Säkerhet och kontroll i löneutbetalningsprocessen - en uppföljande granskning

Relevanta dokument
Kalmar kommun Uppföljande granskning Granskning av lönehanteringen

Kundfordringar en uppföljande granskning

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Implementering av politiska beslut

Audit KPMG AB Antal sidor: 6

Granskning av Heroma säkerhet och kontroll

Granskning av löneutbetalningar

Grundläggande granskning Kostnämnden i Örnsköldsvik 2017 Revisionsrapport

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Kontroll av legitimation vid anställning av läkare och sjuksköterskor

Revisionsrapport Granskning av arvoden till förtroendevalda. Härnösand Kommun

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Landstingets ärende- och beslutsprocess - uppföljning

Granskning av löneprocessen svar på revisionsskrivelse från Huddinge kommuns revisorer

Granskning av den interna kontrollen avseende löner

Granskning av Samordningsförbundet i Kramfors Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Granskning av lönesystem

Granskning av behörigheter till journalsystemet

För ytterligare information angående granskningen hänvisas till rapporten.

Grundläggande granskning av samarbetsnämnd för löneservice

Uppföljande granskning av utbetalda ersättningar i Hälsovalet DECEMBER 2015

RIKTLINJER FÖR ANSTÄLLNING OCH AVVECKLING AV CHEFSPERSONER

Grundläggande granskning av Kostnämnden i Örnsköldsvik Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Granskning av intern styrning och kontroll vid Statens servicecenter

Byggnadsnämnden bilaga till revisionsrapporten Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Cura Individutveckling

Marks kommun - Granskning av intern kontroll i lönehanteringen

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Grundläggande granskning Kostnämnden i Örnsköldsvik 2018 Revisionsrapport

Landstingets ärende- och beslutsprocess

Svar på revisionsrapport Landstinget Blekinge granskning av löneprocess

Uppföljande granskning: Sjukfrånvaro och rehabilitering. Strömsunds kommun

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Granskning av Samordningsförbundet i Ånge Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Granskning av den interna kontrollen i lönehanteringen. Nynäshamns kommun

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Intern kontroll i faktura- och lönehantering

Intern kontroll i faktura- och lönehantering

Journalföring i specialistvården

Uppföljande granskning av landstingsstyrelsens kontroll över konstföremål

Arvoden och ersättningar till förtroendevalda

Olofströms kommun. Intern kontroll Granskning personalkostnader. Audit KPMG AB 9 mars 2011 Antal sidor: 7

Granskning av ersättning till förtroendevalda

Revisionsrapport. Landstinget i Jönköpings län. Löpande granskning av redovisning och administrativa system. - lönehantering

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Granskning av lönehantering

Sida PAJALA KOMMUN SAMMANTRÄDESPROTOKOLL 1(10) Sammanträdesdatum. Helen Johansson, personalkonsult, Paragrafer 1-8 Inga-Lill Ängsund

Granskning av landstingets regler och rutiner för attestering av leverantörsfakturor och löner

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Riskanalys och intern kontrollplan för Lönecentrum 2016

Säkerhet och intern kontroll i lönehanteringen

Granskning av glesbygdsmedicinskt centrum

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Journalföring i tandvården. Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Rapport Granskning av Personalsystemet Heroma

Kommunstyrelsen och nämnder har ett särskilt ansvar för intern kontroll enligt kommunallagen (kap 6:1, 6:7).

Revisionsrapport: Förebyggande arbete mot mutor och jäv

N v. För kdnnedom till: Kommunfullmäktiges presidium, kommundirektören, respektive sektorschef samt ekonomichefen.

Granskning av lönehantering

Riskanalys och intern kontrollplan för Lönecentrum

Projekt inom utvecklingsenheten

Uppföljning av tidigare granskning

Granskning av förmånsbilar

Revisionsrapport 2018 Genomförd på uppdrag av revisorerna Oktober Haparanda stad. Uppföljning granskning av placerade barn och unga

Revisionsrapport: Granskning av löner och ersättningar. Revisionen har genom KPMG genomfört en granskning av löner och ersättningar.

Göteborgs Stads bostads AB bilaga till revisionsrapporten Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Granskning av intern kontroll avseende betalningsrutiner

Stadsrevisionen i Örebro kommun Översiktlig granskning av intern kontroll

Granskning av bisysslor

Granskning av Samordningsförbundet i Örnsköldsvik Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Företagshälsovård. Revisionsrapport. Regionens revisorer Revisionskontoret

Rutiner för manuell schemaläggning

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

Ärende- och dokumenthantering

Granskning av utbetalningar

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Halmstads kommun. Revisionsrapport. Hemvårdsnämndens kvalitetsuppföljning

Beredning av beslutat investeringsutrymme

Intern kontroll i faktura- och lönehantering

Granskning av intern kontroll i redovisningsprocessen 2013

Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll

Granslming av Schema- och avvikelsehanteringen i lönesystemet

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Generella IT-kontroller uppföljning av granskning genomförd 2012

Uppföljning av intern kontroll, riskanalys och revision 2014

Granskning av intern kontroll i lönehanteringen

GOTLANDS KOMMUN. Uppföljning av granskning av lönerutiner i Personalsystemet IFS. Mats Renborn Viveca Karlsson

Revisionsrapport - Granskning av lönerutinerna

Uppföljning. Kultur- och fritidsnämnden

Granskning av landstingets hantering av personuppgifter

Utvecklingsplan för god och jämlik vård. Revisionspromemoria. LANDSTINGETS REVISORER Revisionskontoret

Granskning av intern kontroll i löneprocessen

Håbo kommuns förtroendevalda revisorer

Intern kontroll inom HR. Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Region Skåne. Granskning av personalrelaterade skulder Revisionsrapport. Offentlig sektor KPMG AB 30 december 2013 Antal sidor: 13

Uppföljande granskning av landstingets strategiska råd och grupper

Anvisningar anställning och huvudanställning vid Karolinska Institutet i Primula

Skellefteå City Airport AB

Transkript:

Säkerhet och kontroll i löneutbetalningsprocessen - en uppföljande granskning Revisionsrapport REGIONENS REVISORER

2018-03-14 17REV77 2(13) Sammanfattning Revisorernas granskning Heroma - säkerhet och kontroll (mars 2017) visade att det inte genomförts några riskanalyser i syfte att identifiera och bedöma väsentliga riskområden i lönehanteringen. Revisorerna bedömde att de rutiner och processer som ingår i landstingets system för löneutbetalningar inte var ändamålsenliga och att den interna kontrollen var otillräcklig. Revisorerna har utifrån sin riskanalys bedömt att det är angeläget att följa upp Regionstyrelsens åtgärder med anledning av granskningen. Syftet med granskningen är att bedöma om Regionstyrelsen vidtagit ändamålsenliga åtgärder för att utveckla säkerheten i löneutbetalningsprocessen. Utifrån vår uppföljande granskning bedömer vi att den genomförda processkartläggningen och riskanalysen har skapat förutsättningar att utveckla säkra och effektiva processer samt att väsentliga risker i löneutbetalningsprocessen därigenom kan reduceras. Granskningen visar att även övriga rekommendationer som lämnats i revisorernas tidigare granskning huvudsakligen har beaktats. Vi bedömer utifrån vår övergripande granskningsinsats att Regionstyrelsen har vidtagit ändamålsenliga åtgärder för att utveckla säkerheten i löneutbetalningsprocessen. I syfte att säkerställa att den interna kontrollen är tillräcklig i kommunallagens mening bör styrelsen se till att effekterna av de införda kontrollåtgärderna följs upp samt att riskanalysen uppdateras minst en gång per år. I rapporten lämnar vi också ett antal rekommendationer kring utveckling av riskanalysen och den interna kontrollen.

2018-03-14 17REV77 3(13) Innehållsförteckning 1 Bakgrund... 4 2 Syfte, revisionsfråga och avgränsning... 4 3 Revisionskriterier... 4 4 Metod... 4 5 Resultat av granskningen... 4 5.1 Processer och rutiner... 4 5.2 Riskanalys... 6 5.3 Tidrapporter... 7 5.4 Långtidsfrånvaro... 7 5.5 Ledighetsansökningar... 7 5.6 Kostnadsställen... 8 5.7 Lönetillägg... 8 5.8 Lönepåverkande grunddata... 9 5.9 Registrering av arbetstid... 9 5.10 Anställningsunderlag... 10 5.11 Begränsning av behörigheter... 11 5.12 Attestering av ändringar... 12 5.13 Felaktiga behörigheter... 12 6 Revisionell bedömning... 13

2018-03-14 17REV77 4(13) 1 Bakgrund Revisorernas granskning Heroma - säkerhet och kontroll (mars 2017) visade att det inte genomförts några riskanalyser i syfte att identifiera och bedöma väsentliga riskområden i lönehanteringen. Revisorerna bedömde att de rutiner och processer som ingår i landstingets system för löneutbetalningar inte var ändamålsenliga och att den interna kontrollen var otillräcklig. Revisorerna har utifrån sin riskanalys bedömt att det är angeläget att följa upp Regionstyrelsens åtgärder med anledning av granskningen. 2 Syfte, revisionsfråga och avgränsning Syftet med granskningen är att bedöma om Regionstyrelsen vidtagit ändamålsenliga åtgärder för att utveckla säkerheten i löneutbetalningsprocessen. Utifrån syftet ska följande revisionsfrågor besvaras: Har Regionstyrelsen genomfört och dokumenterat en riskanalys av löneutbetalningsprocessen? Har Regionstyrelsen beaktat de övriga rekommendationer som lämnats med anledning av granskningen Heroma säkerhet och kontroll? Uppdraget är avgränsat till att följa upp resultatet av revisorernas tidigare granskning på en övergripande nivå. 3 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser och bedömningar. Resultatet av granskningen kommenteras och bedöms med stöd av kommunallagen. 4 Metod Granskningsuppdraget utgår från de iakttagelser och rekommendationer som lämnats i revisorernas tidigare granskning Heroma - säkerhet och kontroll, avsnitt 4.1. Granskningen har genomförts med hjälp av dokumentstudier samt intervjuer med medarbetare vid Löneservice och Systemförvaltning Heroma inom Regionledningsförvaltningen. Revisionsrapporten har kvalitetssäkrats enligt gällande rutiner, vilket bl.a. innebär att ett utkast till rapport har överlämnats för saklighetskontroll till de intervjuade liksom HR-direktören och regiondirektören. 5 Resultat av granskningen Regionens revisorer överlämnande sin granskning till Regionstyrelsen den 1 mars 2017 med en begäran om ett skyndsamt svar. Regionstyrelsen fick en redogörelse för de initialt vidtagna åtgärderna vid sammanträdet den 28 mars och beslutade då att uppdra till regiondirektören att fortsätta det påbörjade omställningsarbetet. Arbetet återrapporterades till styrelsen i samband med sammanträdet den 31 augusti.

2018-03-14 17REV77 5(13) Vi hänvisar till rapporten för närmare information om tidigare iakttagelser, riskbedömningar och rekommendationer. 1 5.1 Processer och rutiner Har löneutbetalningsprocessen kartlagts och fastställts? Finns det fastställda rutiner för de olika aktiviteterna i processen? Under mars 2017 genomförde HR-avdelningen en kartläggning och riskanalys av anställningsprocessen, löneprocessen och pensionsprocessen. Två HR-strateger svarade för processledning och dokumentation, dessutom deltog systemförvaltare för Heroma, en HR-specialist inom arbetsrätt samt representanter för HR-närstöd och Löneservice. I arbetet ingick att: 1. Identifiera nuvarande processer samt deras olika delmoment 2. Göra en riskbedömning av varje delmoment 3. Utarbeta åtgärder för att kvalitetssäkra och standardisera processerna 4. Lyfta fram önskemål inför framtiden Vi har i granskningen tagit del av dokumentationen. Kartläggningen visade att det fanns ett behov av att standardisera och kvalitetssäkra processerna, bland annat genom att utveckla arbetssätt och rutiner. Utifrån analysen upprättades en aktivitetsplan med ansvarsfördelning och tidplan för de olika åtgärderna. I september 2017 fastställde HR-direktören ett styrdokument som på en övergripande nivå beskriver processen och ansvarsfördelningen mellan chef, medarbetare, Löneservice och HR-närstöd. 2 Styrdokumentet ska enligt anvisningarna kompletteras med interna rutiner och checklistor inom HR-närstöd och Löneservice. Vi har i övrigt noterat att det på regionens intranät sedan tidigare finns en lista med kommentarer till de olika frånvaroprocesserna och processerna för arbetsförändring i HR-systemet. Granskningen visar att löneutbetalningsprocessen har kartlagts och fastställts samt att ett regionövergripande styrdokument har fastställts. Vi har också tagit del av Löneservice interna rutiner. Vi bedömer att åtgärderna är ändamålsenliga. Se även kommentarer till avsnitt 5.2. 1 Diarienummer 16REV34, länk till rapporten (https://www.rvn.se/contentas- sets/35ebd2f2832144f4adf9c0b2250e8f05/2017-03-01-heroma/heroma---sakerhet-och-kontroll--- revisionsrapport.pdf) 2 Anställning, registrering och utbetalnings av lön, styrdokumentsnummer 284618

2018-03-14 17REV77 6(13) 5.2 Riskanalys Har en riskanalys genomförts av löneutbetalningsprocessen? Har analysen resultaterat i beslutade kontrollåtgärder? En riskanalys har genomförts av löneutbetalningsprocessen, som ett delmoment i processkartläggningen (se avsnitt 5.1). Riskanalysen inriktades enligt de intervjuade på att ringa in väsentliga risker och utvecklingsområden. Av dokumentationen framgår risker och föreslagna kontrollåtgärder. Exempel på kontrollåtgärder 3 är standardisering av processer, förtydligande av ansvarsfördelning, stöd till chefer, nya rutiner, blanketter och manualer, förändringar av systemstödet i Heroma samt införande av obligatoriska kontroller. En av de första åtgärderna som kommunicerades till regionens chefer var införande av en obligatorisk kontroll av utanordningslistan i Heroma från och med april 2017. Av regionens styrdokument Anställning, registrering och utbetalnings av lön framgår också att kontrollen av utanordningslistan är obligatorisk. Utanordningslistan skickas som ett ärende till respektive chef i HR-systemet för kontroll och digital signering. I kontrollen ingår enligt anvisningarna att göra en rimlighetsbedömning av utbetalda löner och ersättningar samt att reagera om något i övrigt är uppenbart fel, till exempel om någon som är föräldraledig får full lön. Om kontroll av utanordningslistan inte signeras skickar systemet en felsignal till närmaste chef. Det är även möjligt för Löneservice att göra en uppföljning av signeringar genom stickprov. Enligt de intervjuade går det inte att göra en löneutbetalning utan att uppgiften registreras i utanordningslistan. Kontroll av listan innebär därmed även ett skydd mot manipulering av utbetalningar. I de följande avsnitten redogör vi för våra iakttagelser kring åtgärder som är kopplade till de specifika risker som framkommit i revisorernas tidigare granskning. Granskningen visar att en riskanalys har genomförts av löneutbetalningsprocessen samt att analysen har resultaterat i beslutade kontrollåtgärder. Vi bedömer att åtgärderna är ändamålsenliga. Vi menar att den genomförda processkartläggning och riskanalysen skapat förutsättningar att utveckla säkra och effektiva processer samt att väsentliga risker i löneutbetalningsprocessen därigenom kan reduceras. Vi har också noterat att riskanalysen bekräftar iakttagelserna i den tidigare granskningen samt att den även lyfter fram andra risker och utvecklingsområden. Den enskilt viktigaste kontrollåtgärden är enligt vår mening den obligatoriska kontrollen av utanordningslistan. Vi rekommenderar därför att uppföljning av kontrollerna prioriteras, likaså behovet av eventuella stödåtgärder. 3 Vi utgår från en bred definition som innebär att kontrollåtgärder är alla åtgärder som vidtas för att reducera risker.

2018-03-14 17REV77 7(13) Vi bedömer att processkartläggningen kan utvecklas ytterligare genom att öka detaljgraden till den nivå som finns beskriven i dokumentet Processer i Heroma på intranätet. Det skapar också föreutsättningar för en systematisk riskanalys och dokumentation av den totala riskbilden. Vi rekommenderar också att gruppen som genomför riskanalysen kompletteras med enhetschefer från olika verksamheter i regionen. Riskanalysen bör uppdateras minst en gång per år. 5.3 Tidrapporter Har omfattningen av felaktigt ifyllda tidrapporter för timanställda utretts närmare? Har beslut tagits om återbetalning av felaktiga löner? Har beslut tagits om åtgärder för att reducera fortsatt risk? Från och med april 2017 infördes en ny blankett för de timanställdas tidrapportering. Om fältet för rast inte fylls i görs numera ett automatiskt avdrag för 60 minuter rast. Under övergångsperioden (från november 2016 då problemet upptäcktes fram till april 2017) kontaktade Löneservice berörda chefer och gjorde korrigeringar innan löneutbetalning. Efter juridiskt samråd bedömdes möjligheten att kräva tillbaka tidigare felaktigt utbetalda löner var liten. Främst beroende på att berörda chefer attesterat tidrapporterna och att de anställda kan anses mottagit lönen i god tro. 4 Av samma anledning utfördes inte heller en närmare utredning av den totala omfattningen. Granskningen visar att beslut har tagits om åtgärder för att reducera fortsatt risk för att tidrapporter fylls i felaktigt. Vi bedömer att åtgärderna är ändamålsenliga. Regionen har också tagit ställning i frågan om hantering av tidigare eventuellt felaktigt utbetalda löner, det ingår inte i granskningen att värdera ställningstagandet. 5.4 Långtidsfrånvaro Har beslut tagits om åtgärder för att reducera risken för att felaktiga löner utbetalas i samband med långtidsfrånvaro? Enligt de intervjuade är det lätt för cheferna att genom kontroll av utanordningslistan upptäcka om en frånvarande medarbetare felaktigt får lön utbetalad. Införandet av obligatorisk kontroll av utanordningslistan bedöms därför vara en effektiv åtgärd (se avsnitt 5.2). Enligt de intervjuade stärks den interna kontrollen ytterligare avseende de medarbetare som registrerar sin arbetstid i webbportalen Kom och gå (se avsnitt 5.9). Granskningen visar att beslut har tagits om åtgärder för att reducera risken för att felaktiga löner utbetalas i samband med långtidsfrånvaro. Vi bedömer att åtgärderna är ändamålsenliga. 4 Återkrav av felaktigt utbetalda löner regleras i lagen om arbetsgivares kvittningsrätt, centrala kollektivavtal samt i regionens styrdokument Åtgärder och rutiner vid lönekorrigeringar (styrdokumentsnummer 197113).

2018-03-14 17REV77 8(13) 5.5 Ledighetsansökningar Har beslut tagits om åtgärder för att reducera risken för att ledighetsansökningar saknas eller registreras felaktigt efter exportering av scheman till lönesystemet? Regiondirektören beslutade 2017-03-21 att regionen succesivt ska övergå till att använda modulen Heroma schemaläggning istället för att importera scheman till lönesystemet från TimeCare. 5 Systemförvaltningen arbetar utifrån en genomförandeplan som innebär att arbetsplats för arbetsplats får utbildning och stöd i införandet av det nya schemaverktyget. Förändringen beräknas vara slutförd år 2020. Enligt de intervjuade upplever verksamheterna att schemaläggningen blivit enklare och smidigare med det nya systemet. Granskningen visar att beslut har tagits om åtgärder för att reducera risken för att ledighetsansökningar saknas eller registreras felaktigt på grund av schemahanteringen. Vi bedömer att åtgärderna är ändamålsenliga. 5.6 PA-team och kostnadsställen Har uppgifter om PA-team och kostnadsställen uppdaterats? Har beslut tagits om åtgärder för att reducera fortsatt risk för att uppgifter om PA-team och kostnadsställen är felaktiga? Anställningsprocessen har standardiserats och en ny blankett för anställningsunderlag har utarbetats. Enligt det nya styrdokumentet Anställning, registrering och utbetalning av lön ansvarar Löneservice för att kontrollera och registrera koppling till rätt PA-team vid nyanställningar (och vid förändring av anställningar). Enligt de intervjuade har tidigare felaktiga uppgifter rättats så långt det är möjligt. Den sista genomgången gjordes per den 1 januari 2018 då uppgifterna om kostnadsställen och PA-team för de anställda inom Regionledningsförvaltningen uppdaterades. Kvarvarande enstaka felaktiga uppgifter om PA-team rättas av Löneservice på begäran av berörda chefer. Genom utanordningslistan i HR-systemet kan cheferna följa upp att rätt personer är kopplade till sin enhet. Granskningen visar att uppgifter om PA-team och kostnadsställen har uppdaterats samt att beslut har tagits om åtgärder för att reducera fortsatt risk för felaktiga uppgifter. Vi bedömer att åtgärderna är ändamålsenliga. 5 Protokoll för Regionledningsgruppen, 2017-03-21

2018-03-14 17REV77 9(13) 5.7 Lönetillägg Har beslut tagits om åtgärder för att reducera risken för att lönetillägg utbetalas felaktigt? Regiondirektören beslutade 2017-03-21 att samtliga lönetillägg också ska registreras som lönetillägg, även gällande kompetenstrappan. 6 En ny rutin har utarbetats från och med april 2017, tillsammans med nya underlag för överenskommelse om kompetenstrappa. HR-närstöd har kartlagt tidigare ingångna överenskommelser tillsammans med specialistvårdsförvaltningen. Tidigare ingångna överenskommelser om ökning av grundlönen för kompetenstrappan har vid ny överenskommelse omvandlats till lönetillägg. Granskningen visar att beslut har tagits för att reducera risken för att lönetillägg utbetalas felaktigt. Lönetillägget för kompetenstrappan är nu kopplat till den aktuella tjänsten och följer inte med vid byte av tjänst. Vi bedömer att åtgärderna är ändamålsenliga. 5.8 Lönepåverkande grunddata Har beslut tagits om åtgärder för att reducera risken för att lönepåverkande grunddata manipuleras? Löneservice har infört en ny intern rutin från och med april 2017 för kontroll av manuellt registrerade lönepåverkande händelser inom enheten. Enhetschefen för Löneservice uppdrar varje månad till två nya löneadministratörer att granska registreringen av 50 slumpvis valda underlag. Kontrollen dokumenteras på en särskild blankett. Resultatet används även som ett underlag för gemensamma genomgångar inom enheten, som en del i det systematiska förbättringsarbetet. Ett exempel på förbättringsområden som uppmärksammats genom kontrollen är utbetalning av moms i samband med ersättning för de anställdas utlägg. De intervjuade inom Löneservice bedömer att de inte av tidsskäl har möjlighet att utöka egenkontrollen av manuella registreringar. De menar därför att chefernas kontroll av utanordningslistan (se avsnitt 5.2) är ett viktigt komplement. Granskningen visar att beslut har tagits åtgärder för att reducera risken för att lönepåverkande grunddata manipuleras. Vi bedömer att åtgärderna är ändamålsenliga. 6 Protokoll för Regionledningsgruppen, 2017-03-21

2018-03-14 17REV77 10(13) 5.9 Registrering av arbetstid Har beslut tagits om åtgärder för att reducera risken för att anställda inte registrerar sin arbetstid? Cirka 2 000 av regionens 6 500 anställda registrerar sin arbetstid i webbportalen Kom och gå. Om en avvikelse uppstår får den anställde en felsignal och en uppmaning att korrigera uppgiften. Om den anställde inte rättar uppgiften inom åtta dagar får berörd chef en felsignal i Heroma i form av en röd boll i vyn för de anställdas arbetstider. Av styrdokumentet Anställning, registrering och utbetalning av lön framgår att medarbetarna ansvarar för att korrigera avvikelser inom åtta dagar. Chefernas ansvar för att kontrollera och åtgärda felsignaler kring medarbetarnas arbetstid framgår inte. Löneservice har genomfört en konsekvensanalys för de situationer som uppstår när den anställde inte registreringar sin arbetstid, eller gör felaktiga registreringar. Löneservice har utarbetat en lathund som beskriver hur cheferna löpande kan rätta felaktiga och saknade registreringar. Löneservice lämnar också personlig support vid behov. Om felaktig lön utbetalats måste berörd chef kontakta Löneservice för korrigering. Löneservice har under 2016 och 2017 skickat påminnelser till samtliga chefer om att åtgärda felsignalerna. Vidare har särskilda brev med registerutdrag skickats till de chefer som har anställda med mer än fem felaktiga dagar. Löneservice har upprättat en intern rutin för slutlig genomgång och rättning av gamla felsignaler. Målet är att samtliga rättningar ska vara utförda senast den 28 februari 2018. Vid tiden för granskningen pågick det sista arbetet med specialistvårdsförvaltningen, övriga förvaltningar var klara. Riskanalysen (se avsnitt 5.2) visade att det även fanns ett behov av att renodla flextidsavtalen i regionen. Regiondirektören beslutade 2017-09-19 att arbetsgivaren ska teckna ett lokalt kollektivavtal gällande gemensam flextidsram och flextidssaldo för regionens verksamheter. Kollektivavtalet skulle om möjligt träda ikraft den 1 januari 2018. 7 Tidplanen för ett nytt kollektivavtal har förskjutits, enligt preliminära uppgifter kan ett nytt avtal tecknas och implementeras i Heroma tidigast under hösten 2018. Granskningen visar att beslut har tagits om åtgärder för att reducera risken för att anställda inte registrerar sin arbetstid. Vi bedömer att åtgärderna är ändamålsenliga. Vi rekommenderar att styrdokumentet Anställning, registrering och utbetalning av lön kompletteras med uppgifter om chefernas ansvar att kontrollera och åtgärda felsignaler kring medarbetarnas arbetstid. Kontrollen bör enligt vår mening vara obligatorisk, precis som kontrollen av utanordningslistan. 7 Protokoll för Regionledningsgruppen, 2017-09-19

2018-03-14 17REV77 11(13) 5.10 Anställningsunderlag Har beslut tagits om åtgärder för att kvalitetssäkra anställningsunderlagen? Processen och ansvarsfördelningen vid registrering av anställning i Heroma har förtydligats i styrdokumentet Anställning, registrering och utbetalning av lön (se även avsnitt 5.6). När en rekrytering är avslutad ansvarar anställande chef för att rapportera anställningen och överenskomna anställningsvillkor till Löneservice för registrering i HR-systemet. Det gäller både för nya medarbetare i regionen och vid förändring av anställningsvillkor för befintliga medarbetare. Rapporteringen ska ske via blanketten Anställningsunderlag. Ansvarig chef fyller i och undertecknar underlaget, skannar in det och skickar det vidare till Löneservice via IT självserviceportalen/lönefrågor Heroma. Lönehandläggare ansvarar därefter för att kontrollera och registrera person- och anställningsuppgifter i HR-systemet. Granskningen visar att beslut har tagits om åtgärder för att kvalitetssäkra anställningsunderlagen. Vi bedömer att åtgärderna är ändamålsenliga. 5.11 Begränsning av behörigheter Har möjligheten att begränsa löneadministratörernas behörighet utretts? Vilka åtgärder har beslutats? Det framgår inte av dokumentationen att området berördes vid kartläggningen och riskanalysen av anställnings- och löneprocesserna (se avsnitt 5.1 och 5.2). Frågan har enligt de intervjuade diskuterats internt inom HR-avdelningen. Enligt de intervjuade behöver löneadministratörerna ha oförändrade behörighetsnivåer för att kunna arbeta processinriktat och effektivt samt för att kunna ge service till regionens verksamheter utifrån kvalitetskraven. De intervjuade menar att säkerheten stärks genom efterkontroller (chefernas kontroll av utanordningslistan och egenkontrollen inom Löneservice) i kombination med att alla aktiviteter i systemet loggas. Det genomförs ingen systematisk uppföljning av loggarna idag, däremot kontrollerar löneadministrationerna tidigare registreringar i samband med supportärenden. Granskningen visar att löneadministratörernas behörighet inte har begränsats. Vi bedömer att övriga åtgärder är ändamålsenliga. I anslutning till våra rekommendationer i avsnitt 5.2 rekommenderar vi att kommande riskanalyser kompletteras med behörighetstilldelningen för medarbetare inom Löneservice, systemförvaltning och HR-närstöd.

2018-03-14 17REV77 12(13) 5.12 Attestering av ändringar Har beslut tagits om att ändringar i lönestyrande data ska attesteras? Det framgår inte av dokumentationen att området berördes vid kartläggningen och riskanalysen av anställnings- och löneprocesserna (se avsnitt 5.1 och 5.2). Frågan har enligt de intervjuade diskuterats internt inom HR-avdelningen. Enligt de intervjuade är det inte möjligt med nuvarande bemanning att införa ett attesteringsförfarande inom Löneservice då i princip all registrering är lönepåverkande. De intervjuade menar (likt föregående avsnitt) att säkerheten stärks genom efterkontroller. Granskningen visar att attestering av ändringar i lönestyrande data inte har införts inom Löneservice. Vi bedömer att övriga åtgärder är ändamålsenliga. 5.13 Felaktiga behörigheter Har beslut tagits om åtgärder för att reducera risken för felaktiga behörigheter i Heroma? Processen och ansvarsfördelningen för behörighetstilldelningen i Heroma har förtydligats i styrdokumentet Anställning, registrering och utbetalning av lön. Enligt styrdokumentet ska ansvarig chef beställa behörighet enligt de manualer och blanketter som finns på intranätet. Löneservice har dokumenterade interna rutiner för behörighetshanteringen. Behörigheter för chefer tidsbegränsas i likhet med chefsförordnandet. Granskningen visar att beslut har tagits om åtgärder för att reducera risken för felaktiga behörigheter i Heroma. Vi bedömer att åtgärderna är ändamålsenliga.

2018-03-14 17REV77 13(13) 6 Revisionell bedömning Vi bedömer att den genomförda processkartläggningen och riskanalysen har skapat förutsättningar att utveckla säkra och effektiva processer samt att väsentliga risker i löneutbetalningsprocessen därigenom kan reduceras. Granskningen visar att även övriga rekommendationer som lämnats i revisorernas tidigare granskning huvudsakligen har beaktats. Vi bedömer utifrån vår övergripande granskningsinsats att Regionstyrelsen har vidtagit ändamålsenliga åtgärder för att utveckla säkerheten i löneutbetalningsprocessen. I syfte att säkerställa att den interna kontrollen är tillräcklig i kommunallagens mening bör styrelsen se till att effekterna av de införda kontrollåtgärderna följs upp samt att riskanalysen uppdateras minst en gång per år. I rapporten lämnar vi också ett antal rekommendationer kring utveckling av riskanalysen och den interna kontrollen. Härnösand 2018-03-14 Certifierad kommunal revisor

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss