11 Revisionsrapport Granskning av intern kontroll i regionens huvudboksprocess RS150315 Ärendet Revisorerna i Region Halland har gett PWC i uppdrag att granska den interna kontrollen i huvudboksprocessen. Rapporten har skickats till Regionstyrelsen och till Driftnämnd Regionservice med begäran om svar. Driftnämnden Regionservice avger eget svar. Arbetsutskottets förslag Regionstyrelsen beslutar att avge yttrande över revisionsrapporten om Granskning av intern kontroll i regionens huvudboksprocess Handlingar i ärendet Tjänsteskrivelse från regionkontoret (2015-09-28) Skrivelse från regionstyrelsen Revisionsrapport
TJÄNSTESKRIVELSE Ärende 11 1(1) Regionskontoret Redovisningsavdelningen Per Karlsson Redovisningschef Datum Diarienummer 2015-09-28 RS150315 Regionstyrelsen Revisionsrapport Granskning av intern kontroll i regionens huvudboksprocess Förslag till beslut Regionstyrelsen beslutar att avge yttrande över revisionsrapporten om Granskning av intern kontroll i regionens huvudboksprocess. Sammanfattning Revisorerna i Region Halland har gett PWC i uppdrag att granska den interna kontrollen i huvudboksprocessen. Rapporten har skickats till Regionstyrelsen och till Driftnämnd Regionservice med begäran om svar. Driftnämnden Regionservice avger eget svar. Regionkontoret Catarina Dahlöf Regiondirektör William Hedman Ekonomidirektör
1(3) Regionskontoret Redovisningsavdelningen Per Karlsson Redovisningschef Datum Diarienummer 2015-10-28 RS150315 Region Hallands revisorer Revisionsrapport Granskning av intern kontroll i regionens huvudboksprocess Bakgrund Revisorerna i Region Halland har gett PWC i uppdrag att granska den interna kontrollen i huvudboksprocessen. Rapporten har skickats till Regionstyrelsen och till Driftnämnd Regionservice med begäran om svar. Revisorernas granskning En sammanfattande rekommendation är att en kontroll i samband med överföringar av filer mellan Agresso och olika de försystemen bör implementeras och dokumenteras i syfte att säkerställa fullständighet och riktighet i överföringen. Det är av vikt att ange vilka kriterier som utlöser kontrollen och ta ställning till om det är tillräckligt för att säkra fullständighet och riktighet. För samtliga kontroller bör säkerställas att dessa dokumenteras avseende hur kontrollen utförs, vem som är ansvarig, vad bevis för utförd kontroll är samt hur eventuell rättning ska ske. Kontrolldokumentationen är av vikt för att kunna säkerställa att alla väsentliga kontroller utförts innan bokslutet stängs. Regionstyrelsens svar Regionstyrelsen har noterat revisorernas synpunkter och avger härmed svar. Granskningen är till stor hjälp i det fortsatta arbetet med intern kontroll kopplat till huvudboksprocessen samt när det gäller dokumentation av redovisningssystemet. Inom ramen för systemförvaltningen av Agresso jobbar vi fortlöpande med att utveckla, kvalitetssäkra och dokumentera integrationer från olika försystem till ekonomisystemets huvudbok. Avseende synpunkter och rekommendationer på behörighetsadministrationen krävs endast mindre åtgärder medan kontroller och kvalitetssäkring av filöverföringar i flera fall fordrar tekniskt utvecklingsarbete. Nedan följer konkreta kommentarer till några av punkterna i revisionsrapporten.
2(3) Region Halland har 15 användare med högsta behörighet till Agresso (varav majoriteten är Agressokonsulter), vilket inkluderar att lägga upp och ändra behörigheter. 5 användare har numera högsta behörighet, varav 3 anställda i Region Halland och två Agressokonsulter. Vid uppsättningen av roller i systemet har det ej tagit hänsyn till huruvida behörigheten till vissa moment bör vara åtskilda för att säkerställa en god arbetsfördelning. Samma användare som har behörighet att registrera leverantörsutbetalningar kan numera inte lägga upp/ändra leverantörsuppgifter. Attest av leverantörsfakturor saknar beloppsgränser och styrs enbart på ansvar. Möjlighet finns att lägga till detta i systemet, men behöver i så fall kopplas till delegationsbeslut. Rutinen för tilldelning av behörigheter vad gäller anställda på GAS är informell och bör formaliseras. Även vad gäller övriga användare kan rutinen förstärkas då det av ärendehanteringssystemet ej tydligt framgår vilka behörigheter som finns och innebörden av dessa. Blankett och rutin för tilldelning och ändring av behörigheter ska numera tillämpas. Rutinen för borttagande av behörigheter är bristfällig då förvaltningarna ej alltid underrättar regionen centralt vilka behörigheter som ska tas bort. Finns numera en rutin att för att åtgärda behörighet för användare som ej varit aktiva de senaste sex månaderna. Fullständighet i den årliga kontroll som utförs med avseende på att förteckning över utsedda beslutsattestanter hålls uppdaterade kan ej säkerställas då respektive nämnd/förvaltning ej återrapporter centralt när kontroll har utförts. Respektive driftnämnd fattar årligen beslut om utsedda beslutsattestanter. Det sker ingen kontroll av att exempelvis antal rader och totalbelopp i från extern leverantör/försystemet erhållen fil och i Agresso inläst fil överensstämmer med avseende på riktighet och fullständighet. Då filen går via BizTalk bör även den fil som erhålls från BizTalk ingå i kontrollen.
3(3) Teoretiskt har vi ingen annan uppfattning men i praktiken väldigt svårt rent tekniskt då filerna i de flesta fall konverteras från textformat till XML-format i Biztalk. Ansvaret vilar på systemansvarig eller motsvarande för respektive försystem att kontrollera och stämma av totalbeloppet i Agresso. Viss rimlighetsbedömning av summan utbetalningar av leverantörsfakturor uppges ske men kontrollen dokumenteras ej. Vidare har Region Halland upphandlat en tjänst hos företaget Inyett gällande kvalitetssäkring av betalningsfiler (inkluderande exempelvis dubbelbetalningar, bluffakturor och höga belopp) men tjänsten har ej ännu tagits i bruk. Tjänsten att kvalitetssäkra regionens utbetalningar via företaget Inyett driftsattes i juni 2015. En rutin för kontroll finns framtagen och tillämpas. Region Halland har skapat en rapport för preliminärbokade fakturor och det är upp till respektive förvaltning att gå igenom och bedöma fakturorna och eventuellt periodisera i samband med månadsbokslut. Vid granskningstillfället noterade PwC att det låg ett tjugotal externa fakturor från 2014 i Agresso uppgående till cirka 1,7 miljoner kronor. Aktuell siffra är fyra fakturor uppgående till cirka 175 000 kr. Tre av dessa är medvetet parkerade av användare i väntan på kreditfaktura. Region Halland reserverar ej för kundfordringar löpande utan skriver en gång per år av kundfodringar som är äldre än ett år. Hanteringen är helt manuell. Rutinen är numera automatiserad och sker månadsvis i Agresso Regionkontoret Mats Eriksson Regionstyrelsens ordförande Catarina Dahlöf Regiondirektör