslutar att ge bolaget uppdraget att etablera den nya tjänsten. Vidare framgår att beslut avseende bolaget som är av principiell beskaffenhet eller annars av större vikt ska föregås av ställningstagande av respektive ägar- kommuns kommunfullmäktige. Av ägardirektivet framgår att kommunfullmäktiges ställnings- tagande till exempel ska inhämtas vid strategiska investeringar som innebär en ny inriktning för bolaget eller start av verksamhet inom nytt affärs- eller verksamhetsområde.
2.4. Uppföljning och kontroll
I förstudien som utarbetades inför uppstarten av bolaget genomfördes en riskanalys för att identifiera möjligheter och risker med SOLTAK. Totalt identifierades femton möjligheter och elva risker indelat i områdena ekonomi, kvalitet, styrning och effektivitet samt medarbetar- utveckling. I tabellen nedan framgår exempel på de möjligheter och risker som identifierades i förstudien:
Identifierade möjligheter | Identifierade risker |
⯈ Lägre kostnad för stödfunktion ⯈ Högre kvalitet genom standardisering och förbättrade rutiner ⯈ Ökad produktivitet genom stordriftsfördelar ⯈ Tydliga roller och ansvarsområden ⯈ Mer kundfokus genom ett processynsätt som ger högre kvalitet ⯈ Förbättrad tillgänglighet, alltid tillgång till kvalificerade personer | ⯈ Start- och omställningskostnader ⯈ Internt motstånd mot förändringar ⯈ Ställer krav på beställarkompetens inför överenskommelser mellan parterna ⯈ Ger mindre närhet till kärnverksamheten ⯈ Ställer krav på aktiv styrning och uppföljning från beställaren ⯈ Ställer krav på anpassning till gemensamt arbetssätt |
Tabell: Exempel på identifierade risker och utmaningar utifrån genomförd förstudie.
Utifrån intervjuer framgår att det inte genomförts någon uppföljning av förstudien samt de möjligheter och risker som identifierades i rapporten. Vid intervjuer framgår vidare att kom- munen utöver förstudien inte genomfört en samlad riskanalys specifik för SOLTAK. Däremot framgår i kommunstyrelsens riskanalys inför 2018 tre identifierade risker kopplat till bolaget:
⯈ Avsaknad av tjänstekataloger och SLA2 skapar otydligheter och är mycket kostnads- drivande. Kommunen har tillhandahållit en prioriteringslista IT till Soltak AB som stöd för arbetet. Mycket långsam progress.
⯈ Om felaktig lön betalas ut kan kommunen som arbetsgivare lida ekonomisk skada då det i vissa fall kan bli svårt att återkräva för mycket utbetald lön. Arbetsgivarvarumärket ska- das.
2 Servicenivåavtal (SLA).
⯈ Brister kan få stora kostnadsdrivande konsekvenser gentemot skolas leverantör av xxx- xxxx klienter.
Utifrån den första av ovanstående risker har kommunstyrelsens i internkontrollplan 2018 fastställt nedanstående aktivitet kopplat till risken:
⯈ Fortlöpande dialog med leverantör på alla nivåer, eskalera olösta problem i linjen till sty- relsen. Systematisk dokumentation av de brister som kontinuerligt identifieras. Månatlig uppföljning.
Utöver ovanstående aktivitet i internkontrollplanen har förvaltningen utarbetat en förteckning bestående av cirka 50 ärenden med tillhörande förslag på åtgärder inom IT-området. Förteck- ningen syftar till att påvisa och tydliggöra de ärenden där kommunen upplever att arbetet inom IT-området inte fungerar i SOLTAK. I förteckningen är respektive ärende värderat utifrån en skala om 1-3 för att påvisa konsekvensen för verksamheten. Enligt tillförordnad kommunchef och förvaltningscontroller är förteckningen överlämnad till SOLTAK.
Kommunstyrelsen beslutade i december 2017 att löpande följa upp ekonomin för SOLTAK samt att löpande följa upp samlade kostnader samt övergripande projekt inom kommunens egen organisation kopplat till SOLTAK. Vid intervju med förvaltningscontroller framgår att kommunstyrelsen från och med cirka mars 2018 kommer erhålla uppföljning månadsvis enligt beslutet.
2.5. Identifierade risker
Att inte upprätta detaljerade avtal med en extern leverantör av tjänster som beskriver ansvars- förhållanden och gränsdragning mellan beställare och leverantör medför en risk för att beställaren inte erhåller de tjänster som förutsätts samt att beställaren inte erhåller de tjänster och det stöd beställaren faktiskt betalar för. Vidare medför detta även en risk för att de tjänster beställaren erhåller inte är optimalt anpassade efter verksamhetens behov, då beställaren inte utvecklat och fastställt en kravställning med utgångspunkt i verksamhetens förutsättningar. Vidare innebär en avsaknad av detaljerade avtal och tjänstebeskrivningar att kommunen i egenskap av beställare inte har någon konkret överenskommelse att ställa eventuella avvikelser och problem med leverantörens tjänster emot. Detta innebär en risk för att beställaren inte kan ställa krav gentemot tjänsteleverantören SOLTAK på önskat sätt. Detta mot bakgrund av att det inte överenskommits eller reglerats vilken nivå av tjänst leverantören ska tillhandahålla.
3. IT-säkerhet
3.1. Migreringsplan
Vid uppstarten av SOLTAK var syftet att låta bolaget överta och förvalta kommunens befintliga IT-miljö och erbjuda kommunens verksamheter samma servicenivåer som tidigare. Parallellt med detta skulle SOLTAK arbeta för att utveckla och bygga upp en kommungemensam IT- miljö med gemensamt datanät, datacenter samt IT-support för samtliga ägarkommuner.
Den kommungemensamma IT-miljön planerades att vara klar för start under 2016. Den kommungemensamma IT-miljön skulle även stödja de nya personal- och ekonomisystem som upphandlats och driftas av SOLTAK. Därefter skulle arbetet med att successivt migrera över delar av de deltagande kommunernas befintliga IT-miljöer påbörjas. Detta migreringsarbete skulle enligt det avtal som tecknats planeras och ledas i nära samverkan mellan SOLTAK och de tre deltagande ägarkommunerna. I den förstudie som genomfördes inför starten av SOLTAK beskrivs det som en nyckelfaktor att migreringen sker i nära samverkan med ägarkommunerna. Under intervjuer framgår att den plan som utarbetades för den kommungemensamma IT-miljön var för optimistisk. Detta resulterade i att tidsplanen för migreringen justerades. Vidare framgår under intervjuer att kommunen inte erhållit information från SOLTAK avseende när migreringen av kommunens IT-verksamhet till den gemensamma miljön ska påbörjas. Enligt uppgift från IT- och digitaliseringschefen har kommunen efterfrågat detta men inte erhållit någon återkoppling från SOLTAK. Därtill framgår att kommunen inte har insyn eller erhåller information om hur arbetet med den kommungemensamma IT-miljön fortskrider eller vad en eventuell migreringsplan omfattar.
3.2. Avtal
Som tidigare nämnts (se avsnitt 2.2.3) är de avtal som initialt upprättats mellan SOLTAK och kommunen på en övergripande nivå och inga detaljerade avtal, tjänstebeskrivningar och servicenivåavtal har upprättats. Enligt förvaltningscontroller har kommunen till bolaget under 2017 påtalat behovet av en tjänstekatalog och servicenivåavtal.
Efter att SOLTAK övertog förvaltningen av kommunens befintliga IT-miljö framgår av intervjuer att det uppstått problem med tjänsteleveransen inom flertalet områden. Dessa problem och utmaningar har enligt uppgift lyfts till kundråd IT men har inte föranlett konkreta åtgärder. Enligt de intervjuade är det svårt att ställa krav gentemot SOLTAK då det inte finns överenskommelse eller några tjänstebeskrivningar att utgå ifrån.
Det finns inget servicenivåavtal upprättade mellan SOLTAK och kommunen vad gäller IT- support.
3.3. Informationssäkerhet
All information som lagras och hanteras av SOLTAK på uppdrag av kommunen ägs av kommu- nen. Beslut om att utlokalisera IT-miljön på en extern leverantör innebär således att verksam- hetens information görs tillgänglig för och behandlas av en extern part vilken inte omfattas av verksamhetens interna styrdokument och regelverk. Detta innebär att säkerheten för kom-
munens informationstillgångar måste regleras i avtal. Som tidigare konstaterats är de nuva- rande avtalen mellan kommunen och SOLTAK upprättade på en övergripande nivå. Avtalen reglerar inte IT-säkerhet. Ett sekretessavtal har träffats mellan kommunen och SOLTAK, men detta syftar enbart till att säkerställa korrekt hantering av sekretessbelagd information enligt offentlighets- och sekretesslagen. Sekretessavtalet syftar inte till att reglera informations- säkerhet i stort.
3.4. Identifierade risker
Att inte utarbeta och fastställa en migreringsplan för överföring av IT-verksamhet till gemensam IT-miljö i samråd med alla inblandade aktörer skapar en risk för att kommunens nuvarande IT- stöd inte utvecklas och underhålls på en nivå som är rimlig i förhållande till när den kommer att ersättas. Då verksamheter som planerar att använda lösningarna inte deltar i planeringsarbetet föreligger även en risk för att de lösningar som utvecklas inom ramen för den kommungemensamma IT-miljön inte är tillräckligt anpassade efter de olika verksam- heternas behov. Detta medför även en risk för att leverantören inte kan stötta beställaren på ett optimalt sätt.
En viktig beståndsdel i avtal med en extern leverantör av IT-miljö är supporttjänster och den nivå på tillgänglighet och stöd i relation till dessa som beslutas. Beställaren och leverantören bör gemensamt definiera rutiner och processer för ärendehantering för att säkerställa optimalt stöd för verksamheten. Avtalade servicenivåer bör baseras på analys av verksamhetens behov för att på så sätt kunna utformas så att verksamheten får det stöd den behöver i tillräckligt god tid innan den riskerar att lida skada.
Att inte upprätta servicenivåavtal för de tjänster som ska utföras av en leverantör skapar en risk för att den nivå av support beställaren erhåller från leverantör inte är tillräckligt hög och att verksamheten således inte får det stöd som behövs inom den tidsram som är nödvändig. Att inte ha avtalade inställelsetider och tillåtna tidsramar för olika typer av ärenden och incidenter kan resultera i att verksamheten lider allvarlig skada då beställaren inte får den support eller service beställaren behöver för att kunna bedriva verksamheten på ett avbrottsfritt och tillfredsställande sätt.
Avtal med en extern leverantör av IT-miljö bör enligt praxis inom informations- säkerhetsområdet minst omfatta krav på IT-säkerhetsrutiner såsom säkerhet i produktionsmiljö, informationssäkerhetspolicy, krav på fysisk säkerhet, backuphantering och redundans. Xxxxxxx bör det omfatta krav på incidenthantering, kommunikation och tillgänglighet, krav på konfidentialitet, behörighetskrav, kontinuitetsplanering och tillhörande tester, åtkomst till processbeskrivningar samt revisionsrättigheter.
Att inte upprätta sekretessavtal med minst den omfattning som beskrivs ovan medför en risk för att kommunens informationstillgångar inte har tillräckligt skydd och att verksamheten kan äventyras då de krav som bör ställas på IT-processen inte har reglerats eller definierats. Att inte inkludera kritiska informationssäkerhetsaspekter i avtalet med SOLTAK innebär vidare en risk för att kommunens information inte erhåller skydd anpassat till dess betydelse för verksamheten och dess behov. Då verksamheten är beroende av informationen och dess tillgänglighet, riktighet och sekretess ligger ansvaret för att säkerställa att informationen är tillräckligt skyddad med avseende på dessa tre aspekter ytterst på kommunen. Det är därför
av stor vikt att kommunen upprättar detaljerade avtal med tjänsteleverantören som reglerar informationssäkerhet definierat ur ett verksamhetsperspektiv.
4. Lönehantering
4.1. Avtal
SOLTAK har på uppdrag av kommunen övertagit verksamhetsområde löneadministration. SOLTAK utför alla uppgifter relaterade till löneutbetalningsprocessen samt ett antal administrativa tjänster inom HR såsom handläggning av anställningsavtal. Lönegrundande uppgifter och underlag skapas och attesteras fortfarande i kommunens verksamheter.
I samband med att SOLTAK 2016 övertog kommunens lönehantering driftsattes även en ny personaladministrativ systemlösning för de fyra deltagande kommunerna, Personec. Kom- munen använde även innan en tidigare version av Personec och behövde således inte byta system helt utan uppgraderades till en senare version. SOLTAK ansvarade för att upphandla, utveckla och driftsätta Personec i sin egenutvecklade IT-miljö och agerar således även systemägare och förvaltare för systemet. Löneavdelningen hos SOLTAK skapades genom att en del av kommunens egen personal överfördes till bolaget vilka således var bekanta med kommunens verksamhet. I likhet med för IT-verksamheten bidrog detta till att kommunen upplevde SOLTAK som en förlängning av den egna verksamheten. Av intervjuer framgår att kommunen inte behandlade SOLTAK som en extern tjänsteleverantör vilket innebar att kommunen inte ansåg att det fanns ett omedelbart behov av att upprätta detaljerade avtalsvillkor innan avtalet tecknades. Detta skulle istället arbetas fram gemensamt. Under intervjuer framgår att kommunen i efterhand insett svårigheterna med att förlägga löne- administrationen på en extern leverantör. Detta då det innebär att en viktig del av verksam- hetens HR-stöd förlorar sin verksamhetsnära koppling. Det skapar en begränsning av möjligheten att förstå och anpassa rutiner inom löneadministrationen till olika lokala aspekter inom kommunens verksamheter såsom individuella avtalsvillkor.
Vid intervjuer framgår att kommunen kommit relativt långt i detta arbete. Kommunen har tillsammans med SOLTAK kartlagt processer och subprocesser relaterat till löneadministrationen och utarbetat detaljerade tjänstekataloger för de olika processtegen. Detta för att tydliggöra ansvar och beskriva de tjänster SOLTAK utför och lämnar support inom.
SOLTAK utför enligt avtal merparten av de aktiviteter som avser löneadministration och löne- utbetalningar. Inom ramen för detta avtal utför SOLTAK även ett antal aktiviteter som inte direkt avser månadsvis utbetalning av lön, till exempel handläggning och registrering av anställningsavtal. För denna typ av aktiviteter framgår under intervjuer att kommunen ännu inte upprättat servicenivåavtal som exempelvis beskriver maximal handläggningstid. Vidare framgår att detta har medfört vissa utmaningar, till exempel att kommunen anser att SOLTAK har för långa handläggningstider och inte klarar av att leverera den tjänst kommunen behöver inom den tidsram som krävs. Kommunen och SOLTAK har vidare inte kommit överens om lämpliga servicenivåer. Detta leder till att kommunen i nuläget inte har någon möjlighet att ställa krav gentemot SOLTAK avseende handläggningstider.
4.2. Kontroll av löneutbetalningar
Likt tidigare nämnts har kommunen upplevt problem i och med förflyttningen av löne- administrativa uppgifter från kärnverksamheten till SOLTAK. Detta då det inneburit att löne- ansvariga distanserats från verksamheten och att kommunen således förlorat en del av den verksamhetsnära kompetensen såsom kunskap om unika avtal på detaljnivå. Antalet felaktiga löneutbetalningar har enligt uppgift från HR-chefen ökat sedan SOLTAK övertog ansvaret för löneadministrationen. Vidare framgår att det finns en uppfattning om att förflyttningen från kärnverksamheten varit en starkt bidragande faktor till det ökande antalet felaktiga löne- utbetalningar. I nuläget finns enligt HR-chefen ingen återkommande återrapportering från SOLTAK avseende hur bolaget arbetar med intern kontroll inom löneadministrationen. Utifrån intervjuer framgår att detta innebär att kommunen saknar kunskap om det utförs kontroller inom ramen för löneadministrationen samt vilka rutiner som finns inom området. Den enda formen av lönekontrollerande åtgärd som utförs av kommunen är den attest av lönegrundande underlag som skickas från verksamheten till SOLTAK. Utöver detta kan kommunens chefer aktivt välja att gå in i Personec och utföra en kostnadskontroll för att granska månadens löne- utbetalningar för sina medarbetare. Under intervjuer framgår dock att denna kontroll upplevs som tidskrävande och generera relativt liten nytta. Detta på grund av att en chef kan ha personalansvar för ett stort antal anställda och således inte på ett snabbt och effektivt sätt kan avgöra om individuella löneutbetalningar är korrekta.
För att utveckla kontrollen kring SOLTAK och löneadministrationen har kommunen påbörjat ett arbete med att utveckla kommunens riskinventeringsplan. Riskinventeringsplanen ligger till grund för kommunens internkontrollplan. Inom ramen för internkontrollplanen framgår att samarbetet med SOLTAK är ett riskområde med hög prioritet. För löneadministrationen framgår kontrollaktiviteter kopplat till schemahantering, felaktiga löneutbetalningar, hantering av anställningsavtal, handläggningstider, bristande dialog och ärendehantering som områden där man bör införa riskreducerande åtgärder. Vidare framgår behovet av att säkerställa att SOLTAK tillämpar egenkontroll av korrekt utbetald lön.
4.3. Identifierade risker
Att inte upprätta servicenivåavtal för de tjänster som ska utföras av leverantör medför en risk för att den nivå av support beställare erhåller inte är tillräckligt hög och att verksamheten så- ledes inte får det stöd som behövs inom den tidsram som är nödvändig. Avsaknad av service- nivåer vad gäller till exempel maximal handläggningstid för anställningsavtal medför en risk för att kommunens övriga HR-verksamhet inte kan fortlöpa störningsfritt. Detta då kommunen inte inom rimlig tid får tillgång till nödvändiga underlag. Detta kan resultera i att andra HR-aktiviteter relaterade till anställningsprocessen såsom skapande av användarkonton och behörigheter fördröjs och påverkar den anställdes förmåga att utföra sitt arbete.
Att inte säkerställa och följa upp att SOLTAK har och tillämpar kontroller i löneutbetalnings- processen innebär en risk för felaktiga och/eller uteblivna löneutbetalningar. Felaktiga och uteblivna löneutbetalningar till anställda medför därtill en risk för att kommunens anseende som arbetsgivare kan skadas då anställda inte erhåller korrekt ersättning. Vidare medför bristande kontroll i löneutbetalningsprocessen även ekonomiska risker då felaktiga löne- utbetalningar, avsiktliga såväl som oavsiktliga, inte upptäcks och korrigeras. Vid en felaktig löneutbetalning kan det därtill finnas svårigheter med att återkräva för hög utbetald lön.
5. Svar på förstudiens frågor och slutsats
5.1. Svar utifrån revisionsfrågorna
Frågor | Svar på förstudiens frågor |
Kompetensnivå: Upprätthåller Soltak gällande kompetens uti- från ingånget avtal? (Hur upp- rätthåller man adekvat kompetensnivå) | Av förstudien framgår att det saknas avtal och överens- kommelser som beskriver vilken kompetensnivå SOLTAK ska upprätthålla. Det avtal som finns mellan kommunen och SOLTAK är på en övergripande nivå och tydliggör inte kompetensnivåer. Utifrån intervjuer framgår att kommunen inom det ekonomiadministrativa området säkerställer rätt kompetensnivå genom att det är kommunens tidigare medarbetare som utför arbetet i bolaget. |
Vilka risker och konsekvenser har, och kan tänkas, uppkommit för kommunen när man arbetar med Soltak. Såväl ekonomiska som tidsmässiga ska analyseras utifrån befintliga upparbetade processer? (Hur påverkar pro- cesserna situationen) | Förstudien visar att kommunen genomfört en riskanalys och utarbetat ett förslag på internkontrollplan som inne- håller kontroller kopplat till SOLTAK. Därtill beslutade kommunstyrelsen i december att erhålla månadsvis upp- följning av ekonomi avseende SOLTAK. Utifrån förstudien identifieras ett flertal risker som avser kommunens styrning, uppföljning och kontroll avseende SOLTAK. Merparten av riskerna återfinns på grund av att det saknas olika former av avtal och överenskommelser som framförallt tydliggör ansvarsförhållandet mellan kommunen och SOLTAK. De identifierade riskerna fram- går i avsnitt 4.2. |
Hur ser beslutprocesserna ut genom Soltak och kommunen från idé till fattat beslut och hur effektiva är dessa? | Ett nytt tjänsteområde inom SOLTAK förutsätter enligt ägardirektivet att minst två ägarkommuner beslutar att ge bolaget uppdraget att etablera den nya tjänsten. Vidare framgår i aktieägaravtalet att beslut av principiell beskaf- fenhet ska föregås av ställningstagande i respektive ägarkommuns kommunfullmäktigeförsamling. Förstudien visar att kundrådens mandat, roll och funktion uppfattas som otydlig. Det saknas till exempel anvisningar som beskriver vilka frågor som ska hanteras i kundråden och vilket mandat kundråden har. |
IT-säkerhet. (Vem ansvarar för IT-säkerheten). Vilka processer | De avtal som tecknats mellan kommunen och SOLTAK reglerar inte krav på IT-säkerhet samt innehåller inte de |
finns idag för att upprätthålla adekvat IT-säkerhet och hur väl är säkerheten anpassad utifrån gällande lagstiftning? | IT-säkerhetsaspekter som enligt praxis bör inkluderas i avtal med en extern leverantör av IT-miljö. Förstudien visar att det finns flertalet risker kopplat till hur kommunen säkerställer att det finns en adekvat IT- säkerhet utifrån rådande praxis inom IT- säkerhetsområdet. |
Lönehantering. Hur hanteras den och finns det förbättrings- möjligheter? | Av förstudien framgår att det finns förbättringsmöjligheter kopplat till kommunens processer och kontroller avseende SOLTAK:s lönehantering. Kommunen och SOLTAK har i samråd kartlagt processer och utarbetat tjänstebeskrivningar för lönehantering i syfte att tydliggöra ansvarsförhållanden. Förstudien visar dock att det saknas servicenivåavtal för andra HR-relaterade aktiviteter såsom handläggning av anställningsavtal. Därtill visar förstudien att det saknas rutiner för uppföljning av SOLTAK:s interna kontroll inom lönehanteringen. |
5.2. Slutsats
Syftet med förstudien har varit att översiktligt kartlägga kommunens styrning och uppföljning avseende SOLTAK.
Av förstudien framgår att det inom flera områden saknas olika former av avtal och överens- kommelser som framförallt tydliggör ansvarsförhållandet inom de verksamhetsområden kommunen överlämnat till SOLTAK. Avsaknaden av olika former av avtal och överens- kommelser skapar enligt vår mening risker kopplat till kommunens styrning, uppföljning och kontroll. Vi noterar att det i den förstudie som genomfördes inför uppstarten av SOLTAK framgår att överenskommelser är en ”ofrånkomlig” komponent i skapandet av en beställar- utförarrelation. Vi delar denna bedömning och konstaterar utifrån förstudien att detta är ett område där det enligt vår mening finns betydande utvecklingsområden.
Merparten av de risker som identifierats i förstudien avser IT-säkerhet. Enligt vår mening återfinns dessa risker framförallt på grund av att det saknas avtal och överenskommelser inom delar av nedanstående områden. En fördjupad granskning inom området IT-säkerhet skulle enligt vår mening skapa förutsättningar för en djupare analys av området.
Utifrån förstudien har sammanfattningsvis följande risker uppmärksammats:
⯈ Risk för bristande styrning och uppföljning avseende SOLTAK på grund av att det saknas överenskommelser och avtal som till exempel tydliggör ansvarsfördelning och kvalitetsmått.
⯈ Risk för otydliga beslutsprocesser mot bakgrund av att kundrådens mandat, roll och funktion uppfattas som otydlig.
⯈ Risk för bristande uppföljning då det saknas mätbara mål som möjliggör en tillfredställande uppföljning av SOLTAK.
⯈ Risk för att kommunens nuvarande IT-stöd inte utvecklas och underhålls på en rimlig nivå till den ersätts mot bakgrund av att det saknas en fastställd migreringsplan.
⯈ Risk för att de IT-lösningar som utvecklas inom ramen för den kommungemensamma IT- miljön inte är tillräckligt anpassade efter de olika verksamheternas behov.
⯈ Risk för att kommunen inte erhåller de IT-tjänster som förväntas och som kommunen betalar för mot bakgrund av att det saknas detaljerade avtal som beskriver ansvarsförhållanden och gränsdragning mellan beställare och leverantör.
⯈ Risk för bristande möjlighet att ställa krav på SOLTAK på grund av att det inte överenskommits eller reglerats vilken nivå av tjänst SOLTAK ska tillhandahålla.
⯈ Risk för bristande IT-support då det saknas servicenivåavtal som definierar nivå på till exempel tillgänglighet och omfattning på stöd till beställaren.
⯈ Risk för att kommunens informationstillgångar inte har tillräckligt skydd på grund av att det saknas detaljerade avtal som reglerar hur informationstillgångar ska hanteras.
⯈ Risk för felaktiga och/eller uteblivna löneutbetalningar mot bakgrund av att kommunen inte säkerställer att SOLTAK utför kontroller i löneutbetalningsprocessen.
⯈ Risk för att felaktiga löneutbetalningar, avsiktliga såväl som oavsiktliga, inte upptäcks på grund av att kommunen inte säkerställer att SOLTAK utför kontroller i löneutbetalningsprocessen.
Göteborg den 23 mars 2018
Xxxxxxx Xxxx Xxxxxx Xxxxxxx
Konsult Certifierad kommunal yrkesrevisor
Ernst & Young AB Ernst & Young AB
Xxxxxxx Xxxxxxxxx Xxxx Xxxxx
Certifierad kommunal yrkesrevisor Certifierad kommunal yrkesrevisor
Ernst & Young AB Kvalitetssäkrare
Ernst & Young AB
Bilaga 1: Bakgrund till förstudien
Kungälvs kommun avser avropa en förstudie med eventuell fördjupad granskning av de processer som kommunen valt att lägga ut på entreprenad till SOLTAK AB. SOLTAK är ett samarbete mellan flera kommuner. SOLTAK:s syfte uttrycks på följande sätt; ”… samverkan syftar till att ägarkommunerna ska kunna utföra stöd- och servicetjänster mer kostnads- effektivt än om varje ägarkommun gör det för sig och därmed ge medborgarna större nytta för skattepengarna samt att tillföra ägarkommunernas kärnverksamhet mer pengar.” För- studien handlar enligt avropsförfrågan x.xx. om löneprocesser/lönehantering och IT-säkerhet.
SOLTAK ägs av kommunerna Ale, Kungälv, Lilla Edet, Orust, Stenungsund, Tjörns och Öckerö kommuner. Bolagsordningen anger ramarna för bolagets verksamhet. Enligt bolags- ordningen är föremålet för bolagets verksamhet att tillhandahålla ägarkommunerna stöd- och servicetjänster som exempelvis löneadministration, växeltelefoni, upphandling, fordons- försörjning och serviceverksamhet inom juridik, ekonomi och IT. Bolaget har till ändamål att främja ägarkommunernas behov av administrativa stödresurser på ett kostnadseffektivt sätt. Av de sju ägarkommunerna är det Lilla Edet, Kungälv, Stenungsund och Tjörn som valt att förflytta verksamhet till SOLTAK och därmed nyttja bolagets tjänster. Ale, Orust och Öckerö kommun har valt att kvarstå som passiva ägare.
Bilaga 2: Vidareutveckling av revisionsfrågor
Revisionsfrågor | Vidareutveckling av revisionsfrågorna |
Kompetensnivå: Upprätthåller SOLTAK gällande kompetens utifrån ingånget avtal? (Hur upprätthåller man adekvat kompetensnivå) | ⯈ Vilka krav finns i avtalet kring kompetens? ⯈ Hur följer kommunen upp dessa krav? ⯈ Vad har uppföljningen visat och vilka eventu- ella åtgärder har vidtagits? |
Hur ser beslutprocesserna ut genom SOLTAK och kommunen från idé till fattat beslut och hur effektiva är dessa? | ⯈ Vilka rutiner och arbetssätt finns för besluts- processer? ⯈ Xxxxxx uppföljning genomförs av besluts- processerna? |
Vilka risker och konsekvenser har, och kan tänkas, uppkommit för kommunen när man arbetar med SOLTAK. Såväl ekono- miska som tidsmässiga ska analyseras utifrån befintliga upparbetade processer? (Hur påverkar processerna situationen) | ⯈ Har en riskanalys genomförts och vad visade denna? ⯈ Genomför kommunen någon uppfölj- ning/kontroll med anledning av riskanalysen? ⯈ Har eventuella åtgärder vidtagits med anled- ning av genomförd uppföljning/kontroll? |
IT-säkerhet. (Vem ansvarar för IT- säkerheten). Vilka processer finns idag för att upprätthålla adekvat IT-säkerhet och hur väl är säkerheten anpassad utifrån gällande lagstiftning? | ⯈ Är kravställningen avseende IT-säkerhet för SOLTAK i enlighet med gällande riktlinjer och krav? ⯈ Har kommunen säkerställt ändamålsenlig uppföljning av IT-säkerheten hos SOLTAK? |
Lönehantering. Hur hanteras den och finns det förbättringsmöjligheter? | ⯈ Har en kartläggning och förståelse av pro- cessen från registrering till utbetalning genomförts? ⯈ Vad har denna visat och vilka åtgärder har vidtagits? |
Bilaga 3: Källförteckning
Intervjuade funktioner
⯈ IT-chef, 2018-01-25.
⯈ HR-chef, 2018-01-26.
⯈ Ekonomichef, 2018-02-01.
⯈ Gruppintervju med tillförordnad kommunchef och förvaltningscontroller, 2018-02-06.
Dokument
⯈ Aktieägaravtal.
⯈ Ansvarsförbindelse för hantering av likvida medel.
⯈ Avtal mellan SOLTAK AB och Kungälvs kommun.
⯈ Beslutsunderlag förstudie Ekonomiadministration, Löneadministration och Upphandling.
⯈ Bolagsordning.
⯈ Förvaltningsplan 2018-2019.
⯈ Intern kontrollplan 2018.
⯈ Lista över ännu ej åtgärdade ärenden inom IT, ”Soltaksärenden”.
⯈ Outsourcingavtal datacenter.
⯈ Personuppgiftsbiträdesavtal.
⯈ Processkartläggning – verkställa lön.
⯈ Protokoll från kommunstyrelsen, 2017-12-13.
⯈ Samlad riskbild 2018.
⯈ Sekretessavtal.
⯈ Tjänstekatalog administrativa HR-tjänster.
⯈ Ägardirektiv.
Tjänsteskrivelse
1(3)
Handläggarens namn Xxxx Xxxxxxxx
2018-09-19
Svar på förstudie om kommunens styrning och uppföljning av SOLTAK AB (Dnr KS2018/0758-5)
Sammanfattning
Kommunrevisionen i Kungälvs kommun har identifierat ett antal risker vid användningen av SOLTAK AB som tjänsteleverantör till kommunen och efterfrågat vilka åtgärder som planeras med anledning av detta. Förvaltningen delar kommunrevisionens bedömning att avtalsrelationen, roller och mandat mellan kommunen och SOLTAK AB behöver klargöras.
Arbetet pågår redan och förvaltningen föreslår att kommundirektören ges i uppdrag att förtydliga avtalsrelationen och mandat inom de områden som kommunrevisionen påtalat.
Otydligheten i relationen har bl.a. uppstått som en följd av komplexiteten i de uppdrag som kommunen tilldelat bolaget.
Juridisk bedömning
SOLTAK AB är ett av Kungälvs kommun delägt bolag. Styrningen av bolaget sker genom bl.a. ägardirektiv och bolagsordning. De otydligheter som kommunrevisionen påtalar rör dock kommunens roll som avtalspart och bör därför förtydligas i avtalet mellan ägarkommunerna som beställare av tjänsterna, och SOLTAK AB som utförare.
Det beslutsförslag som förvaltningen föreslår är förenligt med lagstiftningen och fullt genomförbart.
Om kommunstyrelsen istället för förvaltningens förslag fattar andra beslut bör observeras att de brister som påtalas, bl.a. vad avser informationssäkerhet, kan innebära att kommunen inte uppfyller sina åtaganden enligt bl.a. dataskyddslagstiftningen. Beslutsförslagen bör därför innebära att kommunen i vart fall säkerställer att hanteringen av personuppgifter m.m. sker i överensstämmelse med lagstiftningen.
Bakgrund
Kommunrevisionen gav revisionsfirman Ernst & Xxxxx i uppdrag att i en förstudie granska Kungälvs kommun styrning och uppföljning av det delägda bolaget SOLTAK AB. Syftet med förstudien har konkretiserats av kommunrevisionen i ett antal revisionsfrågor, se förstudien bilaga 1. Revisionsfrågorna har därefter vidareutvecklats enligt bilaga två till förstudien.
Förstudien påpekade följande brister:
KOMMUNKANSLIET
ADRESS Stadshuset · 442 81 Kungälv
TELEFON 0000-00 00 00
FAX 0000-000 00
- Risk för bristande styrning och uppföljning avseende SOLTAK på grund av att det saknas överenskommelser och avtal som till exempel tydliggör ansvarsfördelning och kvalitetsmått.
- Risk för otydliga beslutsprocesser mot bakgrund av att kundrådens mandat, roll och funktion uppfattas som otydlig.
- Risk för bristande uppföljning då det saknas mätbara mål som möjliggör en tillfredställande uppföljning av SOLTAK.
- Risk för att kommunens nuvarande IT-stöd inte utvecklas och underhålls på en rimlig nivå till den ersätts mot bakgrund av att det saknas en fastställd migreringsplan.
- Risk för att de IT-lösningar som utvecklas inom ramen för den kommungemensamma IT- miljön inte är tillräckligt anpassade efter de olika verksamheternas behov.
- Risk för att kommunen inte erhåller de IT-tjänster som förväntas och som kommunen betalar för mot bakgrund av att det saknas detaljerade avtal som beskriver ansvarsförhållanden och gränsdragning mellan beställare och leverantör.
- Risk för bristande möjlighet att ställa krav på SOLTAK på grund av att det inte överenskommits eller reglerats vilken nivå av tjänst SOLTAK ska tillhandahålla.
- Risk för bristande IT-support då det saknas servicenivåavtal som definierar nivå på till exempel tillgänglighet och omfattning på stöd till beställaren.
- Risk för att kommunens informationstillgångar inte har tillräckligt skydd på grund av att det saknas detaljerade avtal som reglerar hur informationstillgångar ska hanteras.
- Risk för felaktiga och/eller uteblivna löneutbetalningar mot bakgrund av att kommunen inte säkerställer att SOLTAK utför kontroller i löneutbetalningsprocessen.
- Risk för att felaktiga löneutbetalningar, avsiktliga såväl som oavsiktliga, inte upptäcks på grund av att kommunen inte säkerställer att SOLTAK utför kontroller i löneutbetalningsprocessen.
Verksamhetens bedömning
Förvaltningen delar kommunrevisionens bedömning att avtalet med SOLTAK AB behöver förtydligas. Genom ett förtydligande av avtalet kommer ovanstående risker inte helt försvinna men minimeras. Utgångspunkten för förtydligandet bör vara att SOLTAK AB hanteras som en extern leverantör av bl.a. IT-tjänster bland andra leverantörer. Kraven kan inte vara lägre för SOLTAK AB än för andra leverantörer som behandlar personuppgifter m.m. Ett sådant förtydligande kan därmed komma att innebära väsentliga förändringar i SOLTAK ABs finansiering och bemanning m.m. Förtydligandet behöver därför föregås av en diskussion mellan ägarna och med SOLTAK AB.
Bedömning utifrån kommunfullmäktiges strategiska mål och relevanta styrdokument
Ärendet har koppling till målet strategiska förutsättningar (balans mellan ekonomi, kvalitet och behov).
Bedömning utifrån ett barnperspektiv
Någon separat bedömning utifrån barnperspektivet har inte genomförts med anledning av förvaltningens svar.
Bedömning utifrån ett jämlikhetsperspektiv
Någon separat bedömning utifrån jämlikhetsperspektivet har inte genomförts med anledning av förvaltningens svar.
Teknisk bedömning/genomförandeplan
Om kommunstyrelsen beslutar enligt förvaltningens förslag till beslut påbörjas arbete med att förtydliga avtalen.
Ekonomisk bedömning
Förslaget till beslut bedöms kunna hanteras inom ram.
Förslag till kommunstyrelsen
1. Skrivelsen ”Svar på förstudie om kommunens styrning och uppföljning av SOLTAK” antas som kommunstyrelsens svar och översänds till kommunrevisionen.
2. Kommundirektören får i uppdrag att tillsammans med SOLTAK AB och representanter för övriga ägarkommuner, förtydliga avtalet med bolaget inom de områden som utpekats som riskabla i kommunrevisionens rapport.
Xxxxx Xxxxxxxxx Xxxx Xxxxxxxx
kommundirektör kansli- och upphandlingschef
Expedieras till:
För kännedom till: