Region Skåne Granskning av den interna kontrollen i Regionstyrelsens* löneprocess Ola Larsmon, Ernst & Young AB Genomförd på uppdrag av Region Skånes revisorer Februari 2010 * Förvaltningen Regionstyrelsen inbegrep vid tidpunkten för granskningens utförande Region Skånes koncernledning, koncernkontor, förtroendemannaorganisation, utvecklingscentrum, centrum för livsstilsfrågor, näringslivsutveckling och Skåneförråd.
Innehållsförteckning SAMMANFATTNING... 3 1 INLEDNING... 4 1.1 Utgångspunkt... 4 1.2 Syfte... 4 1.3 Metod... 5 1.4 Avgränsning... 5 2 KONTROLLMILJÖ... 6 2.1 Organisation... 6 2.2 IT-miljö... 6 2.3 Processdokumentation... 7 3 PROCESSFLÖDE... 7 3.1 Förändring av grunddata... 7 3.2 Inrapportering av avvikelser... 9 3.3 Bearbetning av inrapporterad data...11 3.4 Framtagning av utdata...11 3.5 Analytisk uppföljning...12 4 SLUTSATS... 13 KÄLLFÖRTECKNING... 14 Bilaga 1 Bilaga 2 Stickprovstest mot stödjande dokumentation för identifierade kontroller Förslag på förbättringar
Sammanfattning Ernst & Young AB har fått i uppdrag av Region Skånes revisorer att granska förvaltningen Regionstyrelsens löneprocess. Förvaltningen, som fortsättningsvis i rapporten benämns Regionstyrelsen, har valts ut och inbegrep vid tidpunkten för granskningens utförande Region Skånes koncernledning, koncernkontor, förtroendemannaorganisation, utvecklingscentrum, centrum för livsstilsfrågor, näringslivsutveckling och Skåneförråd. Granskningens syfte är att bedöma om processen fungerar ändamålsenligt med gällande riktlinjer och med god intern kontroll, och bygger på genomgång med involverade lönehandläggare vid löneenheten på Regionkontor Väst, som administrerar Regionstyrelsens löneprocess. Granskningen avgränsas till löneprocessen, vilken inbegriper hantering av löner och reseräkningar för anställda och förtroendevalda vid Regionstyrelsen i Region Skåne. Utifrån samtal med löneenheten har granskningen lagts upp för att täcka in hanteringen av dels ersättningar till anställda som tidrapporterar elektroniskt och dels anställda och förtroendevalda som faller utanför det elektroniska systemet för tidrapportering. Upplägget säkerställer därmed att väsentliga, men inte samtliga, delar av löneprocessen täcks in. Granskningen är utförd i september 2009. Löneenheten på Regionkontor Väst ansvarar bland annat för Regionstyrelsens löneprocess, och har för detta ändamål fördelat arbetet på två lönehandläggare. Innan löneuppgifter inkommer till löneenheten för vidare bearbetning, har ett stort antal assistenter ute i verksamheterna hanterat bland annat tidrapportering och underlag för reseräkningar. I granskningen har processen från inrapportering till verkställighet och utbetalning genomgåtts, och ett antal kontroller och brister har identifierats för respektive moment i processen. En bedömning har också gjorts av den kontrollmiljö i form av organisation, IT-miljö och processdokumentation som omger löneprocessen. Slutprodukten av granskningen är en sammanfattning av identifierade moment, risker, kontrollmoment och förslag på förbättringar. Den samlade bedömningen från utförd granskning är att löneenheten arbetar aktivt med att säkerställa att löneprocessen fungerar ändamålsenligt och att det föreligger tillfredsställande intern kontroll. Granskningen har inte påträffat några oegentligheter eller felaktiga utbetalningar. De intern kontrollbrister som identifierats i vissa moment är inte av allvarligare karaktär. I rapporten framförs förslag på de åtgärder som granskningen påvisat att förvaltningen bör vidta för att ytterligare stärka den interna kontrollen. En förteckning över samtliga förslag finns i bilaga 2. Bland de framförda förslagen har följande bedömts vara av större vikt: Ett viktigt delmål är att förändring av fast data kontrolleras. Då sådan förändring loggas av lönesystemet, uppstår en ypperlig möjlighet att via stickprovskontroller testa förändringar av fast data. I nuläget finns en kompletterande kontroll innebärande att chefer månadsprenumererar på lönedata för sin grupp. Förbättringspotential i attestering av underlag har noterats. En huvudregel borde vara att attesterat underlag i så liten utsträckning som möjligt skall hanteras manuellt efter att attesten skett. För att undvika eftersläpning i inrapportering bör möjligheten att i ökad utsträckning utnyttja självservice undersökas. Till exempel borde löneenheten vid varje tidpunkt kunna följa upp inrapporterad men ej attesterad tid. På löneenheten kan det förekomma att samma person kontrollerar flera steg i processen. Ökad arbetsfördelning skulle stärka den interna kontrollen. 3
1 Inledning 1.1 Utgångspunkt Enligt delårsrapport 2009 uppgick Region Skånes lönekostnader till 6 793 Mkr perioden januari augusti 2009. Ersättningar till anställda och förtroendevalda utgör således en stor kostnadspost i Region Skåne, och i årsbokslut och delårsbokslut görs väsentliga reservationer för till exempel semesterlöner och upparbetade men ej utbetalda ersättningar. Detta innebär att lönehanteringen utgör en väsentlig ekonomisk process i Region Skåne. För att säkerställa att korrekta utbetalningar sker, och att ekonomiska rapporter inte befästs med väsentliga fel, är det betydelsefullt att den interna kontrollen i organisationens väsentliga processer är god. Denna rapports utgångspunkt är att intern kontroll i enlighet med COSOmodellen 1, består av fem hörnstenar där kontrollmiljön utgör basen. Kontrollmiljön utgörs av den kultur som organisationen kommunicerar och verkar utifrån, och som med hjälp av bland annat policydokument, kompetens och målsättningar skapar disciplin och struktur för övriga hörnstenar. De övriga hörnstenarna utgörs av: Riskbedömning av vad som kan gå fel; kontrollaktiviteter som syftar till att förebygga, upptäcka och korrigera fel; system för informationsspridning och återrapportering av efterlevnad av organisationens policies och kontrollaktiviteter; samt uppföljning och övervakning för att säkerställa kvalitet i processen. För att processer skall fungera med god intern kontroll krävs att samtliga av de ovan beskrivna komponenterna samverkar. Varje process kan dessutom brytas ner i delmål som stödjer att de grundläggande kraven på de finansiella rapporterna uppfylls, de så kallade räkenskapspåståendena. Existens Fullständighet Värdering Presentation Förvaltning Endast ersättningar till anställda/förtroendevalda redovisas som sådana. Samtliga personer och samtliga ersättningar redovisas. Beräkningar av löner och ersättningar utförs rätt. Ersättningar är riktigt klassificerade och rubricerade, oförändrade redovisningsprinciper används och erforderliga upplysningar lämnas i årsredovisningen. Löneprocessen är i enlighet med ledningens intentioner. 1.2 Syfte Ernst & Young har fått i uppdrag av Region Skånes revisorer att granska den interna kontrollen i en utvald förvaltnings löneprocess. Regionstyrelsen har valts ut och inbegrep vid tidpunkten för granskningens utförande Region Skånes koncernledning, koncernkontor, förtroendemannaorganisation, utvecklingscentrum, centrum för livsstilsfrågor, näringslivsutveckling 1 The Committee of the Sponsoring Organizations of the Treadway Commission, vedertagen modell utvecklad 1992. För ytterligare information hänvisas till Testa den interna kontrollen, utgiven av FAR Förlag. 4
och Skåneförråd. Förvaltningen har cirka 700 anställda och cirka 600 förtroendevalda, och har förlagt sin löneprocess till löneenheten på Regionkontor Väst ( löneenheten ). Granskningens syfte är att bedöma om löneprocessen för de anställda och förtroendevalda i Regionstyrelsen ( löneprocessen ) fungerar ändamålsenligt med gällande riktlinjer och med god intern kontroll. Med utgångspunkt i granskningens syfte har följande frågeställningar formulerats: Vilka risker/brister finns i Regionstyrelsens löneprocess? Vilka kontrollmoment finns för att förhindra att fel inträffar? Fungerar kontrollmomenten effektivt och ändamålsenligt? 1.3 Metod Granskningens syfte förutsätter en förståelse för den kontrollmiljö som omger processen samt en kartläggning av processens flöde. Utifrån denna information kan risker/brister och kontroller identifieras och utvärderas. Granskningen bygger på genomgång med involverade lönehandläggare på löneenheten. Vidare har identifierade kontroller verifierats genom stickprovstestning mot stödjande dokumentation. Avrapportering av väsentliga iakttagelser och bedömningar sker i denna granskningsrapport. 1.4 Avgränsning Granskningen förlitar sig till stor men inte uteslutande del på information från uppgiftslämnare på löneenheten. Verifiering av identifierade kontroller har enbart skett på stickprovsbasis. Granskningen är begränsad till processen för hantering av löner och reseräkningar för anställda och förtroendevalda i Regionstyrelsen. Utifrån samtal med löneenheten har granskningen lagts upp för att täcka in väsentliga, men inte samtliga, delar av löneprocessen. Rutiner kring traktamenten, sociala avgifter och förmånsvärden har inte ingått i granskningen. Granskningen har huvudsakligen utförts i september 2009. 5
2 Kontrollmiljö Enligt COSO-modellen har kontrollmiljön en väsentlig betydelse i bedömningen av den interna kontrollen i en process. Kontrollmiljön har nedan kategoriserats i organisation, IT-miljö och processdokumentation. 2.1 Organisation Löneenheten på Regionkontor Väst ansvarar bland annat för Regionstyrelsens löneprocess, och har för detta ändamål fördelat arbetet på två lönehandläggare. Övriga lönehandläggare på löneenheten har ansvar för andra förvaltningar som arbetar på liknande vis. Innan löneuppgifter inkommer till löneenheten för vidare bearbetning, har ett stort antal assistenter ute i verksamheterna hanterat bland annat tidrapportering och underlag för reseräkningar. Dessa assistenter benämns nedan tidrapportörer. Löneenheten har två handläggare tillsatta för det praktiska arbetet med Regionstyrelsens löneprocess. Arbetsfördelningen bedöms ändamålsenlig och möjliggör överlappning vid behov. 2.2 IT-miljö Regionstyrelsens löneprocess administreras i lönesystemet Prima (nedan lönesystemet ). Helintegration till ekonomisystemet Raindance ( ekonomisystemet ) saknas, vilket innebär att filer måste exporteras från lönesystemet och importeras i ekonomisystemet. För tidrapportering används ett elektroniskt tidrapporteringssystem, så kallad självservice, för en majoritet av de anställda. De anställda stämplar arbetad tid, varefter manuell påläggning sker av tidrapportör (tidrapportörerna kan dock inte göra rättelser för sig själva). Det förekommer också att manuella blanketter är föremål för instansning i lönesystemet, bland annat vad gäller förtroendevalda. Löneenheten har i samband med granskningen presenterat en behörighetslista av vilken det framgår aktuella behörigheter i lönesystemet avseende ändringar som berör Regionstyrelsen. Lönesamordnaren och lönechefen har full behörighet, vilket bland annat inkluderar möjligheten att styra övriga behörigheter. Övriga personer såsom lönehandläggare, tidrapportörer och arbetsledare har olika behörighet beroende på kategori, t.ex. kan lönehandläggare ändra fast data såsom nyupplägg av anställd medan tidrapportörer ute i verksamheterna enbart har behörighet att lägga in tidrapportering för den grupp de ingår i. Listan får anses relativt omfattande eftersom arbetet är fördelat på ett stort antal personer med olika arbetsuppgifter och behörigheter. Löneenheten använder ett standardprogram för hantering av löneprocessen. Dock saknas helintegration med ekonomisystemet. Antalet IT-behörigheter är i dagsläget stort. Det är viktigt att regelbundet säkerställa aktualitet och nödvändighet av dessa behörigheter. I nuläget genomgås förteckningen en gång årligen, dock ej på stickprovsbasis eller dylikt löpande under året. 6
2.3 Processdokumentation Löneprocessen för Regionstyrelsen finns i nuläget inte dokumenterad i någon tillgänglig och förankrad processdokumentation, såsom en rutinbeskrivning eller ett reglemente. Lönehandläggarna arbetar efter egna checklistor och dylikt men det saknas samordning och översyn av dessa. Följaktligen saknas också en dokumenterad riskanalys som genomsyrar hela löneprocessen och tar sikte på risker och kontrollmoment. Löneenheten uppger dock att omfattande processgenomgångar skett i samband med att ett nytt lönesystem planerades 2008. Rutinerna gicks igenom med avseende på risker och svaga punkter, men projektet lades sedermera på is och uppfattningen är idag att löneenheten hittills inte fått någon praktisk användning av kartläggningarna. Även om personalomsättningen på löneenheten är ringa och kunskapsmässig överlappning kan ske, så bör det alltid finnas en aktuell dokumentation över löneprocessen. En sådan möjliggör inte enbart stöd i arbetet och enklare överlappning av arbetsmoment, utan främjar också effektivitetsförbättringar. I samband med vårt besök har vi bett om en aktuell intern kontrollrapport men har inte presenterats någon sådan. Enligt uppgift har tester och intern kontrollarbete utförts men dokumentation tycks inte finnas lättillgänglig. Det vore också positivt med dokumentation som stöd för enhetlig hantering av de tidrapportörer som förser löneenheten med tidrapporteringsuppgifter. I nuläget förekommer troligtvis en rad olika kontrollmoment och rutiner ute i verksamheterna. 3 Processflöde Varje moment i ett processflöde innebär risker att fel inträffar. Riskerna kan begränsas av goda kontrollmoment men också öka till följd av brister i processen. I kartläggningen nedan har löneprocessen i Regionstyrelsen brutits ner i ett antal moment och ett antal delmål för respektive moment har formulerats. Delmålen baseras på huvudmålet att räkenskapspåståendena 2 skall uppfyllas. I bedömningen av momenten presenteras identifierade brister, vilka kan innebära att delmål inte uppfylls och att det i förlängningen inträffar fel. De kontrollmoment som stickprovtestats i granskningen framgår av bilaga 1. En sammanfattning av identifierade moment, risker, kontrollmoment och förslag på förbättringar framgår av bilaga 2. 3.1 Förändring av grunddata Varje lönesystem har fast grunddata inlagd, som ligger konstant och utgör basen i lönekörningarna. Till grunddata hör bland annat namn, personnummer, sysselsättningsgrad och månadslön. De viktigaste delmålen är här att förändring av fast data kontrolleras och attesteras, 2 Existens, fullständighet, värdering, presentation och förvaltning. 7
att registrerade anställda/förtroendevalda är aktuella och att det föreligger begränsad åtkomst till personalregistren. Behörighetsspärrar i lönesystemet reglerar vilka lönehandläggare på löneenheten som kan ändra grunddata (se ovan). Ingen av personerna har behörighet att ändra sina egna uppgifter. Hur de viktigaste förändringarna sker framgår nedan. Nyregistrering eller ändring av tjänst eller förtroendemannaskap En nyanställd eller en ny förtroendevald måste registreras i lönesystemet. Nyregistreringen initieras efter det att löneenheten erhållit anställningsavtal attesterat av närmsta chef eller, beträffande förtroendevalda, underlag från nämnden. Anställningsavtalet erhålls från personalkontoret i Kristianstad, där personalakterna finns men där behörighet att genomföra nyregistrering i lönesystemet saknas. Underlaget för de förtroendevalda kan variera eftersom standardiserade mallar saknas. I samband med ny mandatperiod inkommer dock protokoll från fullmäktigemöte där aktuella förtroendevalda framgår och en helavstämning görs mot de som redan finns registrerade i lönesystemet. För detta ändamål används en sidoordnad Excel-lista över de förtroendevalda. Förtroendevalda med enbart rörlig ersättning läggs upp i lönesystemet utan någon ersättning som fast data, och läggs in för ett kalenderår i taget. Ändring av redan inlagd persons uppgifter genomförs efter att motsvarande underlag som vid nyregistrering erhållits. Allt underlag sparas och skall vara undertecknat av behörig person. Avslut av tjänst eller förtroendemannaskap Avslut av tjänst görs av löneenheten efter att avgångsrapport attesterad av närmsta chef inkommit från personalkontoret i Kristianstad. Förtroendevalda tas bort i samband med ny mandatperiod, då protokoll inkommer löneenheten i enlighet med ovan, eller då Regionstyrelsen meddelat att en förtroendevald skall avsluta sitt uppdrag. Avslut görs genom att avslutningsdatum läggs in i lönesystemet, varpå personen per automatik blir inaktiverad. I det fall personen är ansluten till självservice, skall manuellt avslut ske även i detta system. Ett viktigt undantag utgörs av vikariat, som i samband med upplägg registreras för en viss period. Månatligen får lönehandläggarna ut en lista ur lönesystemet som visar vikariat på väg att löpa ut och hämtar då in upplysning om huruvida vikariatet skall förlängas eller avslutas. Registrering av ny ersättning För anställda ligger i regel en månadslön inlagd som grunddata i lönesystemet. Förändring utifrån individuell eller kollektiv lönerevision genomförs av personalkontoret i Kristianstad, som arkiverar underlag från behörig chef och tankar in informationen i lönesystemet. Personalavdelningen har en manuell rutin innebärande att löneenheten tillsänds ett underlag till varje sådan övertankning. Löneenheten kontrollerar därefter underlaget mot det som lästs in i lönesystemet. Det kommer också per automatik en fellista till löneenheten i det fall systemet stött på hinder vid övertankningen. Förtroendevaldas fasta arvode, då tillämpligt, registreras i samband med ny mandatperiod eller i enlighet med underlag som inkommer från Regionstyrelsen under pågående mandatperiod. Arvodet baseras på ett grundbelopp, vilket be- 8
räknas en gång om året av löneenheten och läggs in i lönesystemet av systemadministratören. Fasta arvoden baseras sedan på detta grundbelopp. Förvaltningens personalregister finns inlagt i lönesystemet och skyddas av behörighetsspärrar. I enlighet med vad som redogjorts för ovan föranleds all ändring och nyregistrering i detta personalregister av ett underlag. Allt sådant underlag sparas i särskilda akter. Avsaknaden av standardiserade underlag för nyregistrering eller avslut av förtroendevalda under pågående mandatperiod innebär att det ställs höga krav på löneenheten att "följa utvecklingen". I nuläget rapporterar behöriga chefer lönehöjningar till personalkontoret, som läser in i lönesystemet via en tilläggsmodul och manuellt meddelar löneenheten. Den interna kontrollen hade ytterligare stärkts om löneenheten per automatik fick besked om hur lönesystemet uppdaterats. Lönehandläggarna har behörighet att ändra fast data utan att ändringarna dubbelkontrolleras eller attesteras. Eftersom underlag skall sparas i särskilda akter och samtliga ändringar loggas i systemet, finns dock möjligheten att i efterhand följa upp en viss ändring. I nuläget saknas någon sådan uppföljning av logglistor eller annan form av stickprovskontroll av ändringar i grunddata. 3.2 Inrapportering av avvikelser I det fall en anställd eller förtroendevald i Regionstyrelsen inte rapporterat in några avvikelser, görs utbetalning i enlighet med registrerad grunddata. Finns ingen ersättning registrerad som grunddata så görs inte heller någon utbetalning. De allra flesta anställda har en månadslön som grunddata, och avvikelser utgörs då av till exempel ledighet, övertid eller sjukdom. De viktigaste delmålen är här att samtliga tidrapporter och underlag för fast och rörlig ersättning kontrolleras och attesteras, att underlagen endast registreras en gång och att endast behöriga personer kan utföra registreringen. Inrapporteringsfasen i Regionstyrelsens löneprocess skiljer sig åt beroende på om den ersättningsberättigade har rapporterat elektroniskt i självservice eller på manuella blanketter. Elektronisk inrapportering Schemaläggning görs direkt i självservice, varefter den anställde stämplar in och ut och därmed tillgodoser att schemaavvikelser registreras. Respektive anställd har en ansvarig tidrapportör, som kontrollerar stämplad tid och begär in kompletterande underlag såsom ifylld och attesterad manuell blankett då stämpling uteblivit eller attest då övertid begärts utbetald. All attestering sker manuellt på blankett. Tidrapportören bär också ansvaret för att rätta eventuella felaktigheter i självservice, och för överläsning till lönesystemet då alla uppgifter registrerats. Löneenheten löneartregistrerar alla de avvikelser som tidrapportörerna läst över från självservice till lönesystemet. Undantaget utgörs av övertid, som redan är löneartregistrerat av tidrapportörerna. De allra flesta avvikelser löneartregistrerar löneenheten utan att underlag krävs in, eftersom tidrapportörerna bär ansvaret för kontrollen av underlag. 9
Manuell inrapportering I stort sett samliga anställda i Regionstyrelsen är anknutna till självservice. Det största undantaget utgörs av högre tjänstemän, timanställda och förtroendevalda. Dessa ersättningsberättigade rapporterar istället på manuella blanketter. o Högre tjänstemäns enda avvikelse från månadslön utgörs av ledighet. För ledighet finns särskilt underlag som skall vara attesterat av närmsta chef, och som kontrolleras mot attestlista och registreras i lönesystemet av löneenheten. o Timanställda fyller i en tjänstgöringsrapport vilken attesteras av närmsta chef och kontrolleras och registreras av löneenheten. o Förtroendevalda kan vara berättigade till rörlig ersättning i form av sammanträdesarvode, kilometerersättning, utlägg eller traktamente. Underlag utgörs av reseräkning, vilken sedan stansas in på rätt person i lönesystemet av löneenheten. Reseräkningen skall dessförinnan ha attesterats i enlighet med attestlista. Dock behöver inte protokoll eller dylikt bifogas för att verifiera närvaro. Registreringen i både självservice och lönesystemet är klockslagsbaserad vilket innebär att systemet inte kan registrera samma tidpunkt mer än en gång. Utöver de rörliga ersättningarna redogjorda för ovan kan förtroendevalda även vara berättigade till en tredje typ av rörlig ersättning, ersättning för förlorad arbetsförtjänst. De förtroendevalda som är berättigade till detta ansöker vid varje enskilt tillfälle på en särskild blankett, vilken undertecknas av den förtroendevalda själv, attesteras enligt attestlista och stansas in i lönesystemet av löneenheten. Vid instansning beräknar lönehandläggaren ersättningen utifrån den uppgift om inkomst som finns i en sidoordnad Excel-fil och som återspeglar underlaget i löneenhetens akter över förtroendevalda. Underlaget ifråga skall alltid finnas och är, i enlighet med ett förtydligande utskickat av kanslidirektören vid Regionkansliet 2008, intyg från arbetsgivaren samt styrkande underlag såsom lönebesked. I det fall den förtroendevalda är egen företagare skall verifierande underlag inkrävas i form av näringsbilaga. Likaså krävs verifierande underlag vad gäller arbetslösa som stämplar dagersättning eller föräldralediga som får ersättning från Försäkringskassan. Uppdatering av underlaget sker vid ingången av varje år eller i samband med att ändring inkommit. Reseräkningar inkommer löpande till löneenheten. Samtliga är upprättade på manuella blanketter och stansas således in i lönesystemet. Löneenhetens kontroller består i kontrollsummering samt avstämning av löneart, underlag och attest. För ersättningsberättigade som faller utanför självservice, eller för självserviceanknutna som t.ex. begär övertid utbetald, är manuellt underlag föremål för attest. Attesten sker först innan manuell instansning skett i lönesystemet eller självservice och instansningen i sig behöver inte attesteras. Enligt uppgift förekommer eftersläpning både i övertidsrapportering och reseräkningar trots att löneenheten kommunicerat ut vikten av regelbunden inrapportering. Sådan eftersläpning kan uppstå dels hos den anställde och dels hos tidrapportören. Löneenheten har i dagsläget inget systemmässigt stöd för att 10
fånga upp aktuell eftersläpning hos tidrapportörer, det vill säga tid som är inrapporterad men ej har attesterats och/eller lästs över till lönesystemet. I det fall tidrapportörerna missar deadline för periodens inrapportering, måste underlaget insändas till löneenheten manuellt för att kunna komma med i perioden. Sådan hantering innebär ökad manuell handläggning och bör därför undvikas. 3.3 Bearbetning av inrapporterad data Godkänd inrapportering överförs till lönesystemet fortlöpande under löneperioden antingen via självservice eller via manuell instansning i lönesystemet. Innan utbetalning är det av stor vikt att denna data analyseras. Delmålen med denna bearbetning är främst att felaktiga underlag rättas, och att systemgenererade signallistor tas ut och kontrolleras. Tidrapportörer förväntas ha god personalkännedom och är därför de som ålagts arbetet med att aktivt granska inrapporterad tid. Enligt uppgift får tidrapportörerna systemgenererade fellistor dagligen, vilka skall kontrolleras innan tömning av inrapporterade uppgifter görs till lönesystemet. Fellistorna baseras på hur de anställda stämplat i självservice. Löneenheten utför inga rutinmässiga kontroller löpande under månaden, utan först när perioden stängs tas fellistor ut från lönesystemet för uppföljning. Fellistorna ifråga visar bland annat höga eller negativa belopp, retroaktiva löneutbetalningar och förekomst av anställning i annan förvaltning. De kontroller som sedan utförs är till främsta del rimlighetsbedömningar och görs individuellt av varje lönehandläggare innan utbetalning sker. Både lönesystemet och självservice låses tre dagar innan lönekörningens avslut, vilket innebär att enbart löneenheten kan ändra inlagda uppgifter. Detta görs för att förhindra att uppgifter registreras så sent att löneenhetens testkörningar redan genomförts. Rutiner finns för kontroll av de fellistor som systemet tar fram. Dock signeras inte dessa och all detaljavstämning ligger på tidrapportörerna. Enligt uppgift sparas samtliga listor, vilket i den mån anteckningar finns möjliggör uppföljning i efterhand. Arbetet för bearbetning av inrapporterad data är på löneenheten fördelat på samma personer som i tidigare steg i processen. Det innebär att samma person i förekommande fall kan ha registrerat en anställd i lönesystemet, matat in tidrapportering i form av t.ex. övertidstimmar och sedermera gett klartecken för utbetalning. 3.4 Framtagning av utdata Efter att respektive lönehandläggare färdigställt sin bearbetning av månadens lönelistor, görs ett verkställande som låser lönesystemet för ytterligare ändringar i löneperioden. De viktigaste delmålen för framtagningen av utdata ur lönesystemet är att faktiskt registrerade uppgifter uppdaterar både lönesystem och huvudbok, att lönerna konteras på rätt konto och rätt kostnadsställe i rätt period, att arbetsfördelning finns mellan attest av ersättning respektive verkställande av utbetalning och att utbetalda löner stäms av mot attesterat underlag. 11
I samband med att verkställande har skett i systemet så genereras dels en fil till ekonomisystemet och dels en fil till banken. De båda filerna baseras på samma indata. Lönehandläggarna har efter denna tidpunkt ingen möjlighet att ändra periodens uppgifter i lönesystemet. Ekonomifil I samband med att ekonomifilen läses in i Raindance genereras per automatik en rapport. Rapporten åskådliggör eventuella fel vid överläsningen, och utgör därför en kontroll att lönesystemet och ekonomisystemet är synkroniserat det vill säga innehåller samma uppgifter. Enligt uppgift genereras denna rapport varje månad och följs upp manuellt. Bankfil Löneavdelningen skickar inte på egen hand filen till banken, utan detta sköts av Tieto Sweden AB. Filen skickas enligt uppgift krypterat via ett sigill. Därefter genomför banken utbetalningen. Löneutbetalningen belastar ett centralt bankkonto vilket stäms av utav Finansförvaltningen. I samband med att Finansförvaltningen gör avstämning sker reglering internt mellan förvaltningarna, vilket innebär att den utbetalning banken verkställt matchas mot beloppet i lönesystemet. Efter att perioden stängs ligger de flesta kontroller utanför Regionstyrelsen. Dock finns rutiner för att säkerställa att ekonomi- och bankfilen matchar de uppgifter som registrerats i lönesystemet. 3.5 Analytisk uppföljning I en löneprocess med god intern kontroll bör möjligheten finnas att i efterhand på ett effektivt vis kunna följa upp och analysera verkställda löner. Delmålet är här att kostnadsställeansvariga regelbundet får uppgifter om kostnadsställets lönekostnader. Verksamhetschefer kan, och skall, löpande prenumerera på olika listor vilka distribueras via e-mail månatligen och visar på individnivå bland annat gruppens löner, övertid, komptid och timanställda för perioden. Listorna är en export direkt ur lönesystemet och genereras efter periodstängning. Då varje verksamhetschef har eget kostnadsansvar ligger det i deras intresse att ta del av detta underlag. Det saknas kontrollmoment för att följa upp att samtliga verksamhetschefer är prenumeranter på lönerapporter eller att samtliga har öppnat rapporterna ifråga. 12
4 Slutsats Löneenheten använder ett ändamålsenligt IT-system och har en organisation för att säkerställa god intern kontroll i löneprocessen. Det finns dock en tydlig avsaknad på processdokumentation. Fördelarna är flera med en sådan, till exempel främjar den effektiviseringsförbättringar, möjliggör överlappning på löneenheten och tydliggör den interna kontrollen. Den skapar också insyn för personer i Region Skånes förvaltning som inte är direkt involverade i lönehanteringen, men som har intresse av att upprätthålla insyn i arbetet. Vi har också noterat att ett relativt stort antal IT-behörigheter finns knutna till Regionstyrelsens löneprocess och att de inte testas löpande under året, utan först då förteckningen uppdateras en gång årligen. Ur kartläggningen av löneprocessens flöde har ett antal brister och kontroller identifierats och lyfts fram. Listan på dessa skall på intet vis betraktas som fullständig, utan är snarare ett urval av de mest betydelsefulla bristerna och kontrollerna som uppmärksammats i granskningen. Utvärderingen har skett med utgångspunkt från ett antal delmål för respektive moment i processen, vilka i sin tur hänger samman med processens uppfyllande av räkenskapspåståendena. Den samlade bedömningen från utförd granskning är att förvaltningen aktivt arbetar med att säkerställa att löneprocessen fungerar ändamålsenligt och att det föreligger tillfredsställande intern kontroll. Granskningen har inte påträffat några oegentligheter eller felaktiga utbetalningar, och de intern kontrollbrister som identifierats är inte av allvarligare karaktär. Några av de framförda förbättringsförslagen är dock av större vikt. Ett viktigt delmål är att förändring av fast data kontrolleras. Då sådan förändring loggas av lönesystemet, uppstår en ypperlig möjlighet att via stickprovskontroller testa förändringar av fast data. I nuläget finns en kompletterande kontroll innebärande att chefer månadsprenumererar på lönedata för sin grupp. Förbättringspotential i attestering av underlag har noterats. En huvudregel borde vara att attesterat underlag i så liten utsträckning som möjligt skall hanteras manuellt efter att attesten skett. För att undvika eftersläpning i inrapportering bör möjligheten att i ökad utsträckning utnyttja självservice undersökas. Till exempel borde löneenheten vid varje tidpunkt kunna följa upp inrapporterad men ej attesterad tid. På löneenheten kan det förekomma att samma person kontrollerar flera steg i processen. Ökad arbetsfördelning skulle stärka den interna kontrollen. Malmö den 16 februari 2010 Ola Larsmon Revisor, Ernst & Young AB 13
Källförteckning Intervjuade tjänstemän Mikael Finnberg Lönechef Löneenheten, Regionkontor Väst Birgitta Hallberg Samordnare Löneenheten, Regionkontor Väst Christel Jönsson Lönehandläggare Löneenheten, Regionkontor Väst Annelie Savinainen Lönehandläggare Löneenheten, Regionkontor Väst Ulrika Sjögren Teamledare Personalavdelningen, Regionkontoret Intern dokumentation Förtydligande av regler för förlorad arbetsinkomst och ersättning för barntillsynskostnader för förtroendevalda i Region Skåne, 2008-10-09, Kanslidirektör, Regionkansliet, Regionstyrelsen. Publik information Intern kontroll, A. Haglund, J. Sturesson och R. Svensson, 2005 Testa den interna kontrollen, FAR Förlag, 2006 14
Bilaga 1 Stickprovstest mot stödjande dokumentation för identifierade kontroller Kontrollmiljö Löneenhetens IT-behörighetslista för Regionstyrelsen. Förändring av grunddata Anställningsavtal för stickprovsvalda anställda. Inlagda uppgifter i Prima för stickprovsvalda anställda. Lista över visstidsanställningar på väg att löpa ut, juli månad. Avgångsrapport för stickprovsvalda anställda. Lönerevisionslista som föranlett ändring i lönesystemet. Sidoordnad lista över förtroendevalda med fast arvode. Inrapportering av avvikelser Attesterad ledighetsansökan för högre tjänsteman. Attestlista för Regionstyrelsen, tillgänglig på löneenheten. Lista i lönesystemet som visar samtliga ej löneartregistrerade avvikelser. Attesterad tjänstgöringsrapport för stickprovsvald timanställd. Attesterad stickprovsvald reseräkning. Attesterad blankett för ersättning för förlorad arbetsinkomst. Undertecknat intyg för ersättning för förlorad arbetsinkomst. Bearbetning av inrapporterad data Lista över retroaktiva löner utbetalda i lönekörningen i juli 2009. Fellista uttagen efter stängning av perioden. 15