www.pwc.se Revisionsrapport Granskning av intern kontroll avseende betalningsrutiner Caroline Liljebjörn Elin Petersson 24 maj 2017
Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 2 1.1. Bedömningar mot kontrollmål... 2 2. Inledning... 4 2.1. Bakgrund... 4 2.2. Revisionsfråga och kontrollmål... 4 2.3. Metod... 4 3. Iakttagelser och bedömningar... 5 3.1. Finns en ändamålsenlig organisation, ansvarsfördelning och delegation avseende betalningsrutiner?... 5 3.1.1. Iakttagelser... 5 3.1.2. Bedömning... 5 3.2. Är attestrutinerna ändamålsenliga?... 5 3.2.1. Iakttagelser... 5 3.2.2. Bedömning... 6 3.3. Finns särskilda regler och kontroller för utbetalning av stora belopp?... 6 3.3.1. Iakttagelser... 6 3.3.2. Bedömning... 6 3.4. Finns rutiner för att vid behov revidera rätten att attestera?... 6 3.4.1. Iakttagelser... 6 3.4.2. Bedömning... 6 3.5. Finns ändamålsenliga rutiner, med tillräcklig kontroll, för utbetalningarna som inte hanteras i rutinen för leverantörsfakturor eller lönesystemet?... 6 3.5.1. Iakttagelser... 6 3.5.2. Bedömning... 6 3.6. Är processerna tillräckligt dokumenterade?... 7 3.6.1. Iakttagelser... 7 3.6.2. Bedömning... 7 Maj 2017 1 av 8
1. Sammanfattning och revisionell bedömning Kommunens lekmannarevisorer har observerat ett antal händelser av bedrägerier och oegentligheter i andra kommuner och kommunala bolag, vilket föranleder att inom ramen för en riskbedömning genomföra en granskning av betalningsrutinerna i kommunens bolag. Vi bedömer att styrelsens interna kontroll avseende betalningsrutiner i huvudsak är tillräcklig. Det baserar vi på att det finns beslutade dokument som visar VDs och övriga anställdas behörighet avseende inköp, men att leverantörsfakturor i vissa fall endast attesteras av en person och att det är en person som ensam hanterar hela processen avseende utbetalning av leverantörsfakturor. För att stärka den interna kontrollen har vi identifierat följande förbättringsområden: Vi anser att de fakturor som i dagsläget endast attesteras av VD eller ekonom bör omfattas av stickprovsvisa kontroller inom ramen för internkontrollarbetet. Vi anser att ytterligare en person utöver ekonomen bör kontrollräkna och signera betalningsförslaget. 1.1. Bedömningar mot kontrollmål Kontrollmål Finns en ändamålsenlig organisation, ansvarsfördelning och delegation avseende betalningsrutiner? Är attestrutinerna ändamålsenliga? Kommentar Delvis uppfyllt Vi bedömer att det delvis finns en ändamålsenlig organisation, ansvarsfördelning och delegation avseende betalningsrutiner. Det baserar vi på att det finns beslutade dokument som visar VDs och övriga anställdas behörighet avseende inköp, men att leverantörsfakturor i de flesta fall endast attesteras av en person och att det är en person som ensam hanterar hela processen avseende utbetalning av leverantörsfakturor. Delvis uppfyllt Vi bedömer att attestrutinerna delvis är ändamålsenliga. Vid ser det som en viss risk att leverantörsfak- Maj 2017 2 av 8
Finns särskilda regler och kontroller för utbetalning av stora belopp? Finns rutiner för att vid behov revidera rätten att attestera? Finns ändamålsenliga rutiner, med tillräcklig kontroll, för utbetalningar som inte hanteras i rutinen för leverantörsfakturor eller lönesystemet? Är processerna tillräckligt dokumenterade? turor endast godkänns av en person. Vi anser att rutinen bör kompletteras med stickprovsvisa kontroller inom ramen för internkontrollarbetet. Vi bedömer att den interna kontrollen bör stärkas genom att ytterligare en person utöver ekonomen kontrollräknar och signerar betalningsförslaget. Delvis uppfyllt Vi bedömer att det finns särskilda regler för utbetalning av större belopp eftersom de ska ha föregåtts av ett styrelsebeslut. Vi bedömer vidare att den interna kontrollen för bolagets utbetalningsrutin bör stärkas så att hanteringen inbegriper två olika personer. Uppfyllt Vi bedömer att det finns rutiner för att revidera rätten att attestera. Det baserar vi på att det vid granskningstillfället fanns ett aktuellt dokument över attestanter samt att det finns beskrivet hur attesträtten ska hanteras vid frånvaro. Enligt VD-instruktion äger VD rätt att delegera sin beslutanderätt till annan anställd. Ej bedömt Vi kan inte göra någon bedömning av kontrollmålet eftersom vi inte har identifierat några utbetalningar som gjorts förutom via rutinen för leverantörsfakturor eller i lönesystemet. Uppfyllt Vi bedömer att processerna i allt väsentligt är tillräckligt dokumenterade. Det baserar vi på att styrelsen beslutat om VD-instruktion, utsett attestanter samt beslutat om ersättare vid frånvaro av VD. Maj 2017 3 av 8
2. Inledning 2.1. Bakgrund Kommunens lekmannarevisorer har observerat ett antal händelser av bedrägerier och oegentligheter i andra kommuner och kommunala bolag, vilket föranleder att inom ramen för en riskbedömning genomföra en granskning av betalningsrutinerna i kommunens bolag. 2.2. Revisionsfråga och kontrollmål Granskningen ska besvara följande revisionsfråga: Säkerställer styrelsen att den interna kontrollen avseende betalningsrutiner är tillräcklig? Följande kontrollmål ska besvaras av granskningen: Finns en ändamålsenlig organisation, ansvarsfördelning och delegation avseende betalningsrutiner? Är attestrutinerna ändamålsenliga? Finns särskilda regler och kontroller för utbetalning av stora belopp? Finns rutiner för att vid behov revidera rätten att attestera? Finns ändamålsenliga rutiner, med tillräcklig intern kontroll, för utbetalningarna som inte hanteras i rutinen för leverantörsfakturor eller lönesystemet? Är processerna tillräckligt dokumenterade? 2.3. Metod Vi har genomfört intervjuer med bolagets VD och ekonom. Vi har tagit del av VD-instruktion, attesträttslista samt fullmakter. Vi har tagit stickprov på leverantörsfakturor och övrig bokföring under år 2016 och år 2017 till och med april månad. Maj 2017 4 av 8
3. Iakttagelser och bedömningar 3.1. Finns en ändamålsenlig organisation, ansvarsfördelning och delegation avseende betalningsrutiner? 3.1.1. Iakttagelser har en manuell hantering av leverantörsfakturor. Volymen uppgår till ca 850 fakturor per år. Av intervjun framgår att ekonomen ansvarar för kontering av samtliga fakturor och att VD har beslutsattest. Driftfakturor så som VA, el och fjärrvärme attesteras direkt av ekonomen. När fakturorna är attesterade registreras de i ekonomisystemet Agresso. Ekonomen tar fram betalningsförslagslista som denne signerar; belopp och konto kontrolleras. Därefter skrivs en bekräftelse av betalningsförslag ut som även den signeras av ekonomen. Bankfilen skapas och filöverföring sker via Safelink. En kvittens genereras i systemet att betalningen har gjorts. Fil för återredovisning hämtas hem. Ekonomen kontrollerar att summan på återredovisningen överensstämmer med kvittensen. Samtliga dokument förvaras i pärm för leverantörsfakturor. Denna process har kontrollerats via stickprov. Bolagets ekonom ansvarar för all redovisning fram till bokslut. Lönehanteringen för bolagets två anställda köps in av Mönsterås kommun. Kommunen använder lönesystemet Heroma. Alla utlägg hanteras i lönerutinen. Ekonomens utlägg attesteras av VD och VDs utlägg attesteras av styrelseordföranden. Enligt VD finns inget företagskort knutet till bolaget utan alla utlägg betalas ut via lönen. 3.1.2. Bedömning Vi bedömer att det delvis finns en ändamålsenlig organisation, ansvarsfördelning och delegation avseende betalningsrutiner. Det baserar vi på att det finns beslutade dokument som visar VDs och övriga anställdas behörighet avseende inköp, men att leverantörsfakturor i de flesta fall endast attesteras av en person och att det är en person som ensam hanterar hela processen avseende utbetalning av leverantörsfakturor. 3.2. Är attestrutinerna ändamålsenliga? 3.2.1. Iakttagelser Bolaget har en attesträttslista som är antagen av styrelsen. VD attesterar fakturor som avser löpande förvaltningsåtgärder och äger rätt att vidaredelegera attesträtten, vilket har gjorts avseende driftfakturor som beskrivits ovan. Under VDs semester eller övrig frånvaro attesterar ekonomen brådskande fakturor upp till ett basbelopp och fakturor över ett basbelopp attesteras i samråd med kommunchefen. Attestrutinerna har kontrollerats via stickprov. Vi har granskat leverantörsfakturor och övrig bokföring för år 2016 och 2017 till och med april månad via stickprov. Maj 2017 5 av 8
3.2.2. Bedömning Vi bedömer att attestrutinerna delvis är ändamålsenliga. Vid ser det som en viss risk att leverantörsfakturor endast godkänns av en person. Vi anser att rutinen bör kompletteras med stickprovsvisa kontroller inom ramen för internkontrollarbetet. Vi bedömer att den interna kontrollen bör stärkas genom att ytterligare en person utöver ekonomen kontrollräknar och signerar betalningsförslaget. 3.3. Finns särskilda regler och kontroller för utbetalning av stora belopp? 3.3.1. Iakttagelser Det framgår av intervjun att det kan förkomma utbetalningar av miljonbelopp vid investeringar. VD säkerställer att det finns styrelsebeslut avseende investeringen innan fakturan attesteras och går till betalning. Det finns ingen spärr i fakturasystemet för stora fakturabelopp. 3.3.2. Bedömning Vi bedömer att det finns särskilda regler för utbetalning av större belopp eftersom de ska ha föregåtts av ett styrelsebeslut. Vi bedömer vidare att den interna kontrollen för bolagets utbetalningsrutin bör stärkas så att hanteringen inbegriper två olika personer. 3.4. Finns rutiner för att vid behov revidera rätten att attestera? 3.4.1. Iakttagelser Bolaget har en attesträttslista som är antagen av styrelsen. Attesträtten anger att bolagets ekonom har rätt att beslutsattestera leverantörsfakturor upp till ett basbelopp. Fakturor som överstiger ett basbelopp beslutattesteras av ekonomen i förening med kommunchefen. 3.4.2. Bedömning Vi bedömer att det finns rutiner för att revidera rätten att attestera Det baserar vi på att det vid granskningstillfället fanns ett aktuellt dokument över attestanter samt att det finns beskrivet hur attesträtten ska hanteras vid frånvaro. Enligt VD-instruktion äger VD rätt att delegera sin beslutanderätt till annan anställd. 3.5. Finns ändamålsenliga rutiner, med tillräcklig kontroll, för utbetalningarna som inte hanteras i rutinen för leverantörsfakturor eller lönesystemet? 3.5.1. Iakttagelser Av intervjun framgår att det inte förekommer några utbetalningar som inte hanteras i rutinen för leverantörsfakturor eller lönesystemet. Detta har bekräftats via stickprov. 3.5.2. Bedömning Vi kan inte göra någon bedömning av kontrollmålet eftersom vi inte har identifierat några utbetalningar som gjorts förutom via rutinen för leverantörsfakturor eller i lönesystemet. Maj 2017 6 av 8
3.6. Är processerna tillräckligt dokumenterade? 3.6.1. Iakttagelser Bolaget har en rad styrdokument som vi har tagit del av som knyter an till ämnesområdet betalningsrutiner. Registreringsbevis daterat 2017-04-11 anger bolagets firmatecknare. VD har rätt att teckna firman beträffande löpande förvaltningsåtgärder. Det finns en upprättad attesträttslista som är beslutad av styrelsen 2011-11-22, 19. Enligt attesträtten ska VD enligt 8 kap 29 ABL och antagen VD-instruktion sköta den löpande förvaltningen enligt styrelsens riktlinjer och anvisningar. Detta innebär att VD har beslutsattest för leverantörsfakturor, bokföringstransaktioner mm. Ersättare har utsetts för att den dagliga verksamheten ska fungera. Attesträtten anger att bolagets ekonom har befogenhet att attestera leverantörsfakturor med belopp som understiger ett basbelopp. För fakturor som överstiger ett basbelopp har ekonomen beslutsattest i förening med kommunchefen. Ekonomen har även befogenhet att utföra bokföringstransaktioner som t.ex. rättelser uppbokningar och fakturering. VD-instruktion antogs av styrelsen 2016-06-21, 7. Instruktionen ska omprövas årligen. Enligt instruktionen omfattar VDs arbetsuppgifter att bl.a. sköta bolagets löpande förvaltning och leda bolagets verksamhet i enlighet med de riktlinjer och anvisningar som meddelats av styrelsen, ingå avtal för den löpande fastighetsdriften där bolagets åtaganden ej överstiger 20 basbelopp eller i övrigt ej är av större betydelse, ingå hyresavtal där hyrestiden ej överstiger tre år och hyran ej överstiger sex basbelopp per år, upprätta delårs- och årsbokslut, förhandla och besluta om bl.a. personalens löner, reseersättningar, tjänstledigheter och semester, upprätta förslag till budget och verksamhetsplan. VD äger rätten att inom ramen för sin behörighet delegera beslutanderätt till annan anställd inom bolaget samt att utfärda fullmakt. VD ska utöva erforderlig kontroll över hur sådana överförda befogenheter utnyttjas. För beslut som fattats med stöd av delegation ansvarar VD. Bolaget har upprättat tre fullmakter som vi har tagit del av. Fullmakterna ger angivna fullmaktshavare att var för sig ta ut medel från bolagets konton i banken kopplade till leverantörsutbetalningar, SUS och autogiro. 3.6.2. Bedömning Vi bedömer att processerna i allt väsentligt är tillräckligt dokumenterade. Det baserar vi på att styrelsen beslutat om VD-instruktion, utsett attestanter samt beslutat om ersättare vid frånvaro av VD. Maj 2017 7 av 8
2017-05-29 Jörn Wahlroth Uppdragsledare Caroline Liljebjörn Projektledare Maj 2017 8 av 8