Landstinget Blekinge. Revision av PA-system. Göteborg, 2010-09-23

Landstinget Blekinge Revision av PA-system Göteborg, 2010-09-23

Sammanfattning Bakgrund Våren 2010 fick Ernst & Young i uppdrag av Landstinget Blekinges revisorer att granska landstingets hantering av löner samt förvaltningen av PA-systemet. Granskningen har genomförts i form av intervjuer och dokumentinläsning under augusti och september 2010. Generella slutsatser Vår bedömning är att den interna kontrollen i löneprocessen ligger på en nivå som är något bättre än närbesläktade verksamheter. Systemet ger ett visst stöd för den interna kontrollen, exempelvis finns inmatningskontroller och tvingande attestering av lönehändelser. Löneavdelningen har också etablerat ett antal rutiner som används i samband med personaladministration, löneadministration, lönekörningar och utbetalning. Vi ser dock att det finns förbättringspotential både gällande systemdesign och manuella rutiner. Iakttagelser Följande specifika iakttagelser anser Ernst & Young vara de mest angelägna att åtgärda. En komplett lista över iakttagelser och rekommendationer finns i kapitel 4. En och samma person kan utföra alla steg i löneprocessen, dvs. administrera anställda, ändra grunddata, attestera lönehändelser samt utföra löneutbetalning. Ett flertal roller kan ändra grunddata i PA-systemet, som grundlön. Det finns ingen kontroll i utbetalningsprocessen som säkerställer att fler än en person måste vara delaktig i utbetalningen. Lönekonsulter och personalkonsulter kontrollerar ej varandras registreringar. Lönekonsulter har möjlighet att godkänna ej attesterade lönehändelser samt, men enligt etablerat arbetssätt krävs underlag för detta. Det finns inga kontroller av att en person överstiger 100% i arbetsomfattning. Inmatningskontroller, som kollisionskontroll av semester, tjänstledighet och sjukfrånvaro, kan stärkas. Det saknas tekniska spärrar och till viss del formella regler för hur långt tillbaka i tiden övertid får rapporteras. Chefer blir ej automatiskt underrättade när ändringar görs i grunddata, som ändring av lön, samt vid attestering av lönehändelse. 2 av 22

Innehållsförteckning Sammanfattning... 2 Bakgrund...2 Generella slutsatser...2 Iakttagelser...2 Innehållsförteckning... 3 1 Inledning..... 4 1.1 Bakgrund och syfte...4 1.2 Metod...4 1.3 Avgränsningar...4 2 Organisations- och processbeskrivning... 5 2.1 Organisation...5 2.2 Systembeskrivning...6 2.3 Löneprocessen...6 3 Analys av kontrollmål... 11 3.1 Organisation och ansvar... 11 3.2 Inrapportering... 12 3.3 Bearbetning... 13 3.4 Utbetalning... 14 3.5 Administration av PA-system... 15 4 Iakttagelser och rekommendationer... 18 3 av 22

1 Inledning 1.1 Bakgrund och syfte Ernst & Young har fått i uppdrag av Landstinget Blekinges revisorer att göra en systemgranskning av PA-systemet Heroma. Syftet med granskningen är att värdera den nuvarande graden av intern kontroll i Heroma mot normativa kontroller i löneprocessen. Granskningen har genomförts under augusti och september 2010 av Marcus Hansson och Jonas Edberg, samt kvalitetssäkrats av Andreas Endredi. 1.2 Metod Uppdraget har genomförts i följande steg: 1. Identifiering av granskningspunkter (kontrollmål). 2. Intervjuer och kartläggning av system och löneprocess. 3. Gapanalys av nuläge mot granskningspunkter. 4. Faktaavstämning Informationsinsamling har genomförts genom intervjuer av medarbetare hos avdelningen Lön och personal under Landstingsservice. Urvalet av intervjupersoner har gjorts av servicedirektören och avdelningschefen för Lön och personal, tillsammans med Ernst & Young. Följande personer har intervjuats: 1.3 Avgränsningar Annika Risberg, avdelningschef, Lön och personal Solveig Eriksson, 50% lönekonsult, 50% systemförvaltare Ingela Willander, lönekonsult Lisbeth Johansson, systemförvaltare Emma Aldén, personalkonsult Christina Smedberg, teknisk systemförvaltare Ulf Olsson, ekonom Granskningen har varit inriktad på utbetalning av löner, vilket innebär att exempelvis rutiner kring hantering av resekostnader, traktamenten, pensioner och sociala avgifter inte har ingått i granskningen. Systemfunktioner och beräkningsformler för lönehanteringen och löneberäkningar har inte granskats. Testning av kontroller har ej genomförts. 4 av 22

2 Organisations- och processbeskrivning 2.1 Organisation Lön och personal är en del av Ledningsstöd i Landstingsservice, en förvaltning direkt under landstingsdirektören. Totalt består Lön och personal av 23 stycken medarbetare fördelade på 20,25 tjänster. Följande roller finns representerade inom enheten: Avdelningschef Lönekonsult Systemförvaltare Systemsupport Pensionshandläggare Personalcontroller Administrativ assistent 5 av 22

I dagsläget finns inga rollbeskrivningar, detta skall dock fastställas i dokumentet Stödprocessen personal. Lön och personal har tagit fram ett tjänsteutbud som beskriver avdelningens tjänster. Identifierade brister: Det saknas formella rollbeskrivningar som beskriver ansvar och befogenheter för de olika rollerna hos Lön och personal. 2.2 Systembeskrivning I PA-systemet Heroma hanteras löneutbetalningarna inom Landstinget Blekinge. Anställda knyts till schema som består av planerad arbetstid. De lönehändelser som anställda inom landstinget rapporterar genom egenrapportering är tillägg eller avdrag med utgångspunkt från det schema som kopplats till den anställde. Sådana tillägg och avdrag kan vara övertid, semester eller sjukfrånvaro. Självservice nås via ett webbgränssnitt under landstingets Intranät. Samtliga vårdavdelningar använder sig av individuell schemaplanering vilken fastställs av respektive chef. De flesta läkare använder sig dock fortfarande av manuell hantering, så kallade jourlistor. Landstingets mål är dock att alla skall nyttja Heroma. Schemaläggning hanteras direkt i Heroma. Heroma är integrerat med tidrapporteringssystemet Kom & Gå samt med landstingets ekonomisystem Raindance. Det finns också ett försystem till Heroma som används vid årlig lönerevision. Varje månad görs cirka 5 200 olika utbetalningar, varav cirka 4 700 är månadslöner. 2.3 Löneprocessen 2.3.1 Inrapportering Samtliga anställda inom landstingets förvaltningar har ett schema kopplat till sin anställning. De lönehändelser som anställda rapporterar genom egenrapportering är tillägg eller avdrag med utgångspunkt från schemat. Man kan enbart rapportera lönehändelser på sig själv. Frånvaro Heroma har ett antal fördefinierade frånvaroorsaker som den anställde kan rapportera. Den anställde måste ange frånvaroorsak och tid och det är möjligt att rapportera frånvaro bakåt i tiden. Vi noterade att en del inmatningskontroller saknas i samband med inrapporteringen. En anställd har exempelvis möjlighet att ansöka om tjänstledighet, semester och sjukfrånvaro under samma dag. Däremot finns det kontroller som förhindrar att anställd registrerar fler semesterdagar än vad som finns sparade, att anställd registrerar mer än 24 timmars övertid per dygn samt att lönehändelser ej registreras efter att anställning upphört. 6 av 22

Tillägg Heroma har ett antal fördefinierade tilläggsorsaker. Tillägg rapporteras för tider som frångår den normala anställningen, vilket definieras av det schema som är kopplat till den anställde. Lönetillägg som övertid kan rapporteras bakåt i tiden. För läkare med jourlistor finns det regler att övertid och reseräkningar ej får rapporteras längre bak än tre månader. För övriga medarbetare saknas formella regler för hur lång tid tillbaka övertid kan registreras. Chefen måste dock aktivt meddela lönekonsult om registreringen ligger längre tillbaka än en månad. Flextid Inrapportering av flextid sker i systemet Kom & Gå, som nås från landstingets intranät. Flextidssaldo kommer med på den tjänstgöringslista som ansvariga chefer skall signera. Godkännande av lönehändelser De lönehändelser som en anställd rapporterar ligger öppna tills dess att ansvarig chef har attesterat lönehändelserna. Den anställde kan ta bort lönehändelser som har rapporterats, men som ej har attesterats. Vissa chefer har gett lönekonsulter mandat att godkänna lönehändelser. Månatlig tjänstgöringsuppgift skall då skrivas ut så att både medarbetare och chefen kan se och signera dessa. En anställd kan ej attestera sina egna lönehändelser och en chef kan ej heller förändra en inrapporterad lönehändelse. Chefen kan dock välja att avslå lönehändelser samt att lämna en kommentar till den anställde. Avslagna lönehändelser informeras den anställde om via meddelande i självservice. Om en anställd ej rapporterat in några lönehändelser, betalas lön ut i enlighet med den tid som den anställde arbetat enligt schema. Åtkomst Åtkomst till egenrapporteringen styrs av Heromas behörighetssystem. Man måste vara inloggad på landstingets nätverk för att komma åt egenrapporteringen. Felaktiga inloggningar i Heroma leder till att kontot spärras i femton minuter. Vid begäran av nytt lösenord över telefon krävs endast personnummer, ingen kontroll av identitet görs. Identifierade brister: Formella regler saknas för hur lång tid tillbaka övertid kan registreras (gäller ej läkare). Anställd kan ansöka om tjänstledighet, semester och sjukfrånvaro under en och samma dag. Ingen säker identifiering av person som begär nya inloggningsuppgifter till Heroma. 7 av 22

2.3.2 Bearbetning Lönebearbetning Godkända lönehändelser bearbetas i två lönekörningar, en preliminär lönekörning (Lön 1) och en slutgiltig lönekörning (Lön klar). Fel- och signallista Efter lönebearbetningen har lönekonsulter möjlighet att granska systemets fel- och signallista. Fel skall rättas till innan slutgiltig lönekörning, medan det räcker att signaler kontrolleras. Lönekonsulter har möjlighet att göra förändringar/godkännande av rapporterade lönehändelser, men enligt checklista skall detta endast göras efter underlag av chef. Skulle en lönekonsult göra förändringar/godkännande av rapporterade lönehändelser sker ingen automatisk notifiering till ansvarig chef Exempel på fel och signaler är periodiseringsfel av frånvaro och att utmätning ej har kunnat verkställas enligt Kronofogdens system. Exempel på signaler från lönebearbetningen är att det finns icke beviljade lönehändelser, det vill säga lönehändelser som ligger för attest och som inte kommer att tas hänsyn till i lönekörningen om de inte blivit attesterade. Andra signaler är straffskatt, vilket anger de personer som inte har lämnat in sin skattesedel, samt orimlig bruttolön, vilket ger signal om de personer som har över ett visst belopp i bruttolön. Signalen för orimlig bruttolön gäller per anställning. Dokumentet Hantering av varningar och signaler vid lönekörningar anger de kontroller som lönekonsulter skall genomföra. Bevakningslista På månadsbasis tar lönekonsulter ut lista över tidsbegränsade anställningar, en så kallad bevakningslista. Denna lista innehåller information om anställningar som upphör, frånvaro som upphör, semesterersättning samt sparade semesterdagar. Tidsbegränsade anställningar Tidsbegränsade anställningar registreras med avslutsdatum. Systemet kontrollerar så att inga utbetalningar görs efter avslutsdatum. Avstämningar Avstämning mellan utbetald lön, redovisat belopp i PA-systemet och redovisat belopp i ekonomisystemet görs av systemförvaltare. Underlag sparas i pärm. Identifierade brister: Då lönekonsulter gör förändringar/godkännande av lönehändelser sker ingen automatisk notifiering till ansvarig chef. 8 av 22

2.3.3 Utbetalning Utanordning I dagsläget är det systemförvaltare som ansvarar för att utanordna utbetalningar (huvudutbetalningar och extrautbetalningar). Det finns ingen automatisk kontroll i utbetalningsprocessen som säkerställer att fler än en person måste vara delaktig i utbetalningen. Ansvarig systemförvaltare gör en rimlighetsbedömning av den summa som skall komma att utbetalas. Utbetalningsfil Efter att utbetalningen har verkställts skapas utdatafiler. Utbetalningsfilen skapas med ett sigill för att skydda filens integritet. Utbetalningsfilen förvaras i en mapp, varpå IT-tekniker hämtar upp filen och skickar den till banken. När banken har erhållit filen så skickar banken kvittens att de mottagit och läst in beloppet. Avstämningskontroller I samband med att ekonomifilerna skapas stämmer ansvarig för utbetalningen av slutsumman på bankfilen mot ekonomifilerna som går till ekonomisystemet. Avstämning görs också mellan bankfilen och redovisat belopp i PA-systemet. Extrautbetalningar Extrautbetalningar hanteras, med avseende på kontroller som genomförs, på liknande sätt som huvudutbetalningar. Extrautbetalningar görs en gång per vecka. Rimlighetskontroller efter utbetalning Ansvariga chefer har krav på sig att efter lönekörning ta ut och genomföra kontroll av en utanordningslista. Denna lista innehåller lönehändelser och utbetalt belopp per anställd. Identifierade brister: Det finns ingen kontroll i utbetalningsprocessen som säkerställer att fler än en person är inblandad i utbetalningen. 9 av 22

2.3.4 Administration Nya och förändrade anställningar Personalkonsulter är ansvariga för att registrera anställningar i lönesystemet. Chefen ska alltid attestera ett förordnande som skickas till personalavdelningen. Om det inte är attesterat skickas det tillbaks till chefen för underskrift. När en ny person är inlagd i systemet får chefen en kopia på underlaget som är inskickat. Det går ingen automatisk signal till chef om när en ny person läggs upp eller redigeras. En person kan ha flera anställningar. Tillsammans kan anställningarnas omfattning överstiga 100%. Det finns ingen kontroll av att en person inte kan överstiga 100% i arbetsomfattning. Systemet kräver att personnummer är unika för att förhindra att en person dubbelregistreras. Administration av behörigheter Behörigheter till Heroma hanteras av en systemförvaltare. Det finns en dokumenterad process för tilldelning och borttag av behörigheter. Utöver detta görs en periodisk genomgång av behörigheter en gång om året. Alla underlag sparas i pärmar. Ändamålsenliga arbetsuppgifter Lönekonsulter, personalkonsulter, personalcontrollers och systemförvaltare har alla hög behörighet i Heroma, vilket innebär att de kan ändra exempelvis grundlön. Det är dock bara två systemförvaltare som kan utanordna betalningar. Det finns en automatisk kontroll som gör att administratörer ej kan ändra sina egna löner. Löne- och personalkonsulter kontrollerar ej varandras arbete, exempelvis vid nyregistrering och förändring av grundlöner. Loggning Samtliga förändringar som görs av grunddata och lönehändelser loggas av systemet. Systemförvaltarna har tillgång till denna logg och genomför, enligt uppgift, stickprovskontroller av loggarna. Identifierade brister: Systemförvaltare och lönekonsulter kan ändra en medarbetares grundlön utan att vederbörandes chef automatiskt blir underrättad. Det finns ingen automatisk kontroll att arbetsomfattning för anställd ej överstiger 100%. En och samma person kan genomföra löneberäkningar, godkänna lönehändelser, ändra grundlön samt utanordna betalningar. Vid registrering av nya personer samt ändring av grundlön kontrollerar administratörer ej varandras jobb. 10 av 22

3 Analys av kontrollmål Analysen nedan är gjord mot de kontrollmål som Ernst & Young anser bör finnas i en löneprocess för att säkerställa god intern kontroll. 3.1 Organisation och ansvar # Kontrollmål Kontrollbeskrivning Utvärdering 1 Landstingsdirektören är processägare och har mandat att styra över lönehanteringsprocessen. 2 Personal har tillräcklig kunskap för att använda egenrapporteringsmodulen. 3 Det finns rollbeskrivningar för de personer som arbetar i löneprocessen. 4 Det finns en standardiserad checklista för löneprocessen. Personaldirektören är processägare och har mandat att styra över lönehanteringsprocessen. Bildspel finns på intranätet som chefer och medarbetare kan använda sig av, detta gäller både stämpelklockan Kom & Gå och PAsystemet Heroma. Systemsupport ger nyanställda chefer utbildning vid nyanställning. Övriga medarbetare får utbildning av chefer. Formella rollbeskrivningar saknas. Det finns ett antal rutinbeskrivningar och checklistor. Kontrolldesignen kan förbättras Det bör finnas formella rollbeskrivningar som definierar de olika rollernas ansvar och befogenheter. 11 av 22

3.2 Inrapportering # Kontrollmål Kontrollbeskrivning Utvärdering 5 Samtliga lönehändelser skall vara godkända innan de behandlas i PAsystemet. 6 All övertid skall vara godkänd innan den behandlas av PAsystemet. 7 Obehöriga skall ej ha åtkomst till egenrapporteringen. Felaktiga inloggningar skall leda till att kontot spärras. 8 Individer som godkänner lönehändelser kan ej handlägga löner. 9 Fel i indata minimeras genom att det finns inmatningskontroller vid rapportering av tid, exempelvis underskott/överskott av tid. Då en anställd har rapporterat en lönehändelse så skall lönehändelsen gå igenom attestkedjan för den aktuella typen av lönehändelse innan denna kan erhålla status Godkänd. Chefen kan också välja Pågående. Vissa chefer har gett lönekonsulter mandat att godkänna lönehändelser. Månatlig tjänstgöringsuppgift skall då skrivas ut så att både medarbetare och chefen kan se dessa. En anställd kan ej attestera sina egna lönehändelser och en chef kan ej heller förändra en inrapporterad lönehändelse. Chefen kan dock välja att avslå lönehändelser samt att lämna en kommentar till den anställde. Avslagna lönehändelser informeras den anställde om via meddelande i självservice. Posterna måste ha status Godkänd för att kunna behandlas av Heroma. Allt som rapporterats/ansökts av en medarbetare måste antingen godkännas eller avslås av behörig chef. Posterna måste ha status Godkänd för att kunna behandlas av Heroma. Åtkomst till egenrapporteringen styrs av Heromas behörighetssystem. Man måste vara på Landstingets nätverk för att komma åt egenrapporteringen. Felaktiga inloggningar i Heroma leder till att kontot spärras i femton minuter. Vid begäran av nytt lösenord över telefon krävs endast personnummer, ingen kontroll av identitet görs. Chefer kan ej handlägga löner. Chefer kan ej heller godkänna egna lönehändelser eller ändra egen grunddata. Kontroll finns styrt mot personnummer. Det saknas omfattningskontroll av att sjukdom, tjänstledighet och semester ej kan registreras under samma dag. Anställd kan ej registrera semester då saldot blir negativt. Det går ej att registrera mer än 24 timmars övertid under ett dygn. Det går ej att registrera lönehändelse efter anställningens avslutningsdatum. tillfredställande Kontrolldesignen kan förbättras Person som begär nytt lösenord bör identifieras med exempelvis motringning eller att ansökan går via chef. Kontrolldesignen kan förbättras Exempel på inmatningskontroller att implementera: kollisionskontroll av semester, tjänstledighet och sjukdom. 12 av 22

# Kontrollmål Kontrollbeskrivning Utvärdering 10 Det finns rutiner för att säkerställa att personer som har slutat sin anställning, ej erhåller lön efter slutdatum. 11 Övertidsregistrering görs inom rimlig tid. Vid registrering av visstidsanställda registreras alltid ett slutdatum för anställningen. Då en tillsvidareanställd skall sluta meddelas detta av dennes chef till ansvarig personalkonsult som registrerar ett slutdatum för anställningen. Formella regler saknas för hur lång tid tillbaka övertid kan registreras. Chefen måste dock aktivt meddela lönekonsult om registreringen ligger längre tillbaka än en månad. För läkare med jourlistor finns regler att övertid och reseräkningar endast får registreras tre månader bakåt i tiden. Kontrolldesignen kan förbättras Landstinget bör upprätta regler för hur långt tillbaka i tiden som övertid skall få registreras. 3.3 Bearbetning # Kontrollmål Kontrollbeskrivning Utvärdering 12 Inkorrekta lönehändelser analyseras och rättas till innan utbetalning. Lönekonsulter ansvarar för att kontrollera feloch signallistan och genomföra eventuella åtgärder. Exempel på en signal är nettolöner över en viss nivå eller minussaldo på sparade semesterdagar. Tanken med fel och signallistan är att lönehandläggarna skall hinna åtgärda fel som lyfts upp i listan innan den slutliga lönekörningen. Exempel på signaler: Ej justerad frånvaro finns: Periodiseringsfel av frånvaro. Ej gjort avdrag avseende införsel med förbehåll: Person med utmätning, har ej kunnat verkställas enligt Kronofogdens system. Ärende för frånvaro bör fastställas eller tas bort: Chef har ej godkänt lönehändelse. Kontrollera hög bruttolön: Person har högre lön än schablonvärde. Ej gjorda avdrag: kollar upp personer som har skuld, överrenskommelse skall ske inom tre veckor. Systemförvaltarna tar också fram en lista över hur många semesterdagar som tagits ut. Innan lönekörning körs bevakningslista där information om anställningar som upphör, frånvaro som upphör, semesterersättning samt sparade semesterdagar rapporteras. 13 av 22

# Kontrollmål Kontrollbeskrivning Utvärdering 13 Kontroll av period görs då lönehändelser registreras för att säkerställa att lönehändelser registreras i rätt period. 14 Korrekt skattetabell tillämpas. 15 Obehöriga skall ej ha åtkomst till PAsystemets klientdel. Felaktiga inloggningar skall leda till att kontot spärras. 16 Det finns kontroller på plats för att förhindra icke auktoriserad åtkomst till lönedata. 3.4 Utbetalning Då den anställde rapporterar lönehändelser anges berörd dag. IT-drift läser in skattetabellerna till Heroma vid årsskiftet. Om nyanställda saknar skattebevis dras straffskatt med +10%. För att komma åt klientdelen krävs konto i nätverket (Active Directory) och Heroma. Efter tre misslyckade inloggningsförsök i spärras kontot i femton minuter. Heroma kontrollerar att användare har behörighet att redigera grunddata. Har användaren ej behörighet att redigera grunddata kan användaren ej spara grunddata. Systemförvaltare och lönekonsulter kan se samtliga löner. Personer med skyddad identitet hanteras helt manuellt. # Kontrollmål Kontrollbeskrivning Utvärdering 17 Personalchef eller motsvarande granskar lönelistan innan utbetalning för att säkerställa att utbetalningar är fullständiga och korrekta. 18 Avstämning sker mellan utbetald lön, redovisat belopp i PA-systemet och redovisat belopp i ekonomisystemet. 19 Det finns rutiner för hur bankkontonummer kopplas till individer för att säkerställa att löneutbetalningar sker till rätt individ. Person som genomför lönekörning genomför en rimlighetsbedömning mot tidigare månads utbetalning. Avstämning görs genom att kontrollera noterad nettolön för de olika listorna. Systemförvaltare gör denna kontroll. Underlag sparas i pärm. Landstinget behöver, vid utbetalningarna, endast ha kunskap om de anställdas personnummer. Matchning mot respektive anställds bankkontonummer sker av banken. 14 av 22

# Kontrollmål Kontrollbeskrivning Utvärdering 20 Dualitetsprincipen skall tillämpas vid löneutbetalning. 21 Enbart auktoriserade personer kan utföra utbetalningar. 22 Utbetalningsfilen är förändringsskyddad. 23 Genomgång av utbetald lön genomförs för att upptäcka påhittade lönehändelser. 24 PA-systemet ger i samband med lönekörning signaler på poster som bör följas upp. Dessa fel och signaler följs upp och rättas till. Endast en person utanordnar betalningen. ITdrift skickar filen till banken men gör själva ingen kontroll av den. Utländska betalningar hanteras manuellt via internetbank. För dessa utbetalningar tillämpas dualitetsprincipen. Endast två systemförvaltare kan göra utbetalningar. Utbetalningsfilerna har hashsummor (sigill) som kontrolleras av banken då filerna tas emot. Utanordningslista skickas till chefer som skall signera denna. Lönekonsulter ansvarar för att kontrollera feloch signallistan och att genomföra eventuella åtgärder. Exempel på en signal är nettolöner över en viss nivå eller minussaldo på lagrade semesterdagar. Tanken med fel och signallistan är att lönehandläggarna skall hinna åtgärda fel som lyfts upp i listan innan den slutliga lönekörningen. ej Två personer i förening bör utanordna betalningar, 3.5 Administration av PA-system # Kontrollmål Kontrollbeskrivning Utvärdering 25 Individer som genomför löneberäkningar godkänner ej lönehändelser, genomför ej utbetalningar och stämmer ej av löner. 26 Lönekonsulter kan ej förändra sina egna löner. Lönekonsulter, personalkonsulter, personalcontrollers och systemförvaltare har högsta behörighet i Heroma. Det är dock bara två systemförvaltare som kan utanordna betalningar. Lönekonsulter kan ej förändra sina egna löner. ej En och samma person bör ej kunna genomföra löneberäkningar, godkänna lönehändelser samt utanordna betalningar. 15 av 22

# Kontrollmål Kontrollbeskrivning Utvärdering 27 Löne- och personalkonsulter kontrollerar varandras lönehantering. 28 För att förhindra felaktig registrering av information avseende anställd i PAsystemet skall uppgifter avseende ny person eller förändring av person vara godkända. 29 För att förhindra felaktig registrering av information avseende anställd i PAsystemet råder en begränsad behörighet att registrera/förändra uppgift avseende anställd. 30 Systemet kräver att personnummer är unika för att förhindra att en person dubbelregistreras. 31 Då granskare/attesterare byter arbetsuppgifter/slutar finns rutiner för att uppdatera attestkedjor. 32 Det finns rutiner för årlig genomgång av gällande attestkedjor. 33 Det finns rutiner för tilldelningen samt förändring av åtkomsträttigheter i PAsystemet. Samtliga tilldelade åtkomsträttigheter skall vara godkända. Det finns inga formella regler för att lönekonsulter och personalkonsulter skall kontrollera varandras lönehantering. Vid förändring av grunddata eller nyanställning skall chefen alltid attestera ett förordnande som skickas till löneavdelningen. Om det inte är attesterat skickas det tillbaks till chefen för underskrift. När en ny person är inlagd i systemet får chefen en kopia på underlaget som är inskickat. Det går ingen automatisk signal till chef om när en ny person läggs upp eller redigeras. Lönekonsulter, personalkonsulter, systemförvaltare och personalcontrollers kan ändra grunddata, som grundlön. Det görs dublettkontroll av personnummer. Blankett för attestbehörighet skall fyllas i enligt upprättad rutin. Systemförvaltare skickar ut listor årligen. Chefer skriver under och skickar tillbaka till systemförvaltare. För vanliga användare, som endast har tillgång till egenrapporteringen, hör chef av sig till systemförvaltaren, som kopplar användare till en webbroll. För chefer med attesträttigheter gäller att chefens chef skall skicka en behörighetsblankett. Rutinen beskrivs i Rutin för behörighet till PA-systemet Heroma. Systemförvaltaren skapar behörighet och skickar bekräftelse till chefens chef. Kontrolldesignen kan förbättras. Vid registrering av nya personer samt ändring av grundlön bör administratörer kontrollera varandras jobb. Kontrolldesignen kan förbättras. För att förhindra att påhittade personer skapas bör signal gå till chef då nya personer läggs till. Kontrolldesignen kan förbättras. Antalet roller som kan ändra grunddata bör minimeras. 16 av 22

# Kontrollmål Kontrollbeskrivning Utvärdering 34 Det finns rutiner för borttag av åtkomsträttigheter i PAsystemet. 35 Det finns rutiner för årlig genomgång av gällande åtkomsträttigheter i PAsystemet. 36 Lösenord bör ändras med regelbundenhet. När personer slutar eller byter arbetsuppgifter hör chefen av sig till systemförvaltare som ber då om e-post som underlag. Systemförvaltaren skriver ut e-post, ändrar behörigheter och lagrar i pärmen. Systemförvaltare skickar ut listor årligen. Chefer skriver under och skickar tillbaka till systemförvaltare. Lösenord för egenrapportering och Heroma ändras var nittionde dag. Krav: minst fyra bokstäver. Kontrolldesignen kan förbättras Lösenordskraven bör stärkas. 17 av 22

4 Iakttagelser och rekommendationer Nedan följer våra rekommendationer samt ett förslag på prioritering. Rekommendationerna är prioriterade enligt följande: Hög Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. # Iakttagelse och rekommendation Prioritet 1. Iakttagelse: Systemförvaltare har behörighet att administrera anställda, ändra grunddata, attestera lönehändelser samt utföra löneutbetalning. Risk: Att en och samma person kan genomföra alla kritiska moment i löneprocessen ökar risken för bedrägerier. Rekommendation: Vi rekommenderar att landstinget separerar möjligheterna att administrera anställda, ändra grunddata, attestera lönehändelser samt utföra löneutbetalning. Personer som är ansvariga för att genomföra löneutbetalningar bör inte har rättigheter i systemet att ändra grunddata och att genomföra löneadministrativa uppgifter. 2. Iakttagelse: Lönekonsulter, personalkonsulter, systemförvaltare och personalcontrollers har alla hög behörighet i PA-systemet, och kan exempelvis ändra grundlön. Risk: Att många roller har höga behörigheter i PA-systemet ökar risken för bedrägerier. Rekommendation: Vi rekommenderar landstinget att se över vilka roller som behöver höga behörigheter. Vi ställer oss tveksamma till att andra än personalkonsulter behöver kunna ändra grunddata för anställda. 3. Iakttagelse: Det finns ingen kontroll i utbetalningsprocessen som säkerställer att fler än en person måste vara delaktig i utbetalningen. Risk: Avsaknad av dualitetsprincipen vid utbetalningar ökar risken för felaktiga löneutbetalningar. Rekommendation: Landstinget bör implementera en kontroll som säkerställer att en person inte ensam kan genomföra en utbetalning. Hög Hög Hög 18 av 22

# Iakttagelse och rekommendation Prioritet 4. Iakttagelse: Vi har noterat att lönekonsulter och personalkonsulter ej kontrollerar varandras registreringar. Risk: Bristande kontroll av lönekonsulters registreringar kan öka risken för felaktiga registreringar, medvetna som omedvetna. Rekommendation: Landstinget bör fortsätta att implementera en rutin där lönekonsulter kontrollerar varandras registreringar, i syfte att säkerställa korrekt information vid registrering av nya/förändrade anställningsuppgifter. 5. Iakttagelse: Dataanalys av utbetalda löner har ej gjorts. Vi har dock noterat att bevakningslistor används. Risk: Att ej genomföra dataanalys öka risken att felaktiga löneutbetalningar ej hittas. Rekommendation: Vi rekommenderar landstinget att göra en dataanalys av det senaste årets utbetalda löner. En sådan dataanalys bör innehålla följande: Sammanställning av belopp i beloppsintervall samt analys om fördelningen rimlig både avseende antal samt summa belopp. Sammanställning över lönearter och analys av rimligheten av lönearter med väsentliga belopp samt analys om lönearterna är rätt klassificerade avseende källskattsunderlag samt källskatteavdrag. Sammanställning över större transaktioner samt analys av dessa mot underlag (avtal). Kontroll av att det inte finns några oväntade personer med höga bruttolöner samt att ersättningarna är rimliga. Analys av ett antal personer som har höga respektive låga källskatteavdrag. Avstämning mot jämkningsbesked eller annat underlag. Uppföljning av ett antal transaktioner där anställningsnummer, löneart, period och belopp är identiska. Analys av lönearter och bedömning om alla lönearter är nödvändiga. Det kan finnas snarlika lönearter som används mer frekvent. Kontroll av eventuellt felaktiga personnummer (utländska). Kontroll om det förekommer personer som inte lägre är aktiva vid landstinget, genom att jämföra utbetalda löner och bostadsorter. Uppföljning av ett antal personer med betydande antal utbetalda övertidstimmar/mertid. Uppföljning personer som erhållit ersättning från flera olika avdelningar. Medel Medel 19 av 22

# Iakttagelse och rekommendation Prioritet 6. Iakttagelse: Lönekonsulter har möjlighet att godkänna ej attesterade lönehändelser, men enligt etablerat arbetssätt krävs underlag för detta. Risk: Att lönekonsulter har möjlighet att godkänna ej attesterade lönehändelser ökar risken för att felaktiga lönehändelser godkänns och att ersättning betalas ut för dessa. Rekommendation: Vi anser att lönekonsulter enbart skall ha möjligheten att attestera lönehändelser om Heroma genererar ett meddelande till ansvarig chef om att så faktiskt har skett. Likaså borde chefen bli meddelad om någon ändrar en persons lön (eller annan grunddata) i systemet. 7. Iakttagelse: En person kan ha flera anställningar. Det finns inga kontroller att en person inte kan överstiga 100% i arbetsomfattning. Risk: Avsaknad av anställningsomfattningskontroll ökar risken för att påhittade och/eller utgångna anställningar ej upptäcks. Rekommendation: Det bör finnas en kontroll att en person inte kan överstiga ett av landstinget fastställt värde för arbetsomfattning. I dagsläget finns det en möjlighet att en person byter anställning inom landstinget och tilldelas ytterligare en anställning till sitt personnummer. Om inte tidigare ansvarig chef avslutar den tidigare anställningen får personen ersättning från fler än ett område. Vidare bör dataanalys genomföras i syfte att hitta personer med flera anställningar. 8. Iakttagelse: Effektiva kontroller vid inrapporteringen av lönehändelser minimerar fel i PA-systemets indata. Vi har noterat att ett antal av de fel som chefer eller lönekonsulter blir tvungna att avhjälpa skulle kunna förhindras redan vid registreringen av lönehändelser, exempelvis kollisionskontroll av semester, sjukfrånvaro och tjänstledighet. Risk: Bristande inmatningskontroller ökar risken att felaktiga kombinationer av lönehändelser ej identifieras. Rekommendation: Vi rekommenderar att landstinget arbetar för att stärka inmatningskontrollerna. Lönekonsulter bör vara delaktiga i detta arbete, då de har god kännedom om de vanligaste felen. Medel Låg Låg 20 av 22