Revisionsrapport Intern kontroll i faktura- och lönehantering Kristianstads Renhållnings AB 2009-12-16 Silja Savela Yvonne Lundin
Innehållsförteckning 1 Sammanfattande bedömning...1 2 Bakgrund, syfte och revisionsfråga...2 2.1 Metod och avgränsning...2 3 Iakttagelser...3 3.1 Dokument...3 3.1.1 Intern kontroll...3 3.1.2 Attestreglemente...3 3.2 Rutinbeskrivningar...3 4 Fakturahantering...4 4.1 Rutiner för behörigheter och lösenord...4 4.2 Rutiner för efterkontroll av upplagda leverantörer och registrerade fakturor...5 4.3 Rutiner för behandling av eventuella sekretessfakturor...5 4.4 Attestförteckningens aktualitet och efterlevnad...5 4.5 Granskning av ett urval av fakturor...5 5 Lönehantering...6 5.1.1 Internkontrollplan för lönehantering...6 5.2 Rutiner för uppdatering och registrering av uppgifter i personalregistret...7 5.3 Rutiner för rapportering, godkännande och registrering av löneunderlag...7 5.4 Rutiner för utbetalning av löner...7 5.5 Granskning av ett urval löneunderlag...8 6 Revisionell bedömning...8
1 Sammanfattande bedömning Kristianstads kommuns revisorer har gett Öhrlings PricewaterhouseCoopers i uppdrag att granska intern kontroll i faktura- och lönehantering. Revisionsfrågan som ställts är om bolagets rutiner och system uppfyller de krav som kan ställas ur internkontrollsynpunkt gällande bolagets faktura- och lönehantering. Till följd av vår granskning som genomförts genom intervjuer, dokumentstudier och stickprovskontroller på leverantörsfakturor och underlag till löneutbetalningar görs följande sammanfattande bedömning: Bolagets rutiner och system för faktura- och lönehantering uppfyller till största delen de krav som kan ställas ur internkontrollsynpunkt. Granskningen visar dock att det finns brister som utgör utvecklingsområden för att ytterligare förstärka den interna kontrollen, enligt nedan. Vi konstaterar vid granskningen att bolaget saknar dokumenterade rutinbeskrivningar över de flesta arbetsmomenten inom både faktura- och lönehanteringen, att bolaget saknar attestregler för lönehanteringen samt att behörigheten full behörighet i lönesystemet medför att uppgifter för egen person kan registreras och attesteras. Vi rekommenderar därför: att bolaget upprättar rutinbeskrivningar över samtliga arbetsmoment i faktura- och lönehanteringen att bolagets attestregler kompletteras med regler för lönehanteringen att behörigheten i lönesystemet begränsas, så det inte går att attestera egna registrerade uppgifter Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 1(8)
2 Bakgrund, syfte och revisionsfråga Av kommunallagens 9 kap 9 framgår bland annat att revisorerna ska pröva om den interna kontrollen som görs inom nämnderna är tillräcklig. Nämndernas ansvar i detta arbete framgår av kommunallagen 6 kap 7 i vilken det stadgas att nämnderna ska se till att den interna kontrollen är tillräcklig. Nämnderna ansvarar för en ändamålsenlig styrning så att verksamheten bedrivs på ett effektivt sätt och att det finns säkra rutiner som förhindrar förlust för kommunen och som säkerställer att redovisningen är rättvisande. Samma krav ställs på verksamhet som bedrivs i kommunala företag där styrelsen har motsvarande ansvar för den interna kontrollen. Syftet med granskningen är att kontrollera om bolagets rutiner och system uppfyller de krav som kan ställas ur internkontrollsynpunkt. Granskningen berör följande områden: Fakturahanteringen (Leverantörsfakturor) Lönehanteringen Generella kontrollmål: Är rutinbeskrivningar och internt kontrollreglemente tillräckliga? Är dokumentationskraven tillräckliga? Kontrollmål gällande fakturahanteringen: Rutiner för hantering av behörigheter och lösenord Rutiner för efterkontroll av upplagda leverantörer och registrerade fakturor Rutiner för behandling av eventuella sekretessfakturor Attestförteckningens aktualitet och efterlevnad Kontrollmål gällande lönehanteringen Rutiner för uppdatering och registrering av uppgifter i personalregistret Rutiner för rapportering, godkännande och registrering av löneunderlag Rutiner för utbetalning av löner 2.1 Metod och avgränsning Vi har intervjuat berörda personer på ekonomi- och personalavdelningen samt ansvariga för den interna kontrollen. Vi har tagit del av aktuella dokument samt granskat ett antal leverantörsfakturor och löneunderlag för att bedöma om den interna kontrollen är tillräcklig. Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 2(8)
Gällande fakturahantering omfattas endast leverantörsfakturor. Ett urval fakturor och löneunderlag bokförda år 2009 har granskats. Rapporten har faktagranskats av ekonomichefen. 3 Iakttagelser 3.1 Dokument 3.1.1 Intern kontroll Kristianstads Renhållnings AB:s styrelse fastställer årligen en plan för hur den interna kontrollen skall bedrivas. Planen innehåller olika områden som ska granskas under året. Under 2008 har delar av löne- och fakturarutinen granskats. Under 2009 kommer delar av lönerutinen att granskas. Inom bolaget finns en av styrelsen utsedd internkontrollsamordnare (ekonomichef). Rapportering över intern kontroll sammanställs årligen till bolagets styrelse och till kommunstyrelsen. 3.1.2 Attestreglemente Styrelsen för Kristianstads Renhållnings AB har 2009-07-04 fastställt regler för firmateckning och attestordning för bolaget. Personalförändringar har föranlett senaste uppdateringen. Attestordningen innehåller följande områden: Attestens innebörd Olika attesttyper (anskaffning, fakturakontroll, förattest och beslutsattest) Regler för inköp och uppgifter om inköpsberättigade För fakturahanteringen regleras vilka kontroller som ingår i de olika attestmomenten samt vilka personer som är attestberättigade för respektive attesttyp. Som bilaga till attestreglementet finns förteckning över attestanter med namnteckningsprov. För lönehantering saknas attestregler förutom för reseräkningar och löneförskott. 3.2 Rutinbeskrivningar Av intervjuerna framgår att det saknas dokumenterade rutinbeskrivningar för de flesta momenten i faktura- och lönehantering. Av internkontrollplanen framgår att dokumenterade rutiner ska tas fram avseende vissa moment i lönehanteringen. Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 3(8)
4 Fakturahantering Totalt hanteras ca 3 000 leverantörsfakturor årligen i bolaget. Bolaget planerar att under 2010 införa elektronisk fakturahantering. Idag hanteras fakturorna manuellt så till vida att fakturorna distribueras i pappersform till respektive attestant, samt att kontering, attest med mera görs på pappersfakturan för att sedan registreras i bolagets ekonomisystem, Navision. När fakturorna inkommer till bolaget kontrolleras de, så att de uppfyller de krav på faktura som ställs av bolaget. De kontroller som görs innefattar bland annat betalningsvillkor, uträkningar och momsbelopp. Samtliga fakturor som överstiger 1 000 kronor och är handskrivna kontrollräknas. Kontering och attest av attestberättigad sker på konteringsunderlaget. Efter genomförda kontroller förses fakturan med konteringsflagga/stämpel, attesteras av attestberättigad, ankomstregistreras i ekonomisystemet med uppgift om bland annat leverantör, belopp, momsbelopp, betalningsdag med mera. Varje faktura får ett unikt identifikationsnummer. Därefter lämnas fakturan till respektive ansvarig (avdelningschef) för kontroll, kontering och attest. Kontrollattesten bekräftar att fakturan är fri från anmärkning avseende pris, leverans- och betalningsvillkor, uträkning, kontering, inköpsavtal med mera. Efter genomförd kontrollattest lämnas fakturan tillbaka till ankomstregistreraren som registrerar konteringen i ekonomisystemet. Därefter lämnas fakturorna till ekonomichefen för slutlig attest (betalningsattest) samt klarmarkering i ekonomisystemet (vilket innebär att fakturan är klar för att skickas till betalning). Ekonomichefen har betalningsattesträtt på samtliga fakturor utom för egna inköp. Dessa ska kontrasigneras av annan representant från ledningsgruppen. Cirka en gång per vecka sammanställs ett betalningsförslag över klarmarkerade fakturor och en elektronisk betalningsfil skapas och skickas till banken. Filen signeras av två personer. Banken ombesörjer att fakturorna betalas på förfallodagen. Uppföljning att fakturorna är betalda sker genom listor från bankgirocentralen på de filer som har skickats och i ekonomisystemet markeras fakturorna som betalda. 4.1 Rutiner för behörigheter och lösenord Inom bolaget finns två personer som har behörighet att lägga in/ändra användarnas behörigheter i ekonomisystemet. En förteckning finns över de personer som har tillgång till ekonomisystemet med uppgift om vilka behörigheter respektive person har. Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 4(8)
Vid upplägg av nya användare tilldelas nytt lösenord till användaren av systemansvarig. Användaren uppmanas efter första inloggningen att byta till ett eget lösenord. Lösenordsbyte krävs var 30:e dag. 4.2 Rutiner för efterkontroll av upplagda leverantörer och registrerade fakturor Vid nyupplägg av leverantörer genomförs en kontroll hos plusgirot/bankgirot att det angivna kontonumret överensstämmer med leverantörens namn. Vid misstanke om konstigheter rådgör registratorn med ekonomichefen. Under året har bolaget infört en rutin där efterkontroll av samtliga nyregistrerade leverantörer ska göras kvartalsvis. I systemet loggas samtliga nyupplagda leverantörer, vilket medför att en förteckning över dessa kan skrivas ut. Efterkontrollen görs av ekonomichefen. Övriga kontroller av registrerade fakturor som genomförs löpande under året är avstämning av listor över sända utbetalningar från plus-/bankgirot samt avstämning av leverantörsreskontra mot huvudboken. 4.3 Rutiner för behandling av eventuella sekretessfakturor Några sekretessfakturor förekommer inte i bolaget. 4.4 Attestförteckningens aktualitet och efterlevnad Attestförteckningen är uppdaterad 2009-07-04. Den uppdateras kontinuerligt vid förändringar och beslutas av styrelsen. Av de stickprovskontroller som vi har genomfört framgår att samtliga fakturor har attesterats av rätt person. 4.5 Granskning av ett urval av fakturor En granskning av ca 40 fakturor bokförda mellan januari och september 2009 har genomförts. Fakturorna har valts ut slumpvis genom en förteckning över betalda fakturor. Kontrollerna har avsett: Att betalning har gått till rätt mottagare med rätt belopp Att rätt moms har registrerats Att beslutsattest av egna kostnader inte har skett Att fakturan är komplett och att bilagor finns med Att rätt person har beslutsattesterat och att samtliga attestnivåer finns Att fakturan är betald i tid. Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 5(8)
Vid granskningen uppfyller samtliga fakturor ovanstående villkor. 5 Lönehantering Bolaget använder sig sedan hösten 2008 av lönesystemet AgdaPS för hantering och utbetalning av löner samt för tidsredovisning. Lön betalas ut till ca 55 anställda, därutöver tillkommer arvoden till styrelseledamöterna. De personer (44) som arbetar i bolagets kontorslokaler registrerar arbetad tid genom inoch utstämpling. Avvikelser, exempelvis semester och sjukdom rapporteras av personalen direkt i systemet eller på speciell blankett. De personer (11) som arbetar ute på bolagets anläggningar lämnar in en skriftlig tidrapport varje månad. Reseräkningar hanteras manuellt, vilket innebär att personalen lämnar reseräkningar i pappersform till sin arbetsledare. Uppgifterna från reseräkningen registreras av lönehandläggaren i lönesystemet för utbetalning genom denna. I systemet finns olika typer av behörigheter: Full behörighet, vilket innebär rätt att administrera behörigheter, registrera personuppgifter, attestera händelser i systemet, genomföra lönebearbetning med mera, 3 personer Avdelningschef, har rätt att attestera händelser i systemet för egen personal Tidregistrering, har rätt att registrera tid, frånvaro med mera för egen del Behörigheterna avdelningschef och tidregistrering har inte tillgång till lönebearbetningsmodulen. De personer som har full behörighet kan även registrera och attestera uppgifter för egen del. 5.1.1 Internkontrollplan för lönehantering Av internkontrollplanen för 2009 framgår vilka olika åtgärder som ska genomföras under året: att dokumenterade rutiner skall tas fram avseende hur personalen registrerar i systemet när de kommer och går att dokumenterade rutiner skall tas fram avseende vilka kontroller som skall göras av avdelningsansvarig varje månad att kontroll ska göras mellan bokföringsunderlag och veckorapporter varje månad att IT ansvarig skall se till att felaktigheter i systemet blir tillrättade (problem med avvikande kontering). Arbete med genomförande av åtgärderna har påbörjats och beräknas slutföras under året. Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 6(8)
5.2 Rutiner för uppdatering och registrering av uppgifter i personalregistret Alla grundläggande anställningsuppgifter samt ändringar som inte föranleds av ordinarie lönerevision registreras av lönehandläggaren utifrån godkända underlag (anställningsbeslut) från respektive arbetsledare. Vid lönerevision används en förteckning med uppgift om de nya lönerna, påskriven av fackliga företrädare samt arbetsgivare, som underlag för registrering. Ekonomichefen kontrollerar förteckningen mot uppgifter i lönesystemet efter att ändring har gjorts. Under året har bolaget tagit fram en rutin för löpande kontroll av ändringar som är gjorda i personregistret. I samband med löneutbetalning skrivs en lista ut med följande uppgifter: Förändring av fasta lönearter Nyupplägg av personer i personregistret Förändring av uppgifter i personregistret Listan kontrolleras av ekonomichefen. 5.3 Rutiner för rapportering, godkännande och registrering av löneunderlag Löneutbetalning baseras på uppgifterna från anställningsavtalet samt den rapportering som har gjorts i tidsredovisningssystemet eller tidrapporterna. Respektive arbetsledare kontrollerar och attesterar inrapporterade uppgifter i tidsredovisningssystemet och eventuella manuella tidrapporter för de personer de har ansvaret för. I de fall personalen har haft några utlägg för resor eller annat, rapporteras dessa uppgifter av lönehandläggaren in i lönesystemet utifrån ett underlag som lämnats av den anställde efter att berörd arbetsledare har attesterat underlaget. 5.4 Rutiner för utbetalning av löner Vid bestämda tidpunkter varje månad ska samtliga arbetsledare ha attesterat uppgifterna i tidsredovisningssystemet och attesterat och lämnat in manuella tidrapporter. Lönehandläggaren rapporterar in de manuella uppgifterna, hämtar uppgifterna från tidrapporteringssystemet till lönesystemet, där en löneberäkning görs. Lönehandläggaren genomför olika kontroller, exempelvis rimlighet, övertid, total lön, semester med mera. Efter genomförd kontroll skrivs ett utbetalningsunderlag ut som visar total lön per person. Ekonomichefen kontrollerar och attesterar utbetalningsunderlaget. En fil med uppgifterna skickas till banken som ombesörjer att lönerna betalas ut. Bankfilen signeras av löneadministratören och kontrasigneras av ekonomichefen. Systemet kräver två signaturer innan den godkänner Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 7(8)
utbetalning. Perioden stängs efter lönekörning så att inga ändringar kan göras av tidigare rapporterade uppgifter. Efter genomförd löneutbetalning skapas en bokföringsorder i systemet som används som underlag vid bokföring i bolagets ekonomisystem. 5.5 Granskning av ett urval löneunderlag Vi har genomfört ett antal kontroller av löneunderlag och behörigheter i systemet. Kontrollerna avser löner utbetalda under 2009. Kontrollerna har avsett: Att anställningsavtal är underskrivna av behörig person Att underlag som används för löneutbetalning överensstämmer med belopp som bokförts som utbetalda löner och bankens kontoutdrag. Att reseräkningar och underlag till manuella registreringar för perioden maj och juni 2009 är undertecknade av arbetsledare Att löneuppgift per person överensstämmer med lönerevisionslista för år 2009 Samtliga kontroller har genomförts utan anmärkning. 6 Revisionell bedömning Vi bedömer att bolagets rutiner och system för faktura- och lönehantering i stort uppfyller de krav som kan ställas ur internkontrollsynpunkt. Vi vill peka på några utvecklingsområden för att ytterligare stärka den interna kontrollen: Vi noterar att bolaget saknar dokumenterade rutinbeskrivningar över de flesta arbetsmomenten inom både faktura- och lönehanteringen. Genom en kartläggning och dokumentation av rutinerna kan risker analyseras, rutiner effektiviseras och nödvändiga kontroller upprättas. Även sårbarheten vid personalbyte eller vid längre frånvaro minskas när väl dokumenterade rutiner finns. Vi noterar att bolaget saknar attestregler för lönehanteringen. Vi rekommenderar att bolagets attestregler kompletteras med regler för lönehanteringen. Vi noterar att behörigheten full behörighet i lönesystemet medför att uppgifter för egen person kan registreras och attesteras. Vi rekommenderar att behörigheten begränsas så att attest av egna uppgifter inte kan ske. Kristianstads Renhållnings AB, Intern kontroll i fakturahantering och lönehantering 8(8)