Samþykkt
Samþykkt fyrir Innri endurskoðun og ráðgjöf Reykjavíkurborgar og innri endurskoðanda
Samþykkt fyrir Innri endurskoðun og ráðgjöf Reykjavíkurborgar og innri endurskoðanda var samþykkt á fundi borgarstjórnar þann 15. júní 2021.
SAMÞYKKT
fyrir Innri endurskoðun og ráðgjöf Reykjavíkurborgar og innri endurskoðanda
I. KAFLI
Verkefni, starfssvið, hæfi og umboð
1. gr.
Innri endurskoðandi og Innri endurskoðun og ráðgjöf Reykjavíkurborgar
Innri endurskoðandi starfar í umboði borgarráðs og í beinum tengslum við æðstu stjórnendur borgarinnar. Hann er innri endurskoðandi Reykjavíkurborgar og störf hans eru hluti af stjórnendaeftirliti Reykjavíkurborgar. Hann er engum háður í störfum sínum og nýtur faglegs sjálfstæðis gagnvart allri stjórnsýslu borgarinnar.
Borgarráð hefur það hlutverk, skv. 74. gr. samþykktar um stjórn Reykjavíkurborgar og fundarsköp, að ráða innri endurskoðanda. Í 2. gr. samþykktar fyrir endurskoðunarnefnd kemur fram að hún skuli setja fram tillögu til borgarstjórnar um ráðningu innri endurskoðanda.
Skrifstofa innri endurskoðanda nefnist Innri endurskoðun og ráðgjöf Reykjavíkurborgar. Hann fer með stjórn hennar, ákveður verkefnaskiptingu, skipurit og skipulag. Hann ræður starfsmenn skrifstofunnar og velur einn þeirra sem staðgengil sinn. Val á staðgengli og starfsmanni samkvæmt 8. gr. skal staðfest af endurskoðunarnefnd.
Innri endurskoðandi hefur seturétt á fundum borgarráðs og fundum stjórna B hluta aðila eftir því sem hann telur dagskrárefni gefa tilefni til.
2. gr.
Verkefni og hlutverk
Verkefni Innri endurskoðunar og ráðgjafar Reykjavíkurborgar, undir stjórn og á ábyrgð innri endurskoðanda, eru eftirfarandi:
a) Að annast innri endurskoðun í samræmi við alþjóðlega staðla um innri endurskoðun og veita stjórn og stjórnendum Reykjavíkurborgar faglega og óháða ráðgjöf með það að markmiði að bæta rekstur og stjórnsýslu, meta árangur og bæta áhættustýringu.
b) Að veita stjórnendum Reykjavíkurborgar ráðgjöf um persónuvernd, upplýsa þá, fylgjast með og sjá um önnur þau verkefni sem greinir í 39. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016, sbr. lög nr. 90/2018.
c) Að taka á móti gögnum og upplýsingum um lögbrot eða aðra ámælisverða háttsemi, bæði frá nafnlausum tilkynnendum og frá uppljóstrurum í samræmi við lög nr. 40/2020 um vernd þeirra.
d) Að vakta og fylgjast með eðli kvartana borgarbúa til einstakra fag- og kjarnasviða og eftir atvikum bregðast við með frumkvæðisathugunum.
e) Að veita borgarbúum ráðgjöf, greiða götu þeirra og leiðbeina þeim í samskiptum sínum við borgina, m.a. um leiðir þeirra til að leita réttar síns telji þeir að á sér hafi verið brotið.
f) Að veita stjórnendum aðra ráðgjöf en þá sem fellur undir a lið eða e lið um afmörkuð atriði svo sem um framkvæmd stjórnsýslulaga og upplýsingalaga.
g) Að fræða starfsmenn Reykjavíkurborgar og leiðbeina þeim m.a. um framkvæmd innra eftirlits, persónuvernd og meginreglur stjórnsýsluréttar.
Borgarráð getur falið innri endurskoðanda að taka að sér einstök verkefni tengd einingum eða þáttum í rekstri Reykjavíkurborgar.
3. gr.
Hæfni, óhæði og hæfi innri endurskoðanda
Innri endurskoðandi skal hafa þá menntun, hæfni og reynslu sem er nauðsynleg til að stýra Innri endurskoðun og ráðgjöf Reykjavíkurborgar.
Innri endurskoðanda er óheimilt að taka þátt í meðferð mála sem geta leitt til þess að óhæði hans og sérstöku hæfi sé stefnt í hættu. Hann skal ekki fjalla um mál ef að til staðar eru:
a) Einhver tengsl, svo sem atvinnutengsl, fjölskyldutengsl, fjárhagsleg tengsl eða viðskiptatengsl, sem eru til þess fallin að vekja vafa um óhæði hans til að stýra meðferð máls og ákvarðanatöku. Átt er við sams konar óhæði og greinir í 12. og 13. tölul. 1. mgr. 2. gr. laga nr. 94/2019.
b) Ástæður sem eru til þess fallnar að valda vanhæfi hans. Átt er við sams konar vanhæfisástæður og greinir í 3. gr. stjórnsýslulaga nr. 37/1993.
Verði ágreiningur um sérstakt hæfi eða óhæði innri endurskoðanda skal vísa málinu til endurskoðunarnefndar og eftir atvikum til ákvörðunar borgarráðs. Eftir því sem við á skal haga málsmeðferð eftir ákvæðum 5. gr. stjórnsýslulaga.
4. gr.
Starfssvið
Starfssvið Innri endurskoðunar og ráðgjafar Reykjavíkurborgar nær til A hluta Reykjavíkurborgar, eins og hann er afmarkaður í 1. tölul. 1. mgr. 60 gr. sveitarstjórnarlaga nr. 138/2011. Að því marki sem A hlutinn ber ábyrgð á B hlutanum, eins og hann er afmarkaður í 2. tölul. sömu gr., nær starfssviðið einnig til allrar samstæðu borgarinnar.
Þá getur innri endurskoðandi gert samninga um einstök verkefni við stofnanir, fyrirtæki og aðrar rekstrareiningar sem tilheyra B hlutanum og í sérstökum tilfellum einnig við félög sem Reykjavíkurborg á minnihluta í.
Í samningum samkvæmt 2. mgr. skal að jafnaði kveða á um gjaldtöku, en gjald skal ekki vera hærra en sem nemur kostnaði vegna vinnu. Í samningum skal einnig kveðið á um aðgang að gögnum, um aðstoð og önnur sambærileg atriði og greinir í 15. gr. Þá skal jafnan gæta þess að geta þagnarskyldu, sbr. 14. gr.
II. KAFLI
Innri endurskoðun
5. gr.
Alþjóðlegir staðlar um innri endurskoðun
Við framkvæmd innri endurskoðunar samkvæmt a lið 2. gr. skal fara að alþjóðlegum stöðlum um innri endurskoðun (International Standards for the Professional Practice Framework of Internal Auditing). Innri endurskoðandi gerir tillögu að erindisbréfi í skilningi staðals 1000, með skilgreiningu á tilgangi, heimildum og ábyrgð. Skal tillagan lögð fyrir endurskoðunarnefnd til formlegrar samþykktar.
6. gr.
Val verkefna
Verkefnaval og forgangsröðun verkefna samkvæmt a lið 2. gr. skal byggja á áhættumiðaðri áætlun. Áætlunin skal vera í samræmi við meginmarkmið borgarstjórnar og eftir atvikum viðeigandi stjórna B hluta aðila. Áætlun fyrir A hluta skal lögð fyrir endurskoðunarnefnd til staðfestingar. Áætlanir fyrir B hluta skulu lagðar fyrir endurskoðunarnefnd til afgreiðslu og fyrir stjórn viðkomandi félags til staðfestingar. Áætlanir skal uppfæra eftir því sem þörf krefur til að bregðast við breytingum á starfsemi, áhættu, rekstri, verkefnum, kerfum og eftirlitsþáttum.
III. KAFLI
Umboðsmaður borgarbúa
7. gr.
Ráðgjöf umboðsmanns borgarbúa
Verkefni Innri endurskoðunar og ráðgjafar Reykjavíkurborgar, skv. e lið 1. mgr. 2. gr., er að veita borgarbúum ráðgjöf, greiða götu þeirra, sætta sjónarmið og leiðbeina þeim í samskiptum sínum við borgina, m.a. um leiðir þeirra til að leita réttar síns telji þeir að á sér hafi verið brotið. Verkefni samkvæmt þessari grein ná ekki til:
a. efnislegrar umfjöllunar um einstakar pólitískar ákvarðanir.
b. efnislegrar umfjöllunar um starfsmannastefnu.
c. erindisrekstrar fyrir einstaklinga eða fyrirtæki.
d. efnislegrar umfjöllunar um mál sem eru til meðferðar hjá öðrum starfseiningum borgarinnar eða hjá öðrum stjórnvöldum, s.s. hjá sjálfstæðum úrskurðarnefndum, eða hjá Umboðsmanni Alþingis, dómstólum o.s.frv.
Þau verkefni Innri endurskoðunar og ráðgjafar Reykjavíkurborgar sem falla undir d lið 1. mgr. 2. gr. felast í því að vakta og fylgjast með eðli kvartana borgarbúa til einstakra fag- og kjarnasviða yfir veittri þjónustu og eftir atvikum bregðast við með frumkvæðisathugunum. Vöktun þessi skal þjóna því markmiði að efla samvinnu innan stjórnsýslunnar um meðferð kvörtunarmála, ná fram skilvirkni og koma í veg fyrir of mikið flækjustig og tvíverknað í verklagi.
IV. KAFLI
Persónuvernd
8. gr.
Persónuverndarfulltrúi
Innri endurskoðandi getur tilnefnt starfsmann Innri endurskoðunar og ráðgjafar Reykjavíkurborgar til að gegna starfi persónuverndarfulltrúa og sinna þeim verkefnum er falla undir b lið 1. mgr. 2. gr. samþykktar þessarar. Eins getur innri endurskoðandi falið öðrum starfsmanni, eða sjálfstæðum verktaka, að annast þessi verkefni að því er varðar þá vinnslu persónuupplýsinga sem tengist starfsemi Innri endurskoðunar og ráðgjafar Reykjavíkurborgar sjálfrar.
Innri endurskoðandi skal tryggja að viðkomandi starfsmaður, eða verktaki, hafi þá faglegu hæfni, sjálfstæði, aðstöðu og verksvið er greinir í 37. - 39. gr. rgl. Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016, sbr. pvl. nr. 90/2018.
9. gr.
Verkefni og persónuverndarteymi
Einstökum fag- og kjarnasviðum ber tímanlega að leita viðeigandi ráðgjafar Innri endurskoðunar og ráðgjafar Reykjavíkurborgar við alla ákvarðanatöku um vinnslu persónuupplýsinga sem Reykjavíkurborg ber ábyrgð á og fá leiðsögn hennar um gildandi lög og reglur á sviði persónuverndar.
Innri endurskoðun og ráðgjöf Reykjavíkurborgar skal fylgjast með hlítni Reykjavíkurborgar við gildandi lög og reglur um vernd persónuupplýsinga og styðja við fylgni borgarinnar við þær. Hún verður þó ekki gerð ábyrg fyrir því að Reykjavíkurborg hafi ekki farið að gildandi lögum. Innri endurskoðun og ráðgjöf Reykjavíkurborgar skal vinna með Persónuvernd og koma fram gagnvart henni fyrir hönd borgarinnar.
Persónuverndarfulltrúi, sbr. 8. gr., leiðir samstarfsteymi persónuverndarsérfræðinga Reykjavíkurborgar og skal það vera vettvangur fyrir gagnvirka fræðslu til að stuðla að samræmdri framkvæmd um persónuverndartengd málefni. Þar á meðal fræðslu um gerð vinnslusamninga, um viðbrögð við öryggisbrestum, um fyrirfram samráð við Persónuvernd, um mat á áhrifum af vinnslu á persónuvernd („MÁP“), um staðlaða fræðslu og um stefnu á sviði persónuverndar- og öryggismála.
Einstök fagsvið og kjarnasvið Reykjavíkurborgar er taka vilja þátt í samstarfinu tilnefna sinn fulltrúa hvert til þátttöku í teyminu. Ef þörf krefur má teymið afla fræðslu og ráðgjafar hjá utanaðkomandi sérfræðingum sem hafa sérþekkingu á einstökum viðfangsefnum.
V. KAFLI
Uppljóstranir og aðrar ábendingar
10. gr.
Vefgátt fyrir uppljóstranir og nafnlausar tilkynningar
Innri endurskoðun og ráðgjöf Reykjavíkurborgar skal reka sérstaka vefgátt fyrir móttöku uppljóstrana, sbr. lög nr. 40/2020, svo og nafnlausra tilkynninga um lögbrot og aðra ámælisverða háttsemi.
Í gáttinni skal bjóða upp á stofnun og notkun öruggs pósthólfs fyrir frekari samskipti við uppljóstrara og þá sem senda inn nafnlausar tilkynningar.
11. gr.
Nafnlausar tilkynningar
Leiðbeina skal tilkynnendum sem vilja vera nafnlausir (ópersónugreinanlegir) um að segja hvorki á sér deili né greina frá nokkru því er geri kleift að bera kennsl á þá. Þá skal veita þeim leiðsögn um hvað þeir geta sjálfir gert til að hindra eða hamla rekjanleika.
Hvorki má skrá IP-tölur né önnur tölvuauðkenni eða nota vefkökur.
Nafnlaus tilkynnandi hefur ekki stöðu aðila máls þannig að ákveði Innri endurskoðun og ráðgjöf Reykjavíkurborgar, af tilefni nafnlausrar tilkynningar, að taka mál til skoðunar skal hún fara með það sem frumkvæðismál. Ekki skal taka mál upp ef:
a) það getur fyrirsjáanlega skapað hættu á vinnslu óáreiðanlegra persónuupplýsinga,
b) það er metið svo að tilkynning byggist bersýnilega á ómálefnalegum sjónarmiðum,
c) tilkynning er ekki studd nauðsynlegum gögnum,
d) hætta er á að Reykjavíkurborg muni ekki geta uppfyllt ábyrgðarskyldur sínar skv. reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679, og pvl. nr. 90/2018, eða að það geti hamlað skilvirkni meginreglna um réttarúrræði og sanngjarna málsmeðferð eða beitingu á valdheimildum opinberra eftirlitsaðila.
12. gr.
Uppljóstranir
Innri endurskoðun og ráðgjöf Reykjavíkurborgar skal gæta leyndar um uppljóstrara samkvæmt lögum nr. 40/2020. Í því felst að gæta skal trúnaðar gagnvart utanaðkomandi aðilum um nöfn uppljóstrara og aðrar þær persónuupplýsingar sem geta leitt í ljós hverjir þeir eru. Uppljóstrari getur aflétt leynd með afdráttarlausu samþykki sínu.
Í vefgátt samkvæmt 10. gr. skal veita uppljóstrurum fræðslu um réttindi þeirra samkvæmt reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 og pvl. nr. 90/2018. Taka skal fram að persónuupplýsingar verði veittar þeim starfsmönnum sem þess þurfa nauðsynlega starfs síns vegna, s.s. viðkomandi stjórnendum. Þá sé ekki útilokað að þær verði veittar dómara, lögreglu eða eftirlitsstjórnvaldi.
Gera skal viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar. M.a. skal nota búnað sem tryggir öryggi rafrænna gagna, s.s. dulkóðunarforrit fyrir tölvupóst. Beita skal virkum öryggisráðstöfunum, t.d. aðgangsstýringum og rakningu (loggun), til að hindra að aðrir starfsmenn fái aðgang að persónuupplýsingum en þeir sem þess þurfa nauðsynlega starfa sinna vegna.
13. gr.
Meðferð mála vegna uppljóstrana
Um meðferð uppljóstrunarmála hjá Innri endurskoðun og ráðgjöf Reykjavíkurborgar gildir eftirfarandi:
a. Þegar uppljóstrun berst skal strax skoða hvort mál virðist vera tækt til efnislegrar meðferðar. Þar skiptir máli hvort það varðar lögbrot eða ámælisverða háttsemi sem stefnir almannahagsmunum í hættu – t.d. hátterni sem ógnar heilsu eða öryggi fólks eða umhverfi, án þess að um sé að ræða augljóst brot á lögum eða reglum – en ekki atriði á borð við óánægju með laun, vandamál í samskiptum við starfsfélaga o.þ.h.
b. Ef mál er ekki tækt til meðferðar þá skal vísa því frá og senda svar þess efnis til uppljóstrara. Ef það virðist tækt til meðferðar þá skal gera forathugun á málinu og m.a. skoða hvort mögulegt sé að upplýsa það nægilega vel til að komast megi að réttri niðurstöðu í því.
c. Verði niðurstaða forathugunar sú að mál sé í raun ekki tækt til meðferðar, eða að ekki sé unnt að upplýsa það nægilega vel, þá skal annað hvort fella það niður eða fresta meðferð þess og senda svar þess efnis til uppljóstrarans (ef unnt er).
d. Verði niðurstaða forathugunar, skv. c lið, sú að mál sé tækt til meðferðar, og unnt virðist vera að upplýsa það nægilega vel, þá skal hefja rannsókn á því.
e. Greina skal uppljóstrara frá framvindu máls og lyktum þess, að því marki sem lög bjóða og þagnarskyldureglur leyfa.
f. Ef önnur starfseining Reykjavíkurborgar en Innri endurskoðun og ráðgjöf er til þess bær að fjalla um mál skal senda það þangað svo fljótt sem verða má og greina uppljóstrara frá því. Málum skal þó fylgt eftir ef nauðsyn krefur.
14. gr.
Lyktir uppljóstrunarmála
Að lokinni málsmeðferð samkvæmt 13. gr. má ljúka máli með því að:
a. tjá borgarstjóra eða viðkomandi fagráði, nefnd eða stjórn niðurstöðu/álit stofunnar.
b. senda annarri starfseiningu innan borgarinnar, s.s. sviðsstjóra, tillögu um að málið verði rannsakað þar.
c. veita viðkomandi fagráði eða sviðsstjóra, endurskoðunarnefnd, borgarritara eða borgarstjóra vitneskju um mál.
d. fella mál niður með svari til uppljóstrara.
Niðurstöður og tillögur Innri endurskoðunar og ráðgjafar eru ekki bindandi fyrir hlutaðeigandi stjórnendur en þeim ber að láta hana vita ef þeir fara ekki að hennar ráðum. Innri endurskoðun og ráðgjöf Reykjavíkurborgar getur þá, eftir því sem við á, upplýst borgarritara, borgarstjóra, endurskoðunarnefnd eða viðkomandi sviðsstjóra um að ekki hafi verið farið að hennar ráðum.
Eftir því sem við á skal gera borgarritara, borgarstjóra, endurskoðunarnefnd, viðkomandi fagráði og sviðsstjóra grein fyrir lyktum mála. Þá skal einnig, eftir því sem þörf krefur og að því marki sem þagnarskyldureglur leyfa, fræða uppljóstrara um lyktir máls.
Stefni í að uppljóstrun muni hafa neikvæðar afleiðingar fyrir starfsmann, s.s. á formi íþyngjandi úrræða að starfsmannarétti, getur hver sem er látið Innri endurskoðun og ráðgjöf vita af því. Skal hún þá bregðast við svo fljótt sem auðið er m.a. með því að tilkynna viðkomandi stjórnanda um að slík ábending hafi borist, leiðbeina honum um að rannsaka mál og eftir atvikum afstýra því að gripið verði til umræddra úrræða. Fylgja skal málum eftir ef þörf krefur.
Persónuupplýsingum og öðrum gögnum skal eytt þegar þeirra er ekki lengur þörf við meðferð máls, að því marki sem lög leyfa.
VI. KAFLI
Aðgangur að gögnum
15. gr.
Aðgangur Innri endurskoðunar og ráðgjafar Reykjavíkurborgar
Sviðum og skrifstofum Reykjavíkurborgar ásamt borgarráði, fagráðum, nefndum og stjórnum ber að veita starfsfólki Innri endurskoðunar og ráðgjafar þá aðstoð sem hún óskar eftir til að geta rækt sín verkefni samkvæmt samþykkt þessari. Þeim ber sömuleiðis að veita henni þann aðgang að bréfum, skýrslum, tölvupóstum, innsendum reikningum og öðrum gögnum sem hún óskar eftir. Veita skal hæfilegan frest til að afhenda gögn og veita aðstoð.
Innri endurskoðandi Reykjavíkurborgar ákveður hvar og hvenær verkefni samkvæmt a lið 1. mgr. 2. gr. og II. kafla samþykktar þessarar eru unnin. Ef ákveðið er að skoðun fari fram í húsakynnum viðkomandi aðila þá skal hann veita starfsfólki Innri endurskoðunar og ráðgjafar nauðsynlega aðstöðu til þess að gera það.
16. gr.
Aðgangur að gögnum hjá Innri endurskoðun og ráðgjöf Reykjavíkurborgar
Óskum um aðgang að gögnum, sem aðilar innan A hluta Reykjavíkurborgar, er sætt hafa innri endurskoðun eða fengið ráðgjöf o.þ.h. frá Innri endurskoðun og ráðgjöf Reykjavíkurborgar, hafa afhent skrifstofunni, skal beint til viðkomandi aðila sjálfs. Að öðru leyti fer um veitingu aðgangs að gögnum hjá Innri endurskoðun og ráðgjöf Reykjavíkurborgar samkvæmt ákvæðum laga og settra reglna, þ. á m. ákvæðum stjórnsýslulaga, upplýsingalaga og persónuverndarlaga.
VII. KAFLI
Þagnarskylda og upplýsingagjöf
17. gr.
Þagnarskylda
Innri endurskoðanda ber að gæta þagnarskyldu um atvik sem honum verða kunn í starfinu og leynt eiga að fara vegna lögmætra almanna- eða einkahagsmuna, m.v.t. ákvæða X. kafla stjórnsýslulaga. Sama gildir um starfsfólk Innri endurskoðunar og ráðgjafar Reykjavíkurborgar og aðra þá sem starfa að einstökum verkefnum.
18. gr.
Um eftirlit endurskoðunarnefndar, birtingu upplýsinga o.fl.
Endurskoðunarnefnd Reykjavíkurborgar, sem starfar á grundvelli laga um ársreikninga og samþykktar um endurskoðunarnefnd Reykjavíkurborgar, hefur eftirlit með störfum innri endurskoðanda og Innri endurskoðunar og ráðgjafar Reykjavíkurborgar. Nefndin fylgist m.a. með framgangi samþykktrar endurskoðunaráætlunar og leggur mat á gæði og skilvirkni í störfum Innri endurskoðunar og ráðgjafar.
Innri endurskoðandi skal, a.m.k. einu sinni á ári, leggja skýrslu um starfsemi sína og skrifstofunnar fram á fundi endurskoðunarnefndar. Í skýrslunni skal m.a. fjalla um úttektir og önnur verkefni, þ. á m. um ráðgjöf á sviði persónuverndar. Greina skal frá viðbrögðum stjórnenda við veittum álitum og veittri ráðgjöf. Þar skal og rekja efni og eðli innkominna uppljóstrana og nafnlausra tilkynninga og eftir atvikum greina frá beiðnum um aðgang að persónuupplýsingum uppljóstrara.
Verði innri endurskoðandi í störfum sínum var við stórvægileg mistök eða afbrot sem falla undir starfssvið Innri endurskoðunar og ráðgjafar Reykjavíkurborgar, samkvæmt samþykkt þessari, skal hann gefa endurskoðunarnefnd sérstaka skýrslu um það og eftir atvikum borgarstjóra eða framkvæmdastjóra viðkomandi B hluta aðila. Hann skal einnig, eftir því sem við á, gera borgarráði, fagráðum og stjórnum B hluta aðila grein fyrir störfum sínum.
Að öðru leyti fer um birtingu upplýsinga, skýrslna og greinargerða Innri endurskoðunar og ráðgjafar Reykjavíkurborgar að ákvæðum upplýsingalaga og reglna settra með stoð í þeim.
Samþykkt á fundi borgarstjórnar 15. júní 2021