Löpande granskning av intern kontroll i system och rutiner 2010

Löpande granskning av intern kontroll i system och rutiner 2010 Bilaga till revisionsrapport - underlag November 2010 Lars-Åke Ullström Robert Heed Pär Månsson Hanna Franck

Innehållsförteckning 1. Intern kontroll... 3 1.1 Definition... 3 1.2 Ansvar... 3 1.3 Internkontrollplanen... 3 1.4 Internkontrollarbetet i praktiken... 4 2. Tillförlitliga och säkra rutiner för den löpande redovisningen... 7 2.1 Inköpsrutin... 7 2.1.1 Utveckling av inköpsfunktionen... 7 2.1.2 Faktureringsrutin och attestrutiner... 8 2.2 Lönerutin... 9 2.3 Fakturerings- och kassarutin... 10 2.4 Personalförmåner, gåvor och representation... 11 2.5 Övrigt... 13 2.5.1 Löpande avstämningar... 13 3. Fortlöpande avstämning av det nya ekonomisystemets funktionalitet och tillförlitlighet... 13 3.1 Koppling mellan Cyklop och övriga system... 13 4. Tillförlitliga och säkra rutiner ur ett verksamhetsperspektiv... 15 4.1 Telefoni... 15 4.2 Internetanvändning... 19 4.3 Loggkontroller... 20 4.4 Medicinsk teknik (MT)...22 4.5 Läkemedelsfunktioner... 24 4.6 Avvikelsehantering (Lex Maria)... 27 2 av 28

1. Intern kontroll 1.1 Definition Intern kontroll kan övergripande definieras som en process för att kunna uppnå följande mål; Ändamålsenlig och kostnadseffektiv verksamhet. Tillförlitlig finansiell rapprotering och information om verksamheten. Efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer m m. 1.2 Ansvar Landstingsstyrelsen har ett tydligt ansvar för den interna kontrollen enligt kommunallagen 6 kap 1. I lagen nämns bl a att styrelsen skall leda och samordna förvaltningen av landstingets angelägenheter, ha uppsikt över övriga nämnders verksamhet och ha uppsikt över de landstingsägda bolagens verksamhet. Landstingsstyrelsen antog i slutet av 2007 en internkontrollplan som började gälla 1/1 2008. 1.3 Internkontrollplanen I internkontrollplanen har landstinget identifierat följande prioriterade riskområden; 1. Mål och riktlinjer för en god ekonomisk hushållning 2. Styrning och uppföljning av resultat 3. Personalutnyttjande och lönehantering 4. Inköp av varor och tjänster 5. IT-säkerhet 6. Finansförvaltning 7. Skydd av egendom, lokaler, inventarier och dokument 8. Kontanthantering 9. Kravhantering 10. Personalförmåner, gåvor, representation 3 av 28

Landstinget har bedömt att områdena 1-6 har störst risk för att få allvarliga negativa konsekvenser för landstinget. Inom dessa områden är den interna kontrollen särskilt viktig. I planen anges bl a vilka kontroller som skall ske inom redovisade områden. Landstingets ekonomidirektör fick ansvaret för den interna kontrollen på landstingsnivå samt vid koncernstaben. Controller (eller motsvarande) ansvarar för den interna kontrollen inom respektive division eller förvaltning. Detta innebär ansvar för att internkontrollplanen efterlevs i sin helhet inom ansvarsområdet. Årlig rapport över genomförd intern kontroll lämnas till nämnder och landstingsstyrelsen i samband med redovisning av årsbokslutet. Rapporten skall beskriva brister i rutiner inom respektive område samt förslag till förbättringsåtgärder. Landstingets interna arbete med den interna kontrollen har även granskats tidigare bl a i samband med löpande granskning 2009. I landstingsstyrelsens svar på revisionsrapporten ( Dnr LS 791/09) angavs bl a följande; Landstingsstyrelsen ser positivt på de utvecklingsförslag som redovisas för internkontrollarbetet. Den nuvarande inriktningen mot ekonomi bör utvecklas mot andra områden som t ex arbetsmiljö. Ett dokumenterat arbete med risk- och väsentlighetsanalys skall inledas som en grund för den interna kontrollen. Utbildning inom området intern kontroll bör genomföras. Chefens ansvar är viktigt att betona. Styrelsen ser allvarligt på att beslutade kontrollåtgärder inte har genomförts under verksamhetsåret 2009. Detta måste säkerställas under 2010. 1.4 Internkontrollarbetet i praktiken I ramen för årets löpande granskning bjöds representanter in från koncernledning, divisioner och förvaltningar för en avstämning av hur internkontrollarbetet bedrivs i praktiken. Vilken kunskap har enheterna om internkontrollplanen Inom divisioner/förvaltningar upplevs det att den interna kontrollen sker löpande ex i form av ekonomisk och finansiell rapportering, parametrar i de balanserade styrkorten och via uppbyggnaden av ett ledningssystem. Internkontrollplanen upplevs dock inte vara ett levande dokument och det saknas i många fall ett uttalat dokumenterat arbete utifrån planen. Förbättringsområden utgör bl a konkreta förslag på åtgärder och aktiviteter. Planen har inte förändrats sedan den antogs av landstingsstyrelsen i slutet av 2008. Ansvarsfördelningen i kontrollplanen upplevs otydligt. Enligt planen har controllers inom divisioner/ förvaltningar ansvar för den interna kontrollen utifrån beslutad plan. Controllers upplever dock att de har svårt att ta ett helhetsansvar då flertalet prioriterade områden hanteras av andra funktioner inom landstinget. 4 av 28

Inga specifika utbildningar har genomförts avseende intern kontroll. Förekomst av riskanalyser En förutsättning för en god intern kontroll är att organisationen genomför riskanalyser för att definiera inom vilka områden som har stor risk och därför måste följas på ett systematiskt sätt. Årligen återkommande riskanalyser innebär även att den interna kontrollen blir mer levande. I seminariet framkom att några riskanalyser inte har genomförts utifrån internkontrollplanen. Flera efterlyste dock en tydligare strategi för hur riskanalyser och bedömningar skall hanteras inom landstinget. Vilka kontroller genomförs Kontrollaktiviteter genomförs löpande i verksamheten. Kontrollaktiviteter kopplade till internkontrollplanen dokumenteras inte enhetligt. En väsentlig del är även att dokumentera och beskriva åtgärder utifrån genomförda kontrollaktiviteter. Utveckling av planen utifrån styrelsens inriktning Verksamhetsföreträdare framhåller framförallt att kunskapen om intern kontroll och hur arbetet kan bedrivas måste utvecklas. Former för vad som skall följas och återrapporteras måste bli tydligare. Utbildning i metodik för att kunna arbeta med intern kontroll är väsentlig. Organisationen måste även på ett mer tydligt sätt ange ansvar och roller för den interna kontrollen. Kommentar Landstinget har antagit en internkontrollplan. Samtal med verksamhetsföreträdare och tidigare granskningar visar dock att internkontrollplanen har fått begränsat genomslag i verksamheten. Ett svar från landstingsstyrelsen på löpande granskning 2009 visar med tydlighet att så är fallet. Styrelsens ambition att kontroller utifrån internkontrollplanen skall genomföras i sin helhet 2010 kommer inte att nås. Sannolikt krävs en omstart vad gäller internkontrollarbetet. En grund för det framtida arbetet kan vara att styrelsen presenterar ett förslag till Reglemente för intern kontroll för beslut i Landstingsfullmäktige där ansvar och arbetssätt tydliggörs. Det är av vikt att man i arbetet med att utveckla internkontrollen skapar delaktighet från alla divisioner/förvaltningar, så att arbetet förankras och hänsyn tas till de olika verksamheternas förutsättningar. Om delaktighet och förutsättningar skapas så att internkontrollarbetet blir en naturlig del i arbetet, kan implementeringen bli lyckosam. Styrelsen har ett ansvar för att leda och samordna verksamheten i sin helhet, ha uppsikt över övriga nämnders verksamhet och ha uppsikt över de landstingsägda bolagen. Respektive nämnd skall bl a tillse att den interna kontrollen är tillräcklig. 5 av 28

Utifrån reglementet kan arbetet kompletteras med en internkontrollplan som revideras årligen med hänsyn till de riskanalyser som koncernledning, divisioner och förvaltningar genomför. Underlag för kontroller och bedömningar återfinns sannolikt till viss del redan i tillgängligt uppföljningsmaterial som årsredovisning, balanserat styrkort och överenskommelser. Det är väsentligt att arbetet med den interna kontrollen blir en naturlig del i den ordinarie verksamheten. 6 av 28

2. Tillförlitliga och säkra rutiner för den löpande redovisningen 2.1 Inköpsrutin 2.1.1 Utveckling av inköpsfunktionen Inköpsavdelning består av tre enheter i form av vård, tjänster och köpt vård. Var och en av dessa enheter består av en enhetschef, upphandlare och en avtalscontroller. Upphandlaren ska ha kontroll på avtalen och arbeta med att upphandla nya avtal och avtalscontrollern arbetar med att utveckla arbetet med leverantörerna. I november 2007 gjordes en förstudie kring inköp inom landstinget. I förstudien konstaterades bland annat att det fanns brister kring avtalstrohet, att det inte uppfattades som lätt att ha kontroll på ramavtal och att landstinget använde många olika leverantörer. Förstudien mynnade ut i att en djupare analys av inköpsfunktionen inom landstinget genomfördes av externa konsulter. Genomlysningen har renderat i en bedömning att det ska vara möjligt att göra besparingar inom inköp om totalt 50 mnkr, i jämförelse med 2008, under 2010 och 2011. Inköpen har grupperats i 24 kategorier, varav 10 har blivit prioriterade. Inom respektive kategori har sedan olika möjligheter till besparingar identifierats. Till budgetarbetet för 2010 lämnades instruktioner kring vilka områden besparingar ska göras. I projektet med inköpsprocessen har även en verktygslåda för inköpsavdelningen tagits fram i vilken möjligheterna till besparingar presenteras. Dessa möjligheter sammanfattas i 10 punkter: Standardisering Minskat nyttjande av en vara/tjänst Väga servicenivåer mot kostnader Samordna behoven inom landstinget Effektivitetshöjande åtgärder Garantera volymer till leverantörerna Bundling och leverantörskoncentration Konkurrensutsättning och omförhandlingar Totalkostnadsperspektiv Beställning och avtalsefterlevnad Införandet av inköpssystem är försenat på grund av att upphandlingen överklagades. Denna process har börjat om och arbetet med att gå igenom anbuden har påbörjats. Inköpssystemet beräknas vara igång i pilotprojekt i början av år 2011 och systemet beräknas vara i full drift i början av 2012. Den totala besparingen om 50 mkr tros uppnås under 2011. Under 2010 var tanken att 30 mkr skulle sparas men under det gångna året uppgår besparingen till endast 10 mkr vilket hänförs till förseningen av inköpssystemet. Det finns en risk att besparingarna försenas ytterligare på grund av svårigheter med implementering av inköpssystemet. Implementeringen kommer att kräva stora utbildningsinsatser men det kommer även ta tid att lägga in alla avtalen i systemet. 7 av 28

Kommentar I inköpsprojektet identifierades ett antal möjliga besparingar. Första året som detta skulle ge effekt var 2010, vilket även fick genomslag i budgeten. På grund av bland annat förseningar med upphandling av ett nytt inköpssystem har önskade effekter inte kunnat uppnås under året. De ekonomiska effekter som projektet kommer att ge, kommer att följas närmare i en separat granskning kring åtgärder för en ekonomi i balans. 2.1.2 Faktureringsrutin och attestrutiner Direktiv för attest I december 2009 (LF 2009-12-08 262) beslutades det om ett nytt direktiv för attest och utbetalning. Detta kompletterades sedan med anvisningar som antogs av landstingsstyrelsen i januari 2010 (LS 2010-01-27 19). I anvisningarna framkommer det bland annat att ekonomiavdelningen inom LOV (Lednings- och verksamhetsstöd) ska bevaka att endast behöriga attestanter finns registrerade och förtecknade i ekonomisystemet. I anvisningarna framgår vilka blanketter som ska fyllas i och godkännas vid upplägg av en ny behörighet. Blanketterna undertecknas och sänds manuellt till ekonomiavdelningen. Under året har ett underlag över aktuella attestanter i systemet sänts ut till verksamheterna, för att säkerställa att inga gamla behörigheter ligger kvar. Tanken är att dessa kontroller ska göras regelbundet. I anvisningarna framkommer vidare att det finns beloppsgränser för beslutsattest för de olika organisationsnivåerna. Om fakturan överskrider beloppsgränsen ska fakturan inte bara attesteras på aktuell organisationsnivå utan även av överordnad chef. Följande beloppsgränser gäller: Vårdenhet/Enhet (VE/E) Verksamhetsområde/Avdelning (VO/A) Division/Förvaltning (D/F) Landstingsdirektör upp till 125 000 kr 125 001 kr 500 000 kr 500 000 kr 2 000 000 kr över 2 000 000 kr Om en faktura överskrider en beloppsgräns går fakturan med automatik i systemet vidare till överordnad chef efter det att den är beslutsattesterad på den första nivån. Detta innebär att de fakturor som överstiger 2 mkr attesteras på samtliga nivåer och slutligen av landstingsdirektören. I anvisningarna har det även införts en utbetalningskontroll, som även den ska genomföras av ekonomiavdelningen. I denna kontroll ska en rimlighetsbedömning göras av det totalt utbetalda beloppet. Utöver detta ska kontroll ske av samtliga fakturor som överstiger 200 tkr samt stickprovskontroll av övriga fakturor. Kontrollen innebär i praktiken att den som utför kontrollen stämmer av fakturabeloppet på fakturan med det belopp som har registrerats för utbetalning. När kontroll har utförts, sätter den som kontrollerat, sin signatur på fakturan, elektroniskt i Agresso. 8 av 28

Förslagskontering För att förbättra kvalitén när det gäller fakturahantering, konteringsinformation och information som ska lämnas på leverantörsfakturorna, infördes under 2009 ett försök med s.k. förslagskontering, vilket innebar att ett par personer arbetade med att förslagskontera fakturor innan de sändes ut för attest. Under 2010 har försöket utvecklats och idag finns funktionen inom de flesta verksamheter. Det finns fyra grupper på ekonomiservice med tre personer i varje grupp samt en grupp på Gävle sjukhus bestående av två personer. Dessa personer har till uppgift att förslagskontera leverantörsfakturorna samt att kontrollera att korrekt information om till exempel syfte och deltagare vid representation/ resor lämnas på fakturorna. De kontrollerar även leverantörerna vid nyuppläggning. Enligt uppgift från ekonomiservice har försöket med förslagskontering fallit väl ut. Kommentar I föregående års granskning konstaterades att landstingets koncernledning hade fått i uppdrag att ta fram ett förslag till ny attestordning. Vi ser positivt på att nya direktiv och anvisningar har tagits fram. Detta har bland annat medfört att en översyn har gjorts av hantering av beloppsgränser samt utbetalningskontroller. Även införande av en funktion som förslagskonterar och bevakar att rätt information lämnas på leverantörsfakturorna har stärkt den interna kontrollen. Det är positivt att anvisningarna klargör vilka krav som ställs kring behörighetsupplägg i Agresso. Till detta bör även en heltäckande dokumenterad rutin avseende behörighetsupplägg upprättas. Tidigare år har det påpekats att det inte finns någon dokumenterad rutin för den manuella fakturahanteringen. Föregående år fanns planer på att upprätta rutiner för fakturahanteringen på motsvarande sätt som man gjort för kundprocessen. Detta arbete har dock inte genomförts under året. Rekommendationen är därför att ett arbete kring detta startas upp. 2.2 Lönerutin Ett projekt pågår med att införa ett nytt HR-system (Personec P), vilket kommer att medföra att landstinget under 2011 kommer att få ett nytt system för registrering av och utbetalning av löner. Även det system som finns kring självservice kommer att bytas ut. Den första löneutbetalningen i det nya systemet beräknas att göras i februari 2011. Under hösten har implementering av det nya systemet pågått och man är i dagsläget inne i en testperiod. En av de förändringar som det nya systemet medför är en utökad självservicedel, där det kommer att läggas ut ytterligare ansvar på verksamheterna kring rapportering. En annan förändring är att de registrerade uppgifterna uppdateras i systemet varje natt fram till lönebryt den 20:e för respektive månad, istället för som idag en gång per månad. Genom införandet av ett nytt system, kommer det även uppstå ett behov av att arbeta fram nya rutiner. 9 av 28

I de senaste årens granskningar har det påpekats att rutinerna kring att säkerställa att löner kontrolleras ute i verksamheterna behöver tas fram, för att ytterligare stärka den interna kontrollen. Med nuvarande rutiner genomförs, efter lönekörning, kontroller av löner av löneadministratörerna på löneservice. Det inkommer även avvikelserapportering från verksamheterna i de fall det uppmärksammas felaktigheter. Det är dock endast avvikelserapportering som inkommer, ingen bekräftelse om att samtliga uppgifter är korrekta. I de fall ingen avvikelserapportering inkommer, förutsätts det att lönerna är korrekta. I landstingsstyrelsens svar på 2008-års granskning anges att en rutin för kontroll av löner före utbetalning kommer att införas så att åtgärden bekräftas och dokumenteras. I svaret på föregående års granskning kommenteras detta inte separat i svaret. Kommentar Under året har det inte utvecklats några nya rutiner kring säkerställande av att kontroller av löner genomförs ute i verksamheterna. Genom att det nya systemet kommer att uppdatera löneuppgifter löpande, möjliggör detta mer utrymme för att genomföra kontroller av löneuppgifterna. Detta blir nu ännu viktigare när mer ansvar läggs ut på verksamheterna. Tidigare år har rekommendationen varit att det bör tas fram en rutin för att säkerställa att samtliga löner blir kontrollerade. Detta bör göras i samband med införandet av det nya systemet. 2.3 Fakturerings- och kassarutin Den 1 januari 2010 avvecklades kontant- och betalningskortshanteringen inom hela landstinget. Kontanthanteringen inom primärvården avvecklades redan 2007. Före avvecklingen fanns det 57 betalningspunkter i länet. Anledningen till avvecklingen av kontanthanteringen var både utifrån ett ekonomiskt och ett säkerhetsperspektiv. Dessutom var tanken att minska köerna vid besök. De tidigare kassorna har nu ersatts av servicereceptioner, som bland annat ska hjälpa patienten med information, besöksregistrering och frikort. För att minska trycket på servicereceptionerna och öka servicen för patienterna finns även en centralkassa. Denna funktion fanns redan före avvecklingen, men dess funktion har förändrats och utvecklats. Det finns idag tre personer som arbetar i centralkassan. De jobbar bland annat med frågor kring frikort och fakturor. Avvecklingen innebär att samtliga betalningar görs via faktura. Genom att det inte går att betala direkt vid besöket har den tidigare administrativa avgiften på fakturorna tagits bort. En bedömning från ekonomiservice är att fakturavolymen har fördubblats i jämförelse med samma period föregående år. Frågan kring möjlighet att erhålla e-faktura och betalning via autogiro utreds för närvarande. Ursprungligen fakturerades varje besök separat, men under året har det införts en samfakturering, där patienten får sina besök för en vecka samlad på samma faktura. Från försystemen skapas en fil för 10 av 28

varje dag, men för att kunna hantera samfaktureringen, sker fakturering en gång per vecka, där de aktuella dagarna samlas upp. En av fördelarna med att gå över till fakturering av besöken, var att det skulle bli en snabbare och enklare hantering av högkostnadsskyddet. Idag behöver patienten inte invänta och betala fakturorna innan de har rätt till frikort, utan det räcker med att besöken har fakturerats. Frikorten lämnas ut av servicereceptionerna eller på hälsocentralerna när besök har gjorts om 900 kr. Under hösten har landstinget även påbörjat med att sända hem frikorten till patienterna. Det har även införts en möjlighet till förskottsbetalning. I samband med fakturering, görs en kontrollkörning mot frikortsregistret. I de fall det finns ett faktureringsunderlag till en patient som har frikort, tas denna faktura bort före fakturering. I de fall uppgifter inte har hunnit registreras avseende frikort kan en faktura sändas ut fast patienten redan har uppnått gränsen på 900 kr. I dessa fall makuleras fakturan i efterhand och inbetalt belopp återbetalas. Kommentar När kontanthanteringen avvecklades i början av året innebar detta även att de synpunkter som lämnades i föregående års granskning kring kontanthanteringen inte längre är aktuella. Den nya hanteringen har dock inneburit en ökad faktureringsvolym, vilket ställer större krav på att faktureringsrutinerna fungerar. Rutinerna för kundfakturering upprättades under 2009, men har inte uppdaterats under 2010. Uppfattningen från de som arbetar med faktureringen är att den i stort fungerar bra, men under hösten har det dock uppstått ett tillfälle då fakturor för samma period sänts ut dubbelt. Detta medförde mycket merarbete för personalen på ekonomiservice. Det är av vikt att utreda orsaken till dubbelfaktureringen och införa rutiner för att detta inte ska upprepas. I samband med tidigare års granskningar har det konstaterats att det inte funnits någon kontroll av de fakturafiler som kommer in utan att de sänts iväg utan kontroll. Det har påpekats vikten av att införa en kontrollrutin där det görs kontroll av antalet fakturor samt fakturerat totalbelopp, för att säkerställa att fakturorna som sänds ut är korrekta. Genom att underlag stoppas under faktureringen, om patienten har frikort, uppstår vissa svårigheter med att göra avstämningar. Rekommendationen kvarstår beträffande att en rutin bör införas i samband med fakturering som säkerställer att väsentliga kontroller genomförs. 2.4 Personalförmåner, gåvor och representation I samband med den löpande granskningen genomförs stickprovskontroller av leverantörsfakturor, för att kontrollera tillförlitligheten i hanteringen. Tidigare år har brister kring uppgifter om syfte och deltagare vid intern och extern representation samt momshantering konstaterats. Även när det gällde rese- och utbildningskostnader har det uppmärksammats brister kring uppgifter om syfte och deltagare. 11 av 28

Information har lämnats vid ett flertal tillfällen kring vilka uppgifter som skall framgå på en faktura avseende representation, resor och utbildning. För att ytterligare stärka den interna kontrollen har det även införts kontroller i samband med förslagskontering (se avsnitt 2.1.2). Vi har granskat fakturor inom kostnadsslagen intern- och extern representation, resor samt utbildning. Tabellen nedan visar vilka kontroller vi har gjort för respektive kostnadsslag: Kostnadsslag Syfte Deltagare Moms Representation * X X X Resor X X Utbildning X X * Momsavdrag max 22,50 per person Resultat Den generella bedömningen är att informationen på fakturorna har förbättrats i jämförelse med tidigare år. Uppfattningen är att detta är ett resultat av lämnad information samt arbetet med kontroller hos de som arbetar med förslagskontering. Några av de granskade fakturorna på kontot för representation saknar uppgift om syfte och/eller deltagare. Avseende momshanteringen har några av de granskade representationsfakturorna behandlats felaktigt då hela momsen har dragits av. Även i år framgår det syfte/kurs på övervägande delen av de granskade utbildningsfakturorna, men på vissa saknas alltjämt uppgift om deltagare. Uppgifterna på granskade resefakturor saknas i något större omfattning än utbildningsfakturorna. En stor del saknar uppgifter om syfte och/eller deltagare. Enligt landstingets anvisningar för attest och utbetalning ska fakturor vara attesterade av minst två personer, varav en beslutsattestant. Den som utför beslutsattest får dock inte attestera en utbetalning eller ett inköp till sig själv eller till närstående. Sådana ska beslutsattesteras av överordnad. Vidare ska inte beslutsattest utföras av den som konsumerat eller använt varan eller tjänsten (till exempel resor, logi, representation, kurser, mobiltelefon mm). Dessa ska beslutsattesteras av överordnad. Några av de granskade fakturorna är attesterade av deltagaren/resenären. 12 av 28

Kommentar Rekommendationen är att fortsätta arbetet med kontroller samt förmedla information till berörda avseende vilka uppgifter som ska framgå på fakturan. 2.5 Övrigt 2.5.1 Löpande avstämningar Enligt den rutin som har tagits fram kring kontoavstämningar, ska samtliga konton stämmas av varje månad. Det är dock endast i samband med delårs- och årsbokslut som det ställs krav på att den gemensamma blanketten för kontoavstämning används. För att säkerställa att avstämning görs varje månad anger landstingsstyrelsen i sitt svar till 2008-års granskning att chefen för ekonomiservice via stickprov ska kontrollera att kontoavstämningar gjorts för samtliga månader. I samband med granskningen 2009 hade stickprovskontrollerna inte genomförts, men skulle genomföras under hösten. I årets granskning har underlag för kontroll efterfrågats, men inte erhållits, med hänvisning till att chefen för ekonomiservice har slutat sin tjänst. I samband med granskning av delårsbokslut per 31 juli kontrollerades avstämningarna. För samtliga granskade balanskonton fanns specifikationer upprättade och underskrivna. Merparten av eventuella differenser var också förklarade eller kommenterade. Kommentar I samband med delårsbokslutet gjordes bedömningen att avstämningarna i huvudsak fungerar väl. Rekommendationen är dock att det säkerställs att rutinen för stickprov av avstämningar genomförs i enlighet med rutinen. 3. Fortlöpande avstämning av det nya ekonomisystemets funktionalitet och tillförlitlighet 3.1 Koppling mellan Cyklop och övriga system Under senare år har landstinget utvecklat ett verksamhetsstödssystem. Systemet bygger på ett affärsoch verksamhetsstödssystem som heter Diver, som sedan har vidareutvecklats, för att täcka de behov och krav som finns inom landstinget. Systemet interna namn är Cyklop. Användarna kan inte registrera några uppgifter i systemet utan kan endast läsa uppgifter ur systemet. Data hämtas från 26 olika källsystem, bland annat hämtas uppgifter kring ekonomi, personal, läkemedel, vårdproduktionsstatistik, tillgänglighet samt befolkningsuppgifter. Data från de olika systemen likställs, dvs data anpassas för att få en enhetlig utformning kring till exempel organisation, innan den läggs ner i ett datalager. Från datalagret hämtas data och presenteras i Cyklop. Den data som presenteras i Cyklop kvalitetssäkras mot källsystemen. Enligt den statistik som tas fram kring användningen av systemet, finns det 950 registrerade användare varav mer än hälften använder det minst en gång i månaden. De största användargrupp- 13 av 28

erna är chefer/chefsstöd samt personal inom LOV. Målet är att minst 90% av cheferna 2012 ska använda systemet. Idag är det ca 60% av cheferna som använder systemet. Interna utbildningar genomförs i form av en trappstegsmodell, där den första nivån är en grundkurs och sedan finns det ett antal påbyggnadsutbildningar beroende på behov och önskemål kring användningen av systemet. Utveckling av systemet pågår kontinuerligt. Tanken är att utvecklingen är behovsstyrd, där systemet utvecklas utifrån önskemål och beställningar från verksamheten. Önskemål finns bland annat kring att lyfta in journaldata. Det finns dock i dagsläget begränsningar i hur stora datamängder som kan hanteras. Önskemål finns även att koppla till ytterligare system. För 2011 blir det aktuellt att göra anpassningar för det nya HR-system som kommer att tas i drift. Det finns även planer på att göra en uppgradering av systemet, som kommer att medföra att det presenteras en styrkortsliknande förstasida när man går in i systemet. Kommentarer Efter kontakt med ett antal verksamhetschefer är bedömningen att systemet till stora delar fungerar väl och uppfattas som lättanvänt. Vissa uppfattar det dock som svårt att navigera i systemet och svårt att ta fram presentationer. Flera av de intervjuade personerna har inte gått någon utbildning, men tycker att de kunde hantera systemet ändå. De var i stort nöjda med det dagliga stödet. Det framkom under intervjuerna att det råder osäkerhet kring när data för en aktuell månad är uppdaterad och från vilket källsystem uppgifterna kommer. Ekonomiuppgifterna låses vid ett visst tillfälle, men för övriga data kan förändringar göras tillbaka i tiden. För att säkerställa att inga förändringar sker för långt i efterhand är det av vikt att hitta rutiner för inrapportering till källsystemen. Önskemål har även framförts kring att användarna ska kunna hitta information om vilket källsystem data har hämtats ifrån. 14 av 28

4. Tillförlitliga och säkra rutiner ur ett verksamhetsperspektiv 4.1 Telefoni Landstingets revisorer har tidigare granskat landstingets telefoniverksamhet med fokus på kostnadsreduceringar i samband med outsourcing av telefoniverksamheten. Då lämnades synpunkter på den bristande kostnadskontrollen. Intervju har i detta avsnitt genomförts med telefoniansvarig inom landstinget Gävleborg. Telefoniansvarig finns placerad inom IT-avdelningen (Lednings- och verksamhetsstöd). Avtal Telia är leverantör av såväl fast telfoni som mobiltelefoni till landstinget. Avtalet med Telia är ett funktionsavtal. Detta innebär att landstinget betalar per anknytning och genererar därför inte särskilt höga växelkostnader etc. Avtalet med Telia går ut 2011-12-31 för den fasta telefonin. För den mobila telefonin finns ett särskilt avtal med Telia som reglerar trafikkostnaden. Antalet fasta anknytningar (fast telefoni och bärbar telefoni) uppgår till ca 7 000 st. Inom landstinget finns även 1 850 mobiltelefoner. Ett separat avtal med Systeam reglerar inköp av mobiler. För inköpen av vanliga telefoner finns inget avtal utan detta sköter landstinget själva. Växel Telefonväxeln är outsourcad sedan år 2002. Inledningsvis sköttes växeln från ett företag i Avesta men från och med upphandlingen 2008 är det ett företag i Kalix vid namn Tele24 som sköter växelfunktionen. Telefonisterna är placerade i Kalix och de svarar i princip för hela landstinget. Endast ett fåtal hälsocentraler ligger utanför men i dagsläget pågår enligt landstinget ett arbete med att föra in dessa i den gemensamma växeln. På Tele24 i Kalix arbetar totalt ca 70 personer. Av dessa arbetar 15 telefonister endast mot landstinget Gävleborg. Vidare har landstinget en utsedd kontaktperson i Kalix. Dessa 15 personer har genomgått en särskild utbildning för att lära sig mer om Landstinget Gävleborg. Det har nu även kommit önskemål om en vidareutbildning av dessa som ska ske under 2010. Antalet samtal till växeln uppgår till 90 000 95 000 samtal per månad. Kalix får betalt per besvarat samtal. Om den som ringer in väljer att vänta kvar och sedan hamnar i växeln igen räknas detta som en ny inringning. 15 av 28

Avtalet som styr växelfunktionen är separat från övriga telefoniavtal och löper mellan 2009-01-01 till 2011-01-01. Nuvarande växel börjar bli underdimensionerad vilket bl a beror på utökningen av det bärbara systemet. I dagsläget pågår därför diskussioner med Telia för att lösa problemet då landstinget fortsätter att öka andelen anknytningar genom bland annat ut- och nybyggnationer. Detta är en aktuell och stor fråga som måste lösas relativt snart. Den resursperson (telefoniansvarig) som finns placerad inom Lednings- och verksamhetsstöd har regelbundna driftmöten med leverantören Telia. Vid dessa närvarar telefoniansvarig samt representanter ifrån Telia. Driftmötena sker 4 gånger per år och där diskuteras allt från tekniska problem till ekonomi. Landstinget har en kontaktperson på Telia som är dedikerad till dem. Telefoniansvarig har enligt uppgift daglig kontakt med den personen. Enligt telefoniansvarig ligger en del enheter utanför landstingets växel. Dessa har istället egna mindre omfattande avtal med leverantörer. Orsaken till att några ligger utanför beror på att det tidigare inte fanns tekniska möjligheter. Verksamheter vid Bollnäs sjukhus är på gång att upphandlas. Bollnäs sjukhus kommer att ligga kvar inom landstingets växel även efter upphandlingen. Telefoniansvarig är delaktig i arbetet kring detta. Den nye entreprenören kommer att få betala för utnyttjandet. Exakt hur beloppet skall beräknas och storleken är inte klar för närvarande. Avtalet med Telia är en del av ett större riksomfattande avtal det s k Vervaavtalet. Vervaavtalet är ett resultat av en större upphandling som görs av Verket för förvaltningsutveckling. Avtalet är ett ramavtal som styr de enskilda landstingens avtal. I detta avtal finns bland annat en riktprisordning för telefonitjänsterna. Operatörerna försöker dock lokalt att förhandla kring priser men Verva styr i grunderna. Uppföljning Företrädare från landstinget anger att operatören i Kalix har haft en del inkörningsproblem. Ett problem är felkopplingar. Orsaken till dessa är dels att den nye operatören inte har fullständig kunskap om landstingets organisation och dels dåligt uppdaterade register, Telesök, från landstingets sida. Hur stort problemet med felkopplingar är, är emellertid svårt att avgöra. Landstingspersonal lämnar dock avvikelserapporter till telefoniansvarig som för diskussioner med företaget i Kalix och även översänder avvikelserna för åtgärd. Företaget tar sedan kontakt med berörd personal för att lösa problemet. När avvikelsen är hanterad lämnas en kvittens till telefoniansvarig. Antalet avvikelser uppgår till 130 st per år varav ca 30 % är av sådan art att de inte hanteras utan läggs åt sidan. Dessa är oftast kopplade till telefoni och inte till växel/telefonistfunktionen. De vanligaste avvikelserna handlar om svarstider eller felkopplingar. Gällande svarstiderna får telefoniansvarig statistik om dessa och enligt uppgift är den genomsnittliga svarstiden 9 sekunder (baserat på 75 000 samtal). 16 av 28

Sökarsystem Ett fungerade sökarsystem är viktigt ur ett säkerhetsperspektiv dvs att snabbt kunna få tag på rätt person. Telefoniansvarig upplever att sökningsfunktion fungerar bättre nu än tidigare men är långt ifrån felfri. Systemet som växeln använder sig av ägs och förvaltas av X-fastigheter. Respektive verksamhet äger och ansvarar för sökaren. De brister som förekommer är att det sker en felsökning (fel person), handhavandefel i verksamheten (sökaren fungerar inte). En orsak till felsökning är att det finns tre olika områden i sökarsystemet. Områdena är geografiska och sökarnumren finns inom flera av dessa. Detta ställer till problem för telefonisterna och innebär att personen som söker måste veta i vilket område personen som skall sökas befinner sig. För landstinget gäller även att ha aktuella jourlistor så att operatören vet vem som skall sökas. Ett arbete pågår för att forma en rutin så att jourlistorna alltid är aktuella. Kostnader jämfört med tidigare Jämfört med kostnaderna år 2008 så är nu år 2010 kostnaden för telefonin ca 10 mnkr lägre för landstinget totalt. Detta beror på förbättrade avtal men även på den tekniska utvecklingen som numera medger kostnadsfria interna samtal. Även telefonistkostnaderna har minskat sedan Kalix tog över denna tjänst. Minskningen uppgår till 1 mnkr i snitt per år. Varje enhet får betala de egna telefonikostnaderna. Ingenting ersätt centralt. För den fasta telefonin kommer faktura en gång i kvartalet via en samlingsfil där samtliga telefonkostnader specificeras per anknytning och sorteras per kostnadsställe. Fördelning sker sedan på respektive enhet. Gällande mobilerna går fakturorna direkt ut till respektive enhet som står som ägare på telefonabonnemanget. Tillgänglighet Gällande tillgängligheten uppges vid intervjun att det har varit en explosionsartad utveckling inom detta område. Till exempel väljer allt fler enheter inom landstinget att införa TeleQ 1. Vid intervjuer uppges även att det pågår flera olika förbättringsarbeten inom detta område på såväl hälsocentraler som på enheter på sjukhusen. TeleQ är webbaserat vilket innebär att enheterna kan hjälpa varandra vid anhopningar av samtal. 1 TeleQ är ett särskilt företag i Uppsala. Det är dock integrerat med Telia. Landstinget har ett särskilt avtal med dessa så att de enheter som väljer att införa detta får landstingspriser. På TeleQ har landstinget en särskild kontaktperson som enheterna ringer till. 17 av 28

Intern kontroll Enligt telefoniansvarig har landstinget inga större problem med privata utringningar. Vidare uppges att landstinget har en utlandsspärr samt spärrat vissa telefonnummer som exempelvis nummerupplysningsnummer för att hålla nere kostnaderna. Vid intervjun uppges att det tidigare fanns telefoner i kulvertarna som var tillgängliga för alla men inte var spärrade för utlandssamtal. I dagsläget har detta åtgärdats. Ansvaret att dra gränserna för det privata användandet uppges ligga på respektive chef. Cheferna har också möjlighet att ringa in och häva spärrar men för att häva en spärr krävs särskilda skäl. Datatrafiken (ex synkronisering av mail) på mobilerna uppges ha varit ett område där risken varit att kostnaderna ska dra iväg. Landstinget har därför förhandlat fram ett fast pris med Telia så att kostnaderna inte skall skena. (Fri datatrafik för 99 kr i månaden). Det pågår ett fortlöpande arbete att rensa bland anknytningar som inte behövs i verksamheten. På intranätet finns information om hur man går till väga vid felanmälningar, beställningar etc. Övrigt Folktandvården ligger utanför landstingets system. De har ett eget avtal. Enligt telefoniansvarig finns dock önskemål från FTV att ansluta sig till landstingets avtal och upphandlingar. En fortsatt dialog kring detta uppges pågå. Kommentar Ur ett säkerhetsperspektiv är det väsentligt med rutiner som säkerställer en fungerande sökarfunktion kompletterat med aktuella jorulistor. Uppdaterade register (Telesök) är väsentligt för att växeloperatören skall kunna söka rätt i organisationen. Det är tillfredställande att kostnaderna för landstingets telefoni nu kan följas. Ytterligare åtgärder kan vidtas för att sänka kostnaderna ex färre anknytningar och färre interna samtal till växeln. Det är väsentligt att telefoniansvarig fortsätter att följa upp de avvikelser som rapporteras och att verksamheten även fortsättningsvis får återkoppling på vidtagna åtgärder. Hur de inringande personerna upplever telefoniservicen följs inte upp i dagsläget. 18 av 28

4.2 Internetanvändning Inom landstinget finns sedan 5-6 år ett regelverk för internetanvändning. Regelverket är tillgängligt för alla då det är utlagt på Plexus. Landstinget har ett filtreringssystem. I detta system har flera webbsajter blockerats. Systemet ska bland annat skydda mot skadlig kod samt internetanvändning som strider mot landstingets policys. Filtreringssystemet grundar sig på en klassificering av webbsidor i olika kategorier exempelvis nyheter, politik, hälso- och sjukvård, politik, säkerhetsproblem etc. Var och en av de större kategorierna har sedan underkategorier. Landstinget kan välja att antingen spärra en huvudkategori eller spärra underkategorier. Systemet fungerar så att när en adress matas in, kollar datorn med regelverket utifrån denna klassificering om sidan är tillåten eller spärrad. Filtreringssystemet uppdateras varje dag. I filtreringssystemet loggas användare, dator, tidslag, webbsida etc. vilket samlas i en databas. Leverantören av filtreringssystemet heter Websense. Att använda internet för privat bruk är tillåtet så länge det inte stör arbetet eller strider mot landstingets policys. Tidigare har man spärrat vissa sociala medier, men eftersom vissa sidor används i det dagliga arbetet så hävdes denna spärr. Uppföljning med statistik lämnas inte till cheferna på regelbunden basis. Det uppges finnas planer på att ta fram statistik på divisionsnivå uppdelat i kategorier som visar vad personalen surfar på för webbsidor. Statistik på individnivå tas endast ut vid misstanke om övertramp. När denna typ av statistik tas ut måste den berörda individen informeras. Under 2010 har landstinget haft färre än fem fall på individnivå. En gång per år görs en större mätning av internetanvändningen inom landstinget och sammanställs i en rapport. Rapporten för år 2010 är ännu inte klar. Ett par gånger per månad tas det ut övergripande statistik på internetanvändningen i landstinget. Statistik tas även ut för att undersöka om det varit några oproportionella ökningar inom internetanvändningen. Ökningar rapporteras till personaldirektören. I intervjuer framkommer att det förebyggande arbetet är viktigt. Det pågår en diskussion inom LOV om behovet av en handbok vad avser informationsspridning som förtydligar rättigheter och skyldigheter. Det är även väsentligt att föra en dialog på arbetsplatsnivå för att regelverken skall få ett genomslag. Ett annat problem med internetanvändande uppges vara informationsläckage via internet. Det framkommer i intervjuer att landstinget idag inte vet vilken information som exempelvis namn, personnummer etc. som skickas via nätet eller i vilken omfattning informationen skickas. Det pågår dock ett arbete med att ta fram ett dokument med vad landstinget behöver för övergripande skydd för att kunna skicka information elektroniskt. 19 av 28

Under 2011 kommer det även att genomföras en bredare översyn av känslig information i landstingets nät. Ett område som måste hanteras är huruvida patienter som exempelvis är inlagda på sjukhus ska ha tillgång till internet och hur detta ska kunna införas på ett bra sätt. Kommentar Fortsatt uppföljning av internetanvändning för att säkerställa att internet används utifrån beslutade regelverk. Säkerställa att informationsläckage inte förekommer som kan stå i konflikt med sekretess och patientens integritet. 4.3 Loggkontroller Informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) I föreskrifterna regleras närmare hur informationssäkerheten skall utformas, behörighetsrutiner, patientjournalens innehåll etc. I föreskriftens 11 behandlas Kontroll av åtkomst till patientuppgifter. Där nämns att det skall finnas rutiner som säkerställer att 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna vidtagits, 3. användarens och patientens identitet framgår av loggarna, 4. systematiska och återkommande stickprovskontroller av loggarna görs, 5. genomförda kontroller av loggarna dokumenteras, och 6. loggarna sparas i minst 10 år. I 19 regleras verksamhetschefens ansvar vilket bl a innebär ett ansvar för uppföljning av informationssystemens användning genom regelbunden kontroll av loggarna. Regler angående loggkontroller finns även med i Patientdatalag (2008:355). Loggkontroller Landstinget Gävleborg efterlevnad Tidigare sköttes loggkontrollen av systemadministratörer ute på respektive enhet inom landstinget. Den 1 november 2009 flyttades dessa systemadministratörer in centralt i och med projektet verksamhetsnära administration. Datainspektionen har via en kontroll i december 2009 framfört kritik mot landstinget hur loggkontroller genomförs. Efter detta har en ny rutin utarbetats. Rutinen är färdigställd och nyligen beslutad. Det som krävs nu är att göra rutinen känd i organisationen. I intervjuer med ansvariga framgår med tydlighet att Landstinget inte följer patientdatalagen eller SOSFS 2008:14. 20 av 28