REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i PA/lönesystemet. Mars 2005. Rolf Aronsson Leif Jacobsson Anita Andersson



Relevanta dokument
Uppföljning av rapport Säkerhet och intern kontroll i PA/Lönesystemet samt fördjupade analyser

Riktlinjer för ansvar och behörigheter i Personec P

REVISIONSRAPPORT. Rutiner kring personaladministrativa systemet Respons. Granskning av. Landstinget Halland. Maj 2003

Säkerhet och intern kontroll i lönehanteringen

Vilma Lisboa April 2010

Granskning av intern kontroll i lönehanteringen

Riskanalys och internkontrollplan för Lönecentrum

Riskanalys och intern kontrollplan för Lönecentrum

Granskning av den interna kontrollen avseende löner

Audit KPMG AB Antal sidor: 6

Revisionsrapport. Landstinget i Jönköpings län. Löpande granskning av redovisning och administrativa system. - lönehantering

Riskanalys och intern kontrollplan för Lönecentrum 2015

REVISIONSRAPPORT. Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor. Arvika kommun. September 2005.

GOTLANDS KOMMUN. Uppföljning av granskning av lönerutiner i Personalsystemet IFS. Mats Renborn Viveca Karlsson

Intern kontroll i faktura- och lönehantering

Svar på revisionsrapport Landstinget Blekinge granskning av löneprocess

Marks kommun - Granskning av intern kontroll i lönehanteringen

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Intern kontroll i faktura- och lönehantering

Olofströms kommun. Intern kontroll Granskning personalkostnader. Audit KPMG AB 9 mars 2011 Antal sidor: 7

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Ref. Område Kontroll Identifierad brist Rekommendation Prio

Rutiner för manuell schemaläggning

Revisionsrapport Granskning av lönerutinerna. Härjedalens Kommun

Granskning av interna kontrollen

Revisionsrapport Lönerutiner Sollefteå kommun Anneth Nyqvist, certifierad kommunal revisor Emelie Värja,

Riskanalys och intern kontrollplan för Lönecentrum 2016

Granskning av lönehanteringen

Granskning av lönehanteringen

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Rapport Granskning av Personalsystemet Heroma

Lysekils kommun. Intern kontroll lönerutiner

Delrapport Värnamo sjukvårdsområde

Arvoden och ersättningar till förtroendevalda

Granskning av lönehanteringen

Landstinget Blekinge. Revision av PA-system. Göteborg,

Lönehanteringen Ängelholms kommun December 2010 Anna Eriksson, revisionskonsult Karin Andersson, revisionskonsult Kenix Vuong, riskhanteringskonsult

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av arvoden till förtroendevalda

Ett program för tidrapportering och. Aveny. Tidredovisning

GOTLANDS KOMMUN. Granskning av lönerutiner i Personalsystemet IFS. Mats Renborn Viveca Karlsson

Intern kontroll i faktura- och lönehantering

Uppföljning av granskningsplan 2012 för administrativa processer

Granskning av lönehantering

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Elektronisk handel Förstudie: Skanning av leverantörsfakturor

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Säkerhet i löneutbetalningarna - intern kontroll

Yttrande över revisionsrapport - Löpande granskning av redovisning av administrativa system - Lönehantering

Granskning av lönesystem

Medarbetarens ansvar i självservice

REVISIONSRAPPORT. Översiktlig analys av loggar i ekonomisystemet Devis. Arvika kommun. September Rolf Aronsson

Granskning av Lönehanteringen

Rapport Granskning av försörjningsstöd.

REVISIONSRAPPORT. Granskning av Palett. Jämtlands Läns Landsting. intern kontroll i datafångst. Februari Ante Strängby Maj-Britt Åkerström

Granskning av löneutbetalningar

Granskning av utbetalningar

Granskning av intern kontroll i löneprocessen

Rutiner i lönehantering

Medarbetarens ansvar i Visma självservice

Individ. Adress: OBS! Ej www. Länk till BeSched Individ finns på hemsidans startsida Tidrapportering BeSched

PS SJÄLVSERVICE Sid 1 (35)

Nora kommun. Granskning av lönehantering. Audit KPMG AB 15 mars 2012 Antal sidor: 8

Region Skåne. Granskning av personalrelaterade skulder Revisionsrapport. Offentlig sektor KPMG AB 30 december 2013 Antal sidor: 13

Granskning av löner och ersättningar inklusive arvoden till förtroendevalda. Regionförbundet i Kalmar län

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Intern kontroll och attester

REGLEMENTE FÖR KONTROLL AV VERIFIKATIONER

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Granskning av lönekostnader

Stadsgemensam tillämpningsanvisning

Anvisning Gemensamma konton GIT

Granskning av intern kontroll i redovisningsprocessen 2013

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Granskning av löner och arvoden

Härryda kommun. Genomgång av rutiner och kontroller i löneprocessen. Våren 2011

Marks kommun. Granskning av intern kontroll i lönehanteringen Sara Wåhlin Emily Jönsson

Löneadministrativa rutiner

Granskning av löner och ersättningar inklusive arvoden till förtroendevalda. Region Gotland

Variabelbeskrivning och instruktioner för redovisning av Konjunkturstatistik, löner för landsting

Granskning av intern kontroll i kommunens centrala löneprocess

Reglemente. Attest och kontroll av ekonomiska transaktioner. Mariestad. Antaget av Kommunfullmäktige Mariestad

Revisionsrapport Granskning av löner och ersättningar

Lönehanteringen. Trelleborgs kommun. December Anna Eriksson Karin Andersson Henrik Friang

1 (5) Attestreglemente. Regler för kontroll av verifikationer. Antagen av Kommunfullmäktige

Intern kontrollplan 2015

Granskning av den interna kontrollen avseende löner

Kommunal författningssamling för. Östra Göinge kommun

Granskning av lönehanteringen

Växjö Kommun. Intern kontroll 2008 Löner. Revisionsrapport Genomförd på uppdrag av revisionen i Växjö Kommun

Enkät - Lönerelaterade bastjänster

Revisionsrapport - Granskning av lönerutinerna

Vem gör vad: Rutiner vid registrering i Heroma

Personec arbetsledare

RIKTLINJER FÖR SOCIALA MEDIER. Bakgrund. Syfte. Användning av sociala mediekanaler. Ansvar för publicering. Sida 1(5)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Lönegranskning Eskilstuna Kommun

Säkerhet och kontroll i löneutbetalningsprocessen - en uppföljande granskning

Transkript:

REVISIONSRAPPORT Landstinget Halland Säkerhet och intern kontroll i PA/lönesystemet Övergripande granskning av rutiner, ansvar m.m. Mars 2005 Rolf Aronsson Leif Jacobsson Anita Andersson (1)

Innehållsförteckning 1. SAMLAD ANALYS OCH BEDÖMNING...4 1.1 Allmänt...4 1.2 Kontrollmiljö, kontrollaktiviteter och riskanalys...4 1.3 Efterlevnad och intern kontroll...6 2. SYFTE, OMFATTNING OCH GENOMFÖRANDE...6 3. NULÄGESBESKRIVNING OCH ANALYSER...7 3.1 Beskrivning av roller och ansvarsområden...7 3.2 Övergripande systembeskrivning...9 3.3 Indata i Respons...9 3.3.1 Flextid stämpelklocka...10 3.3.2 PS Självservice...10 3.3.3 Manuell inrapportering i Respons...10 3.4 Planering/schemaläggning/faställande av schema...10 3.5 Jour-ersättningar...10 3.6 Tidrapportering, frånvaroregistrering och andra lönepåverkande tillfälliga händelser...11 3.7 Bearbetning i Respons...11 3.8 Kontroll av utdata till personal och ekonomisystem/bank...12 3.9 Styrdata fasta uppgifter...12 3.10 Arkivering av löneunderlag och lönelistor...12 3.11 Systemsäkerhet...13 3.11.1 Behörigheter...13 3.11.2 Rättigheter roller etc...14 (2)

3.11.3 Loggning och uppföljning...14 (3)

1. Samlad analys och bedömning 1.1 Allmänt I vår granskning har vi inte kunnat finna någon samlad dokumenterad bild över hur ansvaret fördelas i olika processer och flöden vid hantering av löner. Det finns fyra parallella organisationer med arbetsuppgifter och ansvarsområden i lönehanteringen: Personaladministrationen, lönekonsulter, linjeorganisationen och drift och teknik samt systemansvariga. Ansvarsfördelningen inom och mellan organisationerna är inte tydligt dokumenterad, utan har vuxit fram i dialog och överenskommelser. Ansvar- och arbetsuppgifter bör ses över och tydliggöras. Enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Kraven på kontrollmiljö och kontrollaktiviteter bör läggas fast. I genomgång och analyser rekommenderar vi att samverkan görs med projektet kring Ledningssystem för informationssäkerhet som pågår inom landstinget. Det finns idag i projektet exempel på kravnivåer kring systemdokumentation, systemsäkerhet m.m. Hur arkivering av löneunderlag och lönelistor m.m. skall ske är inte dokumenterat för närvarande. All löneinformation ligger kvar i systemet i elektronisk form. Någon plan för arkivering finns således inte. Det finns inga fastställda rutiner för hur arkivering av olika pappersbundna dokument skall ske, vilket med all sannolikhet innebär att detta sker på olika sätt ute i verksamheten. Arbetet med att ta fram systemdokumentation inklusive arkivplaner och dokumenthanteringsplaner för olika typer av löneinformation måste enligt vår uppfattning vara ett högt prioriterat område. 1.2 Kontrollmiljö, kontrollaktiviteter och riskanalys I vår granskning har vi noterat följande brister och/eller riskområden: Verksamhetschef, avdelningschef, lönekonsult och personaladministrationen har behörighet att registrera, ändra etc. i tider. Verksamhets- och avdelningschefen endast för den egna verksamheten. Det är således flera personer som är behöriga att ändra och registrera uppgifter fram till sista lönebearbetningen, vilket ökar risken för att tidigare registrering tas bort och ersätts med annan tid. Loggning av inlagd tid görs och bör användas vid kontroller se kommentarer under avsnitt 3.11.3. Utvärderingslistan och lönelistor är också viktiga instrument för kontroller. (4)

En annan faktor som ökar risken är att användare kan registrera avvikelser på eget personnummer. Detta förhållande bör omgående ändras genom aktivering av konfiguration av RSP.DP.Konfiguration. Om denna är aktiverad så sker en kontroll att registrering på eget personnummer inte kan ske annat än på t ex namn och adressuppgifter. De anställda skall ges möjlighet att kontrollera att registrerade tider är korrekta via s.k. utvärderingslistor. Denna kontrollmöjlighet är mycket viktig, eftersom det finns ett flertal behöriga användare som kan tillföra respektive ändra uppgifter som påverkar den enskildes lön. Vi har noterat att utvärderingslistorna används på olika sätt ute i verksamheterna. Gemensamma rutiner bör tas fram där utvärderingslistorna får en mer tydlig roll i kontrollmiljön. Enligt vår uppfattning bör utvärderingslistorna signeras/godkännas av den anställde och återlämnas till ansvarig chef. En grundläggande säkerhetsnivå är hur behörighetssystemet i Respons är konfigurerat. Vi har i vår analys noterat ett antal svagheter i nuvarande konfiguration, se punkt 3.11.1 i rapporten. Nuvarande konfiguration av behörighetssystemet måste enligt vår uppfattning ses över för att höja säkerhetsnivån för åtkomst av olika funktioner i Respons. Vi är medvetna om att förändringar i systemet kräver väl genomtänkta åtgärder och tydlig information till användarna för att undvika onödiga störningar i användarnas åtkomst av systemet. Loggning och uppföljning (se punkt 3.11.3 i rapporten) av olika händelser har stor betydelse för kontroll av säkerheten i olika avseende och är dessutom en grundförutsättning för att skapa god intern kontroll genom planenliga uppföljningar och kontroller. Det finns därför anledning att ta fram riktlinjer/föreskrifter för när, hur, var loggning och uppföljning skall ske i Respons. Vad vi kan finna i våra intervjuer så utnyttjas loggarna i olika kontrollaktiviteter i liten utsträckning för närvarande. En viktig aspekt handlar om var i kontrollmiljön som åtkomst till loggar skall finnas, som stöd i de kontrollaktiviteter som görs eller borde finnas i systemet för utbetalning av löner i landstinget. Vid upprättande av kontrollrutiner måste också loggarna och vilka som skall ha åtkomst definieras. (5)

1.3 Efterlevnad och intern kontroll I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Vi har noterat att det pågår diskussion inom landstinget kring framtagande av reglemente och riktlinjer kring intern kontroll. 2. Syfte, omfattning och genomförande Komrev inom Öhrlings PricewaterhousCoopers har på uppdrag av Landstinget Halland genomfört en övergripande granskning av säkerhet och intern kontroll i PA/lönesystemet. Lönehanteringen i landstinget har blivit alltmer decentraliserad. Detta innebär att ett stort antal handläggare är delaktiga i verkställandet av löneutbetalningar. Handläggningen präglas dessutom av ett stort antal utbetalningar och ett omfattande regelverk. Ur kontroll- och säkerhetssynpunkt är det därför viktigt att utifrån organisation och verksamhet identifiera de mest viktiga rutinerna och att rutinerna kartläggs och granskas utifrån ett kontrollperspektiv samt att en bedömning görs av kontrollsystem/skyddsnivå och behov av förändringar. Genomförandet av granskningen sker enligt COSO 1 - metoden. COSO-metoden identifierar fem - ömsesidigt beroende - komponenter som tillsammans omfattar intern kontroll. Modellen innehåller 5 kontrollkomponenter: Kontrollmiljö, Riskbedömning, Kontrollaktiviteter, Information och kommunikation samt Efterlevnad och intern kontroll. Genomgång och intervjuer har skett med centralt systemansvarig, företrädare för systemleverantören, lönechef och lönekonsulter samt personalchef vid närsjukvården i Kungsbacka och verksamhetschefer, avdelningschefer m.fl. Verifiering av lämnade uppgifter sker stickprovsmässigt och löpande under granskningen. 1 COSO Comitte of sponsoring organisation of the Treadway Comission (6)

3. Nulägesbeskrivning och analyser 3.1 Beskrivning av roller och ansvarsområden Det finns ingen samlad dokumenterad bild över hur ansvaret fördelas i olika processer och flöden vid hantering av löner. Vår beskrivning bygger därför på uppgifter som lämnats vid intervjuer med olika befattningshavare. Det finns fyra parallella organisationer med arbetsuppgifter och ansvarsområden i lönehanteringen: 1. Personaladministrationen, som bl.a. registrerar anställningsbeslut, anställningsbevis och lönebeslut, sjukanmälan, kompetensutveckling/utbildningar samt inregistrering av tjänstgöringsrapporter för timanställda. 2. Lönekonsulter som arbetar på uppdrag av linjeorganisationen med användarsupport (system- och användarstöd, kontroll av lön innan utbetalning, uppföljningar av felaktigheter, behörighetsadministration mm), skatteredovisningar, interna utbildningar, information och kvalitetssäkring. Lönekonsulterna arbetar också med direkta registreringar av löneuppgifter på uppdrag av vissa verksamheter. 3. Linjeorganisationen, som har det direkta ansvaret för lönehanteringen inom respektive verksamhetsområde. I huvudsak ligger ansvaret på verksamhetschefer och 1:a linjechefer (avdelningschefer m.fl.). 4. Drift och teknik samt systemansvar, med centralt systemansvarig samt upphandlad konsult för drift - och teknik-stöd. I vår granskning har vi identifierat följande funktioner: Centralt systemansvarig och central organisation för Respons framgår av bilaga 1. Lokalt systemförvaltare och IT-ansvariga. Framgår av bilaga 1. Personaladministrativa funktioner. Lönechef och lönekonsulter (c:a 16 personer) Verksamhetschefer och 1:a linjechefer med direkt ansvar för schemaläggning och lönehantering (7)

TietoEnator (kontaktperson i Halmstad) har ansvar för drift och teknisk support, enligt särskilt upprättat avtal. Vad vi kan finna så saknas samlade beskrivningar över ansvarfördelning och arbetsuppgifter, utöver den skiss som finns i bilaga 1 Central organisation Respons. Varje verksamhet har i stor utsträckning skapat egna ansvarsfördelningar och rutiner för den direkta lönerapporteringen. Ansvarsfördelningen mellan personaladministrationen, lönekonsulterna och verksamheterna är inte dokumenterad, utan har vuxit fram i dialog och överenskommelser mellan organisationerna. Detta förhållande innebär att kontrollmiljö och kontrollaktiviteter är olika mellan verksamheterna. Lönekonsulternas roll och ansvar är också otydlig, vilket bl.a. innebär att verksamheterna utnyttjar lönekonsulterna på olika sätt. Som exempel kan nämnas att vissa verksamheter överlämnar löneuppgifter till lönekonsulterna för direkt registrering i systemet. Ansvar- och arbetsuppgifter bör ses över och tydliggöras. Enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Kraven på kontrollmiljön och kontrollaktiviteterna bör läggas fast. Som exempel kan nämnas den s.k. utvärderingslistan (schema och inrapporterade avvikelser) per person, som i dag används på olika sätt inom landstinget. (8)

3.2 Övergripande systembeskrivning Indata Registrering System Utdata Schemaläggning görs för samtlig personal Fastställande och inrapportering av verksamheterna Direkt inrapportering av personalen PS-självservice - system för inrapportering Bokföringsfil Maskinellt system för flextidshantering Flextid System och databaser Mea Ekonomisystem Tjänstgöringsrapport för timanställda Attest vid verksamheterna, inrapportering av personalfunktionen Rättning sfiler efter 3 provkörningar Utbetalande bank Avvikelserapportering görs på olika sätt. Inrapporteras/ attesteras av verksamheterna eller lönekonsulterna Utbetalningsfil Övrig rapportering - anställningsbeslut, lönebeslut, sjukanmälan m.m. Görs i huvudsak av personalfunktionen 3.3 Indata i Respons Respons inom landstinget hanterar varje månad löner för cirka 7000 anställda Av samtliga anställda är cirka 6300 månadsanställda och resten timanställda eller personer med anställningar av uppdragskaraktär. Inrapportering av tid i systemet görs antingen av löntagarna själva via en Webblösning kallad PS (Personal System) Självservice, via stämpelklocka (Timecare) eller av lönerapportörer (arbetsledare). (9)

Förändringar i centrala avtal och lagar som påverkar de anställdas villkor bevakas av TietoEnator. Avtal har tecknats med TietoEnator som innebär att landstinget kontinuerligt erhåller filer för uppdateringar i Respons. 3.3.1 Flextid stämpelklocka Flertalet anställda använder stämpelklocka för registrering av närvaro, flextid m.m. Information från stämplad tid överförs till Respons och påverkar schemalagd tid. Behöriga användare vid verksamheterna, personalfunktionen och lönekonsulter kan ändra stämplad tid direkt i Respons. 3.3.2 PS Självservice PS Självservice är en webbaserad lösning där anställda via landstingets Intranät kan logga på och registrera avvikelser från schema, reseräkningar eller ändra adress och telefonnummer. Enligt uppgift så används PS Självservice i liten omfattning i många verksamheter. 3.3.3 Manuell inrapportering i Respons Behörig personal, lönekonsulter och personalfunktionen sköter den manuella inrapporteringen i Respons. Underlaget för s.k. avvikelserapportering är olika, beroende på att gemensamma blanketter saknas. (Se också skrivningar under punkt 3.6.) 3.4 Planering/schemaläggning/faställande av schema Planering/schemaläggning/fastställande av schema utförs av verksamhetschefer/ avdelningschef eller andra behöriga personer. Planering och schemaläggning kan ske på olika sätt, antingen direkt i Respons eller via försystem (exempelvis TimeCare). Scheman måste fastställas i Respons. Schemat i Respons är den schemaversion mot vilken avvikelser d v s frånvaro, övertid, obekväm arbetstid, flextid etc rapporteras och beräknas. Normalt så utbetalas lön enligt inlagt schema och rapporterade avvikelser. Möjlighet finns enligt uppgift att rapportera veckoarbetstiden i anställningsdelen i Respons. Verksamhetschef/Avdelningschef, lönekonsult och personaladministrationen har behörighet att registrera, ändra etc. i scheman. Verksamhetschefens/avdelningschefens behörighet är begränsad till den egna verksamheten. I vår översiktliga granskning har vi inte funnit anledning till ytterligare kommentarer. 3.5 Jour-ersättningar Hantering av jour och beredskap görs inte i Respons, utan hanteras manuellt vid sidan av lönesystemet. Denna del har därför inte analyserats närmare i denna granskning. (10)

3.6 Tidrapportering, frånvaroregistrering och andra lönepåverkande tillfälliga händelser Tidrapportering sker manuellt eller via flexklocka. Vid manuell rapportering rapporteras endast oplanerade avvikelser. Transaktionerna rapporteras med tidsangivelser och kan inte dubbelrapporteras. Möjlighet finns att ta ut utvärderingslistor som visar schemats tider samt avvikelser. Avsikten med denna lista är att den anställda skall kunna analysera om rätt avvikelse från schema har rapporterats. Utvärderingslistan används på olika sätt inom landstinget. Inregistrerade närvaro- och frånvarohändelser kan ändras i Respons under månadens gång tills lönen verkställts för perioden varvid alla transaktioner låses i Respons. Möjligheten finns att rapportera ersättningar direkt i pengar. Detta registreras av lönekonsulterna efter underlag som attesteras av behörig chef. Har ersättningen rapporterats av någon annan (dubbelregistrering) så framgår detta i modulen för tillägg och avdrag. Någon programmerad kontroll och signal finns inte i systemet, varför det är viktigt med manuella uppföljningar av dylika ersättningar. Verksamhetschef, avdelningschef, lönekonsult och personaladministrationen har behörighet att registrera, ändra etc. i tider. Verksamhets- och avdelningschefen endast för den egna verksamheten. Det är således flera personer som är behöriga att ändra och registrera uppgifter fram till sista lönekörningen, vilket ökar risken för att tidigare registrering tas bort och ersätts med annan tid. Loggning av inlagd tid görs se kommentarer under avsnitt 3.11.3. Utvärderingslistan och lönelistor är också viktiga instrument för kontroller. En annan faktor som ökar risken är att användare kan registrera avvikelser på eget personnummer. Detta förhållande bör omgående ändras. Närmast högre chef registrerar och attesterar för underställda chefer. 3.7 Bearbetning i Respons Lönekörningarna sker i flera steg. Innan den slutliga lönekörningen så görs tre provkörningar. De slutliga lönekörningarna sker i två steg, dels starta lönebearbetningar varvid alla transaktioner skapas utifrån månadens tider/händelser, och dels verkställa lön, då alla tider och därmed låses transaktion och alla ackumalatorerna uppdateras, både på personnivå och anställningsnivå. Efter dessa körningar skapas konteringstransaktioner i speciella körningar. Ackumulatorer i Respons kan endast ändras genom normala lönetransaktioner eller genom tillägg/avdrag -funktionen. (11)

I bearbetningen sker vissa programmerade kontroller, exempelvis bruttolön max 150000 kr. Överuttag av semester och övertid signaleras vid rapporteringstillfället eller markeras på särskilda listor vid bearbetningen (s.k. stjärnmarkeringar). Dessa granskas sedan innan den slutliga körningen av lönekonsulterna. I kontroller av bearbetningen i Respons är granskning av upprättade loggar en väsentlig del i kontrollmiljön. Se skrivningar i punkt 3.11.3. Loggning och uppföljning. 3.8 Kontroll av utdata till personal och ekonomisystem/bank Rutinerna har granskats översiktligt genom intervjuer. Det finns ingen samlad och tydlig dokumentation kring hur kontrollerna skall genomföras. Inom lönekonsultorganisationen så görs ett flertal kontroller i form av rimlighetskontroller m.m. bl.a. med utgångspunkt från signallistor och lönelistor. Även verksamhetschefer etc. görs vissa kontroller mot lönelistor. Nuvarande kontrollaktiviteter bör dokumenteras för att få bättre tydlighet kring ansvarsfördelning m.m. De anställda skall ges möjlighet att kontrollera att registrerade tider är korrekta via s.k. utvärderingslistor. Denna kontrollmöjlighet är mycket viktig, eftersom det finns ett flertal behöriga användare som kan tillföra respektive ändra uppgifter som påverkar den enskildes lön. Vi har noterat att utvärderingslistorna används på olika sätt ute i verksamheterna. Gemensamma rutiner bör tas fram där utvärderingslistorna får en mer tydlig roll i kontrollmiljön. Enligt vår uppfattning bör utvärderingslistorna signeras/godkännas av den anställde och återlämnas till ansvarig chef. 3.9 Styrdata fasta uppgifter Förändringar av fasta uppgifter som påverkar styrtabeller görs av centralt systemansvarig och TietoEnator. Vi har inte närmare analyserat ansvarsfördelning och befintliga rutiner för uppdatering av styrtabeller. 3.10 Arkivering av löneunderlag och lönelistor Hur arkivering av löneunderlag och lönelistor m.m. skall ske är inte dokumenterat för närvarande. Enligt uppgift från landstingets arkivarie och lönechefen så ligger all löneinformation kvar i systemet i elektronisk form. Någon plan för arkivering finns således inte. Det finns inga fastställda rutiner för hur arkivering av olika pappersbundna dokument skall ske, vilket med all sannolikhet innebär att detta sker på olika sätt ute i verksamheten. Enligt uppgift finns en arbetsgrupp som skall utreda hur löneinformation (elektronisk och pappersbunden) skall långtidslagras i framtiden. (12)

Arbetet med att ta fram systemdokumentation inklusive arkivplaner och dokumenthanteringsplaner för olika typer av löneinformation måste enligt vår uppfattning vara ett högt prioriterat område. Vissa delar av löneinformationen är dessutom att betrakta som räkenskapsmaterial och skall förvaras i minst 10 år. 3.11 Systemsäkerhet Vår granskning av systemsäkerheten har begränsats till i huvudsak hur Respons är konfigurerat vid hantering av identiteter och lösenord. 3.11.1 Behörigheter En grundläggande säkerhetsnivå är hur behörighetssystemet i Respons är konfigurerat (CSSkonfiguration). Vi har i vår analys noterat ett antal svagheter i nuvarande konfiguration. Antal tillåtna inloggningsförsök I dag tillåter systemet 5 stycken försök med felaktigt lösenord innan utspärrning sker. Vi rekommenderar att man begränsar antal försök till tre. Antal dagar sedan senast lyckade inloggning I dag spärras användare efter 63 dagar sedan senaste lyckade inloggning. Detta är en bra nivå, eftersom en användare som inte har använt systemet under cirka 60 dagar har förmodligen slutat eller är tjänstledig, sjuk mm under lång tid. Minsta antal tecken i lösenordet I dag kräver systemet att lösenordet består av minst 3 tecken, vilket är en alltför låg säkerhetsnivå. Vi rekommenderar krav på minst 6 tecken. Krav på format av lösenord I dag kräver systemet att minst två alfabetiska tecken finns med i lösenordet. Detta innebär att lösenord som ABC, FGH etc accepteras av systemet. Vi rekommenderar att man på sikt inför krav på att lösenordet även måste innehålla numeriska tecken för att därigenom öka kravet på mer komplicerade lösenord. I samband med översyn av kraven på format på lösenord bör man också överväga krav på antal tecken som skall skilja jämfört med tidigare lösenord m.m. (13)

I dag är det fullt möjligt att använda användarnamn som lösenord. Denna möjlighet bör omgående spärras, eftersom användaridentiteten är helt öppen och känd i systemet. Lösenorden är krypterade och skall endast vara kända av den enskilde användaren. I systemet finns också möjlighet att bygga en ordlista över ord eller delar av ord som inte är tillåtna att använda som lösenord. Denna möjlighet bör utnyttjas. Nuvarande konfiguration av behörighetssystemet måste enligt vår uppfattning ses över för att höja säkerhetsnivån för åtkomst av olika funktioner i Respons. Vi är medvetna om att förändringar i systemet kräver väl genomtänkta åtgärder och tydlig information till användarna för att undvika onödiga störningar i användarnas åtkomst av systemet. 3.11.2 Rättigheter roller etc Vi har översiktligt tagit del av strukturen vid uppbyggnad av rättigheter och roller. Verksamhetschefer/avdelningschefer och/eller utsedda medarbetare skall enligt strukturen endast ha åtkomst till anställda inom den egna verksamheten. Lönekonsulterna och personaladministrationen har mer utvidgad åtkomst till anställda inom landstinget. Någon verifiering av åtkomstmöjligheterna har inte gjorts. I detta sammanhang har vi noterat att någon personnummerkontroll inte är aktiverad i systemet. Detta sker vid konfiguration av RSP.DB.Konfiguration. Om denna är aktiverad så sker en kontroll att registrering på eget personnummer inte kan ske annat än på t ex namn och adressuppgifter. I klartext innebär detta vad vi kan finna att användare av systemet kan registrera/attestera lönepåverkande uppgifter på sig själv, exempelvis ändringar av tid registrerad i stämpelklockan, m m. Organisatorisk sekretess är aktiverad, vilket innebär att användare kan knytas till vilka verksamhetsområden som är tillgängliga samt om det är läs- eller skrivrättigheter. Vi har endast översiktligt verifierat den organisatoriska sekretessen inom landstinget. 3.11.3 Loggning och uppföljning Vi har översiktligt identifierat några loggar i systemet, som exempel kan nämnas. Händelselogg, som loggar lyckade in- och utloggningar samt misslyckade inloggningar. (14)

Responsloggar, som visar uppgifter om användare som har lagt in uppgifter på anställda (visst personnummer) Loggning och uppföljning av olika händelser har stor betydelse för kontroll av säkerheten i olika avseende och är dessutom en grundförutsättning för att skapa god intern kontroll genom planenliga uppföljningar och kontroller. Det finns därför anledning att ta fram riktlinjer/föreskrifter för när, hur, var loggning och uppföljning skall ske i Respons. Som exempel på frågor kan noteras: 1) Hur länge 2 och på vilket media 3 skall loggfiler (behandlingshistorik) sparas? 2) Vad skall loggas om vilka kontrollmål gäller, d.v.s. av vilken anledning sparas uppgifterna? 3) Organisation för uppföljning och kontroll? 4) Vilka krav på selektiv loggning (terminal, användare, register m.m.) skall finnas? 5) Vilka krav skall finnas på program för rapportuttag? Vad vi kan finnas i våra intervjuer så utnyttjas loggarna i liten utsträckning En viktig aspekt handlar om var i kontrollmiljön som åtkomst till loggar skall finnas, d v s som stöd i de kontrollaktiviteter som görs eller borde finnas i systemet för utbetalning av löner i landstinget. Vid upprättande av kontrollrutiner måste också loggarna och vilka som skall ha åtkomst definieras. 2 Om inte lagstiftningen ställer högre krav bör loggade uppgifter sparas i två år. 3 Vid lagring av loggar på annat media är det viktigt att också förvara dessa med utgångspunkt från den sekretess som gäller. (15)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss