Granskning av lönerutinen

Transkript

1 Granskning av lönerutinen

2 Innehållsförteckning Sammanfattning Bakgrund Syfte och avgränsning Revisionskriterier Metod och genomförande Granskning System Rollbeskrivningar Begrepp som används för kontroll av löner Kartläggning och riskbedömning av lönehanteringen Rotation på arbetsuppgifter De tre riskmomenten för svindleri Möjlighet att betala ut lön till sig själv eller anhörig Möjlighet att radera spår efter sig Undgå befintliga kontroller och därmed undgå upptäckt IT-säkerhet Finns avvikelser från den normala rutinen Uppföljning av tidigare granskning Slutsats...25 Bilaga 1 Revisionsfrågor...27 Revisionsuppdrag 2010/2011 Dnr. 10LS4520 1

3 Sammanfattning Västernorrlands läns landsting betalar ut lön till ca personer och betalar ut över 1,6 miljarder kronor per år. Lönekostnaderna är således landstingets i särklass största utgift och löneavdelningen är den avdelning som hanterar de största utbetalningarna. Landstingets revisorer har mot bakgrund av sin risk- och väsentlighetsanalys bedömt det angeläget att genomföra en granskning av landstingets löneadministrativa rutiner. Syftet är att kartlägga och bedöma den interna kontrollen och de ansvarsroller som finns. Ett bra system för intern kontroll ska minska risken för att fel i det dagliga arbetet, såväl avsiktliga som oavsiktliga, leder till fel i redovisningen. Utifrån detta har vi satt upp ett antal revisionsfrågor som vi sökt svar på och vars svar sedan ligger till grund för bedömningen om den interna kontrollen är tillräcklig inom löneadministrationen. Vi har även följt upp de påpekanden som lämnades i samband med granskningen av löneprocessen Granskningen har genomförts genom intervjuer med nyckelpersoner inom löneadministrationen, systemadministratörer, systemförvaltare och personal på ekonomiavdelningen med kopplingar till lönesystemet. Utöver det har vi tagit del av relevanta styrdokument och policies samt att vi även verifierat en del utsagor med IT-leverantörerna Aditro och Tieto. Vi har i möjligaste mån även testat de kontroller som löneavdelningen säger sig ha. De intervjuade har alla getts möjlighet att faktagranska rapporten för att missförstånd inte ska uppstå. Löneprocessen är en invecklad rutin. Det finns en rad olika roller som är involverade i kedjan från upplägg av nyanställning till en faktisk löneutbetalning. Vår granskning av internkontroll utgår huvudsakligen från vad de olika rollerna beskrivna under kapitel kan göra. Vidare förekommer en hel del begrepp varför en begreppsdefinition återfinns under Vi har noterat att det inte finns någon inbyggd kontroll som förhindrar en användare med skrivrätt i Pabas från att kunna ändra sina egna löneuppgifter. Alla löneadministratörer, systemadministratörer, systemförvaltaren, och vissa personalkonsulter kan därmed i teorin betala ut lön till sig själv. Utbetalningen blir dock synlig på den lista 62 som nämnda rollers chef ska granska. När det gäller möjligheten att lägga upp en fiktiv anställning i lönesystemet har alla beskrivna roller ovan möjligheten att genomföra förfarandet på egen hand men det är riskfyllt eftersom att ett upplägg lämnar tydliga spår efter sig i form av loggar samt att alla typer av förändringar på registrerade uppgifter framkommer på kvittenslistan. Kvittenslistan ska granskas av den som är ansvarig för den interna kontrollen på respektive förvaltning. Ingen inom landstinget har direkt åtkomst till databasen där all lönedata lagras. Alla förändringar av löneuppgifterna loggas, d.v.s. information om vem som gjort en förändring sparas. Ingen inom landstinget kan radera eller förändra dessa loggar. Därmed finns ingen som kan radera spåren efter sig vid en eventuell förskingring. Väljer någon att genomföra ett försök till otillbörlig lön till annan, måste utbetalningen passera den granskning av lönekostnaderna, på individnivå, som utförs av den som ansvarar för det kostnadsställe som kopplats till anställningen. Vi har i vår granskning inte kunnat finna något sätt att undkomma kvittenslistan och lista 62. En brist som noterats är det faktum att det inte görs någon uppföljning på att alla ansvariga chefer klarmarkerat lista 62. Görs ingen uppföljning om huruvida attest skett tappar kontrollen sitt värde. Det görs heller ingen uppföljning av att kvittenslistan granskats. Både dessa listor är enligt vår mening mycket Revisionsuppdrag 2010/2011 Dnr. 10LS4520 2

4 viktiga för att säkerställa korrekta löner. Hela kontrollkedjan bygger i grund och botten på att de granskas. Därför anser vi att det måste ske en uppföljning på att båda dessa listor verkligen granskas och attesteras. Vår bedömning av de befintliga kontroller som finns, exempelvis lista 62 och kvittenslistan, är att de är bra såvida alla utför den granskning de ska utifrån fastlagda riktlinjer. Att anta att de flesta utför sitt arbete i enlighet med fastlagd riktlinje är enligt oss ett rimligt antagande men förbättringar i form av uppföljningar bör göras. Uppföljningen av tidigare granskningar visar på att landstinget tagit till sig mycket av de synpunkter och förslag som lämnats. Det anser vi visar på en vilja att ständigt förbättra den interna kontrollen. Vår sammanfattande bedömning är att vi utifrån de intervjuer och tester som genomförts anser att det föreligger en god intern kontroll vad gäller lönerutinen. Utifrån de kontroller som finns har vi svårt att se hur ett lönebedrägeri skulle kunna genomföras utan hög risk för upptäckt. Då vi bedömt landstingets kontroller av lönekostnaderna som goda gör vi även bedömningen att risken för stora felaktigt utbetalda löner är låg. Sammanfattningsvis är vår uppfattning utifrån de intervjuer vi genomfört att det finns en klar ambition att upprätthålla god intern kontroll i lönerutinen och att det i flera fall är Pabas som sätter stopp för de önskemål som löneadministrationen har. Vi har dock en rad rekommendationer och förbättringsförslag för att ytterligare förstärka den interna kontrollen. Uppföljning av att alla som ska granska och attestera lista 62 verkligen gör det. Uppföljning av felaktiga utbetalningar som kunde förhindrats om regelrätt granskning av lista 62 genomförts. Om ovanstående kontroll visar på att vissa chefer frekvent missar uppenbara fel bör påtryckningar göras för att förbättra granskningen. Landstinget bör arbeta för att minska ner andelen chefer som har över 35 personer att attestera tid för. Tvingade kontroll av kvittenslistan genom attestering och uppföljning av att attestering görs. Utred möjlighet att låsa användaren i Pabas från åtkomst till egen lön. Det bör ske en särskild kontroll av utbetalningar till personer med höga behörigheter. Se till att lönehandläggaren inte fritt kan styra om konteringar till vilket konto som helst i huvudboken. Revisionsuppdrag 2010/2011 Dnr. 10LS4520 3

5 1. Bakgrund Landstinget Västernorrland betalar ut lön till ca individer och betalar ut över 1,6 miljarder kronor per år. De personalrelaterade kostnaderna uppgår till över 2,3 miljarder kronor årligen. Lönekostnaderna är således landstingets i särklass största utgift och löneavdelningen är den avdelning som hanterar de största utbetalningarna. Mars 2007 slutförde landstigets revisorer två granskningar med fokus på landstingets rutiner och system för hantering av de anställdas löner (Personaladministrativa rutiner, uppföljning av intern kontroll samt Granskning av den interna kontrollen avseende löner). Resultaten av dessa båda granskningar visar att det skett förbättringar jämfört med en tidigare granskning 2002 men också att det fortsatt finns ett antal frågeställningar och brister som behöver lösas. Av revisorernas skrivelse till landstingsstyrelsen och dess personaldelegation påtalas bland annat att det saknas en riskanalys avseende landstinget lönehantering, att den kontroll som förekommer bedöms vara otillräcklig och att resultaten av utförda kontroller inte kommuniceras med landstingsledningen och förvaltningar. I rapporten lämnades följande förslag för utredning eller förändring: samordning av personens anställningsuppgifter i lönesystemet, övergång till webbaserad framtagning av lista 62, behov av kvittenslista i pappersformat eller alternativ lösning, flexsystemets ändamålsenlighet i nuvarande form, tjänstgöringslista i PAW, dokument som reglerar rutiner vid för lite utbetald lön, komplettering av alla gällande Lokal arbetsgivarinformation i landstingets lokala nätverk, egen rutin i PAW för utbetalning av ersättning för utlägg som inte har samband med tjänsteresa, kontinuerlig uppdatering av behörighetsregistret i Pabas, översyn av riktlinjer för personakter där frågan om en personakt per anställd, central förvaring och eventuell inskanning prövas. De synpunkter som framkom då har funnits med som bakgrund för denna granskning. Landstingets revisorer har mot bakgrund av sin risk- och väsentlighetsanalys bedömt det angeläget att genomföra en granskning av landstingets löneadministrativa rutiner. Granskningen avses ge besked om det finns brister i den interna kontrollen inom löneadministrationen som bland annat skulle kunna ge upphov till förskingring av medel eller felaktiga löneutbetalningar. 2. Syfte och avgränsning Granskningens syfte är att beskriva och analysera landstingets system och rutiner för lönehantering i syfte att bedöma om den interna kontrollen är tillräcklig. I granskningen besvaras följande revisionsfrågor: Är landstigets system och rutiner för lönehantering ändamålsenliga? Är den interna kontrollen på området tillräcklig? Revisionsuppdrag 2010/2011 Dnr. 10LS4520 4

6 Granskningen är avgränsad till de rutiner och system som hanteras centralt av lönekontoret på uppdrag av landstingsstab personal samt rutiner inom landstingsstab ekonomi vad avser bokföring och avstämning av löneutbetalningar. 3. Revisionskriterier KL kap 6 7 och landstingets egna fastslagna rutiner fastslår att landstingsstyrelsen ansvar för att den interna kontrollen fungerar ändamålsenligt inom organisationen och ger tillräckligt underlag för styrning och kontroll. Lag om kommunal redovisning kap 1 7 ställer krav på hur redovisningen skall hanteras och rapporteras. Revisionskriterierna utgår från: Begreppet god intern kontroll Ett bra system för intern kontroll ska minska risken för att fel i det dagliga arbetet, såväl avsiktliga som oavsiktliga, leder till fel i redovisningen. Den interna kontrollen kan dock inte fånga upp alla fel och dessutom kostar intern kontroll pengar. Kostnaden för kontrollen måste alltid vägas mot den fördel i form av minskad risk som den kan ge. Till intern kontroll hör att ansvars- och arbetsfördelningen är genomtänkt och fungerar. Attest- och rapportsystemen måste vara ändamålsenliga. En bra ansvars- och arbetsfördelning innebär bl.a. att ingen person ensam ska kunna hantera en transaktion i alla led. Utifrån detta har vi satt upp ett antal revisionsfrågor som vi sökt svar på och vars svar sedan ligger till grund för bedömningen om den interna kontrollen är tillräcklig inom löneadministrationen. 4. Metod och genomförande Granskningen har genomförts genom intervjuer med nyckelpersoner inom löneadministrationen, systemadministratörer, systemförvaltare och personal på ekonomiavdelningen med kopplingar till lönesystemet. Utöver det har vi tagit del av relevanta styrdokument och policys samt att vi även verifierat en del utsagor med IT-leverantörerna Aditro och Tieto. Vi har i möjligaste mån även testat de kontroller som löneavdelningen säger sig ha. Exempelvis genom att följa upp dokumentation över avstämningar eller att testa vad som går att göra i lönesystemet. Tester i lönesystem kan vara allt från att prova automatiska spärrar till att titta på vad som loggas. Syftet med de frågor vi ställt är att utröna statusen på den interna kontrollen vid Landstinget Västernorrland. Frågorna har utformats så att vi ska få en heltäckande bild av hur landstinget hanterar löneadministrationen, hur skyddade de är mot risker som exempelvis svindleri, vilka kontroller som finns för att minimera felaktiga utbetalningar och hur de hanterar ITsäkerheten. Det kan tyckas att det i denna rapport är stort fokus på förhindrande av svindleri. Vår syn är dock att om löneadministrationen kan förhindra alla tänkbara sätt att utföra svindleri så är den interna kontrollen överlag god. Exempelvis är en grundförutsättning för svindleri bristande kontroll över lönekostnaderna. Är kontrollen av lönekostnaderna bra förhindrar den svindleri samtidigt som att den borgar för att lönerna blir korrekta. Revisionsfrågorna behandlas under kapitel 5 men finns även i sin helhet i bilaga 1. Revisionsuppdrag 2010/2011 Dnr. 10LS4520 5

7 De intervjuade har alla getts möjlighet att faktagranska rapporten för att missförstånd inte ska uppstå. De IT-relaterade utsagor som varit svåra att testa rent praktiskt har vi kontrollerat mot Tieto och Aditro. 5. Granskning Löneprocessen är en invecklad rutin. Det finns en rad olika roller som är involverade i kedjan från upplägg av nyanställning till en faktisk löneutbetalning. För att klargöra rollerna lämnas under kapitel en förenklad beskrivning. Vår granskning av internkontroll utgår huvudsakligen från vad de olika rollerna beskrivna under kapitel kan göra. Det förekommer även en del systembegrepp som kan vara svåra att förstå och som vi därför, inledningsvis, försöker förklara. 5.1 System Lönesystemet heter Pabas och är ett stordatorsystem som utvecklats av företaget Tieto och som även används av bl.a. två andra landsting. Programspråket är Cobol och landstinget har haft Pabas sedan Numera är det IT bolaget Aditro som är huvudansvarig för underhåll och utveckling medan drift köps av Tieto. Systemet innehåller olika delsystem. De vi kommer att beröra, förutom själva Pabas, är behörighetsmodulen RAC-F, styrregistret där lönearter kopplas ihop med huvudbokskonton och det webbaserade personaladministrativa systemet (PAW). Utöver dessa finns Raindance vilket är landstingets redovisningssystem, uppgifterna i Pabas förs över via fil till Raindance (huvudboken). Driften av Raindance sköts av IT-bolaget Logica. I RAC-F läggs behörigheterna i Pabas upp. I dagsläget är det bara systemförvaltaren, en person, som har behörighet att göra detta. Det finns tre olika typer av behörighet i Pabas; läsbehörighet, möjlighet att göra ändringar i egen förvaltning och möjlighet att utföra ändringar på alla anställda i landstinget. Styrregistret är ett stort tabellverk som visar på hur olika lönearter ska konteras, dvs. vilket konto i huvudboken som en aktuell löneart ska kopplas till. Det är enbart systemförvaltaren som kan utföra ändringar här. De värden som satts i styrregistret, rörande hur olika lönearter ska kopplas till olika konton i huvudboken, blir grundinställningen i löneprogrammet. Om en löneart kopplas till ett konto som inte finns i huvudboken eller ett kostnadsställe som inte finns fastnar transaktionen vid filinläsningen från Pabas till Raindance. Detta är något vi återkommer till senare i rapporten. Något förenklat kan sägas att uppgifterna i Pabas ligger lagrade i en databas bestående av en mängd tabeller med information om anställda, löner, kopplingar till konton m.m. Den vanliga användaren av Pabas arbetar i själva applikationen medan endast fyra personer på IT-bolaget Aditro har access till rådatan i databasen. Att arbeta direkt i databasen kräver kunskap i bland annat i programspråket Cobol och det är inte någon användarvänlig miljö. Ingen inom landstinget har åtkomst till databasen. Revisionsuppdrag 2010/2011 Dnr. 10LS4520 6

8 5.1.1 Rollbeskrivningar Löneprocessen är en invecklad rutin. Det finns en rad olika roller som är involverade i kedjan från upplägg av nyanställning till en faktisk löneutbetalning. För att klargöra rollerna kommer först en förenklad beskrivning av respektive roll. I vår granskning kring internkontroll kommer vi ofta att utgå från vad dessa olika roller/personalkategorier får eller kan göra. Enhetschefer Enhetschef ska attestera de tidrapporter från de anställda som de ansvarar för, vilket sker elektroniskt i PAW. Vidare är de ansvariga för sitt kostnadsställe och med det ansvaret kommer att de även ska följa upp de löner som belastat deras kostnadsställe. De har inte någon skrivrätt i Pabas utan de arbetar i PAW och kommer bara åt sina egna underställda. Enhetscheferna kan därmed inte göra nyupplägg i Pabas. Det finns ca 180 personer med denna roll inom landstinget. Personalkonsulter Personalkonsulter arbetar inte med löner utan enbart med att registrera anställningar i Pabas, lägga upp nyanställningar. Deras uppgifter är bl.a. att se till att löneavtal är korrekta och efterlevs. Personalkonsult attesterar efter kontroll anställningsavtal. Personalkonsulterna kan även ändra fast lönedata på de anställda som finns i deras egen förvaltning. Löneadministratörer Ett 15 tal personer arbetar som löneadministratörer på löneavdelningen. De har full behörighet i Pabas och kan därmed utföra alla steg i löneprocessen, nyupplägg, ändring av fastlönedata m.m. Nyupplägg utförs utifrån skriftliga underlag på uppdrag av enhetscheferna. Löneadministratörerna är de som justerar avvikelser och gör ombokningar. De utför även olika kontroller på lönekörningen såsom stora belopp, avvikelser från schema m.m. Systemadministratör Det finns två systemadministratörer. Deras uppgift är, enkelt uttryckt, att se till att lönesystemet fungerar som det ska. De fångar upp om det är fel i systemet och anmäler felet vidare till Aditro. Systemadministratörerna har samma behörighet som löneadministratörerna. Systemadministratörerna har ingen tillgång till vare sig styrregister eller behörighetsregister. Systemförvaltare Systemförvaltaren är en person med ansvar att se till att behörigheterna är korrekta i Pabas, att kopplingarna mellan lönearter, konton och kostnadsställen är korrekta och den enda som har behörighet i styrregistret och behörighetsregistret RAC-F. Systemförvaltaren har full behörighet i Pabas. Systemägare Den som på papperet ansvarar för systemet, systemägaren, är personaldirektören. Personen har dock ingen access till Pabas. Systemleverantörer Företaget Aditro sköter rättningar av fel i systemet och annan konsulthjälp. De finns fyra personer på Aditros Skellefteåkontor som har tillgång till Pabas. Personerna kommer åt själva databasen dock har de åtkomst till olika delar. Aditro får endast gå in på servern efter skriftlig begäran från systemadministratören eller systemförvaltaren beroende på vad frågan gäller. Konsulterna har egna unika användarkonton. Konsulterna lämnar inga spår efter sig vilket gör det omöjligt att veta om de varit inne i systemet. Sedan är det svårt för oss att Revisionsuppdrag 2010/2011 Dnr. 10LS4520 7

9 verifiera rutinerna på Aditro, om exempelvis flera konsulter använder samma inloggningskonto men vi utgår från att detta sköts professionellt. Företaget Tieto ansvarar för driften av Pabas. Tieto ska med andra ord se till att Pabas fungerar, att säkerhetskopiering fungerar som det ska, att utbetalningsfilen skickas till banken och att skicka filen med redovisningsdata till IT-bolaget som ansvarar för driften av huvudboken, Logica Begrepp som används för kontroll av löner Webbaccess Webbaserat analysinstrument för de uppgifter som Pabas genererar. Här samlas alla typer av kontrollistor, exempelvis nedan nämnda flexlista och lista 62. Ingen information skrivs in i webbaccess utan det är ett rent analysverktyg. Det sker ingen manuell filöverföring från Pabas till webbaccess utan webbaccess är en ren återspegling av uppgifterna i Pabas. Alla på löneadministrationen har tillgång till Webbaccess och personer på förvaltningarna har tillgång till de delar som berör dem. Till exempel har varje personalenhet tillgång till jourlistor. Lista 62 Lista 62 är en lista som per kostnadsställe specificerar de löneutbetalningar som har gjorts för månaden på individnivå. Listan är numera webbaserad och varje enhetschef ska godkänna klarmarkera sin lista i bop-webb. Bop-webb är ett verktyg för att analysera kostnader, göra prognoser och budgetutfall. Överföringen till bop-webb sker automatiskt. Attesten görs efter att lönen betalats ut och listan ska därför ses som en kontrollmöjlighet för den kostnadsställesansvarige. Enligt uppgift händer det inget om listan inte klarmarkeras dock kan ansvarig chef, i nivån ovanför den kostnadsställesansvarige, se om listan klarmarkerats. Ingen annan än denne kan se huruvida listan klarmarkerats eller ej. Huruvida den som attesterar sin lista verkligen har granskat är svårt att bedöma. På samma sätt är det svårt att bedöma om ansvarig chef har uppsikt på om listan klarmarkerats. Allt handlar om att de ska utföra sitt arbete i enlighet med de direktiv som finns. Enligt systemadministratören har kostnadsställesansvariga blivit bättre på att höra av sig om identifierade fel sedan bopwebb introducerades. För att kunna bedöma kvalitén på lista 62 som intern kontroll, har vi granskat hur mycket fel som måste rättas i efterhand. Fel som borde ha upptäckts i chefernas kontroll av lista 62. Detta anser vi vara en bra indikation på kontrollens efterlevande. Flexlistan När en anställd vid landstinget kommer till sitt arbete ska denne registrera sin ankomst i PAW och tillika registrera sin utgång/hemgång i PAW. Detta blir ett verktyg både för respektive chef och för löneadministrationen att förhindra felaktiga utbetalningar. Det finns automatiska kontroller som signalerar när en person har högt negativt flexsaldo, dvs. okänd frånvaro utifrån sitt ordinarie schema. Varje enhetschef har tillgång till uppgifter om sina underställda och löneadministrationen kommer åt uppgifter om alla anställda. Varje enhetschef ska månatligen godkänna sina anställdas flexlistor. Kvittenslista Vid all förändring av fast lönedata, exempelvis ny månadslön och nyupplägg loggas informationen och efter nattkörningen kommer informationen ut i en särskild rapport, kvittenslistan. Kvittenslistan återfinns i webbaccess. Den som är ansvarig för internkontroll på Revisionsuppdrag 2010/2011 Dnr. 10LS4520 8

10 respektive förvaltning har även till sin arbetsuppgift att granska denna lista. Detta för att förhindra felaktiga ändringar i fast lönedata. På listan syns vad som gjorts och vem som gjort det. Det finns ingen kontroll över huruvida den ansvarige för internkontroll verkligen tittar på listan. Signallista I Pabas finns en rad automatiska kontroller. Exempel på detta är hög bruttolön, nettolön högre än bruttolön, ej godkända stämplingar m.m. Signallistan erhålls i webbaccess och lönehandläggarna har till sin arbetsuppgift att gå igenom alla avvikelser som signalerats. Rutinen är att denna signallista månatligen granskas post för post för att se om det finns en rimlig orsak till att löneprogrammet påkallat uppmärksamhet. Olika lönehandläggare granskar olika förvaltningar. 5.2 Kartläggning och riskbedömning av lönehanteringen Har det gjorts någon kartläggning och riskbedömning av hela lönehanteringen, manuella rutiner, datasystem och dess samband mot ekonomi? Enligt systemägaren finns det ingen aktuell dokumentation som beskriver hela lönehanteringen med rutiner, datasystem m.m. Det finns dokument över olika delar av processen samt en systemskiss över hur de olika försystemen hänger ihop med Pabas. Något heltäckande dokument har löneadministrationen inte kunnat presentera för oss. Enligt Lag om kommunal redovisning 1 kap. 7 ska det finnas en systemdokumentation avseende samlingsplan, behandlingshistorik och verifieringskedja. Det måste därmed göras en rutinbeskrivning över hur hela lönerutinen går till, från upplägg av anställd till avstämning av banktransaktion mot löneutbetalning. Det finns idag bra beskrivningar av olika delar av löneprocessen men ingen uppdaterad fullständig beskrivning av lönerutinen. En bra rutinbeskrivning är ett bra hjälpmedel för att underlätta arbetsrotation samt för att minimera risken att kunskap går förlorad om någon kontrollansvarig hastigt försvinner ur organisationen. Rekommendation Idag finns utförliga beskrivningar av delar av löneprocessen men vi anser att en rutinbeskrivning över hela löneprocessen bör tas fram för att skapa en helhetsbild. 5.3 Rotation på arbetsuppgifter Ur ett internkontrollperspektiv ser vi det även som viktigt att ingen enskild alltid utför en viss kontroll, eller att det finns arbetsmoment som bara en person kan. Därför ser vi det som viktigt att det förekommer arbetsrotationer. Förekommer rotation på arbetsuppgifter inom lönekontoret? Finns tillräcklig back-up för nyckelbefattningar inom lönekontoret och förekommer rotation av arbetsuppgifter på dessa befattningar? Enligt chefen för löneadministrationen finns det ingen person som ensam besitter någon unik kunskap och det finns ingen arbetsuppgift som bara en person kan. Vid löneadministrationen arbetas det i tre olika arbetsgrupper och all kunskap ska finnas i varje grupp. Revisionsuppdrag 2010/2011 Dnr. 10LS4520 9

11 I denna fråga har vi svårt att uttala oss om uppgifterna stämmer. Vi ser dock ingen anledning till att det inte skulle vara som löneavdelningen själva hävdar. Det ligger trots allt i deras eget intresse. Rekommendation Ingen 5.4 De tre riskmomenten för svindleri Det kan tyckas vara en omöjlig uppgift att täcka alla tänkbara sätt att manipulera en lönerutin. I grunden handlar dock allt om att förhindra att otillåten utbetalning kan ske. Utgångspunkten ska därmed vara hur man ska förhindra att någon ger sig själv eller en medbrottsling en otillåten utbetalning. Alla andra åtgärder handlar om att utbetalningen ska kunna upptäckas när den väl inträffat. Om det dessutom finns ett konto där det går att gömma motbokningen, den skuld eller kostnad som utbetalningen ger upphov till, finns det en risk för att ett svindleri skulle kunna genomföras. Nedan illustreras de tre moment i löneprocessen som medför risk för svindleri. Möjlighet att betala ut lön till sig själv eller anhörig Möjlighet att radera spåren efter tillgreppet Undgå befintliga kontroller och därmed undgå upptäckt Möjlighet att betala ut lön till sig själv eller anhörig Grundförutsättningen för att få en lön utbetald är att personen finns med i lönesystemet. Nyupplägg är därmed en kritisk punkt i löneutbetalningskedjan. Ur ett internkontrollperspektiv är det inte optimalt att löneadministrativ personal kan lägga upp personer utan någon form av attest eller annan kontroll av chef eller liknande Registrering av nyanställda Registreras och avslutas anställning av annan än den/de som verkställer löneutbetalning och finns spärrar och/eller kontroller att tvåhandsprincipen följs? Vid anställning fylls ett anställningsunderlag i av enhetschefen och skickas till behörig personalkonsult. Denne går igenom avtalet och godkänner det genom attestering. Därefter erhåller löneadministrationen underlaget för anställning, numera signerat av enhetschefen Revisionsuppdrag 2010/2011 Dnr. 10LS

12 och personaladministratör. Löneadministrationen lägger upp den nya personen i lönesystemet och skriver ut ett anställningsavtal som skickas tillbaka till enhetschefen. Det finns ingen tvingande tvåhandsprincip utan den kontroll som finns för att allt ska bli rätt är att inmatade uppgifter ligger till grund för anställningsavtalet som sedan den anställde och dess chef skriver under. Det åligger därefter enhetschefen att kontrollera att de personer som finns på den månatliga rapportern över lönekostnader för kostnadsstället är korrekta på sin lista 62. Därför bedöms risken för ett felaktigt upplägg på grund av misstag som låg. Lönesystemet är inte kopplat mot befolkningsregistret vilket innebär att det är möjligt att lägga upp en fiktiv person, dock måste korrekt personnummer användas eftersom det är personnumret som är kopplingen till bankens utbetalning. Således är ett upplagt personnummer grunden för att få en lön utbetald till sitt konto. Personnumret går heller inte att ändra i Pabas. Vidare måste det vid varje upplägg anges vem som är överordnad chef. Ett befattningsnummer måste läggas in och en nyanställning går inte att fortsätta om den informationen inte matas in. Detta får konsekvenser vad gäller efterföljande kontroller vilket vi återkommer till. Det går inte att lägga till vem som helst som chef utan allt görs utifrån ett underliggande behörighetsträd där alla har någon överordnad, alla utom landstingsdirektören. Eftersom att ett nyupplägg även är en förändring av fast lönedata syns upplägget på kvittenslistan. Därmed blir det synliggjort både för hela löneadministrationen samt även för den chef som anställningen kopplats till och den som är ansvarig för internkontrollen för denna del av processen inom förvaltningen. Ett nyupplägg av en person i Pabas medför även att information om denna person snabbt sprider sig till andra system. Inkörsport till övriga system är att upplägg först gjorts i Pabas. Därefter går informationen vidare till andra system. Det går heller inte att fullständigt radera en person som lagts upp i Pabas. Har lön betalats ut lever upplagda anställningsuppgifter kvar i två år för att därefter hamna i en arkivdatabas. Den kontroll som idag finns för att förhindra utbetalning av löner till fel personer är kvittenslistan och den lista 62 som månatligen skickas ut till den som är ansvarig för respektive kostnadsställe. Kontrollen av lista 62 beskrivs tydligare under kapitel Skulle ansvarig chef ha bristande kontroll över vilka anställda den har, finns risk för felaktiga utbetalningar. Kontrollen fyller heller inget syfte om någon behörig med uppsåt att förskingra medvetet lägger upp någon som inte borde finnas i lönesystemet som nyanställd och kopplar det till det kostnadsställe man själv är ansvarig för. Någon person med den kombinationen av behörighet och roll finns enligt systemadministratören inte. Rekommendation Vi rekommenderar att nyupplägg av anställningar utförs enligt tvåhandsprincipen. Att en person registrerar hela anställningen och en annan godkänner anställningen. Detta skulle innebära att exempelvis personalkonsulterna registrerar allt på personen dvs. personuppgifter och anställningsuppgifter. Därefter går lönekonsult eller chef in och granskar och beviljar anställningen. Ett alternativ skulle vara att utnyttja den redan befintliga kvittenslistan och tvinga fram ett godkännande/attestering av den som är ansvarig. Kontroller av denna typ förstärks kraftigt när den ansvarige tvingas signera att listan analyserats. För att ovan nämnda kontroller ska Revisionsuppdrag 2010/2011 Dnr. 10LS

13 fungera får det inte finnas någon som är ansvarig för ett kostnadsställe och som samtidigt kan lägga upp eller begära ett upplägg av en ny person i lönesystemet Förändring av registeruppgifter i lönesystemet Dokumenteras förändringar och uppdateringar av registeruppgifter i lönesystemet och är det säkerställt att dessa alltid attesteras/kontrolleras av annan än den som har registrerat/infört uppgifterna? Den vanligaste typen av uppdateringar är förändring av lön. Vid den stora årliga löneöversynen erhåller personalkonsulterna förutsättningarna för lönerevisionen. Personaladministrationen godkänner filen för inläsning i Pabas. För övriga förändringar av löner m.m. knappas det in manuellt av löneadministratören. En sådan förändring ska komma in skriftligen men i några få undantagsfall sker de via fax. Den kontroll som finns för att fel lön inte registrerats är samma två kontroller som nämnt ovan dvs. lista 62 och kvittenslistan. All förändring av registeruppgifter i lönesystemet registreras på den tidigare nämnda kvittenslistan. Kvittenslistan ska granskas av den som är ansvarig för den interna kontrollen på respektive förvaltningen men granskningen är inte tvingande, dvs. det händer inget om uppgiften inte utförs. Vår bedömning är att lönekontoret har en hög ambition att förändringar och uppdateringar i systemet ska bli korrekta samt att risken för väsentliga fel är liten. Stora fel skulle sannolikt uppmärksammas vid kontrollen av lista 62, det är dock svårt att uttala sig om hur bra kontroll kvittenslistan är då inte görs någon uppföljning huruvida ansvarig chef granskat den eller ej. Rekommendation Vår rekommendation är att landstingsstab personal säkerställer att förändringar av kritisk data godkänns av den som är ansvarig för den interna kontrollen på respektive förvaltning, exempelvis genom attestering av kvittenslistan. Vidare bör uppföljning göra för att säkerställa att attestering faktiskt genomförs Åtkomst egen lön Begränsas behörighet i lönesystemet så att löneadministratörer inte kan behandla och/eller manipulera sin egen lön? Löneadministratörerna har full behörighet att påverka sin egen lön. Någon spärr för att låsa ut löneadministratören för åtkomst till sig själv finns inte. Detta är något som systemägaren gärna skulle vilja ha men begränsningar i lönesystemet Pabas sätter stopp för det. I dagsläget går det inte att göra delbehörigheter i Pabas vilket skulle krävas för att denna spärr ska fungera. Systemförvaltaren tror att det kanske går att genomföra en sådan förändring men det skulle kräva mycket konsulttid. Revisionsuppdrag 2010/2011 Dnr. 10LS

14 Diskussioner kring Pabas, som är ett gammalt system, fortlevnad har diskuterats men i väntan på beslut om en eventuell storregion och ett samlat gemensamt lönesystem, finns det idag inga planer på ett nytt lönesystem. Det finns inte heller några ambitioner på att göra stora investeringar i det redan befintliga Pabas. Möjlighet att ändra sin egen lön är ur ett internkontrollperspektiv olämpligt. Enligt uppgift från löneadministrationen finns det i lönesystemet Pabas idag ingen möjlighet att spärra en enskild lönehandläggare från möjligheten att ändra egna löneuppgifter. En förhindrande kontroll är ur ett internkontrollperspektiv bättre än en kontroll designad för att upptäcka fel i efterhand. När en förhindrande kontroll, som i detta fall, inte går att implementera bör den interna kontrollen istället förstärkas med kontroller designade för upptäckt. Exempel på upptäckande kontroller är tidigare nämnda kvittenslista och lista 62. Rekommendation Vi rekommenderar att en förfrågan görs gentemot systemleverantören för att se om det är möjligt att erhålla personnummerspärr och vad det skulle kosta. Om kontrollen är möjlig att genomföra bör ställning tas till om spärren är värd kostnaden för konsulttiden. Då den ovan nämnda förhindrande kontrollen saknas måste de upptäckande kontrollerna vara väldigt bra och tillförlitliga. en om övriga kontrollers tillförlitlighet återkommer vi till i Rutiner för behörighetsadministration Är rutiner och organisation för behörighetsadministrationen lämplig med avseende på intern kontroll? Alla beställningar av behörigheter till lönerelaterade system såsom Pabas och PAW, ska ske skriftligt till systemförvaltaren, som sparar alla skriftliga beställningar. Det finns, som vi nämnt tidigare, tre typer av behörigheter i Pabas; läsbehörighet, möjlighet att göra ändringar på anställdas löneuppgifter i egen förvaltning och möjlighet att utföra ändringar i löneuppgifter på alla anställda i hela landstinget. Rutinmässigt går systemförvaltaren igenom utestående behörigheter i Pabas. Detta för att fånga upp förändringar som gjorts och för att minimera risken att något ärende fallit mellan stolarna. Vidare sker en automatisk utelåsning av alla användare som inte varit aktiv på 30 dagar. Upplägget av behörigheter i PAW sker automatiskt utifrån de parametrar som angetts i Pabas. En nytillträdd enhetschef ska exempelvis kopplas till rätt befattning för att denne på så sätt ska få rätt underställda kopplade till sig. Underställda vars tid, avvikelser semester m.m. ska attesteras av den tillträdde chefen. Vad gäller nya behörigheter är det sällan något problem eftersom att de då finns ett incitament att höra av sig till den som ansvarar för behörighetsadministrationen. Utan rätt behörighet går det helt enkelt inte att utföra sitt arbete. De intervjuade upplever dock att rutinen vid avslutande av anställning inte alltid fungerar lika bra. Då tar det oftast längre tid innan informationen når löneavdelningen. Behörighetstilldelning synes gå rätt till, framförallt finns ett bra systemstöd som låser ute inaktiva användare. Därmed minimeras risken för att det finns kvar gamla inaktiva användarkonton. Enligt vår bedömning är rutinerna och organisationen för behörighetsadministrationen lämplig med avseende på intern kontroll. Det som skulle vara Revisionsuppdrag 2010/2011 Dnr. 10LS

15 önskvärt är möjligheten till att bygga delbehörigheter i Pabas, att olika roller kan utföra olika delar i lönekedjan i Pabas. Som redan nämnts tidigare anser vi att det inte bör gå att ändra sin egen lön samt inte heller kunna utföra en nyanställning utan att tvingas involvera någon annan. Vad gäller olika rollers nu tilldelade behörigheter anser vi att de är i paritet med de arbetsuppgifter som de ska utföra. Att avväga rätt behörighet mot internkontroll är svårt. Det är ofrånkomligt att det måste finnas roller med höga behörigheter. Vad gäller Landstinget Västernorrland är det dock bara systemförvaltaren som har hög behörighet och det finns ingen som kommer åt själva databasen med alla löneuppgifter. Rekommendation Rutiner för behörighetstilldelning är en ständig process som kontinuerligt måste uppdateras och efterlevas. Rekommendationen är att upprätthålla dagens rutin samt arbeta för att förvaltningarna i tid redovisar förändringar i behörigheter när personer slutat Möjlighet att radera spår efter sig Möjlighet att betala ut lön till sig själv eller anhörig Möjlighet att radera spåren efter tillgreppet Undgå befintliga kontroller och därmed undgå upptäckt Är de loggar som finns tillräckliga, görs tillräckliga kontroller av loggarna samt går de att radera? Loggning sker enligt systemförvaltaren på allt. På alla förändringar som görs i Pabas loggas det vem som gjort det och när. Loggarna används främst när något blivit fel för att se vad som gjorts och tillrättavisa om någon gjort handhavande fel. Det som kopplar ihop loggen med en specifik användare är ett användar-id. I Pabas loggas allt som rör förändring av exempelvis fast lönedata, lönesumma m.m. Behörighet att se loggarna har systemadministratören, systemförvaltaren och löneadministrationen. Tieto sköter driften för Pabas och hos dem ligger ansvaret att spara loggarna. Ingen inom landstinget kan ta bort loggarna. Det utförs inga rutinmässiga kontroller av loggarna med avsikt att kontrollera om något otillbörligt gjorts. Stickprov har tagits på olika loggar och utifrån dessa är vår bedömning att loggarna i Pabas är tillfredställande vad gäller dess innehåll och möjligheten till spårning av användare. Detta anser även de som använder dem. Vår bedömning är även att de som kontrollerar loggarna har den kunskap de behöver. Rekommendation Gå igenom vilket syfte och vilka intressenter de olika loggarna har och bestäm vilka kontroller som ska göras, av vem, hur ofta. Revisionsuppdrag 2010/2011 Dnr. 10LS

16 5.4.3 Undgå befintliga kontroller och därmed undgå upptäckt Möjlighet att betala ut lön till sig själv eller anhörig Möjlighet att radera spåren efter tillgreppet Undgå befintliga kontroller och därmed undgå upptäckt Avstämningar utbetalningar mot bank Avstäms utbetalningar mellan lönekontoret och bank på ett tillfredsställande sätt och dokumenteras avstämningarna? Ur Pabas skapas efter lönekörningen en avstämningslista som visar på hur mycket som ska betalas ut. Utöver avstämningslistan skapas det även en betalfil till banken. Bankfilen skickas automatiskt från Pabas till Tieto. Ingen på landstinget har tillgång till filen. Tieto skickar sedan filen till Nordea. Banken utför ingen utbetalning förrän beloppet har verifierats av systemförvaltaren via ett sigill. Innan löneutbetalningen görs har ekonomiavdelningen, utifrån uppgifterna i avstämningslistan, fört över korrekt summa till det bankkonto som används för löneutbetalning. Efter utbetalningen görs avstämning mot vad banken dragit från kontot. Bankfilen är skrivskyddad och sparas i webbaccess. Avstämningsarbetet av inskickad fil och debiterat belopp är en mycket kritisk punkt vad gäller internkontroll kring löneutbetalningen. Vår bedömning är att denna avstämning fungerar bra ur ett internkontrollperspektiv. En eventuell avvikelse mellan utbetald lön enligt lönesystemet och vad som faktiskt betalats bör stoppas redan innan utbetalningen så länge avstämningsarbetet utförs enligt den rutinbeskrivning vi erhållit. Då antalet lönekörningar är förbestämda anser vi det vara liten risk att någon obemärkt skulle kunna genomföra en egen lönekörning. Dokumentationen av avstämningsarbetet bedöms som god. Rekommendation Vi rekommenderar att landstinget förenklar kontrollen av faktiskt utbetalda löner. Det finns bland annat kontroller som gör att Bankfilen inte är det enda beviset på faktiskt utbetald lön. Många banker har webblösningar där faktiskt utbetalt belopp per individ går att följa upp. Tjänsten innebär att lönekontoret via inloggning mot bankens internetsida kan se kopia på den faktiska lönespecifikationen på det personnummer som administratören söker på. Kopian går inte att ändra eftersom lönekontoret bara har läsbehörighet. Revisionsuppdrag 2010/2011 Dnr. 10LS

17 Löneadministrationens kontroller av lönebelopp Finns tillräckliga kontroller för onormala belopp för nettolön per anställd och onormala belopp på enskilda lönearter/ersättningar? Utförs specifika kontroller på personer med höga behörigheter? I Pabas finns en rad automatiska kontroller. Exempel på detta är hög bruttolön, nettolön högre än bruttolön, ej godkända stämplingar m.m. Dessa avvikelser framgår av signallistan och de bygger på förinställda regler/gränsvärden i Pabas. Rutinen är att denna signallista månatligen granskas post för post av lönehandläggaren för att se om det finns en rimlig orsak till att löneprogrammet påkallat uppmärksamhet. Någon speciell kontroll av personer med höga behörigheter finns idag inte. Dokumentation på granskningen av dessa poster finns i webbaccess. Lönehandläggaren klarmarkerar/attesterar de signallistor som granskats. Därmed går det att följa upp vilken lönehandläggare som granskat de olika signallistorna. Olika lönehandläggare granskar olika förvaltningar (db-koder) och samma princip gäller gransknigen av signallistorna. Utöver den enligt ovan beskrivna kontrollen som utförs av lönehandläggaren, finns den kontroll av lönekostnaderna som ansvarig chef för varje kostnadsställe gör via lista 62. Indirekt är det en kontroll att rätt lön betalas ut. Mer om det under kontroll av lönekostnader. Vi har sett exempel på signallistan samt dokumentation på genomförd uppföljning av listan. Vår bedömning är att signallistan är bra, att de automatiska kontroller som finns täcker in de viktigaste områdena. Sedan är det svårt för oss att uttala sig om den blir för lång eller om det går att förbättra. Någon kontroll av personer med hög behörighet finns inte idag. Med det upplägg som finns idag vad gäller typer av behörighet i Pabas och involvering av externa IT-konsulter är vår bedömning att det inom landstinget bara finns en person, systemförvaltaren, som har en hög behörighet. Den höga behörigheten gäller dock inte själva Pabas utan systemen kring Pabas, behörighetssystem och styrregister. Systemadministratörerna är indirekt personer med hög behörighet med avseende på deras kontakt med IT-konsulter m.m. Systemförvaltarens och systemadministratörernas lön granskas i likhet med alla andra av deras chef, via lista 62. Någon specifik kontroll av dessa personer utförs dock inte. Rekommendation Vi anser att det bör ske en kontroll av utbetalningar till personer med höga behörigheter. Att följa upp detta via den tidigare rekommenderade webbtjänsten är en mycket snabb och enkel kontroll att utföra. De som ansvarar för detta stickprov får inte vara någon person med hög behörighet i lönesystemet samt att ansvaret inte bara får ligga på en person. Vidare anser vi att huvudansvaret för denna kontroll ska ligga på löneadministrationen. Därtill rekommenderar vi även att dokumentation av löneadministrationens egen granskning bör ske. Revisionsuppdrag 2010/2011 Dnr. 10LS

18 Avstämning av överförda uppgifter till ekonomisystem Görs en ändamålsenlig avstämning av överförda uppgifter mellan lönesystem och ekonomisystem? Företaget Aditro sköter exporten av redovisningsfilen. Aditro plockar ut uppgifterna i Pabas och skickar sedan filen till Logica, som ansvarar för driften av Raindance. Logica för över filen till en filimportsmapp hos landstinget. Ingen inom landstinget kan ändra något i redovisningsfilen. Ansvarig person på ekonomiavdelningen läser därefter in filen i Raindance. Ingen inom landstinget kommer i kontakt med filen på dess resa från lönesystemet Pabas till huvudboken Raindance. När filen är inläst i Raindance får ansvarig för filimporten på ekonomiavdelningen en fellista på transaktioner som inte gått att läsa in i huvudboken. Exempel på fel är att lön bokats på ett stängt kostnadsställe. Felen kommer ut på en fellista, som måste gås igenom och rättas innan de kan bokföras i huvudboken. Rätningen görs genom att förfrågan görs till berörda förvaltningar om hur konteringen ska rättas. Rättningen görs genom en bokföringsorder i huvudboken. Cirka transaktioner fastnar i denna importeringskontroll varje månad. Vår bedömning är att denna avstämningsrutin fungerar bra då det finns inbyggda kontroller som förhindrar fel från att uppstå. Rutiner finns för avstämning av redovisningsfilen. Det är informationen i redovisningsfilen som följer med in i Raindance och som därmed påverkar huvudboken. Det är därför viktigt att informationen i filen inte går att ändra. Går filen att ändra innebär det full tillgång till huvudboken. Om ändringen görs som en manuell bokföringsorder, vilket en sådan ändring egentligen är, ser den dessutom ut att komma från lönesystemet. Eftersom det finns skuldkonton med avstämningsproblem, bland annat semesterlöneskuld, är det olyckligt att det i teorin går att kontera om en otillbörlig lön genom manipulering av redovisningsfilen. Vi vill samtidigt understryka att den kontroll som kostnadsställesansvarig utför inte påverkas då de erhåller sin utanordningslista direkt från Pabas. Den brist i kontrollkedjan som skrivrätten i redovisningsfilen påverkar är i de fall en kostnadsställesansvarig, med möjlighet att lägga upp nyanställningar, också kan komma åt redovisningsfilen. Enligt systemförvaltaren och Logica kommer ingen inom landstinget åt redovisningsfilen varför denna risk inte är aktuell. Rekommendation Vår rekommendation är att se till att redovisningsfilen även i fortsättningen är otillgänglig och därmed skyddad från manipulation. Revisionsuppdrag 2010/2011 Dnr. 10LS

19 Kontroll av lönekostnader Är kontrollen av lönekostnader organiserad på ett ändamålsenligt sätt? Den kontroll och uppföljning som idag görs är huvudsakligen organiserad på så sätt att respektive kostnadsställeansvarig månatligen via webbaccess kontrollerar lista 62 samt följer upp närvaro via flexlistan. Som tidigare beskrivits under är lista 62 en lista som per kostnadsställe specificerar de löneutbetalningar som har gjorts för månaden på individnivå. Listan är webbaserad och det är en ren avspegling av Pabas. Flexlistan visar framförallt de anställdas in och utpasseringstider vilket sedermera ligger till grund för intjänad lön. Listan ska attesteras av närmaste chef och ingen chef attesterar sin egen tid. Varje enhetschef ska godkänna sin lista i webbaccess, listan ska klarmarkeras. Attesten (klarmarkeringen) görs efter att lönen betalats ut och listan ska därför ses som en kontrollmöjlighet för den kostnadsställesansvarige. Enligt uppgift händer det inget om listan inte klarmarkeras dock kan ansvarig chef, i nivån ovanför den kostnadsställesansvarige, se om listan klarmarkerats. Ingen annan än denne kan se huruvida listan klarmarkerats eller ej. Den som har ansvaret för ett kostnadsställe har i genomsnitt runt personer på sin utanordningslista. De finns dock chefer som har uppemot över 35 personer anställda inom sitt ansvarsområde. Procentuellt är andelen enligt följande, 21 % har färre än 10 personer att attestera tid för, 68 % ligger i intervallet personer och 11 % har fler än 35 medarbetare vars tider ska attesteras. Enligt systemadministratören har de kostnadsställesansvariga blivit bättre på att höra av sig om fel som de identifierat efter att lista 62 lades ut i bop-webb. Löneadministrationens uppfattning är dock att p.g.a. landstingets ansträngda ekonomi och de besparingar som genomförts, finns idag ett stort fokus på personalkostnader. I ett senare skede görs även uppföljning av personalkostnaden mot budget av ekonomiavdelningen. Någon statistik på rättningar som gjorts på utbetalda löner, återtag m.m. finns inte. Däremot finns uppgifter på hur många manuella löner som betalats ut. Under 2010 betalades 413 manuella löner ut vilket motsvarar 0,4% av alla löner. Att lista 62 är en direkt avspegling av Pabas är bra, därmed kan vi fastställa att den granskning som görs på individnivå är utifrån verkliga lönekostnader. Huruvida den som attestera sin lista verkligen har granskat är svårt att bedöma. På samma sätt är det svårt att bedöma om ansvarig chef har uppsikt på om listan klarmarkerats av kostnadsställesansvarig. Allt handlar om att de ska utföra sitt arbete i enlighet med de direktiv som finns. Klarmarkeringen som attesterande chef tvingas göra förstärker kontrollen men dessvärre tappar kontrollen sin kraft om det framkommer att inget händer om attesteringen inte utförs. Flexlistan bedömer vi vara ett bra underlag till lönen. Om flexlistan inte attesteras av närmaste chef så måste övertid och OB utvärderas. Genom att granska statistik på antal fel som rättats i efterhand av lista 62, ges en bild av kontrollens kvalitet. Tyvärr saknas det idag bra uppföljningsstatistik på detta. Manuella löneutbetalningar kan ses som en typ av statistik på rättade fel. Det ska dock understrykas att manuella löner ibland betalas ut för att en anställd beviljats förskott. På samma sätt kan rättningar ske utan att det sker via en manuell löneutbetalning. Om en anställd erhållit för mycket lön korrigeras det oftast via nästkommande löneutbetalning. De uppgifter som den ansvarige kan utläsa ur lista 62 är bl.a. utbetalda löner frånvaro m.m. En intressant fråga är hur lätt de kan identifiera fel i löneutbetalningen när de har en stor Revisionsuppdrag 2010/2011 Dnr. 10LS

20 grupp anställda. Vi ser en stor risk i att fel inte uppmärksammas om chef har allt för många underställda. Vid ett bedrägeri hos Västerbottens läns landsting kringgicks den normala kontrollen av lönekostnader per kostnadsställe eftersom utbetalningarnas motkonto ändrades till semesterlöneskulden. Därmed sågs aldrig kostnaden på någon lönekostnadslista. Fördelen vid landstinget är att rapporten som ligger till grund för kontrollen kommer direkt ur Pabas. För att lista 62 ska vara effektiv får det aldrig förekomma någon som både kan lägga upp en anställd och som i nästa led kontrollerar lista 62. Enligt de uppgifter vi fått finns ingen med en sådan kombination. Rekommendation Rutinen med flexlistan och lista 62 är bra men vi rekommenderar dock att den förbättras genom att landstingsstaben ger löneadministrationen i uppdrag att följa upp vilka som inte attesterat lista 62. Vidare borde landstinget arbeta för att minska andelen chefer som har över 35 personer att attestera tid för. Ett annat önskemål är att uppföljning görs på hur mycket korrigeringar av löner som görs, och koppla detta till vem som borde upptäckt felet. Vår bedömning är att en sådan kontroll förstärker kontrollen av lista 62 avsevärt Avstämning av personalrelaterade skuldkonton Görs en ändamålsenlig avstämning av skuldkonton i ekonomisystemet med avseende på de poster som genereras i lönesystemet? Avstämningen av de lönerelaterade skulderna, semesterlöner och komptidsskulder sker genom att ansvarig på ekonomiavdelningen plockar ut aktuell rapport ur Pabas. I Pabas finns alla uppgifter om löner, arbetad övertid, sparade semesterdagar m.m. Det är dessa data som Pabas använder i sin beräkning av de lönerelaterade skulderna. Här finns dock problem. Skulden i de rapporter som Pabas genererar stämmer inte överens med saldot i huvudboken. Huvudboken justeras därför för att stämma överens med Pabas. Anledningen till att differenser uppstår är att överförda belopp under året är schablonbelopp och att verklig avstämning endast sker när rapporten för de skuldrelaterade kontona plockas ut ur Pabas och jämförs med huvudboken. Analyser av differenser görs och transaktioner mot berörda konton, som inte kommer från löneprogrammet, följs upp eftersom att några sådana konteringar inte borde finnas där. Differensen är enligt berörd controller runt miljonen på årsbasis. Resultatet på differensen mellan huvudbok och Pabas kostnadsbelastas centralt. Således påverkar det inget särskilt kostnadsställe och är därmed svårare att följa upp mot budget etc. Redovisningschefen anser att felaktiga konteringar till de ovan nämnda svåravstämda kontona lätt upptäcks om de kommer från andra försystem än löneprogrammet eftersom att verifikatet då har ett annat serienummer. En felaktig transaktion från löneprogrammet, till dessa konton, är enligt redovisningschefen mycket svår att upptäcka såvida det inte handlar om väldigt stora belopp. Avstämningen mellan Pabas och ekonomisystemet Raindance borde kunna ske utan differenser. Detta eftersom alla uppgifter i Pabas, inklusive förändringar av semesterlöneskulder m.m., borde följa med i den ekonomifil som läses över från Pabas till Revisionsuppdrag 2010/2011 Dnr. 10LS