BARN- OCH UTBILDNINGSFÖRVALTNINGEN TJÄNSTEUTLÅTANDE DATUM DIARIENR SIDA 2015-05-18 GSN-2015/469.194 1 (3) HANDLÄGGARE Dahlgren Jespersson, Pirjo Pirjo.Dahlgren-Jespersson@huddinge.se Gymnasienämnden Granskning av vidtagna åtgärder kopplade till manuella betalningar Förslag till beslut Nämnden godkänner förvaltningens synpunkter och överlämnar tjänsteutlåtandet till kommunstyrelsen som nämndens yttrande i ärendet. Sammanfattning Efter revisionsgranskning avseende vidtagna åtgärder kopplade till manuella betalningar på förvaltningen har revisorerna kommit med rekommendationer om förändrad kontroll. Detta ska säkerställa att löner attesterats av chef innan utbetalning sker. Vidare rekommenderar revisorerna att förvaltningen tar fram rutinbeskrivningar över hur ändringar i Procapita ska genomföras, dokumenteras och åtgärdas vid avvikelser. Förvaltningen tar till sig dessa synpunkter och kommer att ta fram bättre rutinbeskrivningar samt komplettera de befintliga kontrollerna vad avser utbetalningarna till fristående förskolor och skolor. Beskrivning av ärendet Kommunens revisorer har följt upp den tidigare granskningen av manuella betalningar som genomfördes våren 2014 som avsåg två förvaltningar, SÄF (Social- och äldreomsorgsförvaltningen) och BUF (Barn- och utbildningsförvaltningen). Revisorerna har granskat hanteringen av utbetalningar via systemen Heroma som avser löner, utbetalningar via Proceedo som avser leverantörsfakturor samt Procapita som är ett verksamhetssystem för ärendehantering inom SÄF och för dokumenthantering inom BUF. Totalt betalar förvaltningarna årligen ut drygt 5 mdkr via dessa system där utbetalningarna via Heroma står för ca 65 procent, Agresso ca 20 procent och Procapita 15 procent. Revisorerna pekar på risker i de interna kontrollerna avseende hantering i Heroma där 270 anställda på förvaltningarna har möjlighet att ändra löner, begära utbetalningar och rapportera utlägg. Inga avvikelser har dock noterats vid de genomförda stickproven. POSTADRESS Barn- och utbildningsförvaltningen 141 85 Huddinge BESÖKSADRESS Gymnasietorget 1 TELEFON (VX) OCH FAX 08-535 300 00 08-535 360 02 E-POST OCH WEBB huddinge@huddinge.se www.huddinge.se
BARN- OCH UTBILDNINGSFÖRVALTNINGEN TJÄNSTEUTLÅTANDE DATUM DIARIENR SIDA 2015-05-18 GSN-2015/469.194 2 (3) I samband med denna granskning identifierades ett antal brister i de interna kontrollerna kopplade till verksamhetssystemen Heroma och Procapita. Revisorerna har noterat att det i vissa fall förekommit att kontrollen inte utförts på det vis som framgår av rutinbeskrivningen. Revisorerna har givit följande rekommendationer: - att alla granskande nämnder inför en kontroll som säkerställer att nya löner attesteras av chef innan utbetalning sker - att förskolenämnden, grundskolenämnden och gymnasienämnden tar fram rutinbeskrivningar över hur kontroller av ändringar i Procapita ska genomföras, dokumenteras samt åtgärdas id eventuella avvikelser. Listan som används ska bedömas utifrån historisk data. - att förskolenämnden, grundskolenämnden, gymnasienämnden, socialnämnden samt äldreomsorgsnämnden stärker kontroller kopplade till löneutbetalningar. Kontrollerna bör genomföras innan löneutbetalningarna sker. Det bör finnas en kolumn med uppgifter som möjliggör jämförelse mellan perioder för den rimlighetsbedömning som sker. Förvaltningens synpunkter Förvaltningen menar att det är av vikt att ständigt arbeta för att stärka och utveckla rutiner och internkontroll och välkomnar revisorernas granskning. Chefsuppdrag i Huddinge kommun innebär verksamhetsansvar, personalansvar och ekonomiansvar. Det är därmed chefen som är ansvarig för att utbetalningar sker på ett korrekt sätt genom de olika systemen. Avseende hantering av dokumentationen i Procapita Procapita inom Barn- och utbildningsförvaltningen används som dokumentationssystem. Varje månad granskas en lista över kommunens barn/elever som går i förskola och skola samt att ersättningarna är korrekta. Granskningen görs av placeringsassistent och ekonom. En reviderad lista godkänns och attesteras av ansvarig chef på förvaltningen. När listan är godkänd skickas den vidare för kontroll till skolsekreterare, utredningssekreterare samt ekonomer på förvaltningen. Ett granskat utbetalningsunderlag godkänns och attesteras av ansvariga chefer på förvaltningen. Sedan skickas filen till kommunstyrelsens förvaltning som gör en filbetalning via Agresso. Ny rutin är upprättad från och med 2014 som tydliggör kontroll av utbetalningar. Revissorsarna vill se att denna rutin förtydligas ytterligare. Rutinen avser avvikelserapportering. Rimlighetsbedömningen i listan bör baseras på historisk data. Detta är fullt möjligt och förvaltningarna ska komplettera den befintliga rutinbeskrivningen. Dessa rutiner ska vara klara i augusti.
BARN- OCH UTBILDNINGSFÖRVALTNINGEN TJÄNSTEUTLÅTANDE DATUM DIARIENR SIDA 2015-05-18 GSN-2015/469.194 3 (3) Avseende hantering av löner genom Heroma Innan en chef eller en administratör får behörighet till Heroma för att kunna genomföra förändringar av fast data krävs deltagande i en 3,5 dagars utbildning. Därefter erbjuds stöd från förvaltningens personalavdelning, samt från KSFs personalavdelning. Förvaltningen kommer att se över rutiner för chefernas attest av nya löner enligt revisorernas förslag tillsammans med KSFs personalavdelning och systemförvaltning. Jukka Kuusisto Utbildningsdirektör Pirjo Dahlgren Jespersson Ekonomichef Bilagor Revisionsskrivelse till Kommunstyrelsen i Huddinge kommun från EY daterad den 21 april 2015 Beslutet delges Kommunstyrelsen Akten
KOMMUNSTYRELSENS FÖRVALTNING REMISSMISSIV DATUM DIARIENR SIDA 2015-04-22 KS-2015/747.912 1 (1) HANDLÄGGARE Fedorova, Antonina Antonina.Fedorova@huddinge.se Remissinstanser: Förskolenämnden Grundskolenämnden Gymnasienämnden Socialnämnden Äldreomsorgsnämnden Granskning av vidtagna åtgärder kopplade till manuella betalningar Bifogade handlingar översänds till ovanstående remissinstanser för yttrande senast den 30 juni 2015. Handläggare: Pia Nordeman, ekonomiavdelningen, kommunstyrelsens förvaltning. Skicka era svar genom remissfunktionen i W3D3. Kerstin Z Johansson Kanslichef Delges Kommunstyrelsen, delegationsbeslut C:16 POSTADRESS Kommunstyrelsens förvaltning 141 85 Huddinge BESÖKSADRESS Kommunalvägen 28 TELEFON (VX) OCH FAX 08-535 300 00 08-535 301 70 E-POST OCH WEBB huddinge@huddinge.se www.huddinge.se
HUDDINGE KOMMUN Kommunatvrolaon Olerlenr 2015 04 2 1 l Dl~rl llfllln~ f8 1m, HUDDINGE KOMMUN Revisionsskrivelse 2015-03-30 Till Kommunstyrelsen Granskning av vidtagna åtgärder kopplade till manuella betalningar. EY har på uppdrag av revisorerna i Huddinge kommun följt upp den tidigare granskningen av manuella betalningar som genomfördes våren 2014 och som avsåg social- och äldreomsorgsförvaltningen samt barn- och utbildningsförvaltningen. l samband med granskningen identifierades ett antal brister i de interna kontrollerna kopplade till verksamhetssystemen Herorna och Procapita. l svaret på revisorernas skrivelse konstaterar socialnämnden, äldreomsorgsnämnden, förskolenämnden, grundskolenämnden, gymnasienämnden och kommunstyrelsen att ett antal åtgärder kommer att vidtas för att säkerställa att riktlinjer och policys följs och att den interna kontrollen stärks. Vår uppföljande granskning visar att det finns vissa kontroller i processen för manuella betalningar kopplade till systemen Herorna och Procapita. Det saknas dock beskrivningar för hur kontrollerna ska genomföras samt vilka åtgårder som ska vidtas vid avvikelser för flera kontroller. Vi bedömer att dessa bör finnas för att öka säkerheten i genomförda kontroller genom att de utförs på samma sätt oavsett vem som genomför dessa. Av rutinbeskrivningar bör även framgå hur genomförda kontroller ska dokumenteras. Vi har noterat att det i vissa fall förekommit att kontrollen inte utförts på det vis som framgår av rutinbeskrivningen. Vi rekommenderar att: Förskolenämnden, grundskolenämnden, gymnasienämnden, socialnämnden samt äldreomsorgsnämnden inför en kontroll som säkerställer att nya löner attesterats av chef innan utbetalning sker. Förskolenämnden, grundskalenämnden och gymnasienämnden tar fram rutinbeskrivningar över hur kontroller av ändringar i fasta data i Procapita ska genomföras, dokumenteras samt åtgärdas vid eventuella avvikelser. Den lista som används vid rimlighetsbedömning av ersättning till de olika enheterna bör enligt vår bedömning baseras på historiska data. Socialnämnden samt äldreomsorgsnämnden säkerställer att kontroller genomförs enligt rutinbeskrivning samt att rutinbeskrivningen kompletteras med vilka åtgärder som ska vidtas om avvikelser identifieras för att ytterligare bidra till att den interna kontrollen stärks. Socialnämnden samt äldreomsorgsnämnden månatligen genomför kontroll av att otillåtna ändringar av kontonummer inte sker. Den rutinbeskrivning som finns bör kompletteras med vilka åtgärder som ska vidtas om avvikelser identifieras för att ytterligare bidra till att den interna kontrollen stärks.
L l
Förskolenämnden, grundskolenämnden, gymnasienämnden, socialnämnden samt äldreomsorgsnämnden stärker kontroller kopplade till löneutbetalningar. Kontrollerna bör genomföras innan löneutbetalning sker. Det bör finnas en kolumn med uppgifter som möjliggör jämförelse mellan perioder för den rimlighetsbedömning som sker. Revisionsrapporten överlämnas härmed. Revisionen önskar erhålla styrelsens svar på rapporten senast den 15 maj 2015. Jäv Tomas Nordstöm har på grund av jäv inte deltagit i granskning av grundskalenämnden och kommunstyrelsen. Kurt Karlsson Ordförande föregående mandatperiod För kännedom Kommunfullmäktiges presidium
Revisionsrapport 2015 Granskning av vidtagna åtgärder kopplade till manuella betalningar Huddinge kommun lllllllil. EV Building a better working world
Innehåll 1 Sammanfattning.............. 3 2 Inledning....................... 5 2.1 Bakgrund...... 5 2.2 Syfte.............................. 5 2.3 Avgränsning...... 5 2.4 Revisionsfrågor................................. 5 2.5 Revisionskriterier...... 6 2.6 Metod och genomförande........... 6 3 Nämndernas svar på tidigare genomförd gransking...... 6 4 Resultat av genomförd granskning........... 7 4.1 Finns attester på nya lönebeslut före utbetalning av lön? Har nya löner beslutsattesterats av chef?............... 7 4.1.1 Genomförda stickprov EY... 8 4.1.2 Slutsats och rekommendation... 8 4.2 Kontrolleras ändringar av fasta data i Procapita? Hur ofta och av vem görs dessa kontroller?... 8 4.2.1 Kontroll genomförd av barn- och utbildningsförvaltningen.................... 8 4.2.2 Genomförda stickprov EY...... 9 4.2.3 slutsats och rekommendation.................... 1 o 4.3 Har kontroll av namn, kontonummer och belopp skett för gjorda utbetalningar? Hur görs och dokumenteras dessa kontroller?... 1 O 4.3.1 Kontroll genomförd av social- och äldreomsorgsförvaltningen... 1 O 4.3.2 Genomförda stickprov EY... 11 4.3.3 Slutsats och rekommendationer........ 11 4.4 Har stickprovskontroller skett som säkerställer att otillåtna ändringar av kontonummer inte skett? Vilken omfattning och hur dokumenteras de?......... 11 4.4.1 Genomförd kontroll social- och äldreomsorgsförvaltningen... 11 4.4.2 Genomförda stickprov EY............... 11 4.4.3 slutsats och rekommendation... 11 4.5 Har behörig chef månatligen attesterat löneutbetalningslistor i Heroma? Har underlagen för kontrollen förbättrats?...... 12 4.5.1 Genomförda kontroller social- och äldreomsorgsförvaltningen samt barn- och utbildningsförvaltningen..................... 12 4.5.2 Genomförda stickprov EY... 12 4.5.3 slutsats och bedömning............................. 12 4.6 Har KSF månatligen tagit stickprov från logglistan över förändringar i anställningen samt över rörliga tillägg och avdrag?........ 12 4.6.1 Genomförd kontroll av kommunstyrelsens förvaltning... 12 4.6.2 Genomförda stickprov EY........ 13
4.6.3 slutsats och rekommendation.................. 13 4. 7 Har respektive fönaltning rapporterat tillbaka till KSF att de rekommendationer om förbättringar av H e rom a och Procapita som KSF föreslår genomförts?... 13 2
1 Sammanfattning EY har på uppdrag av revisorerna i Huddinge kommun följt upp den tidigare granskningen av manuella betalningar som genomfördes våren 2014 och som avsåg social- och äldreomsorgsförvaltningen samt barn- och utbildningsförvaltningen. l samband med granskningen identifierades ett antal brister i de interna kontrollerna kopplade till verksamhetssystemet Heroma. Bland annat noterades möjligheten för ett stort antal anställda inom social- och äldreomsorgsförvaltningen samt barn- och utbildningsförvaltningen att, utan attest från chef eller annan medarbetare, ändra löner, begära utbetalningar och rapportera utlägg. Möjligheten för en person att själv administrera detta är inte förenligt med god intern kontroll. Vi noterade även att vissa processer, som ligger till grund för utbetalningar i verksamhetssystemet Procapita, saknade relevanta interna kontroller. Bland annat har anställda möjlighet att genomföra utbetalningar utan attest från chef eller annan anställd. De har också möjlighet att ändra fasta data, såsom kontonummer, utan att förändringen vare sig loggas, behöver godkännas eller på annat sätt kontrolleras. l svaret på revisorernas skrivelse konstaterar socialnämnden, äldreomsorgsnämnden, förskolenämnden, grundskolenämnden, gymnasienämnden och kommunstyrelsen att ett antal åtgärder kommer att vidtas för att säkerställa att riktlinjer och policys följs och att den interna kontrollen stärks. Vår uppföljande granskning visar att det finns vissa kontroller i processen för manuella betalningar kopplade till systemen Herorna och Procapita. Det saknas dock beskrivningar hur kontrollerna ska genomföras samt vilka åtgårder som ska vidtas vid avvikelser för flera av kontrollerna. Detta bedömer vi bör finnas för att öka säkerheten i genomförda kontroller så att de utförs på samma sätt oavsett vem som genomför dem. Av rutinbeskrivningar bör framgå hur kontrollerna ska dokumenteras. Vi rekommenderar att respektive nämnd tar fram rutinbeskrivningar för väsentliga kontroller kopplade till utbetalningar från Hero ma och Procapita. Vi har noterat att det i vissa fall förekommit att kontrollen inte utförts på det vis som framgår av rutin beskrivningen. Vi rekommenderar att respektive nämnd säkerställer att kontrollerna utförs som fastställts. Vi rekommenderar att: Förskolenämnden, grundskolenämnden, gymnasienämnden, socialnämnden samt äldreomsorgsnämnden att inför en kontroll som säkerställer att nya löner attesterats av chef innan utbetalning sker. Förskolenämnden, grundskalenämnden och gymnasienämnden tar fram rutinbeskrivningar över hur kontroller av ändringar i fasta data i Procapita ska genomföras, dokumenteras samt åtgärdas vid eventuella avvikelser. Den lista som används vid rimlighetsbedömning av ersättning till de olika enheterna bör enligt vår bedömning baseras på historiska data. Socialnämnden samt äldreomsorgsnämnden säkerställer att kontroller genomförs enligt rutinbeskrivning samt att rutinbeskrivningen kompletteras med vilka åtgärder som ska vidtas om avvikelser identifieras för att ytterligare bidra till att den interna kontrollen stärks. Socialnämnden samt äldreomsorgsnämnden månatligen genomför kontroll att otillåtna ändringar av kontonummer inte sker. Den rutinbeskrivning som finns bör 3
kompletteras med vilka åtgärder som ska vidtas om avvikelser identifieras för att ytterligare bidra till att den interna kontrollen stärks. Förskolenämnden, grundskolenämnden, gymnasienämnden, socialnämnden samt äldreomsorgsnämnden stärker kontroller kopplade till löneutbetalningar. Kontrollerna bör genomföras innan löneutbetalning sker. Det bör finnas en kolumn med uppgifter som möjliggör jämförelse mellan perioder för den rimlighetsbedömning som sker. 4
2 Inledning 2.1 Bakgrund EY genomförde under våren 2014 en granskning av Huddinge kommuns rutiner för manuella betalningar. Genomgång av kommunens betalningsflöden avsåg social- och äldreomsorgsförvaltningen samt barn- och utbildningsförvaltningen. l samband med granskningen identifierades ett antal brister i de interna kontrollerna avseende Heroma. Bristerna visade att det finns stora risker kopplade till systemet. Bland annat avseende möjligheten för ett stort antal anställda inom social- och äldreomsorgsförvaltningen samt barn- och utbildningsförvaltningen att, utan attest från chef eller annan medarbetare, ändra löner, begära utbetalningar och rapportera utlägg. Vi noterade även att vissa processer, som ligger till grund för utbetalningar i Procapita, saknade relevanta interna kontroller. Bland annat har anställda vid social- och äldreomsorgsförvaltningen möjlighet att utföra utbetalningar utan attest från chef eller annan anställd. De har också möjlighet att ändra fast data, såsom kontonummer, utan att förändringen vare sig loggas, behöver godkännas eller på annat sätt kontrolleras. l sitt svar på revisorernas skrivelse anger socialnämnden, äldreomsorgsnämnden, förskolenämnden, grundskolenämnden, gymnasienämnden och kommunstyrelsen att ett antal åtgärder kommer att vidtas för att säkerställa att riktlinjer och policys följs och att den interna kontrollen stärks. 2.2 Syfte Granskningens syfte har varit att bedöma i vilken utsträckning den personal som godkänner och utför manuella betalningar följer beslutade riktlinjer och policydokument Granskningen har genomförts genom ett antal stickprovskontroller tagits inom de områden där den tidigare granskningen identifierat brister. Granskningen avser kommunstyrelsen, socialnämnden, äldreomsorgsnämnden, förskolenämnden, grundskolenämnden, och gymnasienämnden. 2.3 Avgränsning Granskningen avgränsades till att följa upp vidtagna åtgärder med anledning av tidigare lämnade rekommendationer. 2.4 Revisionsfrågor Granskningen har genom stickprovskontroller besvarat följande revisionsfrågor:..,. Finns attester på nya lönebeslut före utbetalning av lön? Har nya löner beslutattesterats av chef?..,. Kontrolleras ändringar av fasta data i Procapita? Hur ofta och av vem görs dessa kontroller?..,. Har kontroll av namn, kontonummer och belopp skett för gjorda utbetalningar? Hur görs och dokumenteras dessa kontroller?..,. Har stickprovskontroller skett som säkerställer att otillåtna ändringar av kontonummer inte skett? Vilken omfattning har dessa stickprovskontroller? Hur dokumenteras dessa? 5
IJio Har behörig chef månatligen attesterat löneutbetalningslistor i Heroma? Har underlagen för kontrollen förbättrats, d.v.s. framgår föregående månads utbetalning samt en kolumn med differens?.,.. Har kommunstyrelsens förvaltning månatligen tagit stickprov från logglistan över förändringar i anställningen samt över rörliga tillägg och avdrag? Har underlag inhämtats från förvaltningarna? IJio Har respektive förvaltning rapporterat tillbaka till kommunstyrelsens förvaltning att man genomfört de rekommendationer om förbättringar av Heroma- och Procapitasystemen som KSF föreslår i sitt tjänsteutlåtande 2014-09-01? 2.5 Revisionskriterier Granskningen har utförts mot bakgrund mot lagar och kommunens egna styrdokument 2.6 Metod och genomförande Vår granskning baseras i huvudsak på en genomgång av kontroller granskade förvaltningar själva beskriver att de gör. Syftet med valt tillvägagångssätt är att verifiera att kontrollerna genomförs så som de beskrivs samt bedöma om kontrollerna är relevanta utifrån den risk som de avser täcka. l de fall förvaltningen inte har kontroller på plats har vi utformat egna kontroller för att identifiera eventuella avvikelser. Intervjuer har genomförts med följande: Ekonomichef SÄF Ekonomichef BUF Administratör SÄF Systemkonsulter lön Redovisningschef KSF Ekonom/controller SÄF/BUF Samtliga intervjuade har givits möjlighet att faktagranska rapporten. 3 Nämndernas svar på tidigare genomförd gransking. l samband med granskningen av manuella betalningar som vi genomförde på revisorernas uppdrag under perioden februari till april 2014, lämnades ett antal rekommendationer i syfte att stärka den interna kontrollen kopplad till förvaltningarnas utbetalningsrutiner. Granskningen omfattade socialnämnden, äldreomsorgsnämnden, förskolenämnden, grundskalenämnden och gymnasienämnden. Följande rekommendationer lämnades: Kommunstyrelsen bör omgående tillsätta resurser för en mer djupgående genomgång av de rutiner och processer som ligger till grund för utbetalningar i Procapita och Heroma. Kommunstyrelsen bör se över möjligheten att reducera antalet anställda med access att påverka utbetalningsinformation i Heroma. Kommunstyrelsen bör implementera en logglista över förändringar av fast data i både Procapita och Heromasamt tillse att denna på kontinuerlig basis gås igenom. Kommunstyrelsen bör se över rutinerna för utbetalningar via Procapita och relevanta interna kontroller bör införas. Socialnämnden konstaterar i sitt svar på revisionsrapporten att efterhandskontroller av utbetalningar kopplade till verksamhetssystemet Procapita görs, då det inte är möjligt för 6
samtliga tre attestanter att vara tillgängliga vid varje utbetalningstillfälle. Nämnden konstaterar vidare att det inte är möjligt att minska antalet medarbetare med behörighet att göra utbetalningar i Procapita. Gällande utbetalningar av försörjningsstöd menar förvaltningen att kontrollen som sker av listan för utbetalning omfattar kontroll av namn, kontonummer och belopp. De anser därmed att kontrollen som utförs är tillräcklig. Förvaltningen kommer som en del i projektet Nytt verksamhetssystem att utreda möjligheten att anskaffa en modul som visar förändringar i fasta data. Gällande personalredovisningssystemet Herorna konstaterar nämnden att de 123 personer vid förvaltningen, som har behörighet att ändra fasta data utan attest behöver ha denna behörighet. Den interna kontrollen upprätthålls genom att endast godkända förändringar registreras baserade på attesterade underlag. Inga efterkontroller sker. Äldreomsorgsnämnden konstaterar i likhet med socialnämnden att de personer vid förvaltningen som har behörighet att ändra fasta data i systemet Heroma behöver ha möjlighet att göra detta. Att endast godkända förändringar sker kontrolleras genom att inga ändringar registreras utan attesterade underlag. Inga efterkontroller sker. Förskolenämnden, gundskolenämnden och gymnasienämnden hänvisar i sitt svar till vad chefsuppdraget inom Huddinge kommun omfattar. Att vara chef innebär verksamhetsansvar, personalansvar och ekonomiansvar. Vilket innebär att chefer i kommunen är ansvariga för de utbetalningar som görs. En stor del av förvaltningens chefer har stöd från administratörer som har till uppgift att hantera en del av de ärenden som finns, kopplat till utbetalning av löner, utifrån underlag attesterade av chef. Antalet användare i systemen med vida behörigheter, behöver vara enligt nuvarande nivåer. Den interna kontrollen upprätthålls genom att alla förändringar av fasta data föregås av ett attesterat underlag som ska arkiveras i enlighet med kommunens arkivplan. Gällande attest av löner i systemet Heroma sker det genom attest av utanordningslistan som varje månad skapas i samband med att månadens slutliga lönekörning genomförts. Attest av utanordningslistan ska enligt förslag från kommunstyrelsens förvaltning ske senast den sista varje månad. Kommunstyrelsens förvaltning föreslår att en logglista över ändringar i fasta data tas fram och lämnas till förvaltningarnas personalavdelningar som dokumenterar och samlar in attesterade underlag för de förändringar som gjorts. Detta är en rutin som redan finns hos barn- och utbildningsförvaltningen. För utbetalningar via Procapita har en ny rutin upprättats från och med 2014 som tydliggör kontrollen av utbetalningar. Varje månad granskas listan över kommunens barn/elever som går i förskola/skola samt att ersättningarna är korrekta. Granskningen görs av skolsekreterare, utredningssekreterare samt ekonomer på förvaltningen. Ett granskat utbetalningsunderlag godkänns och attesteras av ansvariga chefer på förvaltningen. 4 Resultat av genomförd granskning 4.1 Finns attester på nya lönebeslut före utbetalning av lön? Har nya löner beslutsattesterats av chef? För att uppnå god intern kontroll bör behörig chef attestera nya löner vid lönerevision eller nyanställning innan utbetalning sker. För att säkerställa att löner som registreras i systemet överensstämmer med beslutade reviderade löner. Det har inte kommit till vår kännedom att förvaltningarna gör den här typen av kontroller själva. 7
4.1. 1 Genomförda stickprov EY 25 stickprov har slumpvis valts ut från vardera social- och äldreomsorgsförvaltningen respektive barn- och utbildningsförvaltningen. stickproven omfattar perioden 1 januari till och med 25 november 2014. Granskningen har genomförts genom att vi har inhämtat attesterade lönerevisionslistor och stämt av mot lönespecifikationer för valda stickprov. Granskningen visar att attester finns på samtliga granskade lönebeslut för utbetalning samt att nya löner beslutsattesterats av chef, både för barn- och utbildningsförvaltningen samt för social- och äldreomsorgsförvaltningen. 4. 1.2 Slutsats och rekommendation Vi har inte identifierat några avvikelser. Vi rekommenderar att förvaltningarna genomför denna kontroll. 4.2 Kontrolleras ändringar av fasta data i Procapita? Hur ofta och av vem görs dessa kontroller? För att uppnå god intern kontroll bör det finnas kontroller för att följa upp ändringar av fasta data i system som genererar utbetalningar. Kontrollerna ska säkerställa att det endast är behöriga personer som har gjort ändringarna samt att de ändringar som skett är korrekta. 4.2.1 Kontroll genomförd av barn- och utbildningsförvaltningen Systemansvarig vid barn- och utbildningsförvaltningen har möjlighet att ta ut en logglista på individnivå som visar vilka ändringar i fasta data som gjorts samt vem som gjort ändringarna. Enligt uppgift från de intervjuade tas stickprov av vilka ändringar som gjorts. stickproven tas en gång i veckan och kontroll sker att ändringar gjorts av behörig person. Dessa kontroller dokumenteras inte varför det inte varit möjligt att verifiera dem. Det saknas rutinbeskrivningar över hur kontrollen ska genomföras, dokumenteras samt vilka åtgärder som ska vidtas vid eventuella avvikelser. Det finns spärrar i systemet som hindrar att personer agerar utöver sin behörighet men dessa öppnas ofta upp för att öka behörigheterna. Detta beror, enligt uppgift från de intervjuade, på att handläggare måste ha tillgång till en vid behörighet för att kunna handlägga ärenden över flera områden, dvs. följa eleven genom hela processen, även vid skol byten. När information om exempelvis ny förskola/skola eller ny elev ska läggas till görs detta av controllerfunktionen som består av två personer enligt en dokumenterad rutin. Handläggare anger uppgifter om den nya leverantören, dvs. betalväg, organisationsnummer och adress. Kontakt tas med den centrala ekonomifunktionen vid kommunstyrelsens förvaltning. De kontrollerade uppgifter läggs in i leverantörsregistret av kommunstyrelsens förvaltning och därmed skapas en ny leverantör med tillhörande leverantörsnummer. Samma leverantörsnummer läggs in i Procapita. Rutinen omfattar också särskild kontroll av nyupplagda leverantörer vid första utbetalningen. Därmed är kopplingen för betalningen säkerställd. Varje månad granskas en lista över vilka av kommunernas barn/elever som går i förskola och skola samt att ersättningarna är korrekta. Granskningen görs av skolsekreterare, utredningssekreterare samt ekonomer vid förvaltningen. Granskningen omfattar både en kontroll av aktuellt barn-/ elevunderlag men också föregående månads betalning till enheten. Avvikelser granskas. Avvikelser beror på fler eller färre inskrivna barn/elever eller beslut om nya tilläggsbelopp. Det underlag som används vid granskningen är en uppskattning, baserad på erfarenhet av den totala ersättningen per enhet. Det framgår inte hur stor en rimlig 8
avvikelse får anses vara, vilket innebär att det vid en eventuell efterkontroll eller för en oerfaren medarbetare, är svårt att bedöma om de avvikelser som finns är acceptabla. En komplett utanordningslista godkänns och attesteras av ansvariga chefer för förskola, grundskola, förskolans stödteam samt grundskolans skolstöd som också omfattar särskola. När listan är godkänd skickas den vidare för kontroll av ekonom på förvaltningen och skickas därefter till kommunstyrelsens förvaltning som administrerar en filbetalning via ekonomisystemet Agresso. När granskningen av betalningsunderlaget är säkerställd startas en integrationskörning av betalning av förvaltningens ekonomer. Integrerat underlag innehåller belopp till respektive utförare/leverantör. Samtliga betalningar är preliminära utbetalningar, vilket innebär att justeringar görs två gånger per år efter att faktiska volymer stämts av. Det sker genom att en avstämning mellan systemet Procapita och skatteverket, folkbokföringsregistret, om skolan eller förskolan haft färre eller fler barn/elever än vad som angivits under året. Externa utförare (fristående och andra kommuner) lämnar löpande in ändringar om elevantal för korrekt betalning. De kommunala skolorna ansvarar för att ständigt hålla ett aktuellt elevregister. För att en skola ska registrera en elev måste eleven vara skriven i kommunen alternativt finnas i kommuninvånare registret, Kl R Kommunens skolpliktsbevakning gör att kontroll regelbundet sker av vart eleven är skriven. Procapita uppdateras veckovis med information från skatteverket. Om eleven flyttar så uppdateras systemet Procapita med informationen från Skatteverket, detta läses in med automatik varje vecka. Skolorna skickar in elevlistor två gånger per läsår. Flera skolor kan inte anmäla samma elev eftersom systemet fångar upp detta via elevens kodning. Hur stor ersättning som betalas ut per elev beslutas av nämnd. Ersättningen betalas ut månadsvis. Ingen manuell kontroll görs av Procapita av antal elever. Det är ett självrättande system vilket innebär att om det har betalats ut för mycket till en skola så kommer det uppmärksammas genom att en annan skola får för lite. Eventuella avvikelser som uppstår korrigeras i samband med de slutliga körningar som görs två gånger per år. 4.2.2 Genomförda stickprov EY För att kontrollera att medarbetarna vid förvaltningen har rätt behörigheter har vi via stickprov kontrollerat att administratörer som inte behöver vida behörigeter har det. Vi har kontrollerat att administratörerna inte kan lägga till nya elever eller ta bort befintliga elever. Vi har inte hittat några avvikelser. Vi har granskat förvaltningens avstämningsunderlag för 8 månader. Vi har kontrollerat utanordning mot underlag som är attesterade och godkända av behörig, samt att avstämning sker av att utbetalade belopp är rimliga i förhållande till antal barn/elever och gällande ersättning. Listorna för 6 av 8 granskade månader är godkända och attesterade. För två månader fanns inte underlagen tillgängliga hos förvaltningen, varför det inte gick att utläsa om betalningen matchade underlagen. Rimlighetsbedömning av utbetalning har endast gjorts för en av de granskade månaderna. Vår granskning visar att de underlag som använts vid kontrollen tagits fram speciellt för vår granskning och har inte använts tidigare. Kontrollen har efter vår granskning implementerats. 9
4.2.3 stutsats och rekommendation Den kontroll som utförs har enligt vår bedömning brister kopplade till utförande och dokumentation. Den rimlighetsbedömning som görs av utbetalade belopp jämförs med en uppskattning baserad på erfarenhet. Kontrollen dokumenteras inte vilket är viktigt för att säkerställa god intern kontroll. Det bör även finnas en beskrivning över hur kontrollen ska genomföras samt vilka åtgärder som ska vidtas vid avvikelser. Vi rekommenderar att rutinbeskrivningar tas fram över hur kontrollen ska genomföras, dokumenteras samt vilka åtgärder som ska vidtas vid eventuella avvikelser. Av beskrivningen bör även framgå hur stor en rimlig avvikelse är. Den lista som används vid rimlighetsbedömning av ersättning till de olika enheterna bör enligt vår bedömning baseras på historiska data. 4.3 Har kontroll av namn, kontonummer och belopp skett för gjorda utbetalningar? Hur görs och dokumenteras dessa kontroller? 4.3.1 Kontroll genomförd av social- och äldreomsorgsförvaltningen Vid social- och äldreomsorgsförvaltningen tillämpas efterhandskontroller vid utbetalning av försörjningsstöd. Hur dessa ska utföras framgår av dokumentet Rutinorienterade kontroller 2014-06-26. För att säkerställa att utbetalning inte sker till fel klient, eller att fel mottagarkonto registreras finns två kontroller. l rutinbeskrivningen framgår att internkontroll ska ske genom stickprov. Minst 5 ärenden per dag från attestlista/kontrollista ska kontrolleras. Kontroller görs av beslut, beräkningar och utbetalningar, inklusive kontering. Dessa ska enligt uppgift attesteras. Ansvarig för kontrollen är enhetschefen. Inför delår och verksamhetsberättelse genomförs den andra kontrollen som innebär att stickprov tas på 1 0-15 ärenden där konton i datasystem jämförs med konton i den skriftliga ansökan. Ansvarig för kontrollen är den administrativa assistenten. l löpande ärenden kontrollerar socialsekreteraren att klienten följer sin handlingsplan och dokumenterar det i ärendeakten samt godkänner ansökan med orsakskod. Ansökan lämnas till utredningsassistent som gör beräkning och utbetalning. Det är administratörer på social- och äldreomsorgsförvaltningen som kontrollerar att, enhetscheferna har attesterat utbetalningslistan från Procapita. När kontrollen utförts skickas den till ekonomiavdelningen för betalning. Ekonomiavdelningen erhåller listorna digitalt utan attest. När kontrollen genomförs läggs fokus på fakturor som ska betalas för klients räkning. För dessa hämtar administratören utskrivna underlag, fakturor, och stämmer av mot listan från Procapita för att säkerställa att kontonummer, namn på leverantör och belopp stämmer med utbetalningen. För utbetalningar direkt till klient kontrolleras endast översiktligt kontonumret med fokus på att kontonumret ser ut att innehålla rätt antal siffror. Om ett kontonummer skulle vara felaktigt eller avslutat skickas information till ekonomiavdelningen. När utanordningslistan är avstämd skickas den till enhetscheferna som gör en uppföljande kontroll i efterhand. Kontrollen sker genom att namn, belopp och granskas på 5 slumpvis utvalda stickprov per dag. För de valda stickproven kollas beräkningar utbetalningar och beslut mot underlag i den digitala akten. Vid urvalet av stickprov väljer enhetscheferna ofta höga belopp. Är det flera listor samma dag kan de ta ett stickprov per lista. Den dokumenterade kontrollen sparas. När kontrollen genomförs har filen redan gått iväg för betalning. 10
Hittills har inga felaktigheter identifierats i genomförda kontroller. Vid de tillfällen frågor funnits har de kunnat redas ut med hjälp av ansvarig handläggare. Om någon av enhetscheferna är sjuk görs denna kontroll så fort den ansvarige enhetschefen är på plats, inget datum sätts på listan när den är granskad men det finns alltid datum för utskrift av listan med. 4.3.2 Genomförda stickprov EY Vi har tagit del av samtliga listor för april månad. Vi har valt ut de 1 O första listorna för att utifrån dem välja totalt 1 O stickprov. Vi har valt samma stickprov som förvaltningen för att verifiera att kontrollen utförts som beskrivits. Vi har begärt tillgång till Procapita, fö r att se underlag digitalt, samt tillgång till de fysiska akterna. Vi har noterat att i 5 av de 1 O stickproven har förvaltningen tagit färre antal stickprov än de 5 som angivits i rutin beskrivningen. Utöver detta har inga avvikelser noterats. l sitt svar från den 12 augusti 2014 på granskningsrapporten av manuella betalningar anger nämnden att namn, kontonummer och belopp kontrolleras av enhetscheferna. Detta överensstämmer inte med vad vi iakttagit. Det är namn, belopp, underlag och beslut samt kontering som kontrolleras för de valda stickproven, kontonummer kontrolleras inte. Den kontroll av kontonummer som sker genomförs bara i samband med de lår och verksamhetsberättelse. 4.3.3 Slutsats och rekommendationer Det finns en beskrivning av hur kontrollen ska utföras som inkluderar hur många stickprov som ska tas. Detta är enligt vår bedömning bra men kontrollen utförs inte som beskrivs. Vi rekommenderar att nämnden säkerställer att kontroller genomförs så som beskrivs i rutinbeskrivningen. Rutinbeskrivningen bör kompletteras med vilka åtgärder som ska vidtas om avvikelser identifieras för att ytterligare bidra till att den interna kontrollen stärks. 4.4 Har stickprovskontroller skett som säkerställer att otillåtna ändringar av kontonummer inte skett? Vilken omfattning och hur dokumenteras de? 4.4. 1 Genomförd kontroll social- och äldreomsorgsförvaltningen Vid utbetalning av försörjningsstöd från social- och äldreomsorgsförvaltningen sker ingen kontroll av kontonummer. Efterhandskontroller sker genom att kontnummer registrerat i Procapita jämförs med papperskopior på ansökningar. Slumpmässiga stickprov tas inför varje delår och verksamhetsberättelse. Kontrollen finns beskriven i förvaltningens rutinbeskrivning: Rutinorienterade kontroller 2014-06-26. 4.4.2 Genomförda stickprov EY Vi har följt upp de 20 stickprov som togs i samband med delårsbokslutet i september. Två mindre noteringar finns. l ett ärende har utbetalning skett till makas konto, vilket accepterades. Den andra noteringen avsåg ett avslutat ärende där ingen utbetalning skett sedan 2005. Klienten fanns fortfarande kvar i registren och dök av den anledningen upp i urvalet. 4.4.3 Slutsats och rekommendation Vi har inte identifierat några avvikelser i vår granskning. Vi rekommenderar dock att kontrollen genomförs månatligen istället för i samband med tertialbokslut Vi rekommenderar även att rutinbeskrivningen kompletteras med vilka åtgärder som ska vidtas om avvikelser identifieras för att ytterligare bidra till att den interna kontrollen stärks. 11
4.5 Har behörig chef månatligen attesterat löneutbetalningslistor i Heroma? Har underlagen för kontrollen förbättrats? 4.5.1 Genomförda kontroller social- och äldreomsorgsförvaltningen samt barn- och utbildningsförvaltningen l Huddinge kommun tillämpas tvåhandsprincipen vid utbetalning av lön. Det innebär att ansvarig chef signerar steg 1 i löneutbetalningslistorna som därefter med automatik skickas vidare för att signeras av överordnad chef i steg 2 innan den är färdigsignerad. Listorna ska signeras innevarande månad. Attesten innebär att ansvarig chef kontrollerar att de personer som hon eller han ansvarar för finns upptagna på listan samt att det inte inkluderats andra personer. Av listan framgår även frånvaro, arbetsförändringar och rörliga tillägg eller avdrag. Den frånvaro eller annan arbetsförändring som anställda själva har registrerat i den självservicefunktion som finns godkänns av närmaste chef. Under innevarande månad kan ansvarig chef gå in via en funktion i systemet kallad provlön och titta hur lönerna ser ut. Den andra attesten från chef innebär en kontroll av lönen för den chef som signerat steg 1 samt en rimlighetsbedömning av slutsumman. Vid rimlighetsbedömningen finns inga jämförelsesiffror. För att få tillgång till detta måste attestanten gå in i lönesystemet och kontrollera föregående månads utbetalning. Eventuella felaktigheter som identifieras korrigeras på nästkommande lön. 4.5.2 Genomförda stickprov EY Vi har slumpvis valt ut 7 enhetschefer från barn- och utbildningsförvaltningen och 7 stickprov från social- och äldreomsorgsförvaltningen. Vår granskning visar att de underlag som används för rimlighetsbedömning saknar jämförelsekolumn vilket torde försvåra rimlighetsbedömningen. Vi har även noterat att attest av utanordningslistan i de flesta fall är attesterad efter månadens slut ibland flera månader efter. l båda fallen har lönen redan betalats ut. Dock är lönen preliminär vilket innebär att arbetsgivaren har rätt att inom fyra månader korrigera en felaktigt utbetald lön. 4.5.3 Slutsats och bedömning Vi har noterat att kontrollen genomförs i efterhand, dvs när löneutbetalning redan skett. Vi har även noterat att det saknas en jämförelsekolumn i de underlag som används för att genomföra kontrollen. Detta är enligt vår bedömning en brist eftersom det inte tydligt framgår vad den rimlighetsbedömning som görs baseras på. Vi rekommenderar även att kontrollen görs i förebyggande syfte, dvs innan utbetalning sker. 4.6 Har KSF månatligen tagit stickprov från logglistan över förändringar i anställningen samt över rörliga tillägg och avdrag? 4.6.1 Genomförd kontroll av kommunstyrelsens förvaltning Kommunstyrelsens förvaltning tar stickprov på underlag från både barn- och utbildningsförvaltningen samt social- och äldreomsorgsförvaltningen avseende utbetalda löner. Omfattningen av antalet stickprov varierar beroende på antalet transaktioner. En gång per månad tas en logglista ut ur systemet. Logglistan är den lista som visar vilka registreringar en användare har gjort i systemet. Listan tas ut mellan den 1 :a och den 15:e i månaden, efter den 15: e i månaden är det framförallt personalassistenterna som är inne i systemet. De har behörighet att göra justeringar. Alla transaktioner kommer med på listan oavsett om de har genererat någon utbetalning. Från listan väljs transaktioner som gäller lön och anställning. Kommunstyrelsens förvaltning efterfrågar underlag för dessa transaktioner från förvaltningarna. Underlagen skannas in och sparas tillsammans med urvalet. 12
4.6.2 Genomförda stickprov EY Vi har valt att granska kommunstyrelsens förvaltnings utförda kontroll genom att ta del av avstämningen för 4 månader, dvs kontrollera samma stickprov som förvaltningen själva har valt ut. Samtligt material har som har inhämtats och granskats, innehar attest och en rimlig förklaring till lönetillägg eller avdrag. Underlag för samtliga granskade månader har inhämtats. Samtliga underlag har varit attesterade. 4. 6.3 S/utsats och rekommendation Vår granskning visar inte på några avvikelser. 4. 7 Har respektive förvaltning rapporterat tillbaka till KSF att de rekommendationer om förbättringar av Herorna och Procapita som KSF föreslår genomförts? Ingen återrapportering till kommunstyrelsens förvaltning har skett. stockhalm den 30 mars 2015 r!),ial? /L- ~~ cka Hansson Auktoriserad revisor 13