Granskning av intern kontroll i kommunens huvudboksprocess

Relevanta dokument
Granskning av intern kontroll i kommunens centrala löneprocess

Region Skåne Granskning av IT-kontroller

Granskning av intern kontroll i huvudboksprocessen

11 Revisionsrapport Granskning av intern kontroll i regionens huvudboksprocess RS150315

Granskning av löner och ersättningar inklusive arvoden till förtroendevalda. Region Gotland

Granskning av manuella utbetalningar svar på revisionsskrivelse

Granskning av intern kontroll i lönehanteringen

Granskning av den interna kontrollen i lönehanteringen. Nynäshamns kommun

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av lönehanteringen. Högsby, Lessebo och Uppvidinge kommuns revisorer

Granskning av införandet av lönesystemet Heroma

Nora kommun. Granskning av lönehantering. Audit KPMG AB 15 mars 2012 Antal sidor: 8

Attestreglemente för Borgholms kommun

Granskning av vidtagna åtgärder kopplade till manuella betalningar

Innehållsförteckning Bygglov Granskningsresultat Avstämning mot kontrollmål... 12

Revisorernas bedömning av delårsrapport 2015

Uppföljning av tre tidigare granskningar

Fortnox. För att aktivera bokföring genom Fortnox för er förening finns dessa krav:

Författningssamling 030.2

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

INTERN KONTROLL AV Regionstyrelsen (Regionstyrelsen/Regionala Utvecklingsnämnden/Personalnämnden) RAPPORT 2015

PWC:s granskningsrapport av intern kontroll i kommunens huvudboksprocess. KS

Nyheter i Lupin Användare i Lupin/Proceedo

Region Skåne. Inköps- och attestrutinen. Insert Picture. November Deloitte All rights reserved.

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Datum 2015-Or-29. Falkenbergs kommun Valda revisorer

Revisionsrapport: Granskning av faktureringsrutiner

Revisionsrapport. Gotlands kommun. Intern kontroll vid handläggning av bostadsanpassningsbidrag. Mats Renborn

Rutin för redovisning av dagskassor för enheter kopplade till TakeCare Hälso- och sjukvårdsförvaltningen

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Årsskifteskörning 2013/2014

Versioner. Uppdaterat pga. att Diligentia AB börjar använda Agresso Lotta Gilot Uppdatering av inloggning via TC

Barn- och ungdomsnämndens riktlinjer för attest. Förslag till beslut Barn- och ungdomsnämnden godkänner riktlinje för attest

Nossan (A-salen), Kommunhuset, Herrljunga. Kaffe & smörgås serveras ca kl.10 mellan servicenämndernas sammanträden.

Region Skåne. Granskning av personalrelaterade skulder Revisionsrapport. Offentlig sektor KPMG AB 30 december 2013 Antal sidor: 13

Region Jönköpings län

Handbok Autogiro. Å-DATA Infosystem AB

Kontant försäljningsverksamhet

1 Syfte. 2 Omfattning

pwc tmä>(3ä Revisionsrapport 20i OXELöSU,»/,..;;,.^ Projektbenämning Annika Hansson, Certifierad kommunal Mars 2026 Månad Ar Kund PwC 1 av 5

Revisionsrapport. Granskning av leverantörsregister. Sollentuna kommun. pwc

ATTESTREGLEMENTE FÖR UMEÅ KOMMUN

AVSTÄMNINGSLISTA inför månads-, kvartals- del- och helårsbokslut OBS! Punkterna ligger i fallande ordning utefter tidsföljd och prioritet

Nyheter i version , och

Kungsbacka kommun Revisionsrapport Löpande granskning Revisionsrapport --- B\Jtln1ng,,; bettl:'r wo ki'lq world

Granskning av landstingets leverantörsregister

Rolladministration i PaletteArena 5.3

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Granskning av verksamhetssystemet Procapita. Utbildningsnämnden, Gävle kommun

Uppföljning av plan för intern kontroll 2015 Nämnd/Styrelse/Förvaltning/Bolag

Intern kontroll i faktura- och lönehantering

Granskning av utbetalningar

Granskning Intern kontroll av debiteringsrutiner Vård och omsorg Oxelösunds kommun mars 2015

Granskning av utbetalningar

EXFLOW DYNAMICS NAV ELEKTRONISK FAKTURAHANTERING

Revisionen har via KPMG genomfört en granskning inom ovanstående område.

Granskning av fakturahanteringen i de fyra storsjukhusen samt Habilitering & Hälsa

Borlänge kommun. Internkontroll KS Riktlinjer för kontanthantering- rutin för kontanta inbetalningar. Beslutad av kommunstyrelsen

Riktlinje för dagskassor med kontanthantering

SAP Professional Services två år senare!

Denna rapport används både av avsändaren och mottagaren av en internfaktura.

Lönehanteringen. Klippans kommun. December Författare

Internkontrollplan 2016

Uppföljning av 2012 års interna kontrollplaner för nämnderna.

Sortera post - Centralt

Attest- och utbetalningsreglemente

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Återrapport av verksamhetsstöds utförda interna kontroller 2015

Uppföljning avseende granskning av attestrutiner

Granskning av Staffanstorps kommuns leverantörsskulder och dess system

Kundreskontra Hybron MPS version 7.7.0

Innehållsförteckning 1

ATTESTREGLEMENTE 1(6) STYRDOKUMENT DATUM

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Slutrapport stadsbyggnadsnämndens internkontroll 2015

Svedala kommun Granskning avseende momshantering

Revisionsrapport. Sydnärkes miljönämnd

Granskning av bisysslor 2013

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: Författare: Jonas Eriksson Carin Norberg

Granskning av tillförlitlighet i redovisning, system och rutiner för kundfakturering

Vilken status har fakturorna i en bunt? Är fakturorna betalningsgodkända? Är fakturorna betalda?

Olle Lindström

Behörigheter i system

Leverantörsbetalningar 2014.Q4

Användarmanual Pagero Connect 2.0

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Granskning av årsbokslut och årsredovisning Jönköpings kommun R EVISIONSRAPPORT Genomförd på uppdrag av revisorerna 9 april 2008

Anvisningar för EU-projekt

Granskning av förrådsverksamheten

Intern kontroll i faktura- och lönehantering

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Granskning av inköpsrutinen och köptrohet

Kommunal författningssamling för. Östra Göinge kommun

Uppföljning av tidigare granskningar

Granskning av leverantörsreskontran

E t t E k o n o m i s y s t E m s p E c i E l lt a n pa s s at f ö r s v E n s k a k yrka n s v E r ksam het

Örebro kommun. Granskning av rutiner avseende hantering av anläggningsregister för materiella anläggningstillgångar

Internettjänsten Skolmjölk

Riktlinjer för attest av ekonomiska transaktioner

Revisionsrapport 2011 Genomförd på uppdrag av Karlskrona Kommuns förtroendevalda revisorer. Karlskrona kommun. Granskning av Överförmyndarnämnden

Transkript:

Revisionsrapport Granskning av intern kontroll i kommunens huvudboksprocess Bollebygds kommun Fredrik Jilmstad Joakim Rydberg

Granskning av intern kontroll i kommunens huvudboksprocess Innehållsförteckning 1. Sammanfattning... 1 2. Introduktion... 2 2.1. Bakgrund och revisionsfråga... 2 2.2. Metod och avgränsningar... 3 3. Slutsatser från granskningen... 4 4. Transaktioner inom huvudboken... 5 4.1. Övergripande information om ekonomiavdelningens organisation... 5 4.2. Ekonomisystemet Raindance... 5 4.2.1. Webportaler till Raindance... 6 4.3. Behörighetsadministration... 7 4.3.1. Upplägg/ändring av användare och behörighet... 8 4.3.2. Borttag av användare och behörigheter... 9 4.3.3. Attestreglemente... 9 4.4. Fasta data... 10 4.4.1. Konteringsstyrning... 10 4.4.2. Leverantörsmasterdata... 10 4.5. Manuella bokföringsordrar... 11 5. Interface till huvudboken... 13 5.1. Procapita... 13 5.1.1. IFO Försörjningsstöd... 13 5.1.2. Barn- och äldreomsorg... 14 5.2. Personec... 14 5.3. EDP Vision... 15 5.4. EDP Future... 16 5.5. Leverantörsreskontra och scannade leverantörsfakturor (S4F)... 17 5.6. In- och utbetalningar... 18 5.6.1. Inbetalningar... 18 5.6.2. Inkasso... 18 5.6.3. Utbetalning till leverantörer... 18 5.6.4. Övriga utbetalningar... 19 5.7. Avstämning av konton i huvudboken... 19 6. Appendix Iakttagelser och rekommendationer... 1 Bollebygds kommun

1. Sammanfattning Revisorerna i Bollebygds kommun har gett i uppdrag att genomföra en granskning av intern kontroll i huvudboksprocessen för att bedöma om kommunen (Kommunstyrelsen) systematiskt arbetar med att säkerställa att nuvarande rutin uppfyller kraven på god intern kontroll och rättvisande räkenskaper. Fokusområden för granskningen är dels, överföring till och från huvudboken från väsentliga försystem, dels rutinen för leverantörsreskontran. Det är väsentligt att de in- och utflöden av data som sker till ekonomisystemet är korrekta avseende fullständighet och riktighet. Det bör även säkerställas att all data som kommer in i huvudboken är godkänd eftersom den kan vara både manuell hanterad eller automatiserad. Granskningen har genomförts av Joakim Rydberg och Fredrik Jilmstad (). Processkartläggningen baseras på intervjuer med berörd personal i verksamheten samt översiktlig granskning av interna dokument som erhållits under granskingen. Metoden för granskningen innebär en översiktlig beskrivning av kommunens ekonomisystem inklusive de försystem som ger indata till ekonomisystemet samt kartläggning av flöden till och från huvudboken och tillhörande rutiner. Analys av information från intervjuer baseras på :s tidigare erfarenhet av granskningar av liknande processer och rutiner. Testning av identifierade kontroller i form av en stickprovsbaserad ansats har inte genomförts. har bedömt kontrollmiljön, identifierat och bedömt befintliga kontroller men inte testat dem i detalj. Kontroller som inte har valideras inom ramen för granskningen är eventuella kontroller som utförs ute respektive förvaltning avseende fullständighet, riktighet och validitet av underlag och transaktioner i försystemen. Sammantaget gör vi bedömningen att kommunens ekonomiavdelning har flera goda informella rutiner och kontroller på plats för att säkerhetsställa fullständighet och riktighet i dataöverföring till huvudboken. Graden av formalisering är dock låg och ytterligare kontrollmoment i processen bör beaktas, vilket gör att vi inte bedömer den interna kontrollen som helt tillfredsställande. Vår utgångspunkt är att det är i Bollebygds kommuns intresse att ha en tydlighet kring de rutiner och kontroller som säkerställer en fullständig och riktig redovisning och en i övrigt lämplig nivå på den interna kontrollen samt effektiva rutiner. Vi har i denna genomgång identifierat ett antal områden där kontrollmiljön kan förbättras. En sammanfattande rekommendation är att kontroller som finns vid överföringspunkter mellan Raindance och olika försystem bör formaliseras och dokumenteras i syfte att säkerställa fullständighet och riktighet i överföringen. Givna rekommendationer handlar även om att tydliggöra och formalisera kontroller som utförs idag samt förslag på kontroller som inte utförs idag. Bollebygds kommun 1 av 21

2. Introduktion 2.1. Bakgrund och revisionsfråga Revisorerna i Bollebygds kommun har gett i uppdrag att genomföra en granskning intern kontroll i huvudboksprocessen. Granskningen har genomförts av Joakim Rydberg och Fredrik Jilmstad (). Processkartläggningen baseras på intervjuer med berörd personal i verksamheten samt granskning av interna dokument. Följande personer har blivit intervjuade i granskningen: Susanne Glans Peter Häggquist Marie-Lousie Sandebert Rose-Marie Wignäs Airi Blomroos Svensson Lena Skål Miriam Shead Lena Nilsson Maria Brask Ekonomichef, systemägare Raindance, Ekonomiavdelningen Redovisningsansvarig, systemförvaltare Raindance, Ekonomiavdelningen Ekonomiadministratör, systemadministratör Raindance (leverantörsreskontra och anläggningsregistret), Ekonomiavdelningen Ekonomiadministratör, systemadministratör Raindance (kundreskontra), Ekonomiavdelningen Systemadministratör, Personec, Personalavdelningen Systemadministratör, Procapita IFO Försörjningsstöd, Bildning och Omsorgsnämnden Systemadministratör, Procapita Barn- och äldreomsorg, Omsorgsnämnden Systemadministratör, EDP Vision, Samhällsbyggnadsnämnden Handläggare, EDP Future, Samhällsbyggnadsnämnden Övergripande revisionsfråga Arbetar kommunen (Kommunstyrelsen) systematiskt med att säkerställa att kommunens verksamhet har en tillfredställande intern kontroll relaterat till huvudboksprocessen. Granskningsmål Kartläggning av befintlig rutin vid hantering av redovisning i huvudboken sker i syfte att säkerställa att nuvarande rutin uppfyller kraven på god intern kontroll och rättvisande räkenskaper. Fokusområden för granskningen är dels överföring till och Bollebygds kommun 2 av 21

från huvudboken från väsentliga försystem samt dels rutinen för leverantörsreskontran och rutiner för behörighetsadministration. 2.2. Metod och avgränsningar Metoden för granskningen innebär en översiktlig beskrivning av kommunens ekonomisystem inklusive de försystem som ger indata till ekonomisystemet samt kartläggning av flöden till och från huvudboken och tillhörande rutiner. Analys av information från intervjuer baseras på :s tidigare erfarenhet av granskningar av liknande processer och rutiner. Granskningen omfattar följande huvudmoment: Kartläggning av in- och utgående data till huvudboken avseende väsentliga system Bedömning av fullständighet, riktighet och godkännande avseende in- och utdata till huvudboken Översiktlig kartläggning av rutiner för leverantörsreskontraprocessen inkluderande utbetalningsrutiner Översiktlig kartläggning av rutinen för behörighetsadministration (behörighetskontroller) Processerna och kontroller som utförs i respektive försystem ute hos förvaltningarna samt innan transaktionerna bokas i huvudboken omfattas ej av granskingen. Testning av identifierade kontroller i form av en stickprovsbaserad ansats har inte genomförts. har bedömt kontrollmiljön, identifierat och bedömt befintliga kontroller men inte testat dem i detalj. Rapporten är faktaavstämd med kommunens ekonomiavdelning. Bollebygds kommun 3 av 21

3. Slutsatser från granskningen Iakttagelser och risker för respektive område redovisas nedan med klassificering enligt en skala. Vi har gjort en prioritering av iakttagelserna där L står för låg prioritet, M för medel och H för hög. Definitionen av denna klassificering visas nedan: Hög Syftar på en svaghet som har stor inverkan på system, processer och relaterade kontroller och som kan utsätta enheten för större förluster, ineffektivitet och/eller kan resultera i en väsentlig felaktighet i räkenskaperna. Medel Syftar på en situation eller arbetssätt som skiljer sig från vad anser vara god intern kontroll och som vi bedömer har en negativ inverkan på den interna kontrollen över den finansiella rapporteringen. Låg Syftar på en situation eller arbetssätt som enbart har en begränsad effekt på den interna kontrollen. har noterat ett antal områden där kontrollmiljön bör förbättras för att säkerställa att den finansiella informationen är fullständig, riktig och godkänd. Identifierade brister redovisas under avsnitt 6. Appendix Iakttagelser och rekommendationer. Merparten av noteringarna berör formalisering av processer och kontrollaktiviteter samt behörigheter inom ekonomisystemet. Givna rekommendationer handlar om tydliggörande och formalisering av processer och kontroller samt förslag på kontroller som inte utförs idag. Vidare berör även våra rekommendationer att se över nuvarande processer av behörighetsadministration och hantering av fasta data. Kontroller som inte har valideras inom ramen för granskningen är eventuella kontroller som utförs ute respektive förvaltning avseende fullständighet, riktighet och validitet av underlag till försystemen. En sammanfattande rekommendation är att kontroller som finns vid överföringspunkter mellan Raindance och olika försystemen bör formaliseras och dokumenteras i syfte att säkerställa fullständighet och riktighet i överföringen. Det bör specificeras är om det är en eller manuell kontroll. För automatiska kontroller är det av vikt att ange vilka kriterier som utlöser kontrollen och ta ställning till om det är tillräckligt för att säkra fullständighet och riktighet. För alla kontroller bör dessa dokumenteras avseende hur kontrollen utförs, vem som är ansvarig, vad bevis för utförd kontroll är samt hur eventuell rättning ska ske. Kontrolldokumentationen är av vikt för att kunna säkerställa att alla väsentliga kontroller utförts innan bokslutet stängs. Bollebygds kommun 4 av 21

4. Transaktioner inom huvudboken 4.1. Övergripande information om ekonomiavdelningens organisation Ekonomiavdelningen hos kommunledningen i Bollebygds kommun består av sex medarbetare. Ekonomiavdelningen hanterar bland annat budgetarbete, löpande redovisningen och bokslutsarbete. Ekonomiavdelningen har en ekonomichef som kort efter granskningstillfället skall sluta och ersättas av en tf. ekonomichef (Carina Gustafsson) fram till oktober 2015. Det finns en redovisningsansvarig, en kommuncontroller med ansvar för intern kontroll och en vakant position som upphandlingsansvarig. Vidare finns två ekonomiadministratörer. Ekonomiavdelningen hanterar kommunens redovisning för de olika nämnderna och för kommunledningen. De kommunala bolagen hanterar själva sin redovisning. På ekonomiavdelningen finns arbetsbeskrivningar ( Rutinbeskrivning Ekonomiavdelning, senast uppdaterad 2014-10-23) som övergripande beskriver rutiner och riktlinjer för hantering av manuella och automatiska transaktioner i huvudboken. Rutinbeskrivningar håller även på att upprättas för alla betalströmmar ut från kommunen, vilket beräknas vara färdigställt i september 2015. I arbetsbeskrivningar är fokus och syftet att beskriva vilka arbetsmoment som skall utföras och inte ett dokument för att tydligt beskriva processer och aktiviteter för att främja intern kontroll i kommunen. Exempelvis framgår inte tydligt hur kontrollmoment skall utföras avseende validering av fullständighet och riktighet i samband med överföring av data från olika försystem. Vidare är dessa arbetsbeskrivningar inte fastställda av kommunledningsgruppen. Iakttagelser Det finns inga formellt upprättade och fastställda dokument där det tydligt framgår hur en god intern kontroll skall upprätthållas genom utförande av kontrollaktiviteter. Befintliga arbetsbeskrivningar är inte fastställda av kommunledningsgruppen. 4.2. Ekonomisystemet Raindance Bollebygds kommun använder ekonomisystemet Raindance för sin redovisning och systemägare är ekonomichefen på ekonomiavdelningen. Raindance är ett ekonomisystem innehållande fler moduler (huvudbok, leverantörsreskontra, kundreskontra, fakturering, internfakturering anläggningsregister och budget) och de olika modulerna uppdaterar huvudboken automatiskt. Modulerna ligger inom Raindance Classic vilket registrerar transaktioner direkt i huvudboken. Behörighet till inläsning av filer från försystem hanteras via respektive modul i Raindance Classic. Bollebygds kommun 5 av 21

Verksamheten har utvecklat anpassningar till Raindance avseende integration till de olika försystemen som används inom kommunen. Systemet driftas av externa leverantören Advania och kommunen får systemuppdateringar samt vid behov support från systemleverantören CGI. Raindance är ett standardsystem där de anpassningar som skett är olika bokföringstyper som skall användas, fasta matchningar för fakturor etc. En grund till systemdokumentation har upprättats av CGI innehållande framförallt de val som Bollebygds kommun har gjort vid uppsättningen av systemet. Bollebygds kommun ansvarar för att uppdatera denna dokumentation med erforderlig information, detta har dock inte genomförts ännu. Det finns i nuläget ingen formell rutin fastställd för initiering av programförändring och/eller kontroll av utförd programförändring, däri beaktat förändringar och/eller tillägg av exempelvis automatkonteringar. Iakttagelser Avsaknad av formell rutin för att hantera programförändringar efter implementeringsprojektets avslut. Avsaknad av komplett systemdokumentation för Raindance där de anpassningar som gjorts dokumenterats. Det finns ingen kontroll avseende att samtliga filer som ska ha lästs in har blivit inlästa (avser samtliga försystem till Raindance utom EDP Future). Samma fil kan rent tekniskt läsas in flera gånger i Raindance (avser samtliga försystem till Raindance utom EDP Future). 4.2.1. Webportaler till Raindance Kommunen har även lagt till en webportal med ett antal moduler (Ekonomiportalen; bokföring, leverantörsfakturering och internfakturering) till Raindance som uppdaterar huvudboken i realtid. Alla chefer (enhetschefer, förvaltningschef, kommunchef) har tillgång till Ekonomiportalen och behörigheterna kan definieras för respektive modul. Till Ekonomiportalen sker inloggning med så kallad Single Sign-on (lösenord anges endast till Windows Active Directory). Tillgång till bokföringsmodulen ger behörigheter att skapa manuella bokningar i huvudboken. Attestflöde finns uppsatt enligt beslutsattestlista, dock finns inget beloppsbaserat attestflöde inlagt i systemet (se avsnitt 4.3.3. Attestreglemente avseende avsaknad av beloppsbaserat attestflöde i systemet). Ekonomiportalens bokföringsmodul används ej i stor utsträckning (se avsnitt 4.5. Manuella bokföringsordrar ). Tillgång till leverantörsfakturamodulen ger möjlighet att godkänna och attestera leverantörsfakturor enligt uppsatt attestflöde enligt beslutsattestlista, dock finns inget beloppsbaserat attestflöde inlagt i systemet. Bollebygds kommun 6 av 21

Tillgång till internfakturamodulen ger möjlighet att upprätta och skicka internfakturor enligt uppsatt attestflöde enligt beslutsattestlista, dock finns inget beloppsbaserat attestflöde inlagt i systemet. Iakttagelser Se iakttagelse under avsnitt 4.3.2. Attestreglemente avseende avsaknad av beloppsbaserat attestflöde i systemet. Kommunen har breda behörigheter till bokföringsmodulen med sammanlagt 13 användare med högsta behörigheten. Vidare finns ett stort antal användare som inte har den hösta behörigheten men som ändå har mer än läsbehörighet i bokföringsmodulen. 4.3. Behörighetsadministration Bollebygds kommun har 343 användare i Raindance och 31 personer har högsta behörigheten i en eller fler applikationer. 16 användare har full behörighet till samtliga applikationer, med undantag från tre personer som har full behörighet med bokföringsmodulen i Ekonomiportalen exkluderad. Behörigheter i Raindance tilldelas för varje användare per applikation/modul och varje användare är därför unik. Behörighetsnivåer i Raindance är: 0: ingen behörighet. 1: läsbehörighet 2: "vanlig behörighet" 3: uppdatering av grundregister 4: systembehörighet 5-7: för personal som utför konstruktion och utveckling På ekonomienheten är det fyra personer som har full behörighet (nivå 5-7) i Raindance (inklusive Ekonomiportalen) varav en medarbetare (Jenny Ramkrans) har slutat dagarna innan granskningen ägde rum. Användaren som slutat ligger dock kvar i systemet. Rollerna i Raindance är uppbyggda av systemleverantören (CGI) för att skapa uppdelning av arbetsuppgifter (Segregation of Duties). Dock kan de medarbetare som har behörighet exempelvis till leverantörsmodulen i Raindance Classic både lägga upp och ändra leverantörsmasterdata samt initiera och/eller utbetala leverantörsfakturor (se avsnitt 4.4 Fasta data och 4.11.3. Utbetalningar till leverantörer ). Det finns inget formellt upprättat dokument gällande uppdelning av arbetsuppgifter som tydligt beskriver behörigheter i Raindance och vad respektive roll (exempelvis förvaltare, chef, ekonomiadministratör, etc.) skall ha för behörighet (by-default). Bollebygds kommun 7 av 21

Vidare sker ingen genomgång av befintliga användare med tillhörande behörigheter på kontinuerlig basis, där det säkerhetsställs att personen arbetar kvar på kommunen samt att användarnas behörigheter är ändamålsenligt uppsatta baserat på dennes arbetsuppgifter. Iakttagelser Behörigheterna i Raindance är breda där det är 31 personer som har högsta behörigheten i en eller fler applikationer och 16 användare med högsta behörigheten varav 13 har högsta behörighet till samtliga applikationer, vilket bland annat inkluderar upprättande av bokföringsorder samt upplägg av användare i Raindance. Det har under granskningen identifierats att en av dessa 13 personer är konsult hos systemleverantören. Av fyra användare på ekonomiavdelningen så är det en användare som slutat arbetat på ekonomiavdelningen som fortfarande ligger kvar som användare men full behörighet i systemet. Det finns inget formellt upprättat dokument gällande uppdelning av arbetsuppgifter (Segregation of Duties) som tydligt beskriver behörigheter i Raindance och vad respektive roll skall ha för behörighet. Detta för att säkerhetsställa att inte flera kritiska behörigheter kombineras för en och samma användare. Vidare sker ingen genomgång av befintliga användare med tillhörande behörigheter på kontinuerlig basis, där det säkerhetsställs att personen arbetar kvar på kommunen samt att användarnas behörigheter är ändamålsenligt uppsatta baserat på dennes arbetsuppgifter. 4.3.1. Upplägg/ändring av användare och behörighet Nya användare läggs upp i Raindance av ekonomiavdelningen centralt utifrån förfrågan från berörd chef som kommunicerar vilka system och applikationer som användaren skall ha tillgång till samt (i vissa fall) vilken grad av behörighet användaren skall ha. Vid upplägg av nya behörigheter anges exempelvis om medarbetaren ska ha rätt att upprätta manuella bokföringsorder och/eller registrera transaktioner direkt i leverantörsreskontran. Kommunen har ingen formell process för tilldelning och/eller ändring av behörigheter. Behörigheter godkänns informellt av chef genom förfrågan (via mail/telefon) och systemadministratör lägger upp behörigheten baserat på information från chef och erfarenhet om vad en medarbetare på en viss avdelning/roll borde ha för behörighet. Det finns ingen formell mall som beskriver vilka uppgifter som är obligatoriska i samband med förfrågan från chef gällande upplägg/ändringa av behörighet. Vidare dokumenteras inte förfrågan om upplägg/ändring av användare och behörighet som inkommer från förfrågande part (chef). Iakttagelser Formell process för upplägg/ändring av behörigheter samt mall för förfrågan av upplägg/ändring av behörighet saknas. Förfrågan om upplägg/ändring av användare och behörighet som inkommer från förfrågandepart (chef) dokumenteras inte. Bollebygds kommun 8 av 21

4.3.2. Borttag av användare och behörigheter Inaktivering av befintliga behörigheter sker när en anställd slutar. I samband med den omorganisation som skedde i kommunen per 1 januari 2015 genomfördes en översyn av samtliga behörigheter i Raindance. Kommunen har ingen formell process för borttag av användare och behörigheter. Borttaget godkänns informellt av chef och systemadministratör inaktiverar användaren och/eller behörigheten kopplat till ärendets art, exempelvis avslutande av anställning, byte av roll, etc. Det finns ingen formell rutin som beskriver tillvägagångssättet vid byte av roll, enbart informellt att behörigheten skall anpassas till den nya rollen. I samband med granskningen identifierades en medarbetare som slutat men som fortfarande fanns kvar som användare i systemet med full behörighet (se avsnitt 4.3. Behörighetsadministration ovan). Iakttagelser Formell process för borttag av användare/behörigheter saknas. 4.3.3. Attestreglemente Bollebygds kommun har ett attestreglemente fastställt av kommunfullmäktige 1995-02-23. Delegationsordning finns upprättad och fastställd för och av respektive nämnd. Av delegationsordningen framgår att förteckning över beslutsattestanter ska tillställas ekonomi- och personalavdelningen. Av delegationslistorna framgår övergripande beloppsgränser, vilka kan skilja sig mellan vilken nämnd som avses. Detta då olika nämnder har olika typer av kostnadsbild. Enligt delegationsordningen svarar varje nämnd för att revidera delegationsordningen årligen, vilket innebär att årligen upprätthålla aktuella förteckningar över utsedda attestanter enligt beslutsattestlistor. Raindance uppdateras av ekonomiavdelningen årligen samt vid organisationsförändringar, enligt de av nämnderna uppdaterade beslutsattestlistorna. Kontroll finns därmed för vem som teoretiskt skall attestera. Huvudregeln är att ingen medarbetare ensam ska hantera en transaktion från början till slut och att alla transaktioner skall ske två i förening. Beloppsgränser finns ej uppsatt i Raindance. Varje användare måste manuellt definiera vilken nästa person i attestflödet skall vara, baserat på beslutsattestlistan. Det är därmed möjligt att registrera en transation för den som har beslutattestbehörighet, utan att godkännande sker två i förening. Alla transaktioner som går via Ekonomiportalen till Raindance registreras direkt i huvudboken. Förändringar i behörigheter som sker i Raindance uppdaterar i realtid behörigheten till Ekonomiportalen. Vid frånvaro kan medarbetare stänga sin inkorg avseende beslutsattester, vilket automatiskt hänvisar inkommande förfrågningar om godkännande till den registrerade ersättaren. Bollebygds kommun 9 av 21

Iakttagelser Bollebygds kommun har ett attestreglemente fastställt av kommunfullmäktige 1995-02-23, vilket kan göra det inaktuellt beaktat omorganisationer som skett sedan dess. Beloppsgränser finns ej uppsatt i Raindance. Det är därmed möjligt att registrera en transation för den som har beslutattestbehörighet, utan att godkännande sker två i förening. 4.4. Fasta data 4.4.1. Konteringsstyrning Personal på ekonomiavdelningen har möjlighet att lägga till konto (se noteringar avseende behörigheter under avsnitt 4.3. Behörighetsadministration ), Bollebygds kommun använder sig av kommunbas som grund. Relaterade interna koddelar såsom kostnadsställe, aktivitet och objekt läggs upp av systemförvaltare på ekonomiavdelningen. Det finns spårbarhet i Raindance kring vem som har ändrat ett konto och vid vilken tidpunkt detta skett. Automatkonteringar har ej satts upp och om så skulle ske skulle detta anmälas till systemleverantören (CGI) för hantering. Dock finns ingen formell rutin fastställd för initiering av programförändring och/eller kontroll av utförd programförändring (se avsnitt 4.2 Ekonomisystemet Raindance avseende avsaknad av formell rutin för initiering och kontroll av implementerade programförändringar). 4.4.2. Leverantörsmasterdata Leverantörer registreras genom att ha samma ID som deras bankgironummer. Vad gäller rutinen för ändringar i fasta data relaterat till leverantörsregistret utgår registratorn från ett underlag, exempelvis faktura från leverantör eller annat underlag från verksamheten. Upplägg sker av ekonomiadministratör på ekonomiavdelningen. Det är inte formellt fastställt vilken dokumentation från denna registrering som krävs eller skall sparas. Vidare sker ingen kontroll exempelvis att annan part än den som lagt upp leverantören, validerar att rätt information stansats in annat än att det som loggas av systemet. Loggning över upplägg/ändring i leverantörsmasterdata sker med avseende på vem som ändrat vad och när. Dock finns osäkerhet i exakt vilken data som loggas (gällande all typ av fasta data, inte enbart leverantörsmasterdata) och det finns ej någon rutin för att med viss periodicitet via logglista gå igenom de ändringar som skett och är osäkra på om summerad logglista finns. Således sker ingen uppföljning av leverantörsmasterdata av ekonomiavdelningen på kontinuerlig basis, dock sker genomlysning av extern part (Inyett) i samband med utbetalningar (se avsnitt 4.11. In- och Utbetalningar ). Iakttagelser Automatkonteringar har ej satts upp i Raindance. Se iakttagelse under avsnitt 4.2 Ekonomisystemet Raindance avseende avsaknad av formell rutin för initiering och kontroll av implementerade programförändringar. Bollebygds kommun 10 av 21

Det är inte formellt fastställt vilken dokumentation som krävs i samband med upplägg/ändring av leverantörsmasterdata eller vad som skall sparas i samband med att upplägg/ändring av leverantörsmasterdata har skett. Ingen valideringskontroll kontroll utförs avseende riktighet i upplägg/ändring av leverantörsmasterdata. Ingen uppföljning av fasta data sker av ekonomiavdelningen på kontinuerlig basis, exempelvis via logg över ändrade leverantörsmasterdata. 4.5. Manuella bokföringsordrar Manuella bokföringsordrar kan registreras direkt i Raindance Classics bokföringsmodul men kan även ske via Ekonomiportalens bokföringsmodul. Ekonomiportalens bokföringsmodul används ej i stor utsträckning och om detta sker så är det endast (praktiskt) av ekonomiavdelningen. Upprättande av manuella bokföringsordrar sker i praktiken av ekonomiavdelningen och då vanligtvis via Raindance Classics bokföringsmodul. Behörigheten att skapa manuella bokföringsordrar i Raindance innehas dock av användare med minimum behörighetsnivå 2 i Ekonomiportalens bokföringsmodul eller modulen för bokföringsordrar i Raindance Classic. Behörighet att registrera manuella bokföringsordrar innehas av ekonomiavdelningen samt ett flertal personer ute i verksamheten (totalt 24 användare). Fastställda krav finns ej för hur hantering och attest av manuella bokföringsordrar skall ske. Alla bokföringsordrar bör enligt ekonomiavdelningen attesteras, dock är detta något som är upp till varje upprättare av bokföringsordern att bedöma väsentlighet inom. Det är inte definierat vilka bokningar som skall attesteras. Attest sker baserat på rimlighetsbedömning av bokföringsorderns belopp och art. Vad gäller bokföringsorder avseende felkonteringar så attesteras dessa ej. Periodiseringar och återkommande bokningar attesteras ej löpande. Dock sker attest av större bokningar i samband med delårsbokslutet. Varje chef har ett specifikt ansvar. När transaktioner sker som berör olika ansvarsområden, exempelvis delning av kostnader, skall godkännande ske av berörda parter enligt beslutsattestlista (se avsnitt 4.3.3. Attestreglemente ). Det innebär att det är upp till den som sänder transaktionen för slutattest skickar den till rätt mottagare då detta inte är uppsatt att ske automatiskt i systemet. Det sker ingen uppföljning eller kontroll i efterhand av upprättade manuella bokföringsordrar för att säkerställa dessa avseende riktighet och validitet. Iakttagelser Det finns ett hundratal användare i kommunen som har behörighet att registrera manuella bokföringsordrar direkt i Raindance Classic via Ekonomiportalen. Dessa kräver inget systemmässigt godkännande av någon ytterligare person vid registrering. Ingen generell rutin finns för hur attest skall ske av manuella bokföringsordrar. Bollebygds kommun 11 av 21

Tillgång till bokföringsmodulen ger möjlighet att göra manuella bokningar utan att det attesteras av någon med beslutsattest innan de registreras i huvudboken. Upprättade manuella bokföringsordrar i Raindance Classic attesteras inte alltid av ytterligare en medarbetare med beslutsattest innan de bokförs. Det finns ingen uppföljande eller kompenserande kontroll avseende upprättade manuella bokföringsordrar för att säkerställa dessa avseende riktighet och validitet. Bollebygds kommun 12 av 21

5. Interface till huvudboken Bollebygds kommun har flertalet försystem och manuell hantering av data som importeras eller stansas in i huvudboken. I följande avsnitt beskrivs varje interface mer detaljera med fokus på hur (eller om) det säkerhetsställs att data som importeras till huvudboken är fullständig och riktig. 5.1. Procapita Socialförvaltningen och Barn- och utbildningsnämnden använder verksamhetssystemet Procapita. Överföring av data från Procapita till Raindance sker dagligen och hanteras av assistener på förvaltningen. Vad gäller försörjningsstöd så stansar socialhandläggarna ute på förvaltningen in uppgifter utifrån beslut manuellt i systemet Procapita, vilket skapar ett underlag för fakturering avseende barn- och äldreomsorgsavgifter samt utbetalning av försörjningsstöd. Kunduppgifter finns i respektive försystem och läses över till Raindance. Vad gäller exempelvis barnomsorgsavgifter registrerar invånarna i kommunen själv uppgifter på barnomsorgswebben där kommunen får in fasta data såsom föräldrarnas inkomst och barnets ålder etc. Handläggare på kommunen får in underlagen i sin inkorg och måste godkänna dessa innan de registreras i Procapita. 5.1.1. IFO Försörjningsstöd Utbetalning till individer sker via applikationen TEIS genom betalningsfiler till banken. Vad gäller behörigheter så kan alla handläggare lägga in och godkänna försörjningsstöd. Det är enbart systemansvarig och en gruppledare som kan godkänna utbetalningen till bank. På grund av att gruppledare är på föräldraledighet, har rutinen med två i förening inte fungerat optimalt den senaste tiden utan utbetalning via TEIS har skett av en person. Inhyrd konsult finns i nuläget som tillsammans med systemansvarig skall godkänna betalningen två i förening. Systemansvarig går in och kör kommandot Överföring/Betalning en attestlista genereras över de personer som handläggarna på avdelningen beviljat försörjningsstöd. Denna attestlista jämförs mot ett underlag på aktuella klienter som erhållits från handläggarna och som de har beviljat försörjningsstöd antal stäms av för säkerhetsställande av fullständighet, belopp per person och personnummer stäms av gällande riktighet. Två personer utför ovan kontroll innan definitivkörning sker. Integrationsfilen skapas och även en remitteringspost. Enhetschefen rimlighetsbedömer och godkänner listan innan den överlämnas till ekonomiavdelning för inläsning av data i Raindance. Bollebygds kommun 13 av 21

Ekonomiavdelningen får ingen integrationsfil från IFO utan endast en attestlista som ekonomiadministratör stämmer av mot bank och därefter bokför manuellt i huvudboken. Iakttagelser Rutinen för utbetalning av försörjningsstöd som skall ske två i förening har brister, då utbetalning sedan en tid tillbaka har skett av en person på grund av föräldraledighet. 5.1.2. Barn- och äldreomsorg Systemansvarig går in och kör kommando för debitering av hela kommunen. Fellista uppkommer, ex. dubbel registrering, parametrar, etc. och analyseras för att sedan åtgärda felen. Därefter körs kommandot Integration faktureringssystem där en fil skapas (som är editerbar) och läggs på en specifik mapp på servern. Samtidigt skapas meddelande om olika paramentrar (totalbelopp, antal poster, maskinella och manuella (rättelser). Rimlighetsbedömning sker av belopp och antal poster. Mail skickas till ekonomiavdelningen med information om utfört jobb i försystemet Procapita och kodnyckel upprättas för att möjliggöra import av ekonomiavdelningen. Innan definitivt jobb sker genom filinläsning i Raindance noterar ekonomiavdelningen första och sista fakturanummeret. Antalet fakturor och belopp jämförs med vad som meddelats från Barnomsorg. Detta meddelas dock ej från Äldreomsorgen. Stickprov tas avseende riktighet, fem per månad helt slumpmässigt. Definitivt jobb sker i Raindance och ekonomiavdelningen tar på månatlig basis fram en statuslista (via skärm) för att bedöma fakturors status för att säkerhetsställa att status är Prel. Andra status kan förekomma Ny alternativt Felaktigt/Ej godkänd vilket innebär att man manuellt måste korrigera baserat på att matchning inte skett ändamålsenligt. I samband med periodstängning så måste samtliga verifikat ha status Prel, annars kan inte perioden stängas. Vidare sker rimlighetsbedömning av totalbelopp. Iakttagelser Fil som upprättas för inläsning i Raindance är redigerbar. Information från Äldreomsorgen tilldelas ej ekonomiavdelningen avseende data som skall importeras i Raindance, vilket försvårar avstämning av fullständighet och riktighet i data. Efterkontroll som säkerhetsställer fullständighet och riktighet i data som importerats i Raindance dokumenteras ej. 5.2. Personec Kommunen använder personalsystemet Personec för tidrapportering och underlag för utbetalning och redovisning av lön, vilket hanteras av kommunens centrala personalavdelning. I systemet registreras masterdata avseende personaluppgifter Bollebygds kommun 14 av 21

och lön. Uppgifter om bankkonto registreras hos banken av respektive anställd. Inga kontouppgifter finns registrerat i Personec. En nyanställd fyller i sitt kontonummer på en blankett som skickas till banken. Om en medarbetare som bytt bank ansvarar denne för att meddela banken om bytet. Anställda inom kommunen registrerar själva in avvikelser mot upplagt schema via Självservice i Personec eller så rapporteras tid in manuellt av löneassistenter på förvaltningarna i Personec avseende t ex timanställda utifrån attesterade underlag. Avvikelser attesteras av den anställdes närmsta chef i systemet. Utbetalning av lön går från Personec via systemet TEIS till banken. Personalavdelningen utför rimlighetsbedömning per person sker på brutto och nettolön utifrån varningslista. Systemet genererar varningslistan automatiskt efter varje bearbetning. Löneadministratörer går igenom listorna (två st) och bedömer dessa avseende rimlighet. Rimlighetsbedömning sker även på totalnivå av lönebeloppet. Filen som skickas till Raindance är uppspecificerat per konto (inte per person), vilket skiljer sig mot den fil som skickas till banken. Kontoavstämning sker av lönerelaterade konton på månatlig basis. Det som kommer från lönesystemet (filen som skapas för bokföringen baseras på en säkerhetsnyckel) stäms av och godkänns av personalchefen för att sedan skickas vidare till ekonomiavdelningen. Vidare sker avstämning av löneadministratör att det som skickats som bokföringsunderlag, stämmer mot kvittens som erhålls från bank. Integrationsfilen skapas samt en lista med remitteringspost. Enhetschefen rimlighetsbedömer och godkänner listan innan den överlämnas till ekonomiavdelning för inläsning av data i Raindance. Ekonomiavdelningen får ingen integrationsfil från IFO utan endast en attestlista som ekonomiadministratör stämmer av mot bank och därefter bokför manuellt i huvudboken. Iakttagelser Liknande utbetalning av försörjningsstöd (se avsnitt 4.6.1. Försörjningsstöd) så finns möjlighet att skicka utbetalningsfil utan godkännande av två i förening. 5.3. EDP Vision Systemet EDP Vision är kommunens verksamhetssystem för miljö och bygglovsavdelningen på Stadsbyggnadskontoret. Om samma person som är sökande av bygglov även ägare till fastigheten läggs alla uppgifter till automatiskt. Om inte, så sker instansning manuellt. Handläggare till ärendet kontrollerar att uppgifterna är riktiga. Behörigheter att lägga in uppgifter i EDP Vision är rollstyrda. Två systemadministratörer finnes varav en av dessa inte jobbar med detta område längre. Bollebygds kommun 15 av 21

Handläggarna går in i EDP Vision efter beslutat ärende och debiterar kunden. Samtliga beslutade ärenden sammanställs månatligen. Första veckan i varje månad upprättas en sammanställningsfil och läggs automatisk i en mapp på servern. Filen är redigerbar. Felmeddelande skapas alltid i samband med upprättande av sammanställningsfil, även fast inga fel identifieras. Vid identifiering av felaktigheter korrigeras det som identifierats genom hur det borde se ut, vilket avser exempelvis felaktig datasträng, felaktiga tecken, etc. Antalet fakturor före och efter att filen är upprättat kontrolleras för att säkerhetsställa fullständighet. Innan definitivt jobb sker genom filinläsning i Raindance noterar ekonomiavdelningen första och sista fakturanummeret. Antalet fakturor och belopp jämförs med vad som meddelats från systemadministratör för EDP Vision. Avstämning sker av varje faktura eftersom matchning av exempelvis kundnummer inte sker ändamålsenligt. Definitivt jobb sker i Raindance och ekonomiavdelningen tar på månatlig basis fram en statuslista (via skärm) för att bedöma fakturors status för att säkerhetsställa att status är Prel. Andra status kan förekomma Ny alternativt Felaktigt/Ej godkänd vilket innebär att man manuellt måste korrigera baserat på att matchning inte skett ändamålsenligt. I samband med periodstängning så måste samtliga verifikat ha status Prel, annars kan inte perioden stängas. Vidare sker rimlighetsbedömning av totalbelopp. Iakttagelser En användare i systemet är systemadministratör även fast denna medarbetare inte längre arbetar inom detta område. Fil som upprättas för inläsning i Raindance är redigerbar. Matchning av kundnummer sker inte ändamålsenligt. Se iakttagelser under avsnitt 5.1.2. Barn- och äldreomsorgen gällande dokumentation av utförd kontroll. 5.4. EDP Future EDP Future är Bollebygds kommuns system för beräkning och debitering av vatten och avlopp (VA) samt renhållning. Information i form av fast avgift registreras in per kund. Rörlig kostnad baserat på installerade mätare i respektive fastighet som läses av manuellt och stansas sedan in i EDP Future. Debitering sker månatligen. Registrering sker genom stansning manuellt av tre olika handläggare, ingen avstämning sker att rätt uppgifter lagts in. Alla handläggare har samma behörighet, inklusive faktureringsbehörighet. I samband med fakturering körs fakturafil som test. Fellista skapas där fel i princip alltid avser ägarbyten. Rimlighetsbedömning sker av större och mindre belopp samt kreditfakturor, dock är det ej definierat vilka belopp som skall användas vid avvikelseanalysen. Bollebygds kommun 16 av 21

Fakturafilen körs definitivt (ej redigerbar) och samtidigt skickas fakturorna via EDP Future ut till kund (via Posten EPP). Antalet fakturor jämfört med provfaktureringen med avvikelse gällande ägarbyte, stäms av för att säkerhetsställa fullständigheten. Totalbeloppet noteras men stäms inte av. Mail skickas till ekonomiavdelningen om vilka fakturor som avses och totalbeloppet. Ekonomiavdelningen läser in faktureringsfilen. Första och sista fakturanummeret för inläsningsfilen samt totalbelopp jämförs med den information som skickats från handläggare på VA & Renhållning för att säkerhetsställa fullständighet och riktighet. Fakturan får status Prel. Ekonomiadministratör måste markera resp. faktura som Definitiv innan huvudboken kan uppdateras med data. Korrigering kan ske av data innan status definierats som Definitiv. Rimlighetsbedömning sker av totalbelopp. Iakttagelser Vid registrering av kunduppgifter sker ingen efterkontroll att rätt data stansats in. Det är ej definierat vilka belopp som skall användas vid avvikelseanalysen som utförs i samband med rimlighetsbedömning av fakturabeloppen. Vid definitiv körning av fakturafil noteras totalbeloppet men det stäms inte av mot totalbelopp för testfilen, detta för att säkerhetsställa riktighet. Innan en fakturarad markerats som Definitiv kan korrigering kan ske av data. 5.5. Leverantörsreskontra och scannade leverantörsfakturor (S4F) Scanning av pappersfakturor (till pdf) samt teckentolkning av relevant data, exempelvis organisationsnummer, fakturanummer, belopp, momsbelopp och förfallodatum, till textfil görs av det externa scanningföretaget Scan for Future (S4F). Två ggr om dagen hämtar Raindance filen med inscannade leverantörsfakturor automatiskt från S4F. Möjlighet finns att läsa in filen manuellt genom kommando i Raindance. Ekonomiavdelningen får mail från S4F där det framgår hur många fakturor och vilket belopp som är inscannat avstämning mot Raindance sker att detta uppdaterats huvudboken. Alla fakturor skall som regel skickas för scanning. Faktureringsadress är gemensamt fastställd för alla kommunens kostnader. Cirka 100 st fakturor per månad måste skickas vidare manuellt till scanningföretaget som en följd av att leverantörerna angivit felaktig fakturaadress eller liknande. I vissa fall inkommer fakturor till verksamheten där det är viktigt med att snabbt få fakturorna betalda (kort eller passerat förfallodatum). Vid dessa tillfällen upprättas fakturan manuellt i leverantörsreskontran och verifikatet registreras på en egen nummerserie. Kopia tas på den upprättade fakturan och arkiveras i en fysisk pärm på ekonomiavdelningen. Efterkontroll sker genom stickprovsgranskning av Bollebygds kommun 17 av 21

manuellt upprättade leverantörsfakturor, efter att utbetalning utförts (se avsnitt 4.11.3 Utbetalning till leverantörer ). Alla fakturor som är korrekta inlästa skickas till rätt person enligt beslutattestantlistan, vilket definierats i Raindance. Beställar-ID finns för respektive person (enligt beslutsattestantlistan) och fakturan skickas då till denna person. Attest skall alltid två i förening; en person som mottagningsattesterar och konterar samt en person som slutattesterar. Dock är beloppsgränser inte uppsatta i systemet (se avsnitt 4.3.2. Attestreglemente avseende avsaknad av beloppsbaserat attestflöde i systemet). Efter att fakturan attesterats ändamålsenligt i systemet, erhåller fakturaposten status DeffAtt och kan således bli föremål för betalning. 5.6. In- och utbetalningar 5.6.1. Inbetalningar Kommunden använder sig av bankgiro och OCR- nummer. Inbetalningsfil hämtas från bank och läses in i Raindance av ekonomiadministratör för automatisk matchning mot kundreskontran. Fellista genereras automatiskt i samband med inläsning. Ofta finns ett fåtal fel, vilka avser fel fakturanummer, belopp, dubbelbetalning, etc. Rättning sker utifrån vad felet är. Manuell ombokning sker i kundreskontran. För övriga inbetalningar via bankgiro utan OCR-nummer hämtar ekonomiadministratör upp dessa inbetalningar från internetbanken och skriver ut underlagen. Underlagen skickas för kontering och attest till berörd verksamhet. Bokföring sker efter att attest inkommit. 5.6.2. Inkasso Överföring av filer till kommunens inkassopartner (Intrum Justitia) avseende obetalda kundfakturor där inkassokrav ska göras sker månadsbasis. Ingen formell fastställd rutin finnes gällande inkasso över vilka kontrollmoment som skall utföras. Fil skapas i Raindance kundreskontra som skickas till Intrum Justitia. Manuell inbetalning inkommer som korrigeras i kundreskontran av ekonomiadministratör. När kunden betalar så erhålls kapitalkostnad och ränta. Iakttagelser Ingen formell fastställd rutin finnes gällande inkasso över vilka kontrollmoment som skall utföras. 5.6.3. Utbetalning till leverantörer Betalningsfil upprättas av ekonomiadministratör och registrerar betalningsfilen på banken. Utbetalning sker alltid två i förening, det är inte möjligt att kringgå detta för utbetalningar som sker via Raindance. Bollebygds kommun 18 av 21

Lista tas ut av ekonomiadministratör på det som skall betalas och skickas till extern part (Inyett) som kontrollerar att filen och de föreslagna leverantörerna som skall betalas inte har betalningsanmärkningar eller oegentligheter kopplade till sig. Vid identifiering av bristfälliga leverantörer arkiveras detta på ekonomiavdelningen och meddelar berörd nämnd/verksamhet i kommunen. Samma lista som tas ut på det som skall betalas överlämnas till en annan ekonomiadministratör för genomgång och godkännande. Rimlighetsbedömning sker av samtliga poster och på totalnivå. Stickprov tas på de manuellt registrerade fakturorna utifrån ovan nummerserie gransking sker genom rimlighetsbedömning och att attest är korrekt hanterat. 5.6.4. Övriga utbetalningar För utbetalning av vårdnadsbidrag (och eventuellt anhörigstöd) får ekonomiavdelningen ett underlag på papper från berörda enheter på hur vilka som ska ha vårdnadsbidrag och anhörigstöd. Utifrån underlaget läggs uppgifter in manuellt i internetbanken, vilket godkänns av minst 2 personer. Även personliga utlägg hanteras manuellt i internetbanken, men godkännes i likhet med alla betalningar via internetbanken och Raindance två i förening. Personliga utlägg betalas ut i första hand ut av personalavdelningen. I undantagsfall görs detta på ekonomiavdelningen och då via internetbanken, två i förening. Transaktionen bokförs sedan manuellt i Raindance. Månatligen betalas även habiliteringsersättning, inackorderingsbidrag, närståendestöd, etc. ut. Anslutningsbidrag till elever betalas ut 1 gång per termin. PRAO-ersättning betalas ut 1 gång per termin, kontanter eller till föräldrars bankkonton. Extra löneutbetalningar (t ex vid utebliven/felaktig lön görs också när underlag (utanordning) kommer från personalavdelningen. 5.7. Avstämning av konton i huvudboken Avstämning av balanskonton hanteras av ekonomiavdelningen. Samtliga balanskonton stäms av i samband med tertialboksluten (april, augusti och december) och bank och likviditetskonton samt anläggningsregistret stäms av varje månad. Saldo enligt huvudbok stäms av mot upprättad bokslutsspecifikation och underlag, exempelvis bankkontoutdrag, och arkiveras i fysisk pärm. Bokslutschecklista finns upprättad med tydlig ansvarsfördelning. Redovisningsansvarig är ansvarig för att tillse att bokslutschecklistan är fullständigt avstämd samt att upprättade kontoavstämningar med bokslutsspecifikation och underlaget jämfört med huvudbok är avstämt rätt och riktigt. Detta sker vid tertialboksluten. Bollebygds kommun 19 av 21

Diffar finns sällan och samtliga differenser (>1 kr) utreds. Analys sker av vad differensen beror på. Oftast avser detta manuell bokföring. Mycket sällan som differens beror på felaktig överföring av data. Alla korrigeringsbokningar skall attesteras av ekonomichefen, dock är detta ej formellt fastställt. Iakttagelser Fåtal balanskonton stäms av på månatlig basis. Alla korrigeringsbokningar skall attesteras av ekonomichefen, dock är detta ej formellt fastställt. Bollebygds kommun 20 av 21

2015-06-29 Fredrik Jilmstad Projektledare Fredrik Carlsson Uppdragsledare Bollebygds kommun 21 av 21

6. Appendix Iakttagelser och rekommendationer Ref # Avsnitt Iakttagelse Risk :s rekommendation Prioritet 1.1 4.1. Övergripande information om ekonomiavdelningens organisation Det finns inga formellt upprättade och fastställda dokument där det tydligt framgår hur en god intern kontroll skall upprätthållas genom utförande av kontrollaktiviteter. Exempelvis finns det inte formellt dokumenterat hur kontrollmoment skall utföras och dokumenteras avseende validering av fullständighet och riktighet i samband med överföring av data från olika försystem. Risk för felaktigheter gällande fullständighet, riktighet och otillbörliga transaktioner kopplat till finansiell data och operationella processer. rekommenderar kommunen att upprätta och fastställa dokument som tydligt beskriver: Hur ser processflödet ut? Vilka kontroller skall utföras som delmoment i processen? Vem är ansvarig för att uppdatera kontroller kopplat till förändringar i processen? Vem är ansvarig för utförande av kontrollen? Hur skall kontrollen utföras och med vilken frekvens? Hur skall utförd kontroll dokumenteras? Hur sker eventuell rättning baserat på utförd kontroll? Medel 1.2 4.1. Övergripande information om ekonomiavdelningens organisation Befintliga arbetsbeskrivningar är inte fastställda av kommunledningsgruppen. Risk för icke ändamålsenliga arbetsbeskrivningar. rekommenderar kommunen att fastställa upprättade arbetsbeskrivningar i kommunledningsgruppen. Vidare bör undersökas om kommunen i dessa rutinbeskrivningar kan bygga in rekommendation enligt Ref # 1.1. Medel 2.1 4.2. Ekonomi- Avsaknad av formell rutin för att Risk för att ej testade och rekommenderar kommunen att Medel juni 2015 Bollebygds kommun 1 av 8

Ref # Avsnitt Iakttagelse Risk :s rekommendation Prioritet systemet Raindance initiera och hantera programförändringar efter implementeringsprojektets avslut. godkända programförändringar implementeras i systemet och orsakar felaktigheter finansiella och operationella processer. upprätta en formell rutin för hur programförändringar skall hanteras och vilka kontrollmoment som skall ingå i rutinen, exempelvis: Godkännande av förändringen Godkännande av testresultat Godkännande av driftsättning Dokumentationskrav 2.2 4.2. Ekonomisystemet Raindance Avsaknad av rutin för att uppdatera befintlig systemdokumentation för Raindance avseende de förändringar som sker exempelvis i och med systemuppdateringar. Risk för oklarhet kring hur systemet är uppsatt och vad som skall övervägas vid exempelvis uppgraderingar. rekommenderar kommunen att säkerställa att komplett systemdokumentation sammanställs och kontinuerligt uppdateras. Låg 2.3 4.2. Ekonomisystemet Raindance Det finns ingen kontroll avseende att samtliga filer som ska ha lästs in har blivit inlästa (avser samtliga försystem till Raindance utom EDP Future). Samma fil kan rent tekniskt läsas in flera gånger i Raindance (avser samtliga försystem till Raindance utom EDP Future). Risk för felaktighet avseende fullständighet och riktighet i finansiell data. rekommenderar kommunen att formalisera validering av att viktiga kontrollaktiviteter med avseende på att inläsning av filer från försystem till Raindance är utfört och att respektive fil endast lästs in en gång. Detta kan exempelvis ske genom att samtliga överföringar specificeras och att det på kontinuerlig basis (beroende på typ av flöde) stäms av att data lästs över fullständigt och riktigt. Medel 3.1 4.2.1. Webportaler till Raindance Kommunen har breda behörigheter till bokföringsmodulen med sammanlagt 13 användare med högsta behörigheten. Vidare finns ett stort antal användare som inte har den Risk för felaktigheter och otillbörliga transaktioner kopplat till finansiell data och operationella processer. rekommenderar kommunen att överväga att begränsa antalet användare med full behörighet via webportalen. Notera: Medel juni 2015 Bollebygds kommun 2 av 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss