Tjänsteskrivelse Sida 1(2) Datum 2016-02-08 Admnämnd/2016:1 047 Intern kontroll Charlotte Rolfsson,0550-869 61 Charlotte.rolfsson@kristinehamn.se Riskanalys och intern kontrollplan för Lönecentrum 2016 Sammanfattning Syftet med intern kontroll är att kunna styra, leda och följa upp verksamheten i nämnden. har det yttersta ansvaret för den interna kontrollen inom respektive verksamhetsområde. Förvaltningschefen ansvarar för att konkreta regler och anvisningar är utformade så att en intern kontroll kan upprätthållas. Ansvarig verksamhetschef är skyldig att följa antagna regler och se till att övriga anställda är informerade om reglerna och anvisningarnas innebörd. Bifogad interkontrollplan och riskanalys fastställs för 2016. Beslutsunderlag Admnämnd tjänsteskrivelse 2016-02-08 Bilaga riskanalys Bilaga intern kontrollplan Ärendet Lönecentrum har tagit fram ett förslag till en ny intern kontrollplan. Som underlag till planen har vi gjort en riskanalys. Riskanalysen innehåller de orsaker som skulle kunna bli fel vid löneutbetalningar eller som har en stor påverkan för den anställde eller arbetsgivaren. I den nya planen kommer vi att göra mer kontroller utifrån hur våra rutiner och processer fungerar. Varje risk har vi bedömt utifrån sannolikhet, konsekvenspåverkan och risknivå. Intern kontrollplanen innehåller de risker som har högst risknivå i vår riskanalys eller där risken kan få en större konsekvens. Frekvens av kontroll kan vara allt ifrån varje månad till stickprov vissa månader. Utöver de punkter som finns på intern kontrollplanen finns inbyggda kontroller i lönesystemet. Det finns en kontroll så att man inte kan rapportera på eget personnummer. Chefer har bara möjlighet att attestera personal inom eget/egna verksamheter eller funktioner. Vissa orsaker som rapporteras i lönesystemet kräver tillstyrkan av chef och beslut av personalchef eller motsv. Det finns också sambandskontroller för medarbetare, chef och löneadministratör. KRISTINEHAMNS KOMMUN E-post loncentrum@kristinehamn.se Postadress 50. Lönecentrum 681 84 Kristinehamn Besöksadress Tullportsgatan 13 Telefon 0550-869 60 Fax 0550-382 52 Bankgiro 110-0213 Organisationsnr 212000-1868
2 Förslag till beslut nämnden beslutar att anta förslag till intern kontrollplan avseende 2016. Redovisning av internkontroll görs vid två tillfällen per år. Niclas Friman Personalchef Charlotte Rolfsson Lönechef
INTERNKONTROLLPLAN Rev. 2013-08-26 Rev. 2016-01-28 Riskbedömning Liten Mellan - Stor Internkontrollplan för Lönecentrum Östra Värmland Avser perioden 2016-01-01-2016-12-31 Reglemente/Rutin/system Kontrollaktivitet Kontrollansvarig Frekvens/tidpunkt Metod Rapport till Riskbedömning Kommentar Rutiner Rutiner Registrering gjord av lönecentrum Registrering gjord av lönecentrum Behörighet Att dokumenterade rutiner finns Efterföljs befintliga rutiner Att registrering skett korrekt utifrån underlag Att underlag finns för registrering Rutin kring rapportering för anhörigs lön Verksamhetsutvecklare Verksamhetsutvecklare Systemförvaltare 2 ggr per år Granska utifrån processkartläggning Lönechef Stor Löpande Granska Lönechef Mellan utifrån befintlig rutin Varje månad Stickprov Lönechef Mellan och rapport ur lönesystem Varje månad Stickprov Lönechef Mellan och rapport ur lönesystem 4 ggr per år Loggfiler Lönechef Liten Behörighet Att man har rätt behörighet utifrån roll och ansvar Systemförvaltare Årlig (roll) Övrigt 4 ggr/år Granskning och stickprov Lönechef Liten
Reglem/Rutin/system Kontrollaktivitet Kontrollansvarig Frekvens/tidpunkt Metod Rapport till Riskbedömning Kommentar Felaktig utbetald lön Oattesterade poster Antal baserat på rättelse, bankhandling, extrautbetalning, Löneskulder(antal samt vad som ligger till grund för att skulden uppstått. Att poster i systemet attesteras löpande Systemförvaltare Varje månad Rapport ur Lönesystem samt granskning Varje månad Rapport ur lönesystem Liten Mellan Kvitto, reseräkning och personligt utlägg. Rapporteringsunderlag Att kvittounderlag tillhörande reseräkning och personligt utlägg inkommer till Lönecentrum för arkivering Att rapporteringsunder lag inkommer till lönecentrum enligt fastställd tidsplan April och oktober kontrolleras föregående månads kvitton Rapport ur lönesystem Varje månad Manuell räkning Liten Mellan
Underlag för att identifiera och analysera risker Nr Risk (Vad skulle kunna inträffa) S K R Orsak och förslag till åtgärd (för att reducera eller eliminera risken) 1 Ej tillräckligt med kunskap för sitt arbete så man gör fel 3 4 12 Ny på jobbet - mentorskap Man vet inte att man inte vet mentorskap, se tiden an Lärt sig fel från början gemensamma rutiner Något som är fel i en kommun kan vara rätt i en annan gemensamma rutiner 2 Avsaknaden av dokumenterade rutiner Fel handhavande för att det inte finns rutin alt. rutinen är inte känd för alla medarbetare 3 Otydliga gränser mellan lönecentrum och verksamheten 3 5 15 Tydliggöra rutinerna. Ta fram nya rutiner och implementera i verksamheten (Lönecentrum) Metod att följa upp 2 2 4 Vi vet att vi får rätta till det i efterhand och vill minska den arbetsbelastningen för den känns tyngre få chefer att förstå vikten av att attestera i tid 4 Inga underlag Vi registrerar uppgifter utan att ha ett godkänt underlag. 5 Fel lön utbetalas Statistik till nämnden, månadslön rättelse, bankhandling, extrautbetalning 2 5 10 Orsak: Okunskap och/eller slarv från lönecentrum eller verksamheten. Åtgärd: Dokumentera och rapportera/upplys ansvarig om bristerna. 2 4 8 Orsak: Ansvarig chef kontrollerar inte belastning av eget konto före verkställan av lön. Sent rapporterad frånvaro och/eller sena underlag Orsak: Okunskap och/eller slarv från verksamheten (både medarbetare och chef). Åtgärd: Skapa tvingande kostnadskontroll innan verkställan. Åtgärd : Dokumentera och rapportera/upplys ansvarig om bristerna. Åtgärd : Tvingad kostnadskontroll innan verkställan.
Risk (Vad skulle kunna inträffa) S K R Orsak och förslag till åtgärd (för att reducera eller eliminera risken) 6 Information når inte alla medarbetare 3 4 12 Skriftlig dokumentation. Genomgång på avd.möte och APT. Checklista för nyanställda, vad man ska gå igenom. 7 Felregistrering av manuella underlag 3 3 9 Stress, slarv, okunskap, avbruten mitt i, otydliga underlag. Bryta ner i fler delar. -Lönetillägg - Anställningsavtal/uppdragstagare Vid stress be om hjälp, strukturera arbetet, kompetensutveckling, att det finns rutinbeskrivning för olika processer, stänga av telefon stänga dörren, fråga vid oklarheter/skicka tillbaka (avsändaren av underlaget). 8 Avsiktliga fel, internt 1 5 5 Egen vinning, hot, bedrägeri. Inte för stor behörighet, intern policy kring släkt, intern kontroll av underlag (löneutbetalning). Flera som attesterar utbetalningar. 9 Inte följa rutiner och avtal Felaktiga underlag enligt gällande rutiner Inte göra kontroller inför lönekörning 3 4 12 Okunskap, nonchalans, vara smidig, konflikträdd, rädda chefen, personlig kännedom (gammal vana som man alltid gjort) Tydliga rutiner, kommunikation med avsändaren av underlaget bekräftelse via mail (skriftligt underlag), kontrollerar att underlag finns (intern kontroll). Okunskap, hinner inte med, följer inte uppgjorda rutiner. Tydlig information/rutinbeskrivning, be om hjälp, intern kontroll att kontroller görs. 10 Felaktig behörighet/roll 2 4 8 Behörighetsblankett från anställande chef. Genomgång av roller i Neptune av vad som behövs för resp. användare. 11 Ingen testdatabas. Ingen dokumentation eller test av nyheterna innan släpp. 5 4 20 Installation av testdatabas. (Åtminstone för en kommun ) Fel inställningar/ändringar i systemet.
Risk (Vad skulle kunna inträffa) S K R Orsak och förslag till åtgärd (för att reducera eller eliminera risken) 12 Obehörig kan använda datorn om inte utloggning 1 3 3 Lås datorn när arbetsplatsen lämnas ev. släcka skärmar vid hemgång. Stänga görs på rätt sätt av datorn varje fredag för ev. uppdateringar. 13 Ingen säker utskrift. 3 2 6 Dokument kommer bort, sekretess kommer i felaktiga händer. Inställningar ska göras. 14 Datavirus 1 5 5 Okunskap Följa ITs rekommendationer för internetanvändning och mail, för att undvika ev. virus. 15 Löneskulder 3 4 12 16 Oattesterade poster i systemet 3 3 9 Bristfällig kontroll/rutin av arbetsledare. Informera om gällande rutiner. 17 Kvitto, reseräkning 4 1 4 Bristande kompetens (okunskap). Informera om gällande rutiner. 18 Rapporteringsunderlag, sen ankomst 3 3 9 Bristfällig kontroll/rutin av arbetsledare Informera om gällande rutiner. S = sannolikhet 1= Mycket låg, 2 = låg, 3 = medelstor, 4 = Stor, 5 = mycket stor K = konsekevens 1 = försumbar, 2 = liten, 3 = medelstor, 4 = stor, 5 = mycket stor R = Risknivå (sannolikheten x konsekvensen)