Granskning av Raindance: Intern kontroll i systemförvaltning samt hantering av leverantörs- och kundfakturor. Göteborg, 2011-09-12

Granskning av Raindance Dnr: Rev 24-2011 Genomförd av: Ernst & Young Behandlad av Revisorskollegiet den 12 oktober 2011

Granskning av Raindance: Intern kontroll i systemförvaltning samt hantering av leverantörs- och kundfakturor. Göteborg, 2011-09-12

Sammanfattning Bakgrund Slutsatser Våren 2011 fick Ernst & Young i uppdrag av Västra Götalandsregionens revisorer att granska regionens ekonomisystem Raindance. Syftet var att värdera graden av intern kontroll för leverantörsfakturor, kundfakturor samt systemförvaltning av Raindance. Granskningen har genomförts i form av intervjuer, dokumentinläsning och tester under juni 2011. Leverantörsfakturor Det är vår bedömning att den interna kontrollen i leverantörsfakturaprocessen inte kan säkerställas. Detta beror främst på att det inte finns något samlat grepp kring intern kontroll, vilket har inneburit att det saknas kontrollbeskrivningar och att vissa kontroller ej är implementerade. Särskilt viktiga kontroller, som att en och samma person inte kan vara attestant och kontrollant samt att en och samma person inte kan administrera leverantörsregistret och verkställa utbetalningar, är inte effektiva. Kundfakturor Vi bedömer att den interna kontrollen i kundfakturaprocessen som bristfällig. Detta främst på grund av de många sätt som existerar för att delge fakturaunderlag inom processen vilket ökar risken för utebliven eller felaktig fakturering. Vidare finns ej något samlat grepp kring intern kontroll då kontrollbeskrivningar saknas och vissa kritiska kontroller ej är implementerade. Kontroller som unika kundnummer, förändringar i kundregistret samt hantering av känslig information, finns ej på plats. Vi anser dock att den inneboende risken i processen är låg. Behörigheter Vår bedömning är att den interna kontrollen inom processen för behörighetsadministration är bristfällig. Detta baseras på avsaknaden av en dokumenterad process med kontrollbeskrivningar samt att samt att formella kontroller för godkännande av samtliga behörigheter innan tilldelning, borttag, periodisk genomgång, övervakning av användares aktiviteter samt övervakning av processen ej är implementerade. Förändringar av Raindance Vi gör bedömningen att den interna kontrollen systemförändringsprocessen är bristfällig. Detta baseras på att processen och kontrollerna ej är dokumenterade samt att formella kontroller för godkännande av förändring, testning mot kravspecifikation, godkännande av testresultat samt övervakning av förändringar ej finns på plats. 2 av 38

Rekommendationer Följande prioriterade rekommendationer anser Ernst & Young vara de mest angelägna att åtgärda. En komplett lista över iakttagelser och rekommendationer finns i kapitel 4. Samtliga processer som omfattas av denna granskning bör dokumenteras så att även kontrollbeskrivningar inkluderas. Kontrollbeskrivningarna bör innehålla information om varför kontrollen ska genomföras, vem som ska genomföra den, när den skall genomföras, hur den skall genomföras samt hur genomförandet ska dokumenteras Raindance bör snarast konfigureras så att en och samma person inte kan vara kontrollant och attestant av leverantörsfakturor. Vi anser också att denna konfigurationsmöjlighet bör tas bort i framtida uppdatering av Raindance. VGR dokumenterar processen för programförändringar eller använder sig av en branschstandard baserad på ITIL, CobiT, ISO-IEC/27000 eller liknande. Behörigheter bör baseras på respektive arbetsuppgifter och tilldelas specifikt per förvaltning. Koppling till VGR ID bör snarast göras tvingande i samband upplägg av nya behörigheter. 3 av 38

Innehållsförteckning 1 Inledning... 5 1.1 Syfte... 5 1.2 Metod... 5 1.3 Avgränsningar... 6 2 Iakttagelser... 7 2.1 Leverantörsfakturor... 7 2.1.1 Avgränsningar...7 2.1.2 Roller och organisationer...7 2.1.3 Processbeskrivning...7 2.1.4 Varianter av processen... 10 2.1.5 Dokumentation... 10 2.1.6 Kontrollmiljö... 11 2.2 Kundfakturor... 15 2.2.1 Avgränsningar... 15 2.2.2 Roller och organisationer... 15 2.2.3 Processbeskrivning... 16 2.2.4 Varianter av processen... 17 2.2.5 Dokumentation... 17 2.2.6 Kontrollmiljö... 18 2.3 Behörighetsadministration... 20 2.3.1 Avgränsningar... 20 2.3.2 Roller och organisationer... 20 2.3.3 Processbeskrivning... 20 2.3.4 Dokumentation... 23 2.3.5 Identifierade kontroller... 23 2.4 Systemförändringar... 25 2.4.1 Avgränsningar... 25 2.4.2 Roller och organisationer... 25 2.4.3 Processbeskrivning... 25 2.4.4 Dokumentation... 26 2.4.5 Kontrollmiljö... 26 3 Slutsatser... 28 3.1 Leverantörsfakturor... 28 3.2 Kundfakturor... 28 3.3 Behörighetsadministration... 29 3.4 Systemförändringar... 29 4 Rekommendationer... 31 4 av 38

1 Inledning 1.1 Syfte Ernst & Young har fått i uppdrag av Västra Götalandsregionens revisorer att granska ekonomisystemet Raindance. Granskningen har följande syften: Värdera graden av intern kontroll i Raindance mot normativa kontroller i processerna för leverantörs- och kundfakturor, samt verifiera kontrollerna med tester Värdera graden av intern kontroll avseende systemförvaltning för Raindance med fokus på generella IT-kontroller, det vill säga hantering av åtkomsträttigheter och programändringar. Granskningen har genomförts under mars och april 2011 av Marcus Hansson och Jonas Edberg, samt kvalitetssäkrats av Harald Carlsson. 1.2 Metod Uppdraget har genomförts i följande steg: 1. Respondenter fastslogs och granskningsprogram togs fram. 2. Intervjuer och tester genomfördes. 3. Baserat på dokumentgenomgångar, intervjuer och särskilda analyser skrevs ett rapportutkast. 4. Rapportutkastet kvalitetssäkrades intern på Ernst & Young samt av revisionsenheten. 5. Rapport skickades ut till respondenterna för faktagranskning. 6. Slutrapport togs fram. 7. Slutrapporten presenterades. 5 av 38

Informationsinsamling har genomförts genom intervjuer av medarbetare hos Regionkansliet, Regionservice samt Södra Älvsborgs Sjukhus (SÄS). Urvalet av intervjupersoner har gjorts av Ernst & Young tillsammans med revisionsenheten. Intervjuer har genomförts med: Biträdande ekonomidirektör och systemägare av Raindance, Regionkansliet. Central systemförvaltare, Regionkansliet. Central systemförvaltare, Regionservice. Processutvecklare, Regionservice Lokal systemförvaltare, Regionservice. Ekonomer (två stycken), Regionservice. Redovisningschef, SÄS. Ekonom, SÄS. Rapporten innehåller iakttagelser, slutsatser och rekommendationer. Kontrollernas design har utvärderats och vissa av dem har testats. Resultat av kontrollutvärderingar och tester presenteras i respektive kontrollmilljö-kapitel. 1.3 Avgränsningar Granskningen avser funktioner för leverantörs- och kundfakturor i Raindance. Iakttagelser och analyser baseras på information som har inhämtats vid intervjuer och förelagd dokumentation. Tester har genomförts i testmiljö vid ett tillfälle. Inga tester med statistiskt säkerställt urval för att verifiera att kontroller är effektiva över tid har genomförts. Kontroller som bedömts ha ineffektiv design har som regel ej testats. Det kan finnas brister i Raindance som vi inte har identifierat. Ett begränsat antal förvaltningar och användare har intervjuats. 6 av 38

2 Iakttagelser 2.1 Leverantörsfakturor 2.1.1 Avgränsningar Processen börjar då någon gör ett inköp och avslutas då utbetalningsfil skickas till banken. 2.1.2 Roller och organisationer Följande roller arbetar i leverantörsfakturaprocessen: Beställare, person som beställer en vara/tjänst. Kontrollant, person som kontrollerar leverantörsfaktura, ofta samma person som beställaren. Attestant, person som attesterar leverantörsfaktura. Systemförvaltare, person som förvaltar systemet, vilket innebär support och administration. Ekonomiassist, person som skannar in fakturor på Regionservice. Ekonom, person som utanordnar fakturor. Vi har inte kunnat identifiera några roll- eller ansvarsbeskrivningar för rollerna ovan. Följande externa organisationer arbetar i leverantörsfakturaprocessen: Recall, skannar och bearbetar fakturor. Posten, skickar fakturor till VGR. 2.1.3 Processbeskrivning Beställning Det första som händer i processen är att en person på en förvaltning beställer en vara eller en tjänst. Beställning skall göras i enlighet med VGR:s inköpspolicy. Förvaltningar kan också ha specifika inköpspolicies för ett eller flera områden, exempelvis bemanning av läkare. Mottagning av faktura Leverantören skickar sedan en faktura till den externa partnern Recall. Recall skannar fakturan och kontrollerar automatisk att det är samma information som läses in som också finns på fakturan Två gånger per dag skickar Recall en fil med inlästa fakturor till VGR. Denna fil läses automatiskt in i Raindance. 7 av 38

Felrättning I samband med att fakturafilerna läses in i Raindance görs automatiska kontroller. Följande fel gör att en faktura får status oregistrerad: Bankkonto är registrerat istället för plus-/bankgiro. Kontonummer tillhör factoringbolag. Leverantören saknas i leverantörsregistret. Leverantören är inte från Sverige. Beställar-id är ett id som anger hur fakturan skall cirkulera till kontrollant och attestant. Om beställar-id:t saknas eller är felaktigt får fakturan status ocirkulerad. För att en leverantörsfaktura med status oregistrerad eller ocirkulerad skall gå vidare till attest måste den rättas. Detta görs av ekonomiassistenter på regionservice i fakturaportalen. Förslagskontering Vissa förvaltningar använder sig av förslagskontering. Detta innebär att ansvaret förslagskonteras automatiskt, samt att kontot förslagskonteras manuellt utifrån fakturatext. Förslagskontering av kontot görs av ekonomiassistent. Ansvaret för kontering ligger dock alltid på attestanten. Kontroll Utifrån beställar-id:t bestäms vilka personer som skall kontrollera och attestera fakturan. Kontrollanten, vanligtvis beställaren av tjänsten/varan, går in i fakturaportalen och gör mottagarkontroll av att VGR fått rätt vara, rätt antal och rätt pris. Kontrollanten kan välja att godkänna fakturan eller att inte godkänna den. Kontrollanten kan också kontera fakturan. Alla beställar-id:n är inte personliga och en del fakturor kan sakna denna information. På grund av detta görs en del manuell cirkulation. Attest Attestanten attesterar fakturan i fakturaportalen. Det finns en inbyggd kontroll i Raindance som gör att en faktura måste vara kontrollerad innan den kan attesteras. Vidare måste två olika personer vara kontrollant och attestant för att en faktura skall kunna bli utanordnad. Vi har dock vid testning identifierat att denna kontroll inte är effektiv för Sahlgrenska Universitetssjukhuset samt Angereds närsjukhus. Om en attestant inte attesterar sin faktura skickas e-post med påminnelse tre gånger per vecka. Om en faktura inte blivit attesterad fyra dagar innan betalningsdatum eskaleras den till överordnad för de personer har detta konfigurerat. Detta görs med hjälp av ett s.k. batchjobb som analyserar fakturor som ej attesterats och som eskalerar dem till en specifikt utsedd chef i enlighet med attestordning. Det finns en kontroll i systemet att samtliga attester har genomförts för de fakturor som kräver flera attestanter. Det finns en automatisk kontroll som gör att fakturor som ej attesterats ej kan gå vidare till utanordning. 8 av 38

Utbetalning Ekonomiservice ansvarar för utbetalning av leverantörsfakturor. En preliminär utbetalningsfil skapas varje natt för de fakturor som attesterats. En ekonom tar fram den preliminära utbetalningsfilen och kontrollerar alla leverantörsfakturor med belopp större än SEK 100 000, samt alla utbetalningar till privatpersoner som är större än SEK 10 000. Kontrollen består av att fakturan öppnas och att utbetalningsbeloppet jämförs med fakturabeloppet. Även leverantörens namn kontrolleras. Kontroll görs också av kreditfakturor som ej utnyttjas. Om en faktura bedöms som osäker ändras dess status till Ej med. Den kommer då inte att automatiskt gå vidare till aktuell utbetalning men däremot till nästa utbetalning. Om den inte är utredd eller korrigerad till nästa utbetalning måste dess status återigen manuellt ändras till Ej med. Ekonomen definitivsätter sedan utbetalningen och Raindance för automatiskt över filen till en filserver och en katalog som de centrala systemförvaltarna endast har läsrättigheter till. Det krävs inte två i förening för att genomföra en utbetalning. I samband med att filen skapas lägger Raindance på ett sigill, så kallad hashsumma, på filen. Detta sigill kontrolleras av banken i syfte att upptäcka i fall någon har manipulerat filen. När filen är skickad skrivs utbetalningsfilen ut, signeras av ekonom samt arkiveras i pärm. Avstämning När banken tagit emot utbetalningsfilen skickar de en bekräftelse med e-post till Regionservices redovisningsbrevlåda eller till specifik lokal ekonom. Ekonom stämmer av att det är samma belopp som skickats till banken som också finns med på kvittot från banken. Rättning När banken genomfört utbetalning skickas en fellista med e-post till Regionservice för de eventuella fakturor som avvisats. Orsaker till avvisning kan vara felaktig referens eller OCRnummer samt felaktigt plus- eller bankgironummer. Ekonomen utreder fakturan och ändrar status på fakturan till Definitiv. Sekretessbelagda fakturor En del leverantörsfakturor kan vara sekretessbelagda och innehålla känslig information som vårduppdrag och personuppgifter. Sådana fakturor markeras med sekretess av första personen i cirkuleringen. Sekretessmarkering innebär att endast systemförvaltare samt de personer som skall kontrollera och attestera fakturan kan se fakturatexten. Även systemförvaltare kan ändra sekretessmarkering. Leverantörsregister VGR använder sig av ett gemensamt leverantörsregister där alla regionens leverantörer finns registrerade. Det går ej att registrera en faktura om inte leverantören finns upplagd i registret.. Administration av registret görs centralt av ekonomer. Om en beställare vill lägga till en leverantör skickas ett e-post till en speciell e-postadress. Ekonomerna går igenom dessa och kontrollerar om F-skattebevis finns samt att organisationsnummer är korrekt. De kontrollerar också att det inte skapas dubbletter i registret. Endast handläggare i fakturacentralerna kan beställa upplägg av en ny leverantör. 9 av 38

Behörigheten gemensamma register används för leverantörsregistret. Vi har vid testning identifierat att följande personer har tillgång till leverantörsregistret: Sju ekonomer. Tre centrala systemförvaltare. Fyra lokala systemförvaltare. 13 konsulter från Logica. Två konsulter från Volvo IT. Ett systemkonto. Ett testkonto i produktionsmiljö. 2.1.4 Varianter av processen Ungefär en procent av alla fakturor är manuella och skannas således inte av Recall utan av förvaltningarna. Sådana fakturor kan till exempel uppstå när läkare åker till konferenser och vill betala mot faktura. Sahlgrenska universitetssjukhuset scannar sina egna fakturor. Interna leverantörsfakturor, relaterade till lokalbokning, bilhyra, mat och dryck kommer till Raindance som pappersfakturor eller på fil från olika bokningssystem. Depåfakturor, dvs. automatiska månatliga fakturor som hyror, kommer till Raindance från försystemet Jeeves. RIA-fakturor, fakturor från andra landsting till följd av att vårdtagare fått vård utanför sitt vanliga landsting, skickas som pappersfakturor och registreras av regionservice. 2.1.5 Dokumentation Vi har noterat att det finns processdokumentation från 2010 som beskriver olika variationer av leverantörsfakturaprocessen. Processdokumentationen innehåller dock inga kontrollbeskrivningar utan beskriver flöden, aktiviteter, roller och system. Vidare finns i ekonomihandboken dokumentet Anvisning hantering av externa leverantörsfakturor (2010-12-20). Detta dokument beskriver hur leverantörsfakturor skall hanteras samt ett antal kontroller, men ger också utrymme för lokala tillämpningar. Ekonomiservice har tagit fram dokumentation som beskriver hur utbetalningar skall gå till. Denna dokumentation beskriver översiktligt hur kontroller skall gå till. Dokumenten är ett utkast. 10 av 38

2.1.6 Kontrollmiljö # Kontrollbeskrivning Utvärd. Test 1. Kontroll: Inköp görs i enlighet med inköpspolicy. Kontrollen är ej dokumenterad. Automatisk kontroll, exempelvis med hjälp av inköpssystem saknas. Manuell kontroll kan göras vid attestering. Beställare och attestant. 2. Kontroll: Fakturor innehåller fullständig information. Vid inläsning kontrollerar Raindance beställar-id, kontonummer samt om leverantören finns med i leverantörsregistret. Ekonomer går igenom ofullständiga fakturor och rättar dem. Raindance stoppar ofullständiga fakturor från att gå vidare till attest. Ansvariga: Raindance, ekonomer. 3. Kontroll: Fakturor kontrolleras av beställare innan de betalas. Givet beställar-id cirkuleras fakturor till kontrollant och attestant. Kontrollant kontrollerar att faktura motsvarar beställning och leverans, samt godkänner fakturan i Raindance. Raindance hindrar faktura från att gå till utbetalning om kontroll ej har skett. Ansvariga: Kontrollant, Raindance. 4. Kontroll: Fakturor attesteras av ansvarig person innan de betalas. Givet beställar-id cirkuleras fakturor automatiskt till ansvarig kontrollant och attestant. Attestant kontrollerar faktura och kontering, samt attesterar fakturan. Raindance hindrar faktura från att gå till utbetalning om attest ej har skett. Ansvariga: Attestant, Raindance. 5. Kontroll: En och samma person kan inte kontrollera och attestera en faktura. Raindance kontrollerar att olika personer har kontrollerat och attesterat fakturan innan den går vidare till utbetalning. Ansvariga: Attestant, Raindance. Ej testad. för SU och Angereds närsjukhus 11 av 38

# Kontrollbeskrivning Utvärd. Test 6. Kontroll: Ej attesterade fakturor följs upp. Attestanter får påminnelser om fakturor som ej attesterats var tredje dag. Raindance övervakar och eskalerar fakturor som ej attesterats och där förfallodatum närmar sig. Detta måste dock konfigureras för respektive person. Ansvariga: Raindance. 7. Kontroll: Fakturor med höga belopp granskas innan utbetalning. Leverantörsfakturor med högre belopp än SEK 100 000 och utbetalningar till privatpersoner med högre belopp än SEK 10 000 granskas av ekonom. Ansvariga: Ekonom. 8. Kontroll: Outnyttjade kreditfakturor kontrolleras innan betalning av leverantörsfaktura. Kontroll görs av Raindance innan utbetalning. Ansvariga: Okänd. 9. Kontroll: Två i förening genomför utbetalning. Endast en person genomför utbetalning. Denna person kan dock inte skapa utbetalningar utan endast markera transaktioner som inte skall skickas till utbetalning. Ansvariga: Ekonom. 10. Kontroll: Utbetalningsfil är förändringsskyddad. Utbetalningsfilen skyddas av sigill som kontrolleras av banken. Ansvariga: Raindance, banken. 11. Kontroll: Avvisade fakturor utreds och rättas. Avvisade fakturor, som fakturor med felaktiga OCRnummer, plus- eller bankgironummer, utreds av ekonom. Ansvariga: Ekonom. för personer med konfigurationen Hantera inkorg. för personer med konfigurationen Hantera inkorg. 12 av 38

# Kontrollbeskrivning Utvärd. Test 12. Kontroll: Banken betalar ut det belopp som signerats av VGR. Banken skickar kvitto på mottagen betalningsfil. Ekonom stämmer av kvittot mot betalningsjournal. Ansvariga: Ekonom. 13. Kontroll: Fakturor med känslig fakturatext kan bara läsas av behöriga personer. Första personen på cirkulationslistan sekretessbelägger fakturor. Denna person bestämmer vilka som skall få se fakturan. Ansvariga: Första personen på cirkulationslistan, Raindance. 14. Kontroll: Alla förändringar av leverantörsregister är godkända innan de registreras. Endast handläggare i fakturacentralerna kan beställa upplägg av nya leverantörer. Det är dock ingen som kontrollerar om leverantören är korrekt. Ansvariga: Kontrollen saknas. 15. Kontroll: All registrerade förändringar av leverantörsregistret kontrolleras av ansvarig person. Ekonom kontrollerar F-skattebevis och dubbletter i samband med förändring. Övervakning av förändringar görs ej. Ansvariga: Ekonom. 16. Kontroll: Alla ändringar i leverantörsregistret loggas och det skall framgå vem som gjort förändringen, värde innan och efter, när den gjordes. Det framgår vem som är beställare. Ändringar samt nyregistreringar loggas. Ansvariga: Raindance. Ej testad 13 av 38

# Kontrollbeskrivning Utvärd. Test 17. Kontroll: Fakturahändelser loggas och skyddas mot obehörig åtkomst samt sparas i enlighet med lag- och verksamhetskrav. Fakturahändelser loggas och loggarna kan granskas i fakturaportalen. Aktiviteter som loggas är ankomstregistrering, cirkulerat till, godkännande, strukit från cirkulation, attestering, avattestering, definitivsättning av faktura, påminnelse skickad samt ändring av information. Ansvariga: Raindance. 18. Kontroll: Det finns inmatningskontroller i leverantörsregistret för att säkerställa fullständighet vid registrering samt förhindra multipla registreringar. Det finns inmatningskontroller för namn, organisationsnummer, kontonummer samt adress. Ansvariga: Raindance. 19. Kontroll: Oförenliga roller skall ej innehas av en och samma person. I blankett för behörigheter finns text om att behörigheterna UBB (utbetalningar) och GEM (gemensamma register, som leverantörsregister) ej skall kombineras. Behörighetsadministratör skall också kontrollera detta vid nyupplägg. Vid testning framkom det att 24 personer både kan administrera leverantörer samt genomföra utbetalningar. Ansvariga: Behörighetsadministratör. 20. Kontroll: Fakturor får unika löpnummer. Fakturor får automatiskt ett löpnummer. Två fakturor kan inte ha samma löpnummer. Löpnummerserien är obruten. Ansvariga: Raindance. 14 av 38

Identifierade styrkor: Viss process- och kontrolldokumentation finns. Det görs fullständighetskontroll av fakturor. Fakturor måste kontrolleras och attesteras innan de betalas. Det finns kontroll av att en och samma person inte kan kontrollera och attestera samma faktura. Det finns kontroller för påminnelse. För vissa personer sker eskalering av ej attesterade fakturor. Fakturor med höga belopp granskas innan utbetalning. Av banken avvisade fakturor utreds och rättas. VGR stämmer av utbetalat belopp mot det belopp som skickats till banken. Det finns kontroller för att skydda känslig information på fakturor. Ändringar i leverantörsregistret loggas. Det finns inmatningskontroller i leverantörsregistret för att säkerställa fullständighet. Kontroll av att outnyttjade kreditfakturor kontrolleras innan betalning av leverantörsfaktura görs av Raindance. Fakturahändelser loggas. Utbetalningsfilen är förändringsskyddad. Identifierade svagheter: Kontrollbeskrivningar är ej fullständiga. Kontroll av att inköp görs i enlighet med inköpspolicy har ej identifierats. För två förvaltningar saknas kontroll av att kontrollant och attestant är två olika personer. Det krävs inget godkännande för att göra en förändring i leverantörsregistret. Det sker ingen övervakning av förändringar i leverantörsregistret. 24 personer kan både administrera leverantörsregistret samt verkställa utbetalningar. 2.2 Kundfakturor 2.2.1 Avgränsningar Processen börjar med att administratörer på Ekonomiservice erhåller fakturaunderlag och avslutas med att kundfakturor skickas vidare till Posten eller till VGR:s process för interna fakturor. 2.2.2 Roller och organisationer Följande roller arbetar i kundfakturaprocessen: Ekonom, person på Ekonomiservice som hanterar kundfakturor. Kontrollant, person som vid behov kontrollerar kundfaktura, ofta någon ute på en lokal förvaltning. Systemförvaltare, person som förvaltar systemet, vilket innebär uppgifter som support och administration. Vi har inte kunnat identifiera några roll- eller ansvarsbeskrivningar för rollerna ovan. 15 av 38

Följande externa organisationer arbetar i kundfakturaprocessen: Posten, skickar fakturor till kunder. Visma, skickar ut betalningspåminnelser. 2.2.3 Processbeskrivning Mottagning av fakturaunderlag Det första som händer i processen är att fakturaunderlag från en förvaltning inkommer till Ekonomiservice. Fakturaunderlag kan inkomma på följande nio sätt: Via internpost. Via fax. Via e-post. Via Post it-lappar. Muntligt. Via Excel-ark. Fakturaunderlag via mall hämtas av ekonom. Fakturaunderlag via mall lämnas av person från verksamhet. Via fil från försystem. Kopplat till processen finns ett tiotal olika försystem som lämnar fakturaunderlag via fil. Följande fem är de vanligast förekommande: Jeeves Fleas Sesam Caps Lock Sambo Filer från försystemet överförs till en gemensam server från vilken ekonomisystemet läser via automatiska batchjobb. Någon central mall för att delge fakturaunderlag manuellt finns ej. Det förekommer att lokala förvaltningar tar fram egna mallar för detta ändamål, vilka skickas via e-post. Granskning och sortering Ekonomer på Ekonomiservice granskar det fakturaunderlag som inkommer. Vid felaktigheter, så som utestående information, återkopplas till respektive förvaltning eller kontaktperson för försystemet och felaktigt underlag rättas. Inom regionen finns dels ett gemensamt kundregister för internfakturor samt ett flertal lokala. Detta medför att vissa kunder har flera olika kundnummer kopplade till sig. Korrekt underlag sorteras in i interna respektive externa fakturor. De externa fakturorna definitivsätts sedan, vilket innebär att de inte kan ändras eller makuleras medan de interna fakturorna fortfarande har status preliminära. Statusen preliminär innebär att en faktura kan ändras 16 av 38

och makuleras samma dag som den skrivs fram till och med nattkörningen. Både interna och externa fakturor bokförs i ekonomisystemet. Den interna fakturan kan ändras under samma dag den skrivs, sedan går den med i nattens körning till leverantören nästa dag. Utskrift Under nattid går ett automatiskt batchjobb som söker upp samtliga bokförda interna fakturor. Dessa skickas sedan vidare till respektive verksamhet som en leverantörsfaktura och behandlas i VGR:s process för interna fakturor. I det fall bilagor förekommer skickas dessa via Posten eller e- post. Externa fakturor som är registrerade i ekonomisystemet kan skapas på följande sätt, beroende på vem som skall ta emot fakturan: E-brev E-faktura Utskrift på papper E-brev skickas till Posten för distribution till kund medan e-faktura skickas elektroniskt direkt till kund. I det fall e-fakturor skall kompletteras med bilaga skickas dessa utskrivna på papper. Samtliga utskrifter på papper kuverteras av ekonomiservice och skickas till Posten. Betalningspåminnelse och inkasso Betalningspåminnelser hanteras via den externa leverantören Visma. Ekonomer som sitter lokalt i verksamheterna skapar betalningspåminnelser efter underlag i ekonomisystemet. Underlaget skrivs ut eller skapas som en fil, dessa skickas sedan via Visma till kunden. Om kunden inte betalar hör Visma av sig till VGR och i samråd bestäms om Kronofogdemyndigheten skall kontaktas. Sekretessbelagda fakturor Kundfakturaunderlag och kundfakturor kan innehålla känslig information så som vårduppdrag och personuppgifter. I de fall fakturan kommer från interna försystem läses den in automatiskt medan övriga interna fakturor och externa fakturor hanteras manuellt. Vi har ej kunnat identifiera någon rutin för att hantera sekretessbelagda fakturor. Loggning Vi har ej kunnat verifiera att loggning sker i samband med hanteringen av kundfakturor. 2.2.4 Varianter av processen Delar av processen för att hantera kundfakturor ligger lokalt och variationer förekommer i hur fakturaunderlag framställs. Totalt inom processen finns ett tiotal olika försystem och nio olika sätt att manuellt delge fakturaunderlag vilka används i skiftande omfattning. Hanteringen av sekretessbelagda fakturor kan skilja sig åt mellan verksamheterna. 2.2.5 Dokumentation Det finns framtagen processdokumentation över kundfakturaprocessen som beskriver delar av de olika variationer av som förekommer. Processdokumentationen innehåller dock inga kontrollbeskrivningar utan beskriver flöden, aktiviteter, roller och system. 17 av 38

I ekonomihandboken återfinns även dokumentet Kundreskontra (2010-12-20). Detta dokument beskriver kortfattat ett fåtal kontroller i kundfakturaprocessen. 2.2.6 Kontrollmiljö # Kontrollbeskrivning Utvärd. Test 1. Kontroll: Förändringar av kundregister godkänns av ansvarig person. Rutinerna för förändring av kundregistret skiljer sig mellan de olika förvaltningarna, loggning är ej aktiverat. Vi har ej kunnat verifiera någon rutin för godkännande. Ekonom. 2. Kontroll: Kunduppgifter är korrekta och fullständiga. Det finns ett flertal parallella kundregister. Det förekommer att en och samma kund har flera kundnummer. Ekonom. 3. Kontroll: Stickprov av manuella fakturor. Vi har ej kunnat verifiera någon rutin för stickprov av manuella fakturor. Ekonom. 4. Kontroll: Analys av utestående kundfordringar görs periodvis. Nedskrivningar och värderegleringar görs i regel var sjätte månad. Ansvaret ligger lokalt och variationer kan förekomma. Enligt ekonomihandboken skall oreglerade fordringar äldre än ett år betraktas som osäkra och skrivas ned. Lokal ekonom. 5. Kontroll: Betalningspåminnelser skickas ut för försenade betalningar. Ansvaret att skicka ut betalningspåminnelser ligger lokalt och sköts via Visma. Kontrollen är ej dokumenterad. Lokal ekonom. Ej testad Ej testad då kontroll görs av Visma. 18 av 38

# Kontrollbeskrivning Utvärd. Test 6. Kontroll: Inkassorutiner finns. Detta hanteras av Visma, ansvaret ligger dock hos de lokala förvaltningarna. Lokal ekonom. 7. Kontroll: Hanteringen av kreditfakturor skall regleras i policy, ske i ordning, godkännas av chef, loggas och följas upp. Vi har ej kunnat identifiera någon rutin för kreditkontroller och kreditgränser inom processen för kundfakturor. Ekonom. 8. Kontroll: Fakturor hanteras i ordning och bokförs automatiskt på rätt kund. Samtliga kundfakturor erhåller ett löpnummer och behandlas i ordning. Ekonom. 9. Kontroll: Personuppgifter av känslig natur behandlas enligt gällande lagkrav. Vi har ej kunnat identifiera någon central rutin för hantering av sekretessbelagda fakturor. Ekonom. Ej testad då kontroll görs av Visma. Ej testad Ej testad Identifierade styrkor: Analys av utestående kundfordringar görs. Betalningspåminnelser skickas ut för försenade betalningar. Rutiner för inkassorutiner finns. Fel i fakturaunderlag korrigeras regelbundet. Kundfakturor hanteras i ordning. 19 av 38