Granskning av intern kontroll i huvudboksprocessen

Relevanta dokument
Granskning av intern kontroll i lönehanteringen

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av intern kontroll i löneprocessen

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Granskning av intern kontroll i kommunens huvudboksprocess

Löpande redovisning och intern kontroll i redovisningsrutiner

Granskning av fakturahanteringen. Trelleborgs kommun

Intern kontroll avseende redovisning och räkenskaper Växjö Kommun. Genomförd på uppdrag av revisorerna

PWC:s granskningsrapport av intern kontroll i kommunens huvudboksprocess. KS

Granskning av utbetalningar

Granskning av bokslutsprocessen

Granskning av intern kontroll i kommunens centrala löneprocess

Granskning av leverantörsreskontran

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Revisionsrapport. IT-revision Solna Stad ecompanion

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Intern kontroll i faktura- och lönehantering

Uppföljning avseende granskning av attestrutiner

Granskning av bokslutsprocessen

Revisionsrapport. Granskning av intern kontroll gällande attester för manuella bokföringsordrar, manuella betalningar samt leverantörsfakturor

Granskning av utbetalningar

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: Författare: Jonas Eriksson Carin Norberg

Granskning av intern kontroll i redovisningsrutiner

Granskning av löner och arvoden

Revision av den interna kontrollen kring uppbördssystemet REX

Intern kontroll och attester

Trelleborgs kommun Revisorerna

Granskning av leverantörsregister och leverantörsutbetalningar

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Granskning av generella IT-kontroller för PLSsystemet

Granskning av Staffanstorps kommuns leverantörsskulder och dess system

N v. För kdnnedom till: Kommunfullmäktiges presidium, kommundirektören, respektive sektorschef samt ekonomichefen.

Granskning av fakturahantering. 1. Sammanfattning

Datum 2015-Or-29. Falkenbergs kommun Valda revisorer

Granskning av leverantörsregister och leverantörsutbetalningar

Intern kontroll och riskbedömningar. Strömsunds kommun

Kungälvs kommun. Granskning av intern kontroll inom ekonomiprocesser 2018

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Region Skåne. Inköps- och attestrutinen. Insert Picture. November Deloitte All rights reserved.

ATTESTREGLEMENTE FÖR SOTENÄS KOMMUN

Intern kontroll i faktura- och lönehantering

Intern kontroll i faktura- och lönehantering

Attestreglemente. Kommunfullmäktiges beslut Kommunstyrelsen (5) Konsult och uppdrag Ekonomi redovisning

Granskningsrapport Nr

December Rapport avseende löpande granskning Uddevalla kommun

Marks kommun - Granskning av intern kontroll i lönehanteringen

Granskning av intern kontroll avseende betalningsrutiner. Mönsterås Bostäder AB

System och rutiner 2009

Intern kontroll avseende fakturahantering

Revisionsrapport Bokslutsprocessen

Granskning av den interna kontrollen avseende löner

PM efter genomförd löpande granskning

Uppföljning av intern kontroll avseende fakturahantering

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Komrnunstyrelseri Nämnder och styrelser

Hantering och redovisning av folktandvårdens intäkter

Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Granskning av kommunens beredskap avseende EKOfrågor (Etik, Korruption och Oegentligheter) Revisorerna Bollnäs kommun

Landstinget i Kalmar Län. Granskning av betalningsrutiner

Revisionsrapport Granskning av arvoden till förtroendevalda. Härnösand Kommun

ATTESTREGLEMENTE 1(6) STYRDOKUMENT DATUM

Granskning intern kontroll

Laholmshem AB & Kommunfastigheter i Laholm AB

Uppföljning av granskning av intern kontroll avseende drivmedelskort

Granskning av intern kontroll i redovisningsprocessen 2013

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Rapport Granskning av försörjningsstöd.

Botkyrka kommun. Ernst & Young AB Granskningsrapport

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Revisionsrapport Kommunala kontokort Haparanda stad Bo Rehnberg Cert. kommunal revisor Martin Gandal

Vilma Lisboa April 2010

Uppföljande granskning av landstingets leverantörsregister

Granskning av intern kontroll avseende betalningsrutiner. Mönsterås Utvecklings AB

Granskning av applikationenn Basware oktober 2012*

Granskning av Jönköpings kommuns rutin för skanning av leverantörsfakturor

Granskning av intern kontroll avseende betalningsrutiner

Granskning av intern styrning och kontroll vid Statens servicecenter

Riktlinjer för attest av ekonomiska transaktioner

Attestreglemente för Uppsala kommuns nämnder

Attest- och utbetalningsreglemente

Reglemente för attest

Uppföljningsrapport IT-revision 2013

Marks kommun Granskning av intern kontroll i inköpsprocessen 2012 Appendix 1 (sidan 1)

1 (5) Attestreglemente. Regler för kontroll av verifikationer. Antagen av Kommunfullmäktige

Rapport Granskning av försörjningsstöd. Krokoms Kommun

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Region Gävleborg. Revisionsrapport. Dokumentation av redovisningssystemet. Granskning avseende tillämpning av KRL 2:7. Göran Persson Lingman

Granskning av leverantörsfakturor

Tillämpningsanvisningar till reglemente för attestering av ekonomiska transaktioner i Bengtsfors kommunkoncern

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Externt finansierade projekt

Grästorps Kommun. Löpande granskning El ERNST & YOUNG. Quality In Everything We Do

ABCD. Intern kontroll avseende inköp Revisionsrapport. Arvika kommun. KPMG Antal sidor: 12

Granskning av landstingets regler och rutiner för attestering av leverantörsfakturor och löner

Nämnden beslutade att särskilt fokusera på följande processer/rutiner/system: Förvaltningen har sammanställt en rapport över detta arbete.

December Rapport avseende löpande granskning Uddevalla kommun

TILLÄMPNINGSANVISNINGAR FÖR ATTESTREGLEMENTE FÖR MALMÖ STAD Bilaga 4 (beslut i KS )

Revisionsrapport Ramavtal Sundsvalls kommun Linda Marklund, Revisionskonsult Per Ståhlberg, Cert. kommunal revisor

Transkript:

www.pwc.se Granskning av intern kontroll i huvudboksprocessen Elin Jangvik Vilhelm Kokko Bollebygds kommun September 2018 September 2018

Innehåll 1. Sammanfattning 2. Inledning 3. Resultat av granskningen Appendix: Sammanställning avvikelser

1. Sammanfattning Revisorerna i Bollebygds kommun har gett i uppdrag att genomföra en granskning av intern kontroll i kommunens huvudboksprocess. Efter genomförd granskning är vår samlade bedömning att kommunen delvis har ändamålsenliga kontroller på plats för att stödja verksamheten och ge tillräcklig intern kontroll. Vi har dock noterat ett antal områden där den interna kontrollen kan förstärkas ytterligare. Nedan redovisar vi våra mest väsentliga rekommendationer som ekonomiavdelningen på Bollebygds kommun bör beakta och vidta åtgärder på. rekommenderar kommunstyrelsen i Bollebygd att säkerställa att rutinbeskrivningarna för delprocesserna tydligt beskriver: Vilka kontroller som skall utföras som delmoment i processen. Vem som är ansvarig för utförandet av kontrollen. Hur kontrollen utförs och med vilken frekvens. Hur utförandet utav kontrollen skall dokumenteras Hur eventuell rättning genomförs på utförd kontroll. rekommenderar kommunstyrelsen att en formell rutin upprättas för hur programförändringar skall hanteras och vilka kontrollmoment som skall utföras i samband med dessa. rekommenderar kommunstyrelsen i Bollebygd att införa rutiner för att säkerställa att löneutbetalningen alltid måste godkännas utav två i förening. Kontrollen bör inkludera en rimlighetsbedömning samt attest utav betalningsförslag för att säkerställa fullständighet, riktighet och validitet i utbetalningen. rekommenderar kommunstyrelsen i Bollebygd att se över möjligheten att stärka matchningen av data mellan systemen EDP Vision och Raindance. rekommenderar att kommunstyrelsen i Bollebygd säkerställer att den process som finns på plats för behörighetsadministration efterlevs för alla användare. rekommenderar kommunstyrelsen i Bollebygd att tydliggöra vilka behörighetskombinationer i Raindance som inte bör kombineras för att användare inte ska kunna styra en hel kedja, exempelvis utbetalningar och leverantörsinformation. rekommenderar kommunstyrelsen i Bollebygd att ytterligare begränsa systemleverantörens åtkomst till produktionsmiljön. Ett exempel på begränsning kan vara att enbart tilldela åtkomst till planerade tillfällen.

1. Sammanfattning rekommenderar kommunstyrelsen i Bollebygd att införa en valideringskontroll i samband med upplägg/ändring av leverantörsmasterdata, exempelvis att annan part än den som lagt upp leverantören, validerar att rätt information stansats in. rekommenderar därtill kommunstyrelsen att en rutin införs för regelbunden uppföljning av upplägg/ändringar av fasta data för leverantörsmasterdata, förslagsvis via logglista. Uppföljningen bör utföras av ansvarig befattningshavare och dokumenteras. rekommenderar kommunstyrelsen i Bollebygd att införa en kontroll där man vid inmatningstillfället säkerställer att den kundinformation som matas in i systemet stämmer överens med underlaget. rekommenderar kommunstyrelsen i Bollebygd att införa en kontroll för att kontrollera och stämma av att samtliga filer läses in från försystemen till Raindance. Kontrollens utförande bör även dokumenteras. rekommenderar även kommunstyrelsen i Bollebygd att införa rutiner så att samtliga bokföringsordrar alltid attesteras av ytterligare en medarbetare med beslutsattest innan dess att de bokförs. Om kommunen inte inför attest av samtliga bokföringsordrar bör de kontroller som ska utföras enligt Principer för bokföringsordrar utföras och dokumenteras. Det bör även specificeras vad ett högt belopp är i beskrivningen för vilka bokföringsordrar som ska kontrolleras. rekommenderar kommunstyrelsen i Bollebygd att införa ett beloppsbaserat attestflöde för att säkerställa god kontroll över utbetalningar. rekommenderar kommunstyrelsen i Bollebygd att säkerställa att de förslag som finns på attestreglemente fastställs i kommunfullmäktige. rekommenderar kommunstyrelsen i Bollebygd att se över huruvida samtliga användare som har behörighet att göra manuella bokföringsordrar utan attest har behov utav att upprätta manuella bokföringsordrar. Om så inte är fallet rekommenderar vi kommunen att ytterligare begränsa antalet användare.

2. Inledning 2.1 Bakgrund Det är väsentligt att de in- och utflöden av data som sker till ekonomisystemet är korrekta avseende fullständighet och riktighet. Konsekvenserna av bristande rutiner och kontroller kan få både ekonomiska och förtroendemässiga följder. En kartläggning av intern kontroll relaterat till huvudboksprocessen gjordes 2015. Revisorerna har utifrån sin riskbedömning konstaterat att det ska göras en granskning av intern kontroll i kommunens huvudboksprocess samt en uppdatering av samlingsplan avseende systemberoenden inom kommunen. 2.2. Syfte och revisionsfråga 2.3. Revisionskriterier Utgörs av lagar, föreskrifter, regelverk, fullmäktigebeslut etc. och utgör underlag till de bedömningsgrunder som uttrycks i kontrollmålen. Revisionskriterierna för denna granskning har hämtats ur följande: Kommunallagen Kommunal redovisningslag God redovisningssed (rekommendationer utgivna av rådet för kommunal redovisning RKR) Granskningen ska besvara följande övergripande revisionsfråga: Arbetar kommunstyrelsen systematiskt med att säkerställa att kommunens verksamhet har en tillfredställande intern kontroll relaterat till huvudboksprocessen? 2.4. Ansvarig nämnd Ansvarig nämnd är kommunstyrelsen för Bollebygds kommun.

2. Inledning 2.5 Kontrollmål Kontrollmålen och bedömningen av dessa möjliggör att revisionsfrågan kan besvaras. Kontrollmålen kan kopplas till något eller några av revisionskriterierna. Inom ramen för denna granskning ska följande kontrollmål besvaras: Finns attestnivåer formellt fastställda avseende godkännande av fakturor och hur säkerställs att attestnivåerna följs? Sker löpande avstämning av huvudbokskonton? Finns dokumenterade rutiner och riktlinjer för hantering av manuella och automatiska transaktioner i huvudboken och är dessa ändamålsenliga? Uppfyller kommunens egna kontrollaktiviteter kraven för god intern kontroll? Säkerställs en god intern kontroll genom en god arbetsfördelning och behörighetsstruktur i berörda system och i huvudboksprocessen? Sker uppläggning av fasta data på ett fullständigt och riktigt sätt? Sker överföring från försystem till huvudboken fullständigt och riktigt? Blir samtliga manuella bokföringsordrar attesterade och godkända? Är överföring till och uppdatering av huvudbok och kundoch leverantörsreskontra fullständig och riktig?

2. Inledning 2.6 Metod och avgränsningar Granskningen har genomförts genom intervjuer med företrädare från Bollebygds kommun. Vidare har en översiktlig genomgång av kommunens policy, riktlinjer och regler rörande området genomförts. En uppdatering av samlingsplanen som visar systemberoenden har också gjorts för att kartlägga var kontrollpunkter finns i överföring mellan försystem och huvudbok. En avgränsning har gjorts så att testning av identifierade kontroller i form av en stickprovsbaserad ansats inte genomförs. Analys av information från intervjuer baseras på :s tidigare erfarenhet av granskningar av liknande processer och rutiner. I rapporten avses kommunstyrelsen när det står Bollebygds kommun. Följande personer har varit intervjuade i granskningen: Svante Cras Ekonomichef Peter Häggqvist redovisningsekonom/kommuncontroller Eva Kvistberg Systemförvaltare EDP Future & EDP Vision Airi Blomroos Systemförvaltare Personec Catalina Calin - Procapita, IFO försörjningsstöd Andrea Bel Boldizar - Procapita, äldreomsorg Miriam Shead - Procapita, barnomsorg Marie-Louise Sandebert ekonomiadministratör Ros-Marie Wignäs ekonomiadministratör Granskningen har genomförts under juni 2018 av Elin Jangvik (projektledare) Vilhelm Kokko och Fredrik Carlsson (kvalitetssäkrare), samtliga från. Rapporten är faktaavstämd med berörd personal.

3. Resultat av granskningen 3.1 Finns dokumenterade rutiner och riktlinjer för hantering av manuella och automatiska transaktioner i huvudboken och är dessa ändamålsenliga? Iakttagelser Bedömning Det finns rutinbeskrivningar för de, enligt ekonomiavdelningen, viktigaste processerna. Det finns även specifika rutinbeskrivningar för delprocesserna behörighetsadministration, krav- och inkassohantering, betalningar, bokföringsordrar, avstämning av balanskonton och inläsning av filer till Raindance. I rutinbeskrivningarna för delprocesserna finns kontroller delvis dokumenterade men det är inte i alla beskrivningar tydligt vilka kontroller som ska utföras, vem som ska utföra kontrollerna, hur kontrollerna ska utföras och med vilken frekvens, hur kontrollen ska dokumenteras och hur eventuell rättning genomförs på utförd kontroll. Det finns även en beskrivning Rutinbeskrivning ekonomiavdelningen som beskriver hur olika moment på ekonomiavdelningen ska utföras. Sedan 2015 finns det även ett reglemente för intern kontroll där det framgår att varje nämnd ska ta fram en internkontrollplan. Vår bedömning är att kommunstyrelsen har dokumenterade rutiner och riktlinjer på plats för manuella och automatiska transaktioner men att dessa kan stärkas ytterligare för att bli helt ändamålsenliga. rekommenderar Bollebygds kommun att säkerställa att rutinbeskrivningarna för delprocesserna tydligt beskriver: Vilka kontroller som skall utföras som delmoment i processen. Vem som är ansvarig för utförandet av kontrollen. Hur kontrollen utförs och med vilken frekvens. Hur utförandet utav kontrollen skall dokumenteras Hur eventuell rättning genomförs på utförd kontroll. Se område 3.1. i appendix för mer information om iakttagelserna.

3. Resultat av granskningen 3.2 Uppfyller kommunens egna kontrollaktiviteter kraven för god intern kontroll? Iakttagelser Bollebygds kommun har i huvudboksprocessen flertalet kontroller på plats för att säkerställa god intern kontroll, dock finns det kontroller som saknas och som kan stärkas, se iakttagelser beskrivna i de andra avsnitten i del 3 i rapporten. System-/programförändringar hanteras av systemleverantören för Raindance, dock kunde notera att det saknas rutiner för att initiera och hantera system- och programförändringar vad gäller ekonomisystemet Raindance. En löneutbetalningslista godkänns på papper av personalchefen innan utbetalning. Löneutbetalningsfilen skickas automatiska av programvaran TEIS till banken för utbetalningen och det sker därför inget ytterligare godkännande. Matchning utav kundnummer i EDP Vision sker inte ändamålsenligt då kunderna har andra kundnummer i Raindance. Bedömning Vår samlade bedömning är att kommunstyrelsen till delvis har ändamålsenliga kontroller på plats för att stödja verksamheten och ge tillräcklig intern kontroll men det kan stärkas ytterligare. rekommenderar att en formell rutin upprättas för hur programförändringar skall hanteras och vilka kontrollmoment som skall utföras i samband med dessa. rekommenderar Bollebygds kommun att införa rutiner för att säkerställa att löneutbetalningen alltid måste godkännas utav två i förening. Kontrollen bör inkludera en rimlighetsbedömning samt attest utav betalningsförslag för att säkerställa fullständighet, riktighet och validitet i utbetalningen. rekommenderar Bollebygds kommun att se över möjligheten att stärka matchningen av data mellan systemen EDP Vision och Raindance. Se område 3.2 i appendix för mer information om iakttagelserna.

3. Resultat av granskningen 3.3 Säkerställs en god intern kontroll genom en god arbetsfördelning och behörighetsstruktur i berörda system och i huvudboksprocessen? Iakttagelser Kommunen har en tydlig process för behörighetsadministration gällande tillägg, ändring och borttag i ekonomisystemet Raindance, dock följs denna process inte alltid för användare på ekonomiavdelningen. Rollerna i systemet är uppsatta för att återspegla de roller som personal som ekonomiavdelningen har. Det finns även beskrivet i dokumentet Behörighetsadministration, mm, för Raindance att en person inte ska kunna styra hela kedjan av främst utbetalningar och leverantörsinformation. I det upprättade dokumentet framgår det dock inte tydligt vilka behörighetsroller som inte bör kombineras i Raindance. Kommunen har begränsat antalet användare som har full behörighet i Raindance till två personer. Det fanns vid granskningen tre användare från systemleverantören som har högsta behörighet och ständig access till systemet. Bedömning Vår bedömning är att kommunstyrelsen genom den process som finns på plats gällande behörighetsadministration samt de beskrivande dokument som finns på plats delvis har en god behörighetsstruktur och arbetsfördelning på plats men att den interna kontrollen kan stärkas ytterligare. rekommenderar att Bollebygds kommun säkerställer att den process som finns på plats för behörighetsadministration efterlevs för alla användare. rekommenderar även Bollebygds kommun att tydliggöra vilka behörighetskombinationer i Raindance som inte bör kombineras för att användare inte ska kunna styra en hel kedja, exempelvis utbetalningar och leverantörsinformation. Vidare rekommenderar Bollebygds kommun att ytterligare begränsa systemleverantörens åtkomst till produktionsmiljön. Ett exempel på begränsning kan vara att enbart tilldela åtkomst till planerade tillfällen. Se område 3.3 i appendix för mer information om iakttagelserna.

3. Resultat av granskningen 3.4 Sker uppläggning av fasta data på ett fullständigt och riktigt sätt? Iakttagelser Endast personal på ekonomiavdelningen har möjlighet att lägga till konton medan relaterade interna koddelar såsom kostnadsställe, aktivitet och objekt. I ekonomisystemet Raindance finns det spårbarhet över vem som har gjort en förändring samt vid vilket tidpunkt ändringen har genomförts. Ingen valideringskontroll kontroll utförs avseende riktighet i upplägg/ändring av leverantörsmasterdata. Därtill saknas rutiner för regelbunden uppföljning utav ändringar i fasta data för leverantörer. I samband med registrering utav nya kunduppgifter i EDP Future (system för VA och avfall) görs ingen efterkontroll för att säkerställa att rätt data stansats in mot underlag. Se område 3.4 i appendix för mer information om iakttagelserna. Bedömning Vår bedömning är att kommunstyrelsen delvis hanterar uppläggning av fasta data på en fullständigt och riktigt sätt men det saknas en del kontroller avseende registrering av leverantörsmasterdata och kunduppgifter i EDP Future. rekommenderar Bollebygds kommun att införa en valideringskontroll i samband med upplägg/ändring av leverantörsmasterdata, exempelvis att annan part än den som lagt upp leverantören, validerar att rätt information stansats in. rekommenderar därtill att en rutin införs för regelbunden uppföljning av upplägg/ändringar av fasta data för leverantörsmasterdata, förslagsvis via logglista. Uppföljningen bör utföras av ansvarig befattningshavare och dokumenteras. rekommenderar Bollebygds kommun att införa en kontroll där man vid inmatningstillfället säkerställer att den kundinformation som matas in i systemet stämmer överens med underlaget.

3. Resultat av granskningen 3.5 Sker överföring från försystem till huvudboken fullständigt och riktigt? Iakttagelser Det finns en rutinbeskrivning för inläsning av filer till Raindance från de olika försystemen där det framgår hur inläsning ska göras och hur avstämning av att filerna lästs in fullständigt och riktigt ska göras. För samtliga försystem till Raindance (med undantag för EDP Future) saknas en kontroll för att säkerställa att samtliga filer som skall läsas in har blivit inlästa. Vi har även noterat några iakttagelser inom detta område där vi bedömt risken som låg, se område 3.5 i appendix för mer information om iakttagelserna. Bedömning Vår bedömning är att kommunstyrelsen delvis säkerställer att överföring från försystem till huvudboken sker fullständigt och riktigt. rekommenderar Bollebygds kommun att införa en kontroll för att kontrollera och stämma av att samtliga filer läses in från försystemen till Raindance. Kontrollens utförande bör även dokumenteras.

3. Resultat av granskningen 3.6 Blir samtliga manuella bokföringsordrar attesterade och godkända? Iakttagelser Manuella bokföringsordrar kan registreras direkt i Raindance samt att de även kan registreras via ekonomiportalens bokföringsmodul (upprättade manuella bokföringsordrar sker generellt via bokföringsmodulen). Tillgång till bokföringsmodulen ger möjlighet att göra manuella bokningar utan att de attesteras innan de registreras i huvudboken. Vid granskningstillfället var det sju personer på kommunen som har åtkomst till att göra manuella bokföringsordrar utan attest. Av dessa sju är det en person som inte arbetar med ekonomi och inte bör ha denna behörighet enligt kommunens egna riktlinjer Principer för bokföringsordrar. Upprättade manuella bokföringsordrar i Raindance attesteras inte alltid av ytterligare en medarbetare med beslutsattest innan de bokförs. Det framgår av Principer för bokföringsordrar att manuella bokföringsordrar utan attest ska kontrolleras i efterhand om det är höga belopp men vad ett högt belopp är har inte specificerats. En stickprovskontroll har också införts för att kontrollera ytterligare fem procent av bokföringsordrarna. Dessa kontroller har dock inte utförts under året. Bedömning Vår bedömning är att kommunstyrelsen delvis har rutiner på plats för att säkerställa att samtliga manuella bokföringsordrar blir attesterade men att det finns utrymme för förbättring. rekommenderar Bollebygds kommun att se över huruvida samtliga användare har behov utav att upprätta manuella bokföringsordrar. Om så inte är fallet rekommenderar vi kommunen att ytterligare begränsa antalet användare. rekommenderar även Bollebygds kommun att införa rutiner så att samtliga bokföringsordrar alltid attesteras av ytterligare en medarbetare med beslutsattest innan dess att de bokförs. Om kommunen inte inför attest av samtliga bokföringsordrar bör de kontroller som ska utföras enligt Principer för bokföringsordrar utföras och dokumenteras. Det bör även specificeras vad ett högt belopp är i beskrivningen för vilka bokföringsordrar som ska kontrolleras.

3. Resultat av granskningen 3.7 Är överföring till och uppdatering av huvudbok och kund- och leverantörsreskontra fullständig och riktig? Se iakttagelse och bedömning för punkt 3.5.

3. Resultat av granskningen 3.8 Finns attestnivåer formellt fastställda avseende godkännande av fakturor och hur säkerställs att attestnivåerna följs? Iakttagelser När transaktioner sker som berör olika ansvarsområden, exempelvis delning utav kostnader så skall godkännande ske utav berörda parter enligt kommunens beslutsattestlista. Detta innebär att det är upp till sändaren att se till så att transaktionen hamnar rätt för sluttatest då detta inte alltid sker per automatik i systemet. Alla leverantörsfakturor ska godkännas vid en mottagningsattest och beslutsattest. Bedömning Vår bedömning är att kommunstyrelsen saknar formellt fastställda aktuella attestnivåer avseende godkännande av fakturor. rekommenderar Bollebygds kommun att införa ett beloppsbaserat attestflöde för att säkerställa god kontroll över utbetalningar. Det saknas uppsatta beloppsgränser för attest i Raindance. Vidare noterade att de attestreglemente som finns hos kommunen är fastställt utav kommunfullmäktige 1995-02-23. Ett nytt förslag har tagits fram, detta har dock inte fastställts hos kommunfullmäktige ännu. rekommenderar Bollebygds kommun att säkerställa att de förslag som finns på attestreglemente fastställs i kommunfullmäktige.

3. Resultat av granskningen 3.9 Sker löpande avstämning av huvudbokskonton? Iakttagelser Avstämning utav balanskonton, specificerat i beskrivningen Principer för avstämning av balanskonton, hanteras löpande utav ekonomiavdelningen. Saldo enligt huvudbok stäms av mot upprättad bokslutsspecifikation, exempelvis bankkontoutdrag, och dokumentation sparas fysiskt i en pärm Bedömning Vår bedömning är att det finns kontroller för avstämningar av huvudbokskonton för att säkerställa att dessa är fullständiga och riktiga. Bokslutschecklista finns upprättad med tydlig ansvarsfördelning. Redovisningsansvarig är ansvarig för att tillse att bokslutschecklistan är fullständigt avstämd samt att upprättade kontoavstämningar med bokslutsspecifikation och underlaget jämfört med huvudbok är avstämt rätt och riktigt. Detta sker vid delår- och årsbokslut. Differenser finns sällan och samtliga differenser överstigande 1 SEK utreds.

Datum: Elin Jangvik Projektledare Fredrik Carlsson Kvalitetssäkrare

Appendix: Sammanställning avvikelser På följande sidor redogör vi mer i detalj för de avvikelser och risker som vi har sett i vår granskning, kopplat till respektive kontrollmål. Vi ger även rekommendationer för noterade avvikelser. Vi har gjort en prioritering av iakttagelserna där L står för låg prioritet, M för medel och H för hög. Definitionen av denna klassificering visas nedan: Prioritet Hög Förklaring till prioritet Syftar på en svaghet som har stor inverkan på system, processer och relaterade kontroller och som kan utsätta enheten för större förluster, ineffektivitet och/eller kan resultera i en väsentlig felaktighet i räkenskaperna. Medel Syftar på en situation eller arbetssätt som skiljer sig från vad anser vara god praxis och som vi bedömer har en negativ inverkan på den interna kontrollen över den finansiella rapporteringen. Låg Syftar på en situation eller arbetssätt som enbart har en begränsad effekt på den interna kontrollen.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.1 M Det finns specifika rutinbeskrivningar för delprocesserna behörighetsadministration, krav- och inkassohantering, betalningar, bokföringsordrar, avstämning av balanskonton och inläsning av filer till Raindance. I rutinbeskrivningarna för delprocesserna finns kontroller delvis dokumenterade men det är inte i alla beskrivningar tydligt vilka kontroller som ska utföras, vem som ska utföra kontrollerna, hur kontrollerna ska utföras och med vilken frekvens, hur kontrollen ska dokumenteras och hur eventuell rättning genomförs på utförd kontroll. Risk för felaktigheter gällande fullständighet, riktighet, och otillbörliga transaktioner kopplat till finansiell data och operationella processer. kommun att se över och säkerställa att alla rutinbeskrivningarna tydligt beskriver: Vilka kontroller som skall utföras som delmoment i processen. Vem som är ansvarig för utförandet av kontrollen. Hur kontrollen utförs och med vilken frekvens. Hur utförandet utav kontrollen skall dokumenteras Hur eventuell rättning genomförs på utförd kontroll.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.2 L Det saknas komplett systemdokumentation för Raindance som visar på vilka anpassningar som gjorts i systemet samt rutiner för att säkerställa att dokumentationen är uppdaterad. 3.2 M System- /programförändringar hanteras av systemleverantören för Raindance. Det finns dock inga formaliserade rutiner för att initiera och hantera system/ programförändringar. Brist på systemdokumentation och rutiner för att hålla dokumentationen uppdaterad medför en ökad risk för oklarheter kring hur systemet är uppsatt och vad som bör övervägas vid exempelvis systemförändringar. Avsaknad av formella rutiner för programförändringar medför att risken ökar för att ej testade och godkända förändringar implementeras i systemet. Vi rekommenderar att Bollebygds kommun inför rutiner för att säkerställa att komplett systemdokumentation sammanställs och kontinuerligt uppdateras. Vi rekommenderar att kommunen upprättar en formell rutin för hur programförändringar skall hanteras och vilka kontrollmoment som skall utföras i samband med dessa.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.2 M En löneutbetalningslista godkänns på papper av personalchefen. Löneutbetalningsfilen skickas automatiska av programvaran TEIS till banken för utbetalningen och det sker därför inget ytterligare godkännande. 3.2 M Matchning utav kundnummer i EDP Vision sker inte ändamålsenligt då kunderna har andra kundnummer i Raindance. Utan godkännande av utbetalningar av två i förening ökar risken för felaktigheter vad gäller fullständighet och riktighet samt att det även ökar risken för otillbörliga utbetalningar. Risk för felaktigheter gällande fullständighet och riktighet kopplat till inbetalningar. kommun att införa rutiner för att säkerställa att löneutbetalningen alltid måste godkännas utav två i förening. Kontrollen bör inkludera en rimlighetsbedömning samt attest utav betalningsförslag för att säkerställa fullständighet, riktighet och validitet i utbetalningen. kommun att se över möjligheten att stärka matchningen av data mellan systemen. 3.3 M Det fanns vid granskningen tre användare från systemleverantören som har högsta behörighet och ständig access till systemet. Att utomstående har ständig access till ekonomisystemet kan medföra att förändringar görs utan lämpliga tester eller godkännande, antingen med eller utan avsikt. kommun att ytterligare begränsa leverantörens åtkomst till produktionsmiljön. Ett exempel på begränsning kan vara att enbart tilldela åtkomst vid planerade tillfällen.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.3 M Det finns en formaliserad processbeskrivning för behörighetsadministration gällande tillägg, ändring och borttag. Dock följs denna process inte alltid för användare på ekonomiavdelningen. 3.3 M I processbeskrivningen för behörighetsadministration finns en beskrivning av olika roller i Raindance. I det upprättade dokumentet framgår det dock inte tydligt vilka behörighetsroller som inte bör kombineras i Raindance. Att inte följa den formella behörighetsprocessen kan innebära att användare tilldelas felaktiga behörigheter. Att inte specificera vilka behörighetskombinationer som inte bör kombineras ökar risken för att användare blir tilldelade behörigheter som inte bör kombineras så att exempelvis en användare kan utföra ett helt flöde (Segregation of Duties). Vi rekommenderar att Bollebygds kommun säkerställer att den process som finns på plats efterlevs för alla användare. kommun att specificera vilka behörighetskombinationer som inte bör kombineras för att användare inte ska kunna styra en hel kedja, exempelvis utbetalningar och leverantörsinformation.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.4 M Ingen valideringskontroll kontroll utförs avseende riktighet i upplägg/ändring av leverantörsmasterdata. Därtill saknas rutiner för regelbunden uppföljning utav ändringar i fasta data för leverantörer. Avsaknad utav uppföljning av fasta data ökar risken för att felaktiga eller otillbörliga förändringar görs i exempelvis leverantörsuppgifter vilket i sin tur kan leda till felaktiga utbetalningar. Vi rekommenderar kommunen att införa en valideringskontroll i samband med upplägg/ändring av leverantörsmasterdata, exempelvis att annan person än den som lagt upp leverantören, validerar att rätt information stansats in. Vi rekommenderar även att en rutin införs för regelbunden uppföljning av upplägg/ändringar av fasta data, förslagsvis via logglista. Uppföljningen bör utföras av ansvarig befattningshavare och dokumenteras.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.4 L Upplägg av nya leverantörer sker först i samband med att faktura erhålls och inte innan inköp görs. 3.4 M I samband med registrering utav nya kunduppgifter i EDP Future (system för VA och avfall) görs ingen efterkontroll för att säkerställa att rätt data stansats in mot underlag. Att leverantörer läggs upp baserat på faktura och inte i förväg godkända leverantörer ökar risken för att inköp görs av leverantörer man ej vill/bör handla med. Att inte kontrollera att informationen som matats in stämmer överens med underlaget innebär en risk att kunduppgifterna inte är korrekta eller riktigt registrerade. kommun överväger att införa en rutin för att leverantörer läggs upp i leverantörsregistret baserat på godkända underlag innan inköp görs. I största möjliga utsträckning bör upplägg/ändrings av leverantörsinformation göras snarast efter att kommunerna valt att använda sig av en ny leverantör, exempelvis då ett nytt ramavtal tecknats. kommun att införa en kontroll där man vid inmatningstillfället säkerställer att den kundinformation som matas in i systemet stämmer överens med underlaget.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.5 L Den fil som i EDP Future upprättas för inläsning i Raindance är redigerbar. Det är dock bara tre personer som har tillgång till filen och en fakturalista från EDP Future tas ut för att kontrollera att alla fakturor är överlästa till Raindance. Risken för felaktiga ändringar eller oegentligheter ökar då fakturafilen ligger oskyddad och anställda med tillgång till mappen kan redigera filen innan dess att den läses in. kommun att se över möjligheten att kryptera filen som upprättas för inläsning för att säkerställa att filen läses in utan felaktiga ändringar eller oegentligheter. 3.5 L De filen som i EDP Vision upprättas för inläsning i Raindance är redigerbar. Det är dock bara tre personer som har tillgång till filen samt att det görs en avstämning mellan två olika filer för att säkerställa riktigheten och fullständigheten utav filen. Risken för felaktiga ändringar eller oegentligheter ökar då fakturafilen ligger oskyddad och anställda med tillgång till mappen kan redigera filen innan dess att den läses in. kommun att se över möjligheten att kryptera filen som upprättas för inläsning för att säkerställa att filen läses in utan felaktiga ändringar eller oegentligheter.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.5 L Filen från avseende barn- och äldreomsorg från Procapita som läses in i Raindance är i en okrypterad redigerbar textfil. 3.5 L Vid inläsning i Raindance av fil från lönesystemet Personec varnar Raindance om det är rader som inte är korrekta. Det sker dock ingen avstämning av att filen från Personec lästs in fullständigt och riktigt. Månadsvis stäms lönekonton av mellan Personec och Raindance. Att filen som läses in i Raindance är redigerbar ökar risken för att informationen som läses in inte är korrekt och riktig. Vidare ökar risken för medvetna eller omedvetna otillbörliga förändringar i filen. Att inte stämma av att filen från Personec lästs in korrekt ökar risken för att huvudboken inte uppdaterats fullständigt och riktigt. kommun att se över möjligheten att kryptera den fil som går från barn- och äldreomsorg till Raindance, alternativt på annat sätt säkerställa att filen inte går att redigera innan dess att den läses in. kommun att införa en kontroll för att säkerställa att filen från Personec läses in fullständigt och riktigt.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.5 M För samtliga försystem till Raindance (med undantag för EDP Future) saknas kontroller för att säkerställa att samtliga filer som skall läsas in har blivit inlästa. Utan kontroller för att säkerställa att rätt filer blivit inlästa ökar risken för att samma fil läses in flera gånger alternativt att filer inte läses in alls. kommun att införa en kontroll för att stämma av att samtliga filer läses in från försystemen till Raindance. Kontrollernas utförande bör även dokumenteras.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.6 H Tillgång till bokföringsmodulen ger möjlighet att göra manuella bokningar utan att de attesteras av någon med beslutsattest innan de registreras i huvudboken. Vid granskningstillfället var det sju personer på kommunen som har åtkomst till att göra manuella bokföringsordrar utan attest. Av dessa sju är det en person som inte arbetar med ekonomi och inte bör ha denna behörighet enligt kommunens egna beskrivning Principer för bokföringsordrar. Risken ökar för felaktigheter gällande fullständighet, riktighet och otillbörliga transaktioner kopplat till finansiell data. kommun att se över huruvida samtliga användare har behov utav att upprätta manuella bokföringsordrar. Om så inte är fallet rekommenderar vi kommunen att ytterligare begränsa antalet användare.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.6 M Upprättade manuella bokföringsordrar i Raindance attesteras inte alltid av ytterligare en medarbetare med beslutsattest innan de bokförs. Det framgår av Principer för bokföringsordrar att manuella bokföringsordrar utan attest ska kontrolleras i efterhand om det är höga belopp men vad ett högt belopp är har inte specificerats. En stickprovskontroll har också införts för att kontrollera ytterligare fem procent av bokföringsordrarna. Dessa kontroller har dock inte utförts under året. Risken ökar för felaktigheter gällande fullständighet, riktighet och otillbörliga transaktioner kopplat till finansiell data. Att inte utföra de kontroller som finns på plats bidrar till en ökad risk för felaktigheter i de manuella bokföringsordrarnas riktighet och validitet. kommun att införa rutiner så att samtliga bokföringsordrar alltid attesteras av ytterligare en medarbetare med beslutsattest innan dess att de bokförs. Om kommunen inte inför attest av samtliga bokföringsordrar bör de kontroller som ska utföras enligt Principer för bokföringsordrar utföras och dokumenteras. Det bör även specificeras vad ett högt belopp är i beskrivningen för vilka bokföringsordrar som ska kontrolleras.

Sammanställning avvikelser Område Prio Avvikelse Risk Rekommendation 3.8 M Det saknas uppsatta beloppsgränser för attest i Raindance. Det finns en ökad risk för minskad kontroll över utbetalningar, vilket i sin tur kan medföra att felaktiga utbetalningar genomförs antingen medvetet eller omedvetet. kommun att införa ett beloppsbaserat attestflöde för att säkerställa god kontroll över utbetalningar. 3.8 M De attestreglemente som finns hos kommunen är fastställt utav kommunfullmäktige 1995-02-23. Ett nytt förslag har tagits fram, detta har dock inte fastställts hos kommunfullmäktige ännu. Utan ett aktuellt attestreglemente ökar risken för att kommunens attesträttigheter inte är i linje med vad kommunfullmäktige vill, vilket kan leda till att felaktiga beslutsattestanter finns i systemet. kommun att säkerställa att de förslag som finns på attestreglemente fastställs i kommunfullmäktige.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss