Sundsvalls kommun. Granskning av kommunens löneadministration samt uppföljning tidigare granskning

Transkript

1 Revisionsrapport 2016 Genomförd på uppdrag av revisorerna December 2016 mars 2017 Sundsvalls kommun Granskning av kommunens löneadministration samt uppföljning tidigare granskning

2 Innehållsförteckning Sammanfattning Inledning... 6 Bakgrund... 6 Syfte, revisionsfrågor och avgränsning... 6 Revisionskriterier... 7 Ansvarig nämnd... 7 Metod och genomförande Granskningens resultat... 9 System... 9 Kartläggning och riskbedömning av lönehanteringen...11 Rotation på arbetsuppgifter...12 De tre riskmomenten för otillåten utbetalning...12 IT-säkerhet...22 Finns avvikelser från den normala rutinen?...22 Rutin för utbetalning av arvoden till förtroendevalda och ledamöter...23 Uppföljning av tidigare granskning Slutsatser kring granskningens resultat Sammanfattande bedömning, svar på revisionsfrågor och rekommendationer

3 Sammanfattning Sundsvalls kommun betalar varje månad ut lön till ca individer, vilket motsvarar en summa på över 3,8 miljarder kronor inklusive sociala avgifter. Lönekostnaderna är således en av kommunens största utgifter och löneavdelningen är den avdelning som hanterar kommunens största utbetalningar. Kommunens revisorer har i sin risk- och väsentlighetsanalys bedömt det angeläget att genomföra en granskning av kommunens löneadministrativa rutiner. Granskningens syfte är att bedöma om den interna kontrollen för lönehanteringen är tillräcklig. Den primära risken med eventuella brister avseende hantering av lönesystem och rutiner, såväl avsiktliga som oavsiktliga, är att fel uppstår i redovisningen. Det kan även finnas risk för att kommunen lider större ekonomisk skada om återkommande fel uppstår. Ett väl fungerande system för intern kontroll ska säkerställa att fel fångas upp i det dagliga arbetet och att redovisningen därmed blir rättvisande. Granskningen har utförts genom intervjuer med nyckelpersoner inom löneadministrationen, med systemadministratörer, systemförvaltare och med personal på ekonomiavdelningen med kopplingar till lönesystemet. Utöver det har vi tagit del av relevanta styrdokument och policys. De intervjuade har fått möjlighet att faktagranska rapporten så att missförstånd inte ska uppstå. Som ytterligare stöd för vår analys har en registeranalys av kommunens samtliga löner under 2016 också genomförts. I granskningen besvaras följande revisionsfrågor: Revisionsfråga Är kommunens system och rutiner för lönehantering ändamålsenliga? Är den interna kontrollen tillräcklig? Har tidigare lämnade rekommendationer åtgärdats? Har i tidigare granskning noterade brister Utveckling av befintlig beskrivning Svar på revisionsfrågan Vid vår granskning har vi noterat att det inte finns någon fullständig dokumenterad rutinbeskrivning för lönehanteringen inklusive dokumenterade risker och kontrollmoment. Vi har gjort noteringar kring områden som bör förbättras. Vår bedömning är att rutinerna är tillräckliga, men har samtidigt noterat vissa brister. Vår bedömning är att den interna kontrollen är tillräcklig, men att det finns områden som bör förbättras. Våra noteringar innefattar bland annat områden där tvåhandsprincip bör införas samt att uppföljning bör genomföras. Detta gäller främst registrering av nya ledamöter eller förtroendevalda (tvåhandsprincip) samt uppföljning av chefers attester (uppföljning). Våra noteringar visar på att synpunkterna kvarstår. Mer ingående beskrivning återfinns under avsnitt 2.7. Frågan är även fortsatt viktig i och med att nämnderna i vissa sammanhang själva har ansvar för att hantera och arkivera underlagen. 2

4 åtgärdats vad gäller: av verifieringskedja? Föreslagen översyn kring införande av ytterligare automatiska kontroller eller förändringar av desamma? Vi har följt upp de rekommendationer som gjordes i granskningen 2011 och kan konstatera att noteringen kring arkivering av räkenskapsinformation hos nämnder och enheter kvarstår. Granskningen från 2011 konstaterade att automatiserade kontroller utförs i systemet via en tabellstyrning, vilken sedan genererar ett antal kontrollistor. Rekommendationen från föregående granskning var att se över vilka kontroller som görs för att eventuellt kunna förbättra och komplettera de kontroller som görs i systemet, detta för att ytterligare förbättra processen. Lönechefen uppger att kommunen har förbättrat kontrollerna sedan granskningen i och med att administratörerna har nu möjlighet att utföra egna kontroller. Därutöver har rutinerna kring dokumentation av utförda kontroller förbättrats. Styrelse och nämnders tydliggörande av chefens ansvar i löneprocessen? Framtagande av kommungemensamt dokument för att tydliggöra vilken typ av uppföljning som bör göras inom löneområdet, av vem, vilka och hur ofta? Vi har dock noterat att man inte gjort någon formell översyn av vilka kontroller som utförs och hur dessa skulle kunna kompletteras. Vår bedömning, utifrån genomförda intervjuer, är att det fortfarande finns ett behov av att utveckla och förtydliga rollerna i processen respektive kontrollmomenten. Vi vidhåller rekommendationen att kommunstyrelsen ytterligare bör förtydliga chefens ansvar för genomförande av interna kontroller. Synpunkten kvarstår. Rekommendationen från 2011 års granskning var att kommungemensamt upprätta ett dokument som ytterligare tydliggör vilken typ av uppföljning som bör göras inom löneområdet, vilka som är ansvariga samt hur ofta det bör göras. Enligt intervjuade vid löneavdelningen har något sådant dokument inte tagits fram eller presenterats. Synpunkten kvarstår. 3

5 Vår sammanfattande bedömning är att vi utifrån de intervjuer och tester som genomförts anser det föreligga en tillräcklig intern kontroll gällande lönerutinen. Utifrån de kontroller som genomförs har vi svårt att se hur en otillbörlig utbetalning skulle kunna genomföras utan hög risk att upptäckas. Utifrån genomförda intervjuer och dokumentstudier är det vår bedömning att kommunens kontroller av lönekostnaderna är relevanta och vi bedömer att risken för stora felaktigt utbetalda löner är låg. Vi bedömer även det finns en klar ambition att upprätthålla god intern kontroll i lönerutinen samt att det i flera fall är systemen som sätter stopp för de önskemål som löneadministrationen har. Emellertid finns ett behov av förbättringar, vilka i sammanfattad form tillsammans med våra rekommendationer presenteras nedan. Vi har noterat följande: När det gäller möjligheten att lägga upp en fiktiv anställning i lönesystemet har flera roller möjlighet att på egen hand genomföra ett sådant förfarande. Detta är dock förenat med risker då ett upplägg lämnar tydliga spår efter sig i form av loggar samt att alla typer av förändringar av registrerade uppgifter framkommer på utanordningslistan. Utanordningslistan finns tillgänglig för alla chefer i webbportalen i samband med utbetalning. Ingen inom kommunen har direkt åtkomst till databasen där all lönedata lagras. Alla förändringar loggas, d.v.s. information om vem som gjort en förändring sparas. Ingen inom kommunen kan radera eller förändra dessa loggar. Därmed finns ingen som kan radera spåren efter sig vid en eventuell felaktig utbetalning. Väljer någon att genomföra ett försök till otillbörlig lön till annan måste utbetalningen passera den granskning av lönekostnaderna, på individnivå, som utförs av den som ansvarar för det kostnadsställe som kopplats till anställningen. Vi har i vår granskning inte funnit något sätt att undkomma signallistan och utanordningslistan. En brist som noterats är det faktum att ingen uppföljning görs på att alla ansvariga chefer attesterat utanordningen. Görs ingen uppföljning om huruvida attest skett tappar kontrollen sitt värde. Då kontrollkedjan bygger på att dessa två listor följs upp och granskas, anser vi att denna rutin är central. Våra lämnade rekommendationer till förbättringar är: Upprätta fullständig dokumentation över löneprocessen inklusive dokumenterade risker och kontrollmoment. Inför en tvingande kontroll av utanordningslistan genom attestering, samt uppföljning av att attestering görs. Genomför uppföljning av felaktiga utbetalningar genom regelrätt granskning av utanordningslista. Om denna uppföljning visar att vissa chefer frekvent missar uppenbara fel, bör påtryckningar göras för att förbättra kontrollerna. Inför rutiner för att säkerställa att förvaltningarna i tid redovisar förestående förändringar i behörigheter, så som avslut av anställning. Genomför regelbunden kontroll av loggar relaterade till identifierade risker. 4

6 Minimera antalet anställda att attestera för de enhetschefer som har många anställda underställt sig, för att underlätta chefernas uppföljning av utfall. Begränsa mängden Pluto och Fax som genomförs genom att införa beloppsgräns. Rutinen bör utvecklas vad gäller kontroller i nämndernas verksamheter för lönehantering och godkännande. Till detta bör uppföljning av utförda kontroller införas. Inför fungerande rutiner och ansvar för uppstart, uppföljning och avslut av ledamöter och förtroendevaldas ersättningar samt en motpart till löneavdelningen från kommunen som tillser en korrekt hantering av dessa ersättningar. SLA bör upprättas mellan Service Center och nämndernas verksamheter som tydliggör roller och ansvar. Vid en eventuell upphandling se över vilka kontrollmoment som skulle kunna vara systembaserade. 5

7 1 Inledning Bakgrund Kommunens kostnader för löner och sociala avgifter uppgår årligen till ca 3,8 miljarder kronor. Det innebär att löner till de anställda utgör en av kommunens största kostnadsposter granskade kommunens revisorer lönehanteringen och gjorde bedömningen att lönehanteringen till stor del var god och att den interna kontrollen var tillräcklig, men att det fanns brister inom vissa områden. Den interna kontrollen kunde således förbättras på flera punkter, medan den inom andra områden bedömdes vara tillräcklig. Vi har för avsikt att följa upp huruvida föreslagna rekommendationer i den tidigare utförda granskningen har fullföljts. Utöver uppföljande granskning, avser vi att göra en granskning av kommunens löneadministrativa rutiner. Den primära risken med eventuella brister avseende hantering av lönesystem och rutiner, såväl avsiktliga som oavsiktliga, är att fel uppstår i redovisningen. Det kan även finnas risk för att kommunen lider större ekonomisk skada om återkommande fel uppkommer. Mot bakgrund av ovanstående har revisorerna i sin riskbedömning identifierat löneadministrationen som ett viktigt område att granska. Syfte, revisionsfrågor och avgränsning Granskningens syfte är att bedöma om den interna kontrollen för lönehanteringen är tillräcklig. Följande frågor besvaras i granskningen: Är kommunens system och rutiner för lönehantering ändamålsenliga? Är den interna kontrollen på området tillräcklig? Har tidigare lämnade rekommendationer åtgärdats? Har i tidigare granskning noterade brister åtgärdats vad gäller: o Utveckling av befintlig beskrivning av verifieringskedja? o Föreslagen översyn kring införande av ytterligare automatiska kontroller eller förändringar av densamma? o Styrelse och nämnders tydliggörande av chefens ansvar i löneprocessen? o Framtagande av kommungemensamt dokument för att tydliggöra vilken typ av uppföljning som bör göras inom löneområdet, av vem, vilka och hur ofta? Granskningen är avgränsad till de rutiner och system som hanteras centralt av löneavdelningen samt rutiner inom ekonomiavdelningen gällande bokföring och avstämning av löneutbetalningar. 6

8 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser, slutsatser och bedömningar. I denna granskning utgörs de huvudsakliga revisionskriterierna av: Kommunallagens 6 kap. 7 om nämndernas/styrelsens ansvar för intern kontroll Kommunallagens 9 kap. 9 om revisorernas uppdrag att bedöma nämndernas/styrelsens interna kontroll Kommunens styrande dokument rörande löneprocessen Lag om kommunal redovisning 2 kap. 7 ställer krav på hur redovisningen ska hanteras och rapporteras. Revisionskriterierna utgår från: Begreppet god intern kontroll: Ett bra system för intern kontroll ska minska risken för att fel i det dagliga arbetet, såväl avsiktliga som oavsiktliga, leder till fel i redovisningen. Den interna kontrollen kan dock inte fånga upp alla fel, och dessutom är intern kontroll kostsamt. Kostnaden för kontrollen måste alltid vägas mot den fördel i form av minskad risk som den genererar. Till intern kontroll hör att ansvars- och arbetsfördelningen är genomtänkt och fungerar. Attest- och rapportsystemen måste vara ändamålsenliga. En bra ansvars- och arbetsfördelning innebär bland annat att ingen person ensam ska kunna hantera en transaktion i alla led. Utifrån detta har vi satt upp ett antal revisionsfrågor vilka vi sökt svar på och vars svar sedan ligger till grund för bedömningen avseende huruvida den interna kontrollen inom löneadministrationen är tillräcklig. Ansvarig nämnd Granskningen avser kommunstyrelsen. Metod och genomförande Granskningen har utförts genom dokumentstudier av rutinbeskrivningar och intervjuer med personal som ansvarar för lönehanteringen. Följande områden och frågeställningar ligger till grund för intervjuer och granskning: Dokumentation och riskbedömning: Finns det en samlad riskbedömning för löneprocessen? Har rutiner och kontroller för löneprocessen dokumenterats skriftligt? Finns systemdokumentation för personalsystemet? Finns verifieringskedjor upprättade för den bokföring som skapas i personalsystemet? Finns dokumenthanteringsplan upprättad för lönehandlingar? Kompetens och utbildning: Har arbetsledare utbildats i syfte att förbättra kompetensen avseende kontroll av löneavvikelser? Har de anställda utbildats i användandet av Heroma? 7

9 Behörigheter: Kontroller: Är behörighetsrutinerna dokumenterade? Begränsas behörighet i lönesystemet så att löneadministratörer inte kan behandla och/eller manipulera sin egen lön? Är rutiner och organisation för behörighetsadministrationen lämplig med avseende på intern kontroll? Kontrolleras åtgärder som utförs av systemadministratören(-er) och eventuella andra med höga behörigheter på ett tillfredsställande sätt? Görs tester av program-, register- och andra uppdateringar i en särskild och tillfredställande testmiljö? Finns loggar och vilka kontroller görs? Dokumenteras förändringar och uppdateringar av registeruppgifter i lönesystemet och är det säkerställt att dessa alltid attesteras/kontrolleras av annan än den som har registrerat/infört uppgifterna? Registreras och avslutas anställning av annan än den/de som verkställer löneutbetalning och finns spärrar och/eller kontroller av att tvåhandsprincipen följs? Utbetalningar, avstämningar och kontroller: Förekommer extra löneutbetalningar vid sidan av de månadsvisa utbetalningarna och uppfyller rutinerna i så fall kraven på god intern kontroll? Avstäms utbetalningar mellan lönekontoret och bank på ett tillfredsställande sätt, vilka uppgifter avstäms och dokumenteras avstämningen? Finns tillräckliga kontroller för onormala belopp för nettolön per anställd och onormala belopp på enskilda lönearter/ersättningar? Finns ändamålsenliga regler för handläggningen av avvikelser och följs dessa? Görs en ändamålsenlig avstämning av överförda uppgifter mellan lönesystem och ekonomisystem? Görs en ändamålsenlig avstämning av skuldkonton i ekonomisystemet med avseende på de poster som genereras i lönesystemet? Är det minst två personer som attesterar verifikationen till löneutbetalningar? Förekommer rotation på arbetsuppgifter inom lönekontoret? Finns tillräcklig back-up för nyckelbefattningar inom lönekontoret och förekommer rotation av arbetsuppgifter på dessa befattningar? Substansgranskning utförs för att i erforderlig omfattning verifiera gjorda utsagor samt för att kontrollera att system och rutiner fungerar på avsett vis. I samband med granskningen har även en IT-baserad registeranalys av lönefil genomförts. 8

10 2 Granskningens resultat Löneprocessen är en komplicerad rutin. En rad olika roller är involverade i rutinkedjan, från upplägg av nyanställning till en faktisk löneutbetalning. För att klargöra roll- och ansvarsfördelningen lämnas under kapitel en förenklad beskrivning av detta. Vår granskning av internkontroll utgår huvudsakligen från vad de olika rollerna i löneprocessen, beskrivna under kapitel 2.1.1, kan göra. Det förekommer även en del systembegrepp som kan vara svåra att förstå och som vi inledningsvis därför försöker förklara. System Sundsvalls kommun använder lönesystemet Heroma vilket är ett stordatorsystem som utvecklats av företaget CGI och som används av flera kommuner och landsting. Kommunen har använt Heroma sedan Heroma är ett stort system vilket hanterar de flesta, nödvändiga delar av löneprocessen. Det har olika moduler som brukas för exempelvis lönerevisioner eller inloggning från systemleverantören etc. Endast ett fåtal försystem brukas där det mest väsentliga är tidredovisningssystemet Timecare, vilket brukas för schematung personal, främst inom Socialtjänsten. Utöver Heroma används Raindance, vilket är kommunens ekonomisystem. Uppgifterna i Heroma förs över via fil till Raindance (huvudboken). Driften av ekonomisystemet sköts av systemleverantören CGI tillsammans med IT-avdelningen på Sundsvalls Kommun. Något förenklat kan sägas att uppgifterna i Heroma ligger lagrade i en databas bestående av en mängd tabeller innehållande information om anställda, löner, kopplingar till lönearter m.m. Den normala användaren av Heroma arbetar i själva applikationen, medan endast ett fåtal personer på systemleverantören CGI har access till rådata i databasen; detta via tilldelad behörighet från kommunen för varje specifikt supportärende. Att arbeta direkt i databasen är inte användarvänligt anpassat och kräver kunskap i bland annat programspråk. Ingen inom kommunen har åtkomst till databasen Rollbeskrivningar Från upplägg av nyanställning till faktisk löneutbetalning återfinns en rad olika roller i löneadministrationskedjan. I avsnittet nedan beskrivs kortfattat dessa roller med tillhörande ansvarsområden, vilka berörts i vår uppföljning av kommunens löneadministration samt vår granskning av rutiner och intern kontroll. Enhetschef Enhetschefens uppgift är att attestera ärenden från de anställda vilka de ansvarar för så som reseräkningar, traktamenten och personliga utlägg. Detta görs elektroniskt. Vidare är enhetscheferna ansvariga för sitt kostnadsställe samt att följa upp kostnaden för de löner som belastat detta kostnadsställe. De har inte tillgång till klienten i Heroma och kommer bara åt ärenden som gäller sina egna underställda. Enhetscheferna kan inte själva göra upplägg av nya anställda. 9

11 Lönehandläggare Ca 20 personer arbetar som lönehandläggare med ansvar för olika delar av kommunens löner. Lönehandläggarna ansvarar för upplägg av nya anställda i systemet och uppdaterar fast data, exempelvis nya löner vid förändring, i systemet. De matar även in all nödvändig data i systemet inför lönekörningar, justerar avvikelser och gör ombokningar utifrån attesterade underlag. Därtill hör det till deras uppgifter att utföra olika kontroller på lönekörningen såsom stora belopp, avvikelser från schema m.m. Lönehandläggarna har en begränsad behörighet i systemet. Systemförvaltare Sex personer arbetar som systemförvaltare vid kommunens lönefunktion, vilka har till uppgift att säkerställa att lönesystemet fungerar som det ska. Det är deras uppgift att fånga upp eventuella fel som uppstår i systemet, åtgärda problemen eller anmäla detta vidare till CGI i svårare fall. Systemadministratörerna har samma behörigheter som lönehandläggarna men kan därutöver lägga upp nya lönearter i Heroma. Systemadministratörerna är även de vilka äger behörighet att initiera en lönekörning. Dessa ansvarar också för att lägga upp behörigheter och se till att dessa är korrekta, samt att säkerställa att kopplingarna mellan lönearter och kostnadsställen är korrekta. Systemförvaltarna har en hög behörighet till lönesystemet och därmed även möjlighet att lägga upp nya anställda i systemet, även om detta inte ingår i de normala uppgifterna. Personalhandläggare Personalhandläggarna jobbar med löneöversyner och lägger utbildningskoder för de anställda. Personalhandläggarna har en begränsad behörighet till Heroma och kan exempelvis inte lägga upp en ny anställd eller genomföra en lönekörning. De har behörighet att göra förändringar i fasta lönedata i Heroma, men ska normalt inte göra det. En förändring i datan måste godkännas av en systemförvaltare innan det blir aktivt. Shared Service Center (SSC) Kommunen har sedan 2016 upprättat ett gemensamt servicecenter, eller Shared Service Center (SSC), som sköter utbetalningar och bokföring i huvudbok och löner. Löneavdelningen är organisatoriskt en del av denna funktion men i den här granskningen avser Shared Service Center den del som hanterar kommunens huvudbok och som organisatorisk benämns SSC Ekonomi. Servicecentret för ekonomi är åtskilt från löneavdelningen i att det ligger på ett separat plan i fastigheten och ingen personal på löneavdelningen utför några arbetsuppgifter för SSC Ekonomi. Systemägare Marianne Holm är chef för löneavdelningen och den som formellt ansvarar för systemet. Systemleverantörer Företaget CGI sköter rättningar av buggar i systemet och bistår med konsulthjälp vid eventuella problem. Systemleverantören kopplar vid behov upp sig via den inbyggda plattformen Mobility Guard i Heroma. I denna plattform tilldelas konsulten behörighet till de delar av systemet där ett problem behöver åtgärdas. Detta gör att behörigheterna begränsas till behov vid respektive åtgärd. 10

12 Kommunens IT-avdelning är även de inne och stöttar i Heroma vid behov. IT-avdelningen, som i princip har behörighet att göra allt, har begränsat antalet personer vilka kan arbeta med lönesystemet till en ordinarie medarbetare samt en ersättare Begrepp som används i löneprocessen Självserviceportal En webbaserad portal där den anställde eller chefen tar del av uppgifter gällande löner och lönekörningar. Här samlas kontrollistor, scheman, lönebesked och underlag. Självserviceportalen brukas av alla anställda som ska rapportera avvikelser från sin ordinarie arbetstid i Heroma. Cheferna har genom portalen tillgång till statistik och uppföljning för respektive avdelning. Signallista I Heroma finns en rad automatiska kontroller, exempel på dessa är utslag vid hög bruttolön, hög nettolön, ej godkända stämplingar och så vidare. Signallistan innehållande de avvikelser som signalerats kontrolleras månatligen av lönehandläggare post för post, detta i syfte att hitta en rimlig orsak till att löneprogrammet påkallat uppmärksamhet. Olika lönehandläggare granskar olika förvaltningar. Utanordningslista När lönekörningen är färdig för utbetalning skickar systemförvaltarenen utanordningslista till cheferna på respektive avdelning för digital attest. Attesten är inte tvingande innan utbetalning och någon uppföljning av attesten sker inte såvida attestanten inte signalerar några frågetecken. Ett fåtal avdelningar saknar möjlighet att attestera digitalt och skriver därför ut och attesterar utanordningslistan manuellt. Arkivering av manuellt attesterade listor sker hos respektive enhet. Kartläggning och riskbedömning av lönehanteringen Har det gjorts någon kartläggning och riskbedömning av hela lönehanteringen, manuella rutiner, datasystem och dess samband mot ekonomi? Enligt systemägaren finns dokument över olika delar av processen samt en systemskiss över hur de olika försystemen hänger ihop. Vi har tagit del av Bedömning Enligt Lag om kommunal redovisning 2 kap. 7 ska det finnas en systemdokumentation avseende samlingsplan, behandlingshistorik och verifieringskedja. Det måste därmed göras en rutinbeskrivning över hur hela lönerutinen går till, från upplägg av anställd till avstämning av banktransaktion mot löneutbetalning. Vi har tagit del av den dokumentation och systemskiss som finns för lönerutinen och bedömer att denna uppfyller de krav som ställs i lagen om kommunal redovisning. För att ytterligare kunna förbättra den interna kontrollen så bedömer vi att denna dokumentation skulle kunna utvecklas till större detalj samt kompletteras med risker och kontrollmoment. En bra rutinbeskrivning är ett hjälpmedel för att underlätta arbetsrotation samt för att minimera risken att kunskap går förlorad om någon kontrollansvarig hastigt försvinner ur organisationen och därför en nyckel i att förstå styrkor och brister i processen. 11

13 Rekommendation För att skapa en helhetsbild som möjliggör att systemägaren kan identifiera och förebygga risker i processen bör en rutinbeskrivning över hela löneprocessen utifrån ett internkontrollperspektiv tas fram. Rotation på arbetsuppgifter Ur ett internkontrollperspektiv är det viktigt att samma enskilda individ inte alltid utför en viss kontroll eller att det finns arbetsmoment som bara en person bemästrar. Det är därför viktigt att det förekommer arbetsrotationer. Förekommer rotation på arbetsuppgifter inom lönekontoret? Finns tillräcklig back-up för nyckelbefattningar inom lönekontoret och förekommer rotation av arbetsuppgifter på dessa befattningar? Enligt vår intervju finns det ingen som ensam besitter unik kunskap om någon kritisk funktion, inte heller finns någon arbetsuppgift som bara en person kan utföra. Bedömning Då processen inte finns nedtecknad kan vi inte verifiera det mot rutinbeskrivning och har därför svårt att uttala oss om uppgifterna stämmer. Rekommendation Vi rekommenderar att processerna dokumenteras för att säkerställa en uppföljning av rutinerna, samt för att underlätta bedömningen av den interna kontrollen och framtida introduktion av nyanställda. De tre riskmomenten för otillåten utbetalning Det kan tyckas vara en omöjlig uppgift att fånga upp alla tänkbara sätt att manipulera en lönerutin. I grunden handlar dock allt om att minimera möjligheten att utföra en otillåten utbetalning. Arbetet med att förhindra någon från att ge sig själv eller någon annan en otillåten utbetalning är därmed avgörande. Övriga åtgärder handlar om att upptäcka utbetalningen efter att den inträffat. Om det dessutom finns ett konto där det går att gömma motbokningen, den skuld eller kostnad som utbetalningen ger upphov till, finns risk för att brott skulle kunna genomföras. Möjlighet att radera spåren efter tillgreppet Undgå befintliga kontroller och därmed undgå upptäckt Ovan illustreras de tre moment i löneprocessen som medför risk för otillåten utbetalning. 12

14 2.4.1 Möjlighet att betala ut lön till sig själv eller anhörig Grundförutsättningen för att få en lön utbetald är att personen finns med i lönesystemet. Nyupplägg är därmed en kritisk punkt i löneutbetalningskedjan. Ur ett internkontrollperspektiv är det inte optimalt att löneadministrativ personal kan lägga upp personer utan någon form av attest, att annan kontroll utförs av ansvarig chef eller att ytterligare kontroll genomförs Registrering av nyanställda Registreras och avslutas anställning av annan än den/de som verkställer löneutbetalning och finns spärrar och/eller kontroller för att tvåhandsprincipen följs? Vid anställning fyller behörig chef i ett anställningsunderlag vilket skickas till löneavdelningen där ett anställningsavtal upprättas i Heroma. Avtalet skickad därefter till ansvarig chef som tillsammans med den anställde skriver under. Avtalet returneras sedan till löneavdelningen varpå anställningen aktiveras Adress registreras från anställningsavtalet och såvida ingen misstanke finns om felaktiga uppgifter utförs ingen kontroll mot något centralt register. Vissa medarbetare på avdelningen har tillgång till Infotorg och kan där, om skäl finns, utföra kontroll av adresser. Problem har uppstått när adresser varit felaktiga och lönespecifikationer returneras, något som indikerar att det finns ett behov av utökade adresskontroller vid anställning. Inmatade uppgifter i Heroma bygger på anställningsavtalet vilket upprättas av löneavdelningen och signeras sedan av den anställde och dess chef. Det åligger därefter enhetschefen att kontrollera utanordningslistan för att säkerställa att de personer som finns på den månatliga rapporten över lönekostnader för kostnadsstället är korrekta. Lönesystemet är inte kopplat mot befolkningsregistret, vilket innebär att det är möjligt att lägga upp en fiktiv person. Ett personnummer med korrekta kontrollsiffror måste användas för att registrering skall kunna ske i Heroma. Däremot kontrollerar inte Heroma att det är rätt personnummer i förhållande till namnet. Personnumret är kopplingen mellan den anställde och utbetalningen från banken varför ett korrekt upplagt personnummer är grunden för att få en lön utbetald till sitt konto. Personnumret går att ändra i Heroma men det är endast systemadministratörerna som äger sådan behörighet. Vidare måste det vid varje upplägg anges ett kostnadsställe samt en koppling till en överliggande chef (undantaget timtidsanställda). Om informationen inte anges går det inte att fortsätta med registreringen. Detta får konsekvenser vad gäller efterföljande kontroller vilket beskrivs närmare under avsnitt nedan. Lönehandläggaren kan inte att lägga upp ett nytt kostnadsställe eller ny chef, utan bara välja bland de befintliga. Systemadministratören har befogenhet att lägga upp nya kostnadsställen i Heroma men inte i Raindance. Ett felaktigt upplägg skulle därför resultera i att registreringen i huvudboken inte skulle fungera då konteringen skulle synas på en av SSC:s avvikelserapporter. Ett nyupplägg av en person i Heroma medför även att information om denna person förmedlas till andra system. Bland annat genererar ett upplägg av de flesta typer av anställningar i Heroma en e-postadress för den upplagda personen. Det går heller inte att fullständigt radera en person som lagts upp i Heroma. En anställd som lagts upp men som slutar läggs bara som passiv i systemet. Endast systemleverantören har möjlighet att radera anställda. 13

15 Bedömning Upplägg av nya anställda i Heroma bygger i dag på en tvåhandsprincip där olika personer ansvarar för att ta fram uppgifter för registreringen av den anställde i lönesystemet och cheferna som kontrollerar de registrerade uppgifterna i avtalet vid undertecknande. Denna uppdelning av ansvaret bidrar till den interna kontrollen på ett positivt sätt. Skulle en fiktiv anställd registreras i Heroma så finns ett antal kontroller för att förhindra utbetalning av löner till fel personer. Dels tar man ut de signallistor som kontrolleras av lönehandläggare och systemadministratör i samband med lönekörningen, men även en kontroll av utanordningslista som skickas till cheferna vid respektive förvaltning. Dock är kontrollen av utanordningslistan inte obligatorisk vilket vidare beskrivs i punkt samt Slarvar chefen i sin uppföljning eller har bristande kontroll över vilka anställda denne har uppstår risk för felaktiga utbetalningar. Kontrollen fyller dessutom inget syfte om behörig person med uppsåt att medvetet göra en felaktig utbetalning lägger upp någon som ej borde finnas i lönesystemet som nyanställd och sedan kopplar det till det kostnadsställe den behöriga personen själv ansvarar för. Enligt systemadministratören finns dock ingen med den kombinationen av behörighet och roll Förändring av registeruppgifter i lönesystemet Dokumenteras förändringar och uppdateringar av registeruppgifter i lönesystemet och är det säkerställt att dessa alltid attesteras/kontrolleras av annan än den som har registrerat/infört uppgifterna? Den vanligaste typen av uppdateringar är förändring av lön. En förändring av lön kräver alltid ett skriftligt beslut från HR. På underlaget ska den nya lönen framgå samt från vilket datum denna gäller. Saknas uppgifter så sänds frågan i retur till HR. Vid den stora årliga löneöversynen erhåller personalhandläggarna förutsättningarna för lönerevisionen vilka matas in i lönesystemet. I vissa fall kan även chefer eller systemadministratörer lägga upp lönerna i en förhandlingsmodul. Systemförvaltaren läser sedan in data från förhandlingsmodulen in i Heroma. Övriga förändringar av löner knappas in manuellt och skickas i skriftlig form till löneavdelningen. Den kontroll som sker i syfte att förhindra att fel lön registrerats är chefens uppföljning av utanordningslistan på respektive förvaltning i samband med lönekörning. Någon uppföljning av att sådan har skett genomförs dock inte, vilket är en brist. Bedömning Lönekontoret arbetar för att förändringar och uppdateringar i systemet ska bli korrekta samt att risken för väsentliga fel ska vara låg. Utifrån vad vi erfarit i vår granskning skulle stora fel sannolikt uppmärksammas vid chefernas kontroll av signallistorna alternativt av utbetalningsunderlag. Då det emellertid inte görs någon uppföljning av huruvida ansvarig chef granskat underlag enligt gällande rutiner är det svårt att uttala sig om vilken funktion kontrollen fyller. Vår bedömning är att detta är en brist ur ett internkontrollperspektiv. 14

16 Rekommendation Vi rekommenderar att en uppföljning av genomförda kontroller av ansvarig chef och andra görs, detta för att fullt ut säkerställa en god intern kontroll. Vi rekommenderar även att införa systembaserade kontroller så långt det är möjligt. Vår rekommendation är att löneadministrationens personal säkerställer att förändringar av kritisk data i Heroma godkänns av ansvarig chef på respektivearbetsplats, exempelvis genom utdrag av uppgifterna ur Heroma efter registrering Åtkomst egen lön Begränsas behörighet i lönesystemet så att löneadministratörer inte kan behandla och/eller manipulera sin egen lön? Heroma har en inbyggd spärr som hindrar administratörerna från att kunna göra förändringar i sin egen lön. Bedömning Den inbyggda applikationskontrollen i Heroma bedöms vara effektiv när den säkerställer att administratörerna inte har möjlighet att hantera sina egna löner Rutiner för behörighetsadministration Är rutiner och organisation för behörighetsadministrationen lämplig med avseende på intern kontroll? Behörigheterna i Heroma är för alla anställda kopplade till anställningsavtal. Efter att anställningsavtal registrerats får den anställde behörigheter tilldelat sig utifrån arbetsroll. Behörighet till löneprogrammet, och därmed en roll i organisationen, kräver att man har en anställning i en roll som kräver den behörigheten samt att en skriftlig ansökan görs från behörig chef om att få behörigheten. Det finns, vilket tidigare nämnts, olika typer av behörigheter i Heroma som styrs utifrån vilken roll man har; läsbehörighet, möjlighet att göra ändringar på anställdas löneuppgifter i egen förvaltning och möjlighet att utföra ändringar i löneuppgifter på alla anställda i hela kommunen. Upplägget av behörigheter i Heroma görs utifrån de parametrar som angetts i anställningsavtalet. Det innebär bland annat att en nytillträdd enhetschef ska kopplas till rätt befattning för att på så sätt anslutas till rätt underställda. Underställda vars tid, avvikelser, semester m.m. ska attesteras av den tillträdde chefen. Lönechefen menar att det sällan uppstår problem vid tilldelning av nya behörigheter då det utan rätt behörighet inte går att utföra sitt arbete. Således finns incitament att vara noggrann vid behörighetstilldelning. De intervjuade upplever dock att rutinen vid avslutande av anställning inte alltid fungerar som tänkt och att det ofta tar lång tid innan informationen når löneavdelningen. Heroma är en lokal installation vilket innebär att då en kommunanställd byter arbete internt, och därmed även dator, förlorar denne tidigare behörighet i Heroma. För att säkerställa att behörigheterna är korrekta går systemförvaltaren rutinmässigt varje månad igenom 15

17 utestående behörigheter i Heroma. Syftet är att fånga upp förändringar som gjorts samt minimera risken att ärenden faller mellan stolarna. Vidare sker en automatisk utelåsning av alla användare som inte varit aktiva på sex månader. Bedömning Vår bedömning är att rutinen för behörighetstilldelning fungerar och att det finns ett tillräckligt systemstöd som utelåser inaktiva användare. Därmed minimeras risken för att gamla, inaktiva konton finns kvar i systemet. Enligt vår bedömning är rutinerna och organisationen för behörighetsadministrationen tillräcklig med avseende på intern kontroll. Vad gäller olika rollers nu tilldelade behörigheter, anser vi att de är i paritet med de arbetsuppgifter som de ska utföra. Rekommendation Vår rekommendation är att införa rutiner för att tillse att förvaltningarna i tid redovisar förändringar i behörigheter när anställda slutar Möjlighet att radera spår efter sig Möjlighet att betala ut lön till sig själv eller anhörig Möjlighet att radera spåren efter tillgreppet Undgå befintliga kontroller och därmed undgå upptäckt Är de loggar som finns tillräckliga, görs tillräckliga kontroller av loggarna samt går de att radera? Loggning sker enligt systemförvaltaren på allt som sker i Heroma. Systemet loggar alla förändringar, exempelvis rörande fast lönedata, lönesumma och så vidare, vem som utför dem och när. Loggarna används främst till att spåra orsak till eventuella fel som uppstått i syfte att sedan kunna korrigera dem. Behörighet att se loggarna har systemadministratören, systemförvaltaren och löneadministrationen, men ingen inom kommunen kan ta bort dem. IT avdelningen på Sundsvalls Kommun sköter driften för Heroma och loggarna sparas direkt i programmet. Det utförs inga rutinmässiga kontroller av loggarna med avsikt att kontrollera om något otillbörligt gjorts. Bedömning Enligt genomförda intervjuer har kommunens medarbetare inte möjlighet att radera eller förändra loggarna. Syftet med loggarna är att med hjälp av dessa kunna identifiera eventuella fel som måste utredas. Regelbunden kontroll av loggarna utförs enligt uppgift inte. 16

18 Rekommendation Vi rekommenderar att man inför en rutin, baserat på den övergripande bedömningen av den interna kontrollen, över vilka loggar som behöver kontrolleras regelbundet och en rutin för hur man dokumenterar att kontrollen utförs Undgå befintliga kontroller och därmed undgå upptäckt Möjlighet att betala ut lön till sig själv eller anhörig Möjlighet att radera spåren efter tillgreppet Avstämningar utbetalningar mot bank Avstäms utbetalningar mellan lönekontoret och bank på ett tillfredsställande sätt och dokumenteras avstämningarna? Ur Heroma skapas efter lönekörningen en utanordning som visar hur mycket som ska utbetalas. Utöver utanordningslistan skapas även en betalfil vilken krypteras i Heroma och läggs i en katalog på kommunens server. Detta innebär att det därefter inte är möjligt att göra förändringar i filen och endast ett fåtal personer har tillgång till mappen där filen förvaras. Systemadministratören går via inloggning på nätet in hos banken och laddar upp filen via programmet Girolink. Fem personer hos kommunen har behörighet att lägga upp betalfilen till banken. För att betalningen i ett sista steg ska genomföras krävs dessutom en kontrasignering av en annan person med behörighet att bekräfta betalningen. Utbetalning sker baserat på personnummer, vilket gör att kopplingen till konton görs av bank och inte av löneavdelningen. Efter upplägg av betalfil hos bank skickas redovisningsfil till kommunens redovisningsavdelning som sköter inläsning i huvudbok samt avstämning av konton enligt avsnittet nedan. Bedömning Avstämningsarbetet av inskickad fil och debiterat belopp är en mycket kritisk punkt vad gäller internkontroll kring löneutbetalningen. En påverkan på betalningsfilen till bank leder lätt till direkta felaktigheter i utbetalningarna. Vår bedömning är att denna process fungerar väl när tillgängligheten till betalfiler begränsas både genom kryptering och begränsad behörighet till den plats på servern där filen förvaras innan den lämnas till bank. 17

19 Löneadministrationens kontroller av lönebelopp Finns tillräckliga kontroller för onormala belopp för nettolön per anställd och onormala belopp på enskilda lönearter/ersättningar? Utförs specifika kontroller på personer med höga behörigheter? I Heroma finns en rad automatiska kontroller. Exempel på dessa är kontroll av hög bruttolön, hög nettolön, ej godkända stämplingar och så vidare. Löneavdelningen utför vid varje körning en första preliminär lönekörning, kring den 16:e varje månad, som de anställda kan se via webben. Utifrån denna skapas signallistor där de automatiska kontrollerna framgår. Avvikelserna som faller ut på signallistorna bygger på förinställda regler/gränsvärden i Heroma. Gränserna bygger på fasta belopp och inte skillnader mellan månader. Signallistan granskas rutinmässigt post för post av löneadministratören, detta i syfte att hitta en rimlig orsak till att löneprogrammet påkallat uppmärksamhet. Kontroll gällande orimliga netto- och bruttolöner genomförs av systemförvaltaren. Dokumentation av den utförda granskningen av listan finns i webbportalen. Bedömning Vi har sett exempel på signallistan samt dokumentation på genomförd uppföljning av listan. De kontroller som utförs bedömer vi som relevanta. På grund av att rutinen inte är nedtecknad i sin helhet är det svårt att få en överblick över vilka kontroller, utöver befintliga, som borde genomföras. Rekommendation Dokumentera rådande rutiner och process och identifiera om ytterligare kontroller bör genomföras Avstämning av överförda uppgifter till ekonomisystem Görs en ändamålsenlig avstämning av överförda uppgifter mellan lönesystem och ekonomisystem? Kommunens gemensamma servicecenter (SSC) sköter import av redovisningsfiler i Raindance. Efter fullgjord lönekörning plockar systemadministratören på lönefunktionen ut en fil ur Heroma med vilken alla saldon importeras i Raindance. Filen läggs på en plats på kommunens interna server varpå administratören skickar ett e-postmeddelande till SSC som bekräftar att filen är redo för hämtning. Ingen inom kommunen kan ändra något i redovisningsfilen. Ansvarig person på ekonomiavdelningen läser in filen i Raindance. Ingen inom kommunen kommer, enligt ansvarig personal, i kontakt med filen på dess resa från lönesystemet Heroma till huvudboken Raindance. När filen är inläst i Raindance får ansvarig för filimporten på ekonomiavdelningen en fellista med transaktioner som inte gått att läsa in i huvudboken. Exempel på fel som kan uppstå är att lön bokförts på ett stängt kostnadsställe eller att en ansvarig chef slutat, vilket gör att uppgiften måste uppdateras i systemet. Verifikatet skapas i Raindance men blir preliminärbokad fram till alla fel har lösts. Fellistan granskas av ansvarig på SSC som meddelar löneavdelningen om problemet. Löneavdelningen löser problemet tillsammans med ansvarig förvaltning och går sedan in i Raindance och korrigerar felen varpå bokningen slutligen kan bokas i Raindance. Enligt uppgift fångar denna importkontroll cirka 20 transaktioner varje månad. 18

20 Gällande bokning av förändringen i komp och semesterlöneskulden så sker den i dag manuellt via en manuell bokföringsorder. Ansvarig ekonom på SSC erhåller efter fullständig lönekörning en semesterlöneskuldslista på nämndsnivå, vilken utgör underlag för en manuell korrigering av semesterlöneskulden. Bedömning Vår bedömning är att rutinen för bokning av lönekörningen fungerar bra, då det finns systembaserade kontroller som förhindrar fel från att uppstå. Det är informationen i redovisningsfilen som följer med in i Raindance, vilken därmed påverkar huvudboken. Det är därför viktigt att informationen i filen inte går att ändra. Går filen att ändra innebär det full tillgång till huvudboken. Om ändringen görs som en manuell bokföringsorder, vilket en sådan ändring egentligen är, ser den dessutom ut att komma från lönesystemet. Vad avser skuldkonton så finns där en avstämningsproblematik. Den manuella inmatningen i Raindance för korrigering av löneskulderna är inte optimal då det i teorin är möjligt att manipulera redovisningsfilen och därmed kontera om en otillbörlig lön. Vi vill samtidigt understryka att den kontroll som kostnadsställesansvarig utför inte påverkas då de erhåller sin utanordningslista direkt från Heroma. Den brist i kontrollkedjan som den manuella justeringen av löneskulderna utgör medför en risk för avsiktliga eller oavsiktliga fel i huvudboken. Det faktum att exporten från Heroma görs av en person och själva bokningen i Raindance av en annan ger dock till viss del en fördelning av arbetsuppgifterna som begränsar fel. Rekommendation Vi rekommenderar kommunstyrelsen att säkerställa att inläsning av lönefiler sker såväl för ordinarie löner som för justering av semesterlöneskuld, detta för att minimera risken för inmatningsfel eller avsiktlig påverkan på löneskulderna Kontroll av lönekostnader Är kontrollen av lönekostnader organiserad på ett ändamålsenligt sätt? I mitten av varje månad utförs en preliminär lönekörning som blir synlig i webbportalen för alla medarbetare och där alla anställda får en indikation på vad den kommande lönen blir. Noteras några felaktigheter finns möjlighet att vända sig till löneavdelningen för att göra en korrigering av den ordinarie körningen. Vidare kontrollerar respektive kostnadsställeansvarig månatligen via webbportalen sin utanordningslista i samband med den ordinarie lönekörningen. Verktyg för att följa upp löneutfallet mot budget finns i uppföljningssystemet vid namn Best. Som tidigare beskrivits är utanordningslistan en lista som per kostnadsställe specificerar de löneutbetalningar som har gjorts för månaden på individnivå. Listan är webbaserad och är en ren avspegling av Heroma. Listan ska attesteras av närmaste chef samt ytterligare en person på arbetsplatsen och ingen chef attesterar sin egen tid. Varje enhetschef ska godkänna sin utanordningslista i webbportalen. Attesten görs som regel efter att lönen betalats ut och listan ska därför ses som en kontrollmöjlighet för den kostnadsställesansvarige. Enligt uppgift händer det inget om listan inte klarmarkeras, och ett flertal chefer har många listor i sina webbportaler som kvarstår som oattesterade. 19

21 Löneadministratören kan genom klienten i Heroma se om listan klarmarkerats. Däremot saknar ett antal chefer i nämndernas verksamhet möjlighet av tekniska skäl att attestera listan i webbportalen. I dessa fall skickas listan via e-post till ansvarig chef för manuell attest och arkivering hos nämnden. Den ansvarige chefen har också möjlighet att via systemet Best ta del av statistik och uppföljning för enhetens ekonomiska utveckling, både gällande lönekostnader och övriga kostnader. Den som har ansvaret för ett kostnadsställe har i genomsnitt runt personer på sin utanordningslista. De finns dock chefer som har betydligt fler anställda inom sitt ansvarsområde. Bedömning Den preliminära lönekörningen ger anställda och chefer en möjlighet att följa upp utfallet för månadens löner innan det är för sent. Huruvida den som följer upp det preliminära utfallet, alternativt attesterar sin utanordningslista, verkligen har granskat utfallet är svårt att bedöma. Det finns regler för hur de ska utföra sitt arbete men ingen uppföljning av att detta arbete utförs. Den attest som attesterande chef ska göra förstärker kontrollen. Dessvärre tappar kontrollen sin kraft, om uppföljning av attesteringen uteblir. Genom att granska statistik över antalet fel som rättats efter att utanordningslistan kontrollerats, får man en bild av kontrollens kvalitet. Tyvärr saknas det idag bra uppföljningsstatistik på detta inom Sundsvalls kommun. Manuella löneutbetalningar kan ses som en indikation på omfattningen av rättade fel. Det ska dock understrykas att manuella löner ibland betalas ut för att en anställd beviljats förskott. På samma sätt kan rättningar göras utan att det sker genom en manuell löneutbetalning. Om en anställd erhållit för mycket lön, korrigeras det oftast vid kommande löneutbetalning. De uppgifter som den ansvarige kan utläsa ur utanordningslistan är storleken på de individuella löneutbetalningarna och totalsumman för löner till anställda vid hela chefens ansvarsområde för den enskilda månaden. Vi ser en stor risk i att fel inte uppmärksammas om en chef har alltför många underställda. Rutinen med preliminär lönekörning och attest av utanordningslistan gör det möjligt att fånga upp felaktigheter. I synnerhet fångas saknade avvikelser eller tillägg upp genom denna rutin. Dock visar vår granskning på att ingen uppföljning och åtgärd görs för de som inte attesterat listan. Rekommendation Vi rekommenderar att rutinen förbättras så att en uppföljning löpande görs av vilka chefer som inte attesterar utanordningslistan, alternativt att attesten av utanordningslistan görs obligatorisk i samband med utbetalning. Vi rekommenderar vidare är att en systematisk uppföljning utförs på hur många korrigeringar av löner som görs samt att detta kopplas till vem som borde ha upptäckt felet i samband med sina kontroller. Detta ska göras av någon som inte är involverad i processen för övrigt. Vår bedömning är att en sådan uppföljning, när den fungerar, förstärker uppföljningen avsevärt. Vidare rekommenderar vi att kommunen minskar antalet chefer med många personer att attestera tid för. Genom att hålla ett begränsat antal personer som skall attesteras så skulle cheferna lättare kunna överblicka sina löneutbetalningar vilket minskar risken för fel. 20

22 Avstämning av personalrelaterade skuldkonton Görs en ändamålsenlig avstämning av skuldkonton i ekonomisystemet med avseende på de poster som genereras i lönesystemet? Avstämningen av de lönerelaterade skulderna, semesterlöner och komptidsskulder sker genom att systemförvaltarna på lönefunktionen tar fram aktuell rapport ur Heroma. I Heroma finns alla uppgifter om löner, arbetad övertid, sparade semesterdagar m.m. Det är denna data som Heroma använder i sin beräkning av de lönerelaterade skulderna. Listan på skulderna skickar systemförvaltarna månadsvis till kommunens servicecenter för bokning i huvudboken. En person på SSC är ansvarig för såväl bokning av personalrelaterade skulder som avstämning av dessa huvudbokskonton. Personen på SSC rimlighetsbedömmer skulderna mot föregående år och tidigare månader samt bokar manuellt in förändringarna i Raindance på respektive enhet med listan från löneavdelningen som underlag. Avstämning av skulderna sker tertialsvis. I samband med detta erhålls listor, på samma sätt som vid de månadsvisa bokningarna, av chefen på löneavdelningen. Dessa används för att stämma av att skulden i huvudboken är korrekt mot listorna och sparas för dokumentation. Listorna erhållna av lönechefen är på nämnds nivå och SSC ser inte skulden på personnivå. Utöver en rimlighetsbedömning mot föregående år utför SSC inga avstämningar eller stickprov på listorna varken i samband med bokning eller avstämning. En felaktig transaktion från löneprogrammet till dessa konton är, enligt personen som utför bokningar och avstämningar, mycket svår att upptäcka såvida det inte handlar om väldigt stora belopp. Bedömning Avstämning av skuldkonton genomförs regelbundet och med en separation av uppgifter mellan den som genererar skuldlistan och den som stämmer av, vilket är positivt. Det ger fler ögon på listorna som rimlighets bedömer och som kan upptäcka eventuella fel. Möjligheten att hitta mindre fel bedöms dock som liten i och med att personen som utför avstämningarna har liten insyn i tidigare steg i processen eller andra förändringar i nämnderna. Uppföljning av förändringar blir därför till stor del beroende av den uppföljning som ansvariga personer på nämnderna utför mot budget eller prognoser. Rekommendation Se över möjligheten att utöka kontrollerna gällande skuldsaldon vid avstämning för att få en bättre möjlighet att fånga upp felaktigheter. Detta kan exempelvis göras genom att införa attestförfarande för kostanden som bokförs för respektive styrelse/nämnd Styrning av kontering Går det i löneprogrammet att styra om mot vilka konton konteringen ska ske, och går det exempelvis att styra en löneart till vilket konto som helst i huvudboken? Varje anställd hos kommunen måste vara knuten till ett kostnadsställe. Anknytningen till kostnadsställe sker vid upplägget av en ny anställd. Löneavdelningen kan inte själva skapa ett nytt kostnadsställe, för att fungera måste detta göras av kommunens ekonomifunktion i Raindance och Heroma parallellt. Systemförvaltarna har möjlighet att rent teoretiskt lägga upp ett nytt kostnadsställe i Heroma genom en applikation vid namn Styret. Men om kostnadsstället inte finns i ekonomisystemet Raindance, så skickas ett felmeddelande till ekonomifunktionen. 21