Riskanalyser 2015
Transcription
Riskanalyser 2015
Riskanalys 2015 2015-03-12 Jörgen Jepson Charlotta Abramo Lisa Johansson 1. Riskanalyser Gatukontoret Tekniska nämnden Riskanalysen har inför 2015 uppdaterats och reviderats i samband med att internbudgeten/verksamhetsplanen togs fram. 1.1. Rutiner Riskanalys görs för varje tillgång/process/rutin/aktivitet/mål som anses vara kritisk eller central för verksamheten. Riskanalys Riskidentifiering Vilka risker finns Riskuppskattning Bedöm sannolikhet Bedöm konsekvens Riskbehandling Acceptera risken Behandla risken Eliminera risken Överföra risken I en riskidentifiering identifieras först de risker som kan förekomma. Sedan uppskattas konsekvensen och sannolikheten för att risken ska inträffa i en riskuppskattning. I en riskbehandling avgörs sedan om resultatet av riskuppskattningen kan accepteras utan åtgärd, eller om åtgärd ska sättas in. Det finns fyra alternativ för riskbehandling: Acceptera risken: Att medvetet och objektivt acceptera risken, förutsatt att de tillgodoser Gatukontorets policy och kriterier för riskacceptans. Behandla risken: Att sätta in lämpliga säkerhetsåtgärder för att minska risken. Eliminera risken: Att undvika risken genom att inte tillåta aktiviteter som kan orsaka att risken uppkommer. Överföra risken: Att överföra risken (helt eller delvis) till andra parter, t.ex. försäkringsgivare eller leverantörer. 2015-03-12 Jörgen Jepson Charlotta Abramo Lisa Johansson 1.2. Steg för steg 1. Utgå från målen samt verksamhetens ansvarsområden 2. Riskanalysen a. Identifiera risker b. Värdera risker – med hänsyn till nuvarande åtgärder c. Prioritera viktigaste riskerna 3. Föreslå riskåtgärder och kontroller 4. Plan för löpande riskhantering Risk= En oförutsedd framtida händelse som negativt påverkar kommunens måluppfyllelse 1.3. Konsekvens*sannolikhet= risk För att gradera risk bedöms konsekvens och sannolikhet för olika aktiviteter och multipliceras. 1 Försumbar 2 Lindrig 3 Kännbar 4 Ganska allvarlig 5 Allvarlig 1 Osannolik 2 Mindre sannolik 3 Möjlig 4 Ganska sannolik 5 Sannolik 1.4. Konsekvenser är obetydlig för såväl intressenterna och kommunen uppfattas som liten av såväl intressenter som kommun uppfattas som besvärande för intressenter och kommunen Målrelaterad Risken har begränsade konsekvenser för verksamheten, tredje man eller annan part Konsekvensen är kännbar men kan hanteras i det löpande arbetet, konsekvenser för tredje man eller annan part är inte betydande Allvarliga störningar uppstår i den löpande verksamheten, vilket kan påverka vårt anseende och/eller medföra betydande skada för tredje man eller annan part är så stor att fel helt enkelt inte får inträffa Mycket allvarliga störningar uppstår i den löpande verksamheten, vilket påverkar vårt anseende och/eller förorsakar mycket stora skador för tredje man eller annan part Sannolikhet risken är praktiskt taget obefintlig för att fel ska uppstå eller att händelsen/risken ska inträffa risken är mycket liten för att fel ska uppstå/händelsen kan komma att inträffa om inga åtgärder vidtas det finns en möjlig risk för att fel ska uppstå/ händelsen kommer att inträffa om inga åtgärder vidtas Händelsen/risken kommer att inträffa om inga åtgärder vidtas inom 3-6 månader det är mycket troligt att fel ska uppstå. Händelsen kommer att inträffa om inte omedelbara åtgärder vidtas Anseenderelaterad Enstaka eller inga negativa inslag i massmedia Ett flertal negativa inslag i massmedia under en kortare period (1-2 veckor) Flera negativa inslag i rikstäckande massmedia under flera veckor Ekonomisk påverkan <1% el <1 mnkr 1-5% ca 1-5 mnkr 5-10% ca 5-50 mnkr Inslag i alla viktiga massmedia >10% >150 mnkr kanaler vecka efter vecka, GD och övrig ledning ifrågasätts starkt Prioritet Kan både ha och mista åtgärden Åtgärden är viktig Åtgärden är så viktig så att den är en förutsättning för vår verksamhets fortsättning - åtgärd måste ske ngn gång Åtgärden är så viktig så att den är en förutsättning för vår verksamhets fortsättning - åtgärd måste ske inom snar framtid - 12 mån Åtgärden är så viktig så att den är en förutsättning för vår verksamhets fortsättning - åtgärd måste ske inom snar framtid - 3 mån Bakgrund Tidigare har riskanalyser uppdaterats av en mindre grupp (i samband med sårbarhetsanalys gjordes för gatukontoret) utan att förtroendevalda involverades. Inför 2013 fattade KS beslut om att granska att verksamhetens mest väsentliga risker finns med i riskanalysen samt att förtroendevalda involveras i arbetet med risker, se kapitel 3 nedan. För att säkerställa att väsentliga risker i verksamheterna kommer med i riskanalysen ansvarar respektive avdelning/verksamhet för sin del av riskanalysen i samband med att internbudgeten och verksamhetsplanen för nästa år tas fram. När avdelningarna 3 av 18 │ är klara med sina riskanalyser kommer förtroendevalda att involveras genom att de väsentligaste riskerna presenteras i samband med internkontroll-rapporteringen. Fördjupad information kring risker och gjorda rapporter kommer att göras på trafiknämnden. Avdelningarna uppdaterar risker, åtgärder och kontroller Ekonomienheten sammanställer riskerna Förtroendevalda involveras 2. Intern kontroll och styrning Ska ”ägarna” få en verksamhet att göra som ägarna vill så måste den styras och kontrolleras, så att ägarna får grepp om kvalitet, intäkter och kostnader i genomförda åtgärder. Intern styrning och kontroll handlar om ordning och reda med fem fokusområden: 1. Frågan att uppnå målen med verksamheten 2. Hantering av risker för att målen ska uppnås 3. Fokus på de viktigaste riskerna för att målen ska uppnås. 4. Verksamhetsledningens aktiva stöd och engagemang. 5. Åtgärder och kontroller för att hantera identifierade risker. 2.1. Systemet Fördjupad kontroll = Årligen väljs ett antal områden ut för utredning och fördjupade analyser samt intervjuer. Rapport skrivs enligt COSO och åtgärdsförslag till förbättringar lämnas. Verksamhetsansvarig ansvarar för att prioritera bland åtgärdsförslagen. Löpande kontroll = Respektive verksamhetsansvarig och stödfunktion ansvarar för att tillräckliga kontroller finns inom respektives ansvarsområde. 2.2. Ansvar I den interna kontrollkedjan ingår alla ansvarsnivåer på Gatukontoret. För att inte kedjan ska brista måste rapporteringssystemet mellan nivåerna vara väl utvecklat. De olika nivåerna har olika ansvar för olika frågor. Varje nivå ansvarar för att riskanalys görs inom respektives verksamhetsområde och att det finns ett antal kontroller av verksamheten. Det finns ”tre försvarslinjer” som en del i den interna kontrollen och styrningen Första försvarslinjen – cheferna i verksamheten: chefen har ett delegerat ansvar för verksamheten och i detta ingår att upptäcka och förhindra felaktigheter, ta fram riskanayser etc. I denna linje ingår även projektledare och verksamhetsansvariga. Andra försvarslinjen – controllers och andra stödfunktioner: ledningen behöver stöd för att bygga upp, underhålla och granska den interna styrningen och kontrollen. Tredje försvarslinjen – internrevisionen. Den är oberoende och granskar hela verksamheten. 2.2.1. ANSVAR OCH ORGANISATION Gatudirektören och stabs chefen ansvarar för att informera nämnden om genomförda fördjupade kontroller. 4 av 18 │ Chefen för ekonomienheten ansvarar för den fördjupade interna kontrollen på Gatukontoret. Respektive chef, projektledare och verksamhetsansvarig ansvarar för den löpande interna kontrollen inom sin verksamhet och på respektives nivå. Controllers och centrala stödkompetenser ansvarar för den löpande interna kontrollen inom sina ansvarsområden och verksamheter. 5 av 18 │ 3. Identifierade risker inför 2015 Aktivitet/uppdrag Risker som finns Administration Administrativa strukturen kan försvåra "ett GK" Ineffektiva arbetssätt och möten tar tid och resurser Oförutsedda & oplanerade händelser kräver resurser och omprioriteringar Aktivering av investering Anställdas ansvar 2015-03-12 Jörgen Jepson Charlotta Abramo Lisa Johansson Kontroller/åtgärder/förebyggande åtgärder/rutiner Säkring av rutiner och lyhört följa eventuella försvårande "hinder" Avstämning halvårsvis Flexibelitet i verksamhetsplaneringen och skapa möjlighet att möta oförutsedda och oplanerade händelser Oförutsedda beslut från styrande myndighet som Löpande kontroll och styrning och planering för ger merarbete att kunna hantera oförutsedda beslut Upphandlingsregler försenar projektens framdrift Ha större marginaler i tidplanerna. Bemanning på uppgifter relaterade till Säkra att det finns backup och myndighetsutövning, backup rutinbeskrivningar Datasystem och databaser kraschar Löpande underhållsplan och beredskap för att reducera skadan Hårddiskar går sönder Löpande underhållsplan och beredskap för att reducera skadan Omorganisation på gatukontoret Beredskap för förändringar och vid omorganisation ha aktiv dialog för att möta de problem som kan uppstå i entreprenader och projekt Bristande erfarenhetsåterföring Säkring av rutiner och avsätt resurser för att arbeta med erfarenhetsåterföring Budget reduceras Beredskap för förändringar men samtidigt kunna ha rimligt långa entreprenadkontrakt Att företagslotsen tar mer tid i anspråk Lyhört följa resursbehovet i förhållande till planerade resurser Felaktig hantering av aktivering av investeringar Regelbunden utbildning och information samt styrning och kontroll från ekonomienheten De anställda får felaktig information Löpande intern kontroll och styrning samt utbildning och information Fel information från HR i arbetsrättsliga frågor Utbilda och informera kring arbetsrättsliga frågor regelbundet slh kons Summa 3 3 9 3 3 9 4 3 12 2 3 6 3 3 3 5 9 15 2 5 10 1 5 5 1 3 3 3 4 12 3 3 9 2 5 10 2 2 4 3 3 9 1 5 5 Aktivitet/uppdrag Risker som finns Användardator Dataintrång Dator stulen Virusangrepp Arbetsmiljö Arbetsplatsträffar enligt samverkansavtalet Arrangemang Användardator går sönder Arbetsskada Arbetsrelaterad stress Otydliga roller och ansvar inom GK Ökad arbetsbelastning avseende inkommande ansökningar om polistillstånd. Personalen får ej tillräcklig information eller information enligt överenskommelse med facken Arrangemang genomförs på olika sätt och med otillräcklig kvalitet Arrangemang följer ej upprättade rutiner. Arrangemang och scen Scen som rasar Arrangemang och tält Brand i tält/bod - arrangemang Avtalshantering Avtal hanteras på felaktigt sätt vad gäller underskrift, arkivering och förnyelse Badplatsolycka, drunkning Badplatsansvaret Barnkonventionen Bemötande mot personal Betalning av leverantörsfakturor Bygga och underhålla internationella partnerskap Central lagring 7 av 18 │ Barnkonventionen beaktas inte vid ärendeberedning och beslut Hot mot personal inkl inhyrda entreprenörer Hot mot personal inkl inhyrda entreprenörer Leverantörsfakturor betalas ej i tid Personella resurser saknas. En användare får inte tillgång till centrala Kontroller/åtgärder/förebyggande åtgärder/rutiner Använder Malmö stads lösenordsregler, minst 8 tecken och bytes efter 180 dagar Datorerna fastlåsta med stöldvajer. Finns 1-2 datorer på lager Använder Malmö stads automatiskt uppdaterade virusskydd Garantiservice inom en arbetsdag Följ upp årlig skyddsrond tillsammans med medarbetarna Inkludera stress i arbetsmiljödiskussionerna Se över roller och ansvar regelbundet Inkludera stress i arbetsmiljödiskussionerna Löpande intern kontroll och styrning, säkring av rutiner samt utbildning och information Säkring av rutiner och löpande intern kontroll och styrning Löpande intern kontroll och styrning avseende arrangemang, riskanalyser vid planerade arrangemang samt information och utbildning Löpande kontroll och styrning, beredskap avseende kommunikation men också tydliga föreskrifter till entreprenörer/leverantör Utbildning av personal, tillgång till mobila brandsläckare, utrymningsrutiner. Utbildning regelbundet och utvecklat introduktionsprogram kring avtalsrätten Beredskap för oförutsedda händelser men även aktivt arbete med entreprenörer och underhållsplaner för att reducera risken, löpande intern kontroll och styrning Löpande kontroll och styrning och säkring av att rutinen kring barnkonventionen följs Genomför utbildning för utsatt personal Utbildning regelbundet info från ek, kontinuerligt. Påminelser kring ek.fakta och rutiner, regler. Via mail, komin, möten, förklara konsekvenser och bakgrund. etc. Säkra backuprutiner och planera ledigheter om möljigt Påverka Malmö stads centrala lagringspolicy.. slh kons Summa 2 3 6 1 5 5 2 5 10 3 2 1 4 3 8 3 3 3 3 3 4 9 9 12 3 2 6 3 4 12 2 4 8 1 5 5 2 4 8 3 4 12 2 3 6 2 2 4 3 4 3 3 4 3 9 16 9 2 2 4 3 3 9 Aktivitet/uppdrag Centrala system Chefens ansvar Chefens ansvar och befogenheter Citytunnel Distribuera remisser Drift av tivoli Enhetsresa Exploateringsprocessen Fakturering i försystem 8 av 18 │ Risker som finns Kontroller/åtgärder/förebyggande åtgärder/rutiner dokument Malmö stad måste skriva SLA/avtal med ITS Alla Gatukontorets användare får inte tillgång till Påverka Malmö stads centrala lagringspolicy.. centrala dokument Malmö stad måste skriva SLA/avtal med ITS System haveri Malmö stad centrala IT sköter dessa system Arbetsmiljö/Samverkan Utbilda cheferna i arbetsmiljöfrågor regelbundet Arbetsrätt Utbilda och informera kring arbetsrättsliga frågor regelbundet Avveckling Säkring av rutiner Lön Säkring av rutiner Omställning Säkring av rutiner Rehabilitering Rutiner för rehabilitering Rekrytering/anställning Säkring av rutiner Ej tydligt och oklart Löpande intern kontroll och styrning samt utbildning och information allvarlig vattenläcka citytunnel Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser elavbrott i citytunnel Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser långvarig elavbrott citytunnel Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser PUT (person under tåg) citytunnel Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser påkörning av uppgångar citytunnel Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser tågbrand på stationen Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser tågurspårning på stationen Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser utrustningshaveri citytunnel Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser Personella resurser saknas. Säkra backuprutiner och planera ledigheter om möljigt Lagar och regler avseende dokumenthantering Löpande intern kontroll och styrning, säkring av följs ej, tex sekretessprövning rutiner samt utbildning och information Tivoliolycka, arrangemang/festival Säkra att arrangör har förebyggande säkerhetsgenomgångar Olycka med hel enhet inom Gatukontoret, bortfall Arbets- och verksamhetsbeskrivningar ska kompetens finnas Redovisning i exploateringsprocessen ej korrekt Regelbunden utbildning och information samt styrning och kontroll från ekonomienheten Intäkter som faktureras i försystem kommer ej Regelbunden utbildning och information samt vidare till redovisningen styrning och kontroll från ekonomienheten slh kons Summa 2 5 10 2 3 1 5 5 5 10 15 5 1 2 1 2 2 3 5 5 3 5 5 4 5 10 3 10 10 12 1 5 5 4 2 8 1 3 3 3 3 9 1 3 3 1 3 3 1 3 3 3 2 6 2 2 4 2 3 6 3 5 15 1 5 5 1 1 1 1 3 3 Aktivitet/uppdrag Risker som finns Fakturering och krav Riktlinjer för fakturering och krav följs ej GIS Fler externa förfrågningar för data/tematiska kartor Fler ledningsägare går med i Ledningskollen ökat antal förfrågningar Ritningar & kartunderlag kommer ej i tid GK GK Projekt Introduktion av nyanställda och tillfälligt anställda IT 9 av 18 │ Summa 3 9 1 2 2 3 3 9 1 5 5 2 3 6 Löpande intern kontroll och styrning samt långsiktig planering och beräkning av driftskonsekvsenser så att vi får kompensation för alla idrifttagna ytor Intern kontroll och styrning tidigt i investeringsprojekt samt avsätt resurser för kvalitetsanalyser Tydliggör processen och kommunicera avvikande åsikter i rätt forum Intern kontroll och styrning och säkring av rutiner hos remissinstanser Löpande intern kontroll och styrning samt lyhört följa rutiner och säkra remissinstansers rutiner Avsätt resurser för granskning 1 1 1 2 5 10 3 4 12 4 3 12 5 3 15 4 4 16 Utbildning och information 3 5 15 Avsätt resurser för att ge input till kalkyler Aktiv medverkan i projektet så att materialval påverkas i tidigt skede Utbildning och utvecklat introduktionsprogram samt tydliggör vilka rutiner som gäller 4 2 2 2 8 4 4 3 12 3 4 12 Brister i introduktionen Uppdatera riskanalyser och tidplaner regelbundet Utveckling av introduktionsprogrammet 4 3 12 Användarfel i Hrut avseende lön och arbetstid Hrut inte fungerar - kort sikt (timmar) Säkra rutinerna kring lön och arbetstid i Hrut Säkring av rutiner om inte Hrut fungerar 3 3 5 1 15 3 Korta tidsramar för att lägga in nya exploateringsormåden Byggboom - fler exploateringsområden viktigt med driftskompensation Att man bygger med för låg kvalitet, som får kostsamma konsekvenser i framtiden För lång remisstid internt GK vid större ledningsdragningar Mängden projekt är övermäktig för projekt och granskning Interna diskussioner på kontoret, ifrågasättande av Teknisk handbok Bristande input till kalkyler Påkostat material, hög kostnad vid framtida byte Information slh kons 3 Att man inom kontoret inte lyssnar på granskningssynpunkter Uteblivna remissvar på beläggningsprogrammet Hantering av ritningar Kontroller/åtgärder/förebyggande åtgärder/rutiner info från ek, kontinuerligt. Påminelser kring ek.fakta och rutiner, regler. Via mail, komin, möten, förklara konsekvenser och bakgrund. etc. Löpande uppföljning och planering med beredskap om antalet förfrågningar ökar Löpande uppföljning och planering med beredskap om antalet förfrågningar ökar Intern kontroll och styrning, utbildning, information och säkring av att rutiner är optimala Ha beredskap för att lägga in nya områden Ritningsarkivet uppdateras ej vad gäller korrekta ritningar vad gäller ombyggnader på allmän platsmark Planerade informationsinsatser försenas Aktivitet/uppdrag Kalkyler i projekt Klassificering av vad som är drift/underhåll/investering Kommunikation Kontering av baskonton Koppling mellan inventarier och fysiska investeringar Krishantering Kvittohantering Leverera måluppföljning Lokala skrivare Lokalsäkerhet 10 av 18 │ Risker som finns Kontroller/åtgärder/förebyggande åtgärder/rutiner kortsiktigt Hrut inte fungerar - lång sikt (veckor) Säkring av rutiner om inte Hrut fungerar under längre period IT och teknik fungerar relaterat till beslut av LTF Löpande kontroll och styrning samt lyhört följa processen It system som inte fungerar i ex. trafiksignaler, Löpande kontroll och styrning samt beredskap analyser o räkningar för att systemen kan krascha Fördyrade projekt pga entreprenadpriser etc Göra riskanalyser inför anbudsutskick och gör anbuden attraktiva för många. Tät rapportering och uppföljning i "kritiska" projekt Felaktig klassificering av Regelbunden utbildning och information samt drift/underhåll/investering styrning och kontroll från ekonomienheten Avsaknad av gemensam kommunikationsstrategi Ta fram gemensam kommunikationsstrategi Besvärliga personer vid dialogprojekt Genomför utbildning för personal som har dialogprojekt Extremt väder - oro bland medborgana, Beredskap för oförutsedda händelser informationsbehov, skadeståndshantering Otydlig vht-styrning och Avstämning halvårsvis resursplaneringsprocess mot medarbetarna Stora oförutseeda händelser som påverkar Kan inte påverka vädret, endast ha beredskap samhällsfunktionerna exempelvis extremt väder, för åtgärder vid "fel" väder olyckor etc Besvärliga personer Utbildning kring hot och våld men även kring kommunikation och dialog Baskonton konteras ej enligt anvisningar Regelbunden utbildning och information samt styrning och kontroll från ekonomienheten Det är inte möjligt att spåra aktiverade Regelbunden utbildning och information samt investeringar fysiskt styrning och kontroll från ekonomienheten Ryktesspridning i samband med kris, falska Proaktiv planering av kommunikationsinsatser eller riktiga vid kriser och aktiva insatser av kommunikatörer vid kriser Ej redovisa kvitton till utlägg/Eurocard Kontroll av att fakturan följer reglerna Personella resurser saknas. Säkra backuprutiner och planera ledigheter om möljigt Skrivaren går sönder Vi har extra skrivare i lager. Hänvisar till central skrivare. Brand i datorrum Genomgång av standard i datorrrum samt backupservers Brand i gatukontorets lokaler Brandsyn genomförs regel bundet Brand i gatukontorets lokaler FP Rökdetektorer och allmän riskmedvetenhet samt skyddsrond årligen Brand i gatukontorets lokaler Slottsträdgården Utbildning av personal, tillgång till mobila slh kons Summa 1 5 5 2 4 8 2 5 10 3 4 12 1 1 1 4 3 3 3 12 9 2 4 8 4 3 12 3 4 12 3 3 9 2 2 4 4 1 4 3 3 9 1 2 2 2 2 4 2 2 4 2 5 10 2 2 5 5 10 10 3 5 15 Aktivitet/uppdrag Risker som finns Miljöledning Mobila telefoner Uppföljning inte görs i miljöledningsarbetet Flera telefoner går sönder Telefonen blir stulen Virus angrepp En telefon går sönder Momshantering Felaktig momshantering Multifunktionsskrivare/Plotter Centrala skrivarpoolen avstängd En felutskrift som låser skrivaren Framkallningsenheten behöver bytas Hög belastning Papperstrassel Pappert tar slut Strömavbrott Större haveri Tonern tar slut Mutor och brott Kriminellt beteende inom Gatukontoret Mutbrott Nyttjande av kontokort Nätverk Felaktig användning av konto/betalkort Strömavbrott i hela Stadshuset Strömavbrott i switchskåp Felaktig hantering av resor 11 av 18 │ Kontroller/åtgärder/förebyggande åtgärder/rutiner brandsläckare, utrymningsrutiner. Gör uppföljning Vi har telefoner och SIM-kort på lager, byte kan ske direkt Informerat anv. om riktlinjerna för telefonanvändning, har "hitta min iPhone" påslaget på telefonerna. Spärra abonnemang & telefon, göra polisanmälan och byta lösenord, göra klart manual för backup av iPhone. Lobbar mot Stadskontorets IT-avd. för införande av ett manageringsverktyg. Vi har telefoner och SIM-kort på lager, byte kan ske direkt Regelbunden utbildning och information samt styrning och kontroll från ekonomienheten Felanmäla till IT:s Informera användaren. Alla har tillgång till minst 2 st skrivare. Regelbunden tillsyn. Alla har tillgång till minst 2 st skrivare. Alla har minst tillgång till 2 st skrivare Kontrollerar alla magasin att papperet ligger rätt och att det inte finns något fel på magasinet. Alla har tillgång till minst 2 st skrivare. Regelbunden tillsyn. Alla har tillgång till minst 2 st skrivare. Kontrollera att skrivarna återstartat Vi har serviceavtal med 8 arbetstimmar inställelsetid Regelbunden tillsyn. Alla har tillgång till minst 2 st skrivare. Information, utbildning samt löpande och regelbunden intern kontroll och styrning Information, utbildning samt löpande och regelbunden intern kontroll och styrning Kontroll av underlag till fakturan Switchskåpens batterieUPS förser switcharna med ström tills Stadshusets reservkraft startar. Switchskåpens batterieUPS förser switcharna med ström i 20-30 min. Löpande intern kontroll och styrning samt utbildning slh kons Summa 2 1 3 3 6 3 2 4 8 1 5 5 2 2 4 2 2 4 1 3 4 2 4 6 1 2 2 1 3 2 2 2 6 2 2 4 2 1 2 2 4 2 1 2 2 1 3,5 4 1 3,5 4 2 2 3 4 6 8 3 3 9 2 3 6 Aktivitet/uppdrag Risker som finns Föräldraledigheter, rekryteringar i samband med detta Konflikter och samarbeten som inte fungerar (intern, externt) Långvarig sjukdom, någon slutar hastigt Personalrekrytering Processer Programlicensserver Programvara, centrala Programvara, gatukontoret Projekt Projekt som följer projekthandboken 12 av 18 │ Kontroller/åtgärder/förebyggande åtgärder/rutiner Backuprutiner där det är möjligt och säkra rutiner för överlämnande när någon blir ledig Följ processer för att förebygga problem Ha roterande backup och andra rutiner för att reducera risken Otydliga uppdragsformuleringar/beskrivningar Gör tydliga för medarbetarna uppdragsformuleringar/beskrivningar och säkra att mottagaren förstått uppdraget Pensionsavgångar Planera överlämnande och rekrytera ersättare i god tid innan pensionsavgång Personal analyser Se över resursplaneringen regelbundet Personal skolverksamhet Se över resursplaneringen regelbundet Personal trafikräkningar Se över resursplaneringen regelbundet Personal Trafiksignaler Översyn av arbetsfördelningen - utse backuppersoner och skapa rotation i arbetsuppgifterna Personer ensamma om expertisområden, Översyn av arbetsfördelningen - utse överbelastning backuppersoner och skapa rotation i arbetsuppgifterna Samarbeten som inte fungerar (intern, externt) Personligt samtal. Kontoret har många kontakter och ansvariga följer detta område inom sitt verksamhetsområde Långvarig frånvaro Backuprutiner där det är möjligt och säkra rutiner för överlämnande när någon slutar Någon slutar hastigt Backuprutiner där det är möjligt och säkra rutiner för överlämnande när någon slutar Andelen personal med utländsk bakgrund ökar ej Aktivt arbete för att locka medarbetare med i enlighet med KF-mål utländsk bakgrund Planprocessen och samsyn mellan förvaltningar Ha tydlig dialog i rätt forum kring planprocessen och där samsyn saknas Programmet hittar ingen giltig licens hos någon Analysera antalet använda licenser av användarna Programmet slutar fungera Håller kontakt med ITS Programmet slutar fungera Regelbunden kontroll av uppdateringarna, till de flesta programmen har vi tecknat supportavtal Projekt som ska genomföras men som inte fanns Säkerställa rutiner i projekt och tydliggöra med i planen från början respektive ansvarigs roll och ansvar. Säkra planeringsprocessen genom att ha en tydlig styrning Mindre projekt som ej är förankrade, remissade, Interna kvalitetsavstämningar - arbete pågår för beslutade eller följer projekthandboken eller att säkra rutinerna kring projekthandboken och slh kons Summa 2 4 8 3 3 9 2 3 6 4 2 8 4 3 12 3 3 3 3 2 4 2 4 6 12 6 12 4 3 12 3 4 12 3 4 12 3 4 12 3 1 3 4 3 12 1 4 4 1 1 2 2 2 2 4 4 16 5 4 20 Aktivitet/uppdrag Risker som finns Rapportering i lönesystemet andra regler Otillräcklig rapportering till lönesystemet Regelbundet återkommande arbete utöver det löpande samt utredningsuppdrag Stress och ojämn arbetsfördelning Regler i bidragsprojekt Bidragsprojekt som ej följer bidragslämnande myndighets regler - eller egna regler Felaktig hantering av representation Felaktig hantering av resor Representation Resor Resurser Riskarbete hos chefer Riskhantering Rutiner Rutiner i stort projekt Sammanträdesrum Serva direktören 13 av 18 │ Kontroller/åtgärder/förebyggande åtgärder/rutiner ekonomistyrningen kring projekt. Vissa automatiska kontroller, vissa manuella. Manuella är t tex uppföljning av kostnader Möjligt att prioritera bort alla utredningar till förmån för löpande och regelbundna uppgifter. Diskussion inför regelbundet återkommande arbetsuppgifter kring arbetsfördelning/planering samt uppföljning Kontroll av att projektet följer reglerna Chef granskar fakturan Reseansökan görs i system och godkänns av chef. Reseräkning godkänns av chef Ingen personal - personalflykt Regelbundet se över andra förmåner än lön samt arbetsförhållanden Nyckelpersonal slutar Backuprutiner där det är möjligt och säkra rutiner för överlämnande när någon slutar Svårigheter rekrytera kompetens, extern Personalvårdande/utvecklande insatser och konkurrens marknadsmässiga villkor Chefer och ansvariga arbetar inte med Implementera i vht, mer användarvänligt, hur vill riskanalyser - med att förebygga etc vht ha det? Arbeta med den i lg-grupperna samt på enhetsnivå. Otillräcklig riskhantering i samband med intern Fördjupade interna kontroller samt information kontroll och utbildning Rutiner kring planprocessen, SBK samt internt Löpande kontroll och styrning samt lyhört följa processen Rutiner som inte följs i ett projekt Interna kvalitetsavstämningar, checklistor, nyckeltal och utveckling av "användarvänliga" rutiner. Rutiner som inte följs i ett projekt Avrapportering Rutiner som inte följs i ett stort projekt Säkerställa rutiner i projekt och tydliggöra respektive ansvarigs roll och ansvar. Säkra planeringsprocessen genom att ha en tydlig styrning Stort projekt som ej går som planerat och rutiner Löpande avstämn. Och ha fokusprojekt som inte följs följs upp vid andra tillfällen ej bara vid prognos. Stort projekt som ej är förankrade, remissade, Säkerställa rutiner i projekt och tydliggöra beslutade eller följer projekthandboken eller respektive ansvarigs roll och ansvar. Säkra andra regler planeringsprocessen genom att ha en tydlig styrning Dator går sönder Vi har reservdator Personella resurser saknas. Säkra backuprutiner och planera ledigheter om slh kons Summa 2 4 8 3 3 9 3 4 12 3 2 3 3 9 6 1 5 5 3 4 12 4 4 16 4 4 16 2 4 8 3 3 9 4 4 16 4 2 3 4 12 8 4 3 12 2 3 6 2 2 3 1 6 2 Aktivitet/uppdrag Risker som finns Servrar Dataintrång Hårddisk havererar Hårddiskkabinett havererar Strömavbrott i hela Stadshuset Strömavbrott i serverrum Virusangrepp En av Gatukontorets fysiska servrar havererar Serverrummet på 5:e våning slås ut Sladd som ligger på golvet Anställd snubblar på sladd som ligger på golvet Stationära telefoner Svara i gatukontorets telefon En telefon går sönder Flera telefoner går sönder Dokumenten följs ej i planering och genomförande av verksamheten Personella resurser saknas. Svara på remisser Personella resurser saknas. Systemgenererade intäkter Säkerhet Otillräcklig hantering av ej systemgenererade intäkter Dålig säkerhet vid avstängningar Säkerhet vid arrangemang Skottlossning eller bomb under arrangemang Trafiksignaler Inte hålla utbytestakten på signalinvesteringar Styrdokument 14 av 18 │ Kontroller/åtgärder/förebyggande åtgärder/rutiner möljigt Malmö stads brandvägg, avancerat lösenord Automatisk övergång till reservhårddisk. Garantiservice inom en arbetsdag. Automatisk övergång till resterande 2 fysiska hårdiskkabinett. Garantiservice inom en arbetsdag. Serverrummets batterieUPS förser servrarna med ström tills Stadshusets reservkraft startar. Förutsatt att reservkraften startar inom 15-20 min. Serverrummets batterieUPS förser servrarna med ström i 15 - 20 min. Serverrummet har eget proppskåp. Larm via mail till alla på IT-enheten. Malmö stads brandvägg och automatiskt uppdaterat antivirus program som skickar larm direkt vid misstänkt angrepp. Vi tar daglig backup att återställa ifrån. Automatisk övergång till resterande 3 fysiska servrar. Garantiservice inom en arbetsdag. Reserv servrar finns på 2:a våningen i Fastighetskontorets serverhall. Information flyttas varje natt från 5:e vån till 2:a vån. Säkra regelbundet sladdsanering och uppmärksamma var och en på respektives ansvar Vi har telefoner på lager, byte kan ske direkt Vi har telefoner på lager, byte kan ske direkt Löpande intern kontroll och styrning samt utbildning och information Säkra backuprutiner och planera ledigheter om möljigt Säkra backuprutiner och planera ledigheter om möljigt Regelbunden utbildning och information samt styrning och kontroll från ekonomienheten Löpande kontroll och styrning samt uppföljning av incidenter Beredskap för kommunikation vid oförutsedda händelser Säkra och kommunicera tidplanen och följ/rapportera när utbytestakten avviker från slh kons Summa 2 3 5 1 10 3 2 4 8 2 5 10 2 5 10 1 5 5 2 3 6 1 5 5 1 5 5 2 1 4 2 3 3 4 3 12 3 3 9 2 3 6 1 3 3 2 5 10 1 5 5 3 4 12 Aktivitet/uppdrag Risker som finns Komponentbrist, trafiksignaler, svåra att få tag på, gammal teknik Uppdatering av system Uppföljning av investeringsprojekt Upphandling Ej tillräckliga och uppdaterade rutiner kring verksamhetssystem Kontoret fortsätter uppföljning av årskalkyler och ändrar inte arbetssätt med inriktning mot totalkalkyler i projekt Att ny driftentreprenör har mycket högre priser än dagens (offentlig belysning) För få inlämnade anbud Upphandling enligt LOU Utlandsresor Upphandling sker ej enligt LOU eller eget regelverk Upphandling bidrar ej till att konkurrensmöjligheterna gynnas på bästa sätt Utlandsresor generellt Väder Väderpåverkan och verksamhetskonsekvens Yttre Risk att bel.stolpar blåser ner pga att man hängt upp reklam eller skyltar Risk att många kabelfel medför tillfälliga omkopplingar, vilket kan leda till tillbud vid bristande dokumentation Styrsystemet för gatubel ligger hos extern part Ny konsult för inventering av underhållsbehov, beräknar olikt förra (beläggning) Upphandling gynnar konkurrens Gamla ledningar påverkar beläggningsprogrammet, ex VA-syd Ledningsägare förljer inte grävningsbestämmelserna Försening av grävtid Nya växtsjukdomar Bristande garantiskötsel 15 av 18 │ Kontroller/åtgärder/förebyggande åtgärder/rutiner plan Säkra att det finns lager till gamla signaler och uppgradera komponenterna till nyare när möjlighet finns Regelbunden översyn av rutiner kring system slh kons Summa 3 5 15 3,5 3 11 Säkerställa rutiner i projekt och tydliggöra respektive ansvarigs roll och ansvar. Säkra planeringsprocessen genom att ha en tydlig styrning Beredskap och lyhört följa processen vid upphandlingar. Ha möljighet att vara flexibel i mängdförteckningar Göra riskanalyser inför anbudsutskick och gör anbuden attraktiva för många Genomgång av ansvar och LOU för alla nyanställda och tillfälligt anställda Skapa upphandlingar som gynnar konkurrensmöjligheterna Säkring av rutiner och löpande intern kontroll och styrning Kan inte påverka vädret, endast ha beredskap för åtgärder vid "fel" väder Löpande kontroll och styrning och rutiner för vad som får hänga i belysningsstolpar Säkra dokumentationen för kabeldragningar 2 4 8 5 2 10 3 4 12 4 4 16 4 4 16 1 3 3 4 3 12 5 2 10 5 3 15 Löpande kontroll och styrning Intern kontroll och styrning avseende konsultinsatser och analys av konsultrapporter för att se om det finns alternativa lösningar Intern kontroll och styrning och säkring av rutiner hos remissinstanser Intern kontroll och styrning samt utbildning, kommunikation och säkring av rutiner hos ledningsägare Intern kontroll och styrning samt proaktiv uppföljning av grävtider Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser Intern kontroll och styrning samt proaktiv 1 4 4 5 4 20 5 3 15 4 3 12 3 3 9 2 5 10 4 3 12 Aktivitet/uppdrag Risker som finns Okunskap som leder till felaktiga beslut (oljeutsläpp, strandbad, bekämpning, miljögifter, miljöbalken…) Dålig koll på underhållsbehovet Summa 5 15 Intern kontroll och styrning samt säkring av rutiner och kompetensnivå hos berörd personal Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser Löpande intern kontroll och styrning samt lyhört följa entreprenörernas ekonomiska status Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser Skapa möjlighet för flera leverantörer 4 5 20 2 5 10 1 5 5 1 3 3 3 5 15 Bevaka och följa processen kring förtätning av staden och ta strategiska beslut kring kontorets strategi Skadegörelse Reducera risken genom väktare, närvarobelysning och genom att öppna upp/stänga av beroende på behov och möjligheter Snö Krisorganisation för att hantera stora snömängder Strejk hos entreprenör Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser Strejk hos entreprenörer Risk som är svår att påverka Översvämning Krisorganisation för att hantera stora regnmängder Oljeutsläpp Krisorganisation vid oljeutsläpp för att reducera konsekvenserna Vandalisering Rutiner för att reducera risken för vandalisering samt rutiner för att åtgärda vandalisering snarast efter upptäckt Otrygg miljö på stan Förebyggande arbete kring trygghetsfrågor men även gemensamma insatser med andra aktörer Foton ej godkända att använda av personerna på Nya bilder: genomgång av Malmö stads rutin. bild eller av fotografen Fotografens namn ska finnas i bildfilen, fotografens ansvar. Verka för att man central tar fram en bättre rutin och utbildning. Foton på identitetsskyddade personer används Löpande intern kontroll och styrning, säkring av rutiner samt utbildning och information 4 4 16 2 4 8 4 3 12 1 5 5 3 3 4 4 12 12 3 5 15 5 2 10 2 3 6 4 1 4 2 5 10 Brutna kontrakt med entreprenör (konkurs) Demonstration oanmält Få leverantörer på trafiksignalsidan, risk för monopolsituation Förtätning, grönytor exploateras 16 av 18 │ slh kons 3 Terrordåd Yttre Kontroller/åtgärder/förebyggande åtgärder/rutiner kommunikation i projekten och med entreprenörer Beredskap för kommunikation och olika alternativa lösningar vid oförutsedda händelser Aktivitet/uppdrag GK:s IT-system Systemmjukvara Risker som finns inaktiva konton på sociala medier som fortfarande är öppna men ingen övervakar. Risk att frågor och synpunkter inte besvaras och att förtroendet skadas. ingen interninfo kommer ut på komin pga kommunikatörers frånvaro/resursbrist/överbelastning Ändringar i trafiksituationen kring stora arrangemang utan förvarning Se Ifacts. Malmö stads IT-stöd för att förteckna och klassificera informationstillgångar som system och e-tjänster. Dataintrång Korrupt databas System haveri Dokumenthantering Lagar och regler avseende dokumenthantering följs ej Arrendatorer Arrendatorer påverkar verksamhetens rykte negativt. Arrendatorer går i konkurs, minskade intäkter + tomma lokaler Riskträd Träd/gren som ramlar på person/bil t ex pga almsjuka Lekplatstillsyn Lekredskap med personskador/dödsfall Organsiation hos entreprenör Belysning Entreprenörens personal och UE uppfyller ej ställda krav Släckt belysning Underhåll Bristande underhåll 17 av 18 │ Kontroller/åtgärder/förebyggande åtgärder/rutiner Översyn av rutiner och information/utbildning slh kons Summa 2 2 4 Backup och prioritering av arbetsuppgifter vid behov 1 2 2 Löpande kontroll och styrning samt beredskap och aktiv dialog vid stora arrangemang Se Ifacts 2 3 6 (tom) 0 1 5 5 2 5 10 1 5 5 5 3 15 4 3 12 4 5 20 3 3 9 3 3 9 4 2 8 3 2 6 1 3 3 Centrala brandväggar, centralt administrerat virusskydd, information till användarna. Alla virtuella servrar säkerhetskopieras varje natt, dessutom kopieras databaserna till en NAS-enhet varje natt Alla virtuella servrar säkerhetskopieras varje natt Processutveckling och utbildning vilket kommer att ske i samband med att Medverka implementeras Tydliga avtal med arrendatorer som även anger inriktning för verksamheten. Möjlighet att bryta avtal. Noggrann verksamhetsuppföljning hos arrendatorer. Kontroll av soliditet vid avtalsteckning. Överlappande avtal för att undvika att alla byts samtidigt. Beredskap för oförutsedda händelser men även aktivt arbete med entreprenörer och underhållsplaner för att reducera risken, löpande intern kontroll och styrning Beredskap för oförutsedda händelser men även aktivt arbete med entreprenörer och underhållsplaner för att reducera risken, löpande intern kontroll och styrning Regelbunden intern kontroll och styrning av entreprörer kring att kraven uppfylls Beredskap för olika åtgärder när offentlig belysning är släckt Beredskap för oförutsedda händelser men även (tom) Aktivitet/uppdrag Risker som finns Allmänt arbete i IT-stöd Frustration och stress över IT-system som inte fungerar när de måste fungera Arbetsplatsen För trånga kontorslokaler - för "lite luft" per medarbetare - två personer i ett rum Kontroll av parkeringsintäkter Uppföljning Kontroll av markupplåtelseintäkter Verksamhetsansvarig/projektledare slutar Budgetprocessen Objektsgodkännade 18 av 18 │ Stora avvikelser på driftsverksamhet av olika skäl Stora avvikelser på investeringsprojekt av olika skäl avseende enskilda bokslutsår Stora avvikelser på investeringsprojekt av olika skäl avseende totaler Se till att objektsgodkännade tas fram Kontroller/åtgärder/förebyggande åtgärder/rutiner aktivt arbete med entreprenörer och underhållsplaner för att reducera risken, löpande intern kontroll och styrning Lyhört följa de problem som användarna upplever för att proaktivt arbeta med att förbättra systemen Planera för ett aktivitetsbaserat kontor som möter de behov som finns Löpande intern kontroll och styrning, säkring av rutiner samt utbildning och information Löpande intern kontroll och styrning, säkring av rutiner samt utbildning och information Ha roterande backup och andra rutiner för att reducera risken Fördjupad intern kontroll och styrning, säkring av rutiner samt utbildning och information Följ utvecklingen och säkra processen och ha en bra löpande intern kontroll och styrning Följ utvecklingen och säkra processen och ha en bra löpande intern kontroll och styrning Löpande intern kontroll och styrning, säkring av rutiner samt utbildning och information slh kons Summa 4 3 12 5 3 15 2 5 10 2 5 10 3 3 9 4 4 16 4 2 8 3 4 12 3 2 6