Revisionsrapport Lönehanteringen Östersunds kommun 2010-11-25 Hans Stark, certifierad kommunal revisor Anneth Nyqvist, revisionskonsult
Innehållsförteckning 1 Sammanfattning... 1 2 Inledning... 2 2.1 Bakgrund och revisionskriterier... 2 2.2 Avgränsning... 3 2.3 Revisionsmetod... 3 3 Granskningsresultat... 3 3.1 Organisation av lönehanteringen... 3 3.2 Dokumentation av rutiner och kontrollmoment... 3 3.3 Kontroll av att inrapporterade uppgifter i personalsystemet överensstämmer med uppgifter i anställningsavtalet... 4 3.4 Verifieringskedjor och räkenskapsinformation inom löneområdet... 5 3.5 Löneprocessen i dokumenthanteringsplan/arkivplan... 6 3.6 Kontroller vid registrering av uppgifter samt dokumentation av kontroller som utförs... 6 3.7 Kontroll av registrerade avvikelser... 7 3.8 Central uppföljning av rutiner och kontroller... 9 3.9 Kontroller i samband med att filer skickas till betalning... 11 3.10 Rutiner för säkerhetskopiering... 11 3.11 Finns tillfredsställande behörighetsrutiner?... 12 3.12 Verksamhetsansvarigas roll i lönehanteringen utifrån kompetens samt funktionalitet och säkerhet i systemet... 13 3.13 Registeranalys... 15 3.14 Bilaga: Rutinbeskrivningar... 19 3.15 Bilaga: Internkontrolldokumoment:... 19
1 Sammanfattning På uppdrag av de förtroendevalda revisorerna i Östersunds kommun har Komrev inom PwC genomfört en granskning avseende lönehanteringen. Följande revisionsfråga har varit aktuell: - Är den interna kontrollen kring lönehanteringen tillfredställande? Vi bedömer att den interna kontrollen inom lönehanteringen kan förbättras. Granskningen visar att flera åtgärder behöver vidtas för att säkra den interna kontrollen. Lönehanteringen präglas i stor utsträckning av det personalsystem som används för viktiga rutiner som anställning, avvikelserapportering, löneutbetalning mm. I personalsystemet Heroma hanteras ett betydande antal registreringar vilka resulterar i väsentliga utbetalningar för kommunen. En ändamålsenligt utformad intern kontroll är därför viktig. Resultatet av granskningen redovisas i sammanfattande form här nedan. Rutinbeskrivningarna av internkontrollmoment är utförliga och det framgår tydligt vem som ansvarar för olika delar. De upprättade rutinbeskrivningarna är till största delen riktade mot förvaltningarna och de medarbetare som använder rutinen för självservice. Däremot saknas rutinbeskrivningar för delar av den centrala lönehanteringen. I dokumentationen finns inga uppgifter om ifall det inregistrerade anställningsavtalet ska attesteras eller godkännas av ansvarig chef eller annan person. Vi menar att det finns anledning att se över dokumenthanteringsplanen då det nya lönesystemet kan ha medfört förändringar av exempelvis hur och i vilken form handlingar ska förvaras. De automatiska kontrollerna har gåtts igenom i samband med granskningen och vi bedömer att de ger ett bra stöd i löneprocessen. För att ytterligare utveckla den interna kontrollen kan man överväga att se över de gränsvärden som är satta på resp. löneart. Det framgår inte tydligt att det finns krav på att två personer ska vara inblandade i de olika attest- och kontrollmomenten när det gäller löner. Enligt uppgift har cheferna en dag till förfogande att kontrollera lönerna och vi är tveksamma till om alla chefer tar sig tid att göra dessa kontroller vilket även har bekräftats vid intervjuer. Granskningen av löneutbetalningar i mars och april månad 2010 har gjorts genom stickprov. De granskade posterna har verifierats med underlag och kontroll av utförda attester. Stickproven ger inte anledning till anmärkning på kontrollrutinerna med avseende på de granskade posterna. 1
2 Inledning 2.1 Bakgrund och revisionskriterier Mer än hälften av kommunens/landstingets samlade kostnader avser egen personal vilket innebär att eventuella brister i rutiner gällande löner, ersättningar, semester etc. kan får stora konsekvenser (ekonomiska och förtroendekapital). Även för den enskilda löntagaren kan brister i den interna kontrollen leda till allvarliga konsekvenser. Följande revisionsfråga är aktuell: - Är den interna kontrollen kring lönehanteringen tillfredställande? Kontrollmål: - Finns rutiner inklusive väsentliga kontrollmoment beskrivna i aktuella dokument (avgränsas till processer anställning, förändring av tjänster och löneavvikelser) - Sker tillfredsställande kontroller av att inrapporterade uppgifter i personalsystemet överensstämmer med uppgifter i anställningsavtalet? - Finns beskrivningar av verifieringskedjor och/eller är det säkerställt att räkenskapsinformation inom löneområdet hanteras på tillfredställande sätt. (t ex spars lönelistor, kvitton, underlag o.dyl på ett tillfredställande sätt? - Finns dokument från löneprocesser intagna i dokumenthanteringsplan/arkivplan? - Utför personalsystemet tillfredsställande kontroller vid registrering av uppgifter (t.ex. kontroller i systemet för ologiska belopp och felkodningar) samt är det tydligt dokumenterat vilka kontroller som utförs? - Kontrolleras registrerade avvikelser på ett tillfredställande sätt (t ex känner ansvariga till vilka kontroller som ska utföras, finns tillgång till de underlag som krävs)? - Finns tillfredställande rutiner avseende förvaring och hantering av anställningsdokument? - Sker central uppföljning över att rutiner inklusive kontroller utförs i enlighet med fastställda rutiner. Sker någon riskbedömning och efterkontroller på central nivå och i så fall är kontrollerna tillfredställande? - Finns tillfredställande kontroller i samband med att filer skickas till betalning? - Finns tillfredställande rutiner för backuptagning kring lönesystemet (Säkerhets och arkivskäl)? - Är säkerheten i självservicerutinerna tillfredsställande? - Hur upplever de verksamhetsansvariga sin roll i lönehanteringen? Anser de sig ha rätt kompetens och utbildning för att genomföra kontroller? 2
2.2 Avgränsning 2.3 Revisionsmetod Intervjuer:Vi har tagit del av framtagna dokument samt intervjuat ansvariga (3-4 ansvariga) inom lönehanteringen. Intervjuer med personal som arbetar i löneprocessen samt ett urval av ansvariga chefer har gjortsi syfte att kunna nå personer som utför aktiviteter i löneprocessen. Registeranalys:Vi har dessutom gått igenom samtliga transaktioner i löneregistret avseende utbetalningar i mars och april månad 2010. Urval och sammanställningar har gjorts och materialet har strukturerats utifrån sannolika fel, direkta felaktigheter och orimliga värden. Vissa kontroller avseende ovan skapade underlag har gjorts. 3 Granskningsresultat 3.1 Organisation av lönehanteringen På serviceförvaltningens löneenhet finns 9,75 löneassistenter varav 2,7 tjänster avser kundstöd till förvaltningarna. Vid övriga förvaltningar ingår lönehantering som en del av arbetsuppgifterna för framförallt skolassistenter och assistenter inom vård- och omsorgsförvaltningen. Lönesystemets självrapporteringsmodul Heroma självservice, som är en webb baserad del av lönesystemet, bygger på att det finns ett grundschema för varje medarbetare där ändringar i schemat måste registreras fortlöpande. På barn- och utbildningsförvaltningen, vård- och omsorgsförvaltningen och samhällsbyggnadsförvaltningen görs dessa uppgifter ute på förvaltningarna medan löneenheten hjälper övriga förvaltningar. Personalen rapporterar sina "avvikelser" från schemat i form av frånvaro och tillägg i Heroma. Efter inrapportering sker kontroll och fastställelse av ansvarig chef och uppgiften går därefter direkt in i utbetalningsunderlaget. På barn- och utbildningsförvaltningen har skolassistenterna möjlighet att fastställa vissa ledigheter. Timanställdas löner hanteras och registreras fortfarande centralt på löneenheten. 3.2 Dokumentation av rutiner och kontrollmoment En viktig del i den interna kontrollen är att löneprocessens rutiner dokumenteras. Rutinbeskrivningar bör åskådliggöra hur rutinerna är uppbyggda samt vilka kontrollmoment som ingår. Ett av syftena med att dokumentera rutiner är att minska sårbarheten vid avgångar 3
och sjukdomar. Rutinbeskrivningar har också en funktion att fungera som ett löpande stöd för verksamheten. Vi har tagit del av ett antal rutinbeskrivningar och internkontroll/kvalitetetssäkringsdokument som har upprättats. En förteckning över rutinbeskrivningarna finns i bilaga 5.1 3.2.1 Revisionell bedömning Enligt vår bedömning är de upprättade rutinbeskrivningarna till största delen riktade mot förvaltningarna och de medarbetare som använder rutinen för självservice. Däremot saknas rutinbeskrivningar till viss del för den centrala lönehanteringen. Rutinbeskrivningarna av kontrollmoment är utförliga. Av internkontrolldokumenten framgår tydligt vem som har ansvaret för att kontroller utförs och hur ofta uppföljning ska göras och vem den ska rapporteras till. 3.3 Kontroll av att inrapporterade uppgifter i personalsystemet överensstämmer med uppgifter i anställningsavtalet Ett viktigt kontrollmoment är att säkerställa att rätt uppgifter inrapporteras vid nyanställning av personal. Det finns ett separat dokument med rutiner för nyregistrering i Heroma där det framgår att nyregistrering, d v s registrering av ny anställd endast kan göras av Löne- och pensionsservice. Förvaltningarna skickar anställningsbesluten till Löne- och pensionsservice som kontrollerar nödvändiga uppgifter. Om något saknas eller är felaktigt ifyllt skickas avtalet tillbaka för korrigering. Vid smärre korrigeringar kontaktas bara den aktuella enheten. Inga ändringar på avtalen görs av löneadministratören. När alla uppgifter är ifyllda ska enheten meddelas att den anställde är klar för schemahantering. Vid intervjuer har framkommit att viss kontroll av att anställningsavtalet är rätt registrerat görs i samband med schemahanteringen. Om tidsmått är fel inregistrerat stämmer inte schemat. Däremot finns inga krav på att kontrollera om exempelvis lönesumman är korrekt inlagd. 3.3.1 Revisionell bedömning I dokumentet finns inga uppgifter om att det inregistrerade anställningsavtalet ska attesteras eller godkännas av ansvarig chef eller annan person. Löne & pensionsservice registrerar dock inga anställningar som inte attesterats av behörig chef. Vi menar att det är en fördel om det finns ytterligare något kontrollmoment för att säkerställa att rätt uppgifter blir upplagda eftersom anställningsavtalet är grunden för löneutbetalningen. T.ex. genom kontroll i efterhand av behörig chef. 4
3.4 Verifieringskedjor och räkenskapsinformation inom löneområdet Enligt den kommunala redovisningslagen ska kommunen upprätta beskrivningar över bokföringssystemets organisation och uppbyggnad för att ge överblick över systemet. Kommunen ska också upprätta beskrivningar som gör det möjligt att följa och förstå de enskilda bokföringsposterna. Dokumentationen av verifieringskedjor är en kompletterande och detaljerad beskrivning av sambandet mellan verifikationer och de olika typer av bokföring som finns. Syftet är att identifiera de underlag och uppgifter som behövs för att i efterhand kunna följa bokföringen från verifikation till årsredovisning (resultat- och balansräkning m fl) och omvänt. En verifieringskedja kan delas upp i delar. Verifieringskedjan ska vara upprättad så att en bokföringspost går att följa från en länk till en annan och åt båda hållen. Delarna i kedjan utgörs av olika handlingar. Kedjan länkas samman genom att identiteter anges som gör det möjligt att hitta bokföringsposten i respektive handling. Av detta följer att det ska finnas ett samband mellan den angivna identiteten i verifieringskedjan och den identitet som den angivna handlingen är sorterad på. Kommunen har ingen samlad dokumentation av bokföringssystemet i enlighet med kraven i kommunala redovisningslagen. I en sådan dokumentation som alltså ska omfatta hela bokföringen, skulle en beskrivning av lönesystemet och kopplingar mellan ekonomi- och lönesystem kunna vara värdefull information. I nedanstående tabell åskådliggörs ett exempel på en verifieringskedja för månadslön. Tabell nr 1: Verifieringskedja för månadslön Räkenskapsmaterial Anställningsbevis Tabell KP.person Tabell KP.anställning Tabell Redovisning Bokförings och avstämningsfil Grundbok Huvudbok Resultat- och balansräkning Identifieringstecken Personnummer Namn Personnummer Namn Id-nummer (fyra positioner) Id-nummer Personnummer Personnummer Kontering Företagskod (5pos) Företagskod (5pos) Period Kontering Verifikationstyp 202 Verifikationsnummer Kontering Bokföringsdatum Kontering Verifikationsnummer Kontering 5
3.4.1 Revisionell bedömning Granskningen visar att dokumentation av bokföringssystemet saknas vilket innebär att verifieringskedjor inte har upprättats som beskrivningar över de bokföringsposter som skapas i lönesystemet. Vi anser att det är viktigt att systemdokumentation samt verifieringskedjor upprättas för den bokföring som skapas i lönesystemet. Från systemleverantören finns en systembeskrivning som beskriver hur systemet fungerar och alla ingående delar. En systemdokumentation skulle kunna användas för att beskriva hur kommunen valt att tillämpa funktionaliteten i systemet i sin lönehantering. 3.5 Löneprocessen i dokumenthanteringsplan/arkivplan För att få en överblick över vilka allmänna handlingar som ingår i den kommunala verksamheten upprättar förvaltningen normalt en dokumenthanteringsplan. Av lokala arkivreglementen framgår i regel att en sådan ska finnas och vad den bör innehålla för uppgifter. Det finns egentligen ingen standard för hur dokumenthanteringsplanen ska utformas och därmed avgör kommunen vilken ambitionsnivå man ska ha. För utförarstyrelsen finns en samlad dokumenthanteringsplan från 2008. I denna framgår att en genomgång och eventuell revidering av dokumenthanteringsplanen ska göras årligen. I dokumenthanteringsplan anges gallringsfrist, när handlingarna ska överföras till kommunarkivet samt hur respektive handling ska förvaras. 3.5.1 Revisionell bedömning Vi menar att det finns anledning att se över dokumenthanteringsplanen då det nya lönesystemet kan ha medfört förändringar av exempelvis hur och i vilken form handlingar ska förvaras. 3.6 Kontroller vid registrering av uppgifter samt dokumentation av kontroller som utförs Rationella lönerutiner är viktigt för att säkra en effektiv lönehantering inom kommunen. En viktig del i den interna kontrollen är att göra efterkontroller av inrapporterade uppgifter i personalsystemet. Samtidigt är det viktigt att personalsystemet kan utnyttjas för att med automatik skapa en ändamålsenlig kontrollmiljö där orimliga värden kan signaleras av systemet. Syftet är dels att upptäcka fel i löneredovisningen samt att säkra en bra kvalitet i redovisningen. Av dokumentet internkontroll/onormala belopp för nettolön per anställd och onormala belopp på enskilda lönearter framgår följande: 6
- I Heroma finns en grundinställning på varje befattningsbenämning inställd på % del av varje lön för onormalt belopp. - Onormalt belopp är 50 % av bruttolön. - Det finns ett maxvärde på tilläggslönearter - Systemet signalerar om lönen blir för hög utifrån den spärr som finns. - Signaler tas om hand av Löne- och pensionsservice löneadminstratör tar fram en signallista. - Signallistan visar bl a om en lön är för hög utifrån maxvärdet som finns. - Via utanordningslista ser respektive chef hur mycket lön/anställd som har betalats ut. - Kontroll av utbetald lön sker av behörig chef (se vidare under avsnitt 3.7) Löneartskatalogen visar också att det finns en möjlighet att lägga kontroller av maxvärden även på löneartsnivå. Denna möjlighet utnyttjas sparsamt, på de flesta lönearter är gränsen satt till 100 tkr. Den praktiska effekten av detta kompenseras av de gränsvärden som är satta på t.ex. bruttolön. 3.6.1 Revisionell bedömning En viktig del i den interna kontrollen är att det inte är möjligt att attestera transaktioner som berör den anställde själv, utan att det finns en arbetsfördelning där en annan person utför attestmomentet. Det kan konstateras att det i personalsystemet inte är möjligt att attestera sina egna avvikelser, vilket är tillfredsställande. För att personalsystemets självservicerutiner ska vara säkra är det viktigt att de automatiska kontrollerna är ändamålsenligt utformade. De automatiska kontrollerna har gåtts igenom i samband med granskningen och vi bedömer att de ger ett bra stöd i löneprocessen. För att ytterligare utveckla den interna kontrollen kan man överväga att se över de gränsvärden som är satta på resp. löneart. Idag är gränsen i de flesta fall satt till 100 tkr vilket gör att inte någon transaktion signaleras utifrån denna kontroll. Som ett komplement till beloppsgränser på t.ex. bruttolön kan gränsvärden på vissa lönearter vara lämpligt. 3.7 Kontroll av registrerade avvikelser Attestregler Av kommunens attestreglemente framgår att detta omfattar alla slag av ekonomiska transaktioner, där även löner och andra personalkostnader ingår. För underlag för löner/arvoden ska intygas: - Att underlaget överensstämmer med sakförhållanden och gällande avtal - Att timrapporter etc är rätt uträknade - Att underlaget är ifyllt enligt fastställd rutin - Att i övrigt hinder för utbetalning inte föreligger. 7
Attestmomentet omfattas enligt attestreglementet av två olika roller, beslutsattest och behörighetsattest, vilket innebär att minst två personer är involverade i kontrollen av en verifikation. Vidare framkommer att behörighetsattest ska ske efter beslutsattest. Beslutsattestanten är ytterst ansvarig för uppgifternas riktighet och därmed över att kontroller sker. Den fasta lönen för den anställde godkänns i samband med anställningsbeslutet och löneavvikelser attesteras löpande i personalsystemet. Det finns även regler om att attest eller kontroll ej får utföras av den som själv ska ta emot betalning, själva ska betala till kommunen eller som står i beroendeförhållande till betalningsmottagaren. Kontrollmoment Självservicerutinen bygger på att personalen rapporterar sina "avvikelser" från schemat i form av frånvaro och tillägg i Heroma. Exempel är sjukfrånvaro, semester och beordrad övertid. Efter inrapportering sker kontroll och elektronisk attest av ansvarig chef och uppgiften går därefter direkt in i utbetalningsunderlaget. På barn- och utbildningsförvaltningen har rektorerna delegerat vissa arbetsuppgifter till skolassistenterna som exempelvis att fastställa vissa ledigheter. För att kunna utföra dessa kontroller krävs att ansvarig chef har god kunskap om personalen och hur de arbetar. För övertidsersättning ska chefen stämma av om den som registrerat övertid har rätt till övertid. Vid semesteransökan måste kontroll ske mot tillgängliga semesterdagar. Vidare finns genom lönesystemet endast möjlighet att kontrollera den registrerade frånvaron, för en chef med många underställda kan det däremot vara svårare att ha kontroll över om personalen rapporterar all frånvaro. Timanställdas löner hanteras fortfarande manuellt där ansvarig chef attesterar underlaget med namnteckning. Registrering sker centralt på löneenheten. Inför varje löneutbetalning är respektive chef ansvarig för att kontrollera riktigheten av lönerna innan de går till betalning. I information från Löner 10-05-27 framgår att för att kontrollera att rätt lön har betalats ut tar respektive chef fram en Utanordningslista (lönelista) i Heroma efter Lön 1 varje månad. Information om när lön 1 körs samt utbetalningsdatum finns på interna hemsidan. Vid intervjuer har framkommit att det inte är självklart att alla chefer gör dessa kontroller, i vissa fall har cheferna inte ens haft vetskap om att kontrollerna ska göras. Ansvaret har i många fall delegerats vidare. Det framkom även att det finns möjlighet att göra löpande kontroller, exempelvis provlön för att kunna kontrollera att inrapporterade uppgifter har blivit rätt. Om löpande kontroller görs blir det mindre kvar att kontrollera på Utanordningslistan. 8
3.7.1 Revisionell bedömning Det framgår inte tydligt att det finns krav på att två personer ska vara inblandade i de olika kontrollmoment när det gäller löner. Mycket av kontrollen hänger därför på att ansvarig chef känner till och tolkar sitt uppdrag på så sätt att ändamålsenliga kontroller utförs. Enligt uppgift har cheferna en dag till förfogande att kontrollera lönerna och vi är tveksamma till om alla chefer tar sig tid att göra dessa kontroller vilket även har bekräftats vid intervjuer. Vi menar också att det är av avgörande betydelse för den interna kontrollen att alla chefer tar till sig information från lönekontoret och fullgör sitt ansvar i lönehanteringsprocessen. 3.8 Central uppföljning av rutiner och kontroller En viktig del av den interna kontrollen är att bedöma vilka risker som finns inom lönehanteringen. Erfarenhetsmässigt har det visat sig att en mängd fel kan uppstå inom en kommuns lönehantering. En riskbedömning av lönehanteringen kan därför bli omfattande. Riskbedömningar bör göras systematiskt och dokumenteras. Av Östersunds kommuns övergripande internkontrollplan för 2010 framgår att i samband med att områden för 2010 föreslås har en riskanalys genomförts för berörda områden. Tillsammans med riskbedömningen redovisas kontrollåtgärder samt ansvar och till vem avrapportering ska ske. Det nya lönesystemet ingår som en process/rutin i denna plan och tre olika riskbilder har definierats: 9
Riskbild Riskbedömning Åtgärd/kontrollmetod Ansvarig att kontroller utförs Behörighetshantering Chef Löner avrapporterar årligen i internkontrollrapport Behörighetshantering Vissa användare har under Heromas införandetid, av praktiska skäl, getts högre behörigheter än de grundläggande rollerna är tänkt att innehålla. Detta kan skapa osäkerhet och dålig överblick över hur behörighetshanteringen är strukturerad för verksamheterna. Detta är möjligt och kan få allvarliga konsekvenser. Avvikelser från grundprocesserna för chefsbehörighet har skett inom barn- och utbildningsförvaltningen för att förbättra chefens administrativa vardag. Om inte fastställda rutiner för detta följs kan det få allvarliga konsekvenser. Det är möjligt att det inträffar. Löner genomför en genomlysning av hur olika behörigheter har tilldelats och justerar vid behov Kontroll ska ske av att barn- och utbildningsförvaltningens rutiner för denna process följs. Kommunledningsförvaltningen Rapport till biträdande kommundirektören årligen Löneutbetalningar Chefer kontrollerar inte grundlista som skapas efter Lön1 -körning och därmed sker felaktiga utbetalningar/avdrag. Detta är möjligt och kan få allvarliga konsekvenser. Rutiner följs enligt BITS rekommendation om behörighetshantering. Chefer/granskare utbildas i rutinen att kontroller Lön1 -listan. E-postpåminnelse till chefer införs (efter godkännande av chefsreferensgrupp) Chef Löner Förvaltningschef Chef Löner 10
3.8.1 Revisionell bedömning Vi bedömer att kommunen har gjort en riskbedömning av det nya lönesystemet och därmed har tillräcklig kännedom om de riskbilder som finns. För att kontrollen ska vara tillräcklig är det viktigt att betona kontrollåtgärden där chefer och granskare ska utbildas i rutinen att kontrollera Lön1 listan. 3.9 Kontroller i samband med att filer skickas till betalning I dokumentet internkontroll/avstämning av utbetalningar mellan löne- och pensionsservice och bank framgår vilka rutiner som finns. Kortfattat kan rutinerna beskrivas enligt följande: - En fil skapas av Löne- och Pensionsservice som utgör underlag för löneutbetalning - Fil med löneunderlag till bank skickas via TEIS. - Sigillnyckel kommer från banken och läggs in i TEIS för att verifiera bankfilen - Sigillnyckeln byts 1 gång per år av datacenter som har tillgång till TEIS. - När filen är skickad upprättas en följesedel som verifierar lönefilens totala belopp för de arbetsgivare som ingår i i Östersunds kommuns lönefil - Banken tar kontakt med systemadministratör via mail/telefon om följesedel inte har levererats - Saknas följesedel betalar banken inte ut lön 3.9.1 Revisonell bedömning Vi bedömer att kontrollrutinerna i samband med utbetalning är ändamålsenliga. 3.10 Rutiner för säkerhetskopiering Enligt BITS (Basnivå för informationssäkerhet) är målet med säkerhetskopiering att bevara informationens och informationsbehandlingsresursernas riktighet och tillgänglighet. Detta innebär att: - Säkerhetskopiering ska göras regelbundet - Systemägaren ska besluta och dokumentera (Säkerhetsinstruktion, kontinuitet och drift): - Vilken information som ska omfattas av säkerhetskopiering - Intervallen för kopiering - Hur många generationer säkerhetskopior som ska finnas - Hur säkerhetskopior ska förvaras - Om vissa säkerhetskopior ska förvaras på plats geografiskt skild från driftstället. - Systemägaren ska besluta om och när kontroll av säkerhetskopiornas läsbarhet ska genomföras och detta ska dokumenteras (Säkerhetsinstruktion, kontinuitet och drift). 11
- Systemägaren ska besluta om förvaring av och åtkomst till källkod för egenutvecklat informationssystem. - Åtgärder som ska vidtas för att säkra att informationen är läsbar under hela förvaringstiden ska dokumenteras (Säkerhetsinstruktion, kontinuitet och drift). 3.10.1 Revisionell bedömning En skriftlig rutin för backup har upprättats där bl.a. Datacenters rutiner för nattliga körningar med avseende på bl.a. backuprutiner finns dokumenterade. I avtalet med Datacenter finns också angivet vad som ingår i deras uppdrag med avseende på bl.a. säkerhetsrutiner. En test av backup sker också regelbundet i och med att testmiljön för systemet löpande uppdateras genom inläsning av aktuell backup för att testmiljön ska vara aktuell. 3.11 Finns tillfredsställande behörighetsrutiner? Dokumenterade behörighetsrutiner är viktiga för den interna kontrollen och säkerhetens skull, Inom Löne- och pensionsservice är det 2 anställda (med en backup) som har ansvar för att tilldela behörigheter till användare av lönesystemet. Behörighetsrutinerna beskrivs utförligt i internkontrolldokumenten registrering av behörighet för roll i Heroma och behörighet i Heroma för extern konsult. Registrering av behörighet för roll i Heroma Rutinerna för kan kortfattat beskrivas enlig följande: - I samband med begäran om ny behörighet fylls en speciell behörighetsblankett i av behörig chef - Blanketten skickas till datacenter som lägger upp begärda ikoner och därefter skickas blanketten vidare till Heroma drift. - Systemadministratören kontrollerar att begäran om behörighet kommer från behörig chef eller utsedd person/er enligt skriftlig delegation från förvaltning - Om behörighetsblanketten inte är inskickad av behörig chef/utsedd person skickas den tillbaka - Upplägg av behörighet åtgärdas när blankett återkommer rätt ifylld - Behörighet och tilldelning av roll i Heroma sker enligt uppgifter från verksamheten och koppling till PA-team och organisation görs Vid kompletteringar/ändringar i roller skickas ny behörighetsblankett till Heroma drift av ansvarig chef/utsedd person. När en person avslutar sin tjänst skickas blanketten avgång ur tjänst till löneadminstratören som även avslutar anställning i Heroma. Uppgifter om behörigheter/roller och omfattning tas fram via rapport och stäms av 1-2 gånger per år. 12
Behörighet i Heroma till extern konsult På uppdrag av systemadminstratör ska extern konsult ha tillgång till Heroma för att åtgärda ärenden. När Logica ska ha tillgång till kommunens miljö ska det alltid finnas ett Logica ärende som talar om vilken åtgärd som ska göras. Rutinen är att konsult från Logica alltid tar kontakt med utsedd systemadministratör som ger konsulten behörighet utifrån tre olika alternativ: - Heroma som system, gäller ärenden som är anmälda till Logicas helpdeck och innebär att konsulten går in i systemet samtidigt som systemadministratören följer med på skärmen. Systemadministratören godkänner och ger konsulten ett användarid och lösenord som genereras via Heroma assistans. - Tillgång till kommunens server, gäller ärenden som är anmälda till Logicas helpdesk men av en svårighetsgrad som inte går att lösa via Heroma assistens. I detta fall godkänner systemadministratören och ger en tillfällig behörighetstilldelning till konsulten via teamwier som genererar ett tillfälligt användarid och löseord. - Om systemadministratör ej finns på plats, backup för att ge tillgång till Heroma server är utsedda personer inom datacenter. När Logica kontaktar datacenter lämnar driftansvarig ut användarid och lösenord, där lösenorden är inlåsta i ett kassaskåp som förvaras hos datacenter. Driftansvarig informerar systemadminstratören efter avslutat arbete om vad som åtgärdats i miljön. I samtliga fall ska konsulten så snart arbetet är avslutat kontakta systemadministratören alternativt driftansvarig på datacenter som tar bort den tillfälliga behörigheten. 3.11.1 Revisionell bedömning Vi bedömer att den dokumentering av behörighetsrutinerna som finns är en viktig del i att säkerställa en god intern kontroll och säkerhetsrutiner. De behörighetsrutiner vi tagit del av tyder på att kontrollen med avseende på behörighetsregistrering ger förutsättningar för en tillräcklig intern kontroll. 3.12 Verksamhetsansvarigas roll i lönehanteringen utifrån kompetens samt funktionalitet och säkerhet i systemet Utbildning Förvaltningarna har själva genomfört utbildning av chefer och administratörer och även tagit fram eget utbildningsmaterial. Vid intervjuerna framkommer delade uppgifter angående genomförda utbildningar. Vissa är mycket positiva till utbildningarna medan andra är mer kritiska. En nyanställd person hade inte fått någon utbildning utan hade istället fått ta hjälp av administratör och kollegor för att kunna arbeta i systemet. Samtidigt menar man att bara utbildning inte är tillräckligt utan att man måste jobba praktiskt i systemet för att lära sig och att alla kanske inte har prioriterat detta. Någon uppger att det saknas bra manualer och rutinbeskrivningar, de som finns är mer överskådliga och innehåller inga detaljerade anvisningar. 13
På flera förvaltningar har det funnits utsedda resurspersoner som har fått en viktig roll. Kompetens Uppgifter som tidigare låg på lönekontoret har lagts ut på förvaltningarna. Någon menar att de över en natt blev löneförrättare och att det lades ett stort ansvar på dem. Även om man lyckats lära sig själva lönesystemet så saknas fullständiga kunskaper om lagar och regelverk inom löneområdet. I början var man därför orolig att det skulle bli fel eftersom det är stora pengar det rör sig om och det är tredje part som blir drabbad vid eventuella fel. Roller Inom barn- och utbildningsförvaltningen har rektorerna delegerat ansvar och befogenheter till administratörer för att förbättra chefens administrativa vardag. De uppgifter som förväntades utföras av cheferna ansågs vara tidsödande och kanske i vissa fall mer lämpade att utföras av administratörer. På andra förvaltningar där cheferna har ett större ansvar och utför mer uppgifter i systemet anser man att det är ett tidskrävande arbete och att det tar tid från det nära ledarskapet. Funktionalitet Flera av de intervjuade uppger att det är ett krångligt och komplext system medan andra tycker att det är ett bra och roligt system att arbeta med. Flera har påpekat brister i olika funktioner som exempelvis: - Frånvaro Vid rapportering av frånvaro finns inte någon spärr för dubbel registrering. Detta inträffar när den som har sjuk har ringt och bett administratören att registrera frånvaron. När personen sedan kommer tillbaka och går in i systemet syns inte att frånvaron har registrerats och då har det hänt att de har registrerat samma frånvaro och att det har blivit dubbelregistrerat. - Övertid, någon menar att det borde vara enklare att lämna kommentarer till övertid för att underlätta kontroller för cheferna. - Manuell hantering, flera menar att de behöver ha uppgifter vid sidan om för att kunna kontrollera vissa uppgifter, som exempelvis vilka som har rätt till övertid. - Dubbla rutiner för vikarier, de timvikarier som går in på ett längre vikariat läggs upp på schema och registrerar avvikelser elektroniskt på denna del medan de samtidigt timvikarierar och lönen hanteras manuellt för denna del. - Personal som byter arbetsplats, När en person byter arbetsplats inom kommunen ska behörighetsblankett skickas till Heroma drift där personen först avslutas på den nuvarande arbetsplatsen och därefter registreras på den nya arbetsplatsen där nytt schema skapas. Oftast blir hanteringstiden lång och dessutom har det i vissa fall blivit fel då vissa delar av lönen i bokföringen fortfarande har hamnat på den gamla arbetsplatsen. Det gäller då att vara uppmärksam och kontrollera lönelistorna noggrant. 14
3.12.1 Revisionell bedömning Vi menar att det är viktigt att inför stora förändringar som i det här fallet innebar både byte av lönesystem och förändring av roller att det är viktigt att klarlägga och informera om detta tydligt i förväg. Det är även viktigt att säkerställa att nya medarbetare kan erbjudas utbildningar så snabbt som möjligt. Vidare menar vi att rutiner för att fånga och åtgärda upplevda brister bör upprättas. 3.13 Registeranalys Genom registeranalys har kontroller gjorts av löneredovisningens kvalitet samt prövning av genomförda kontrollrutiner. Vi har via löneenheten fått ut lönefilerna för mars och april månad 2010 och importerat dessa till ett särskilt registeranalysprogram. Utbetalningsfilerna omfattar förutom Östersunds kommun även Gymnasieförbundet och Räddningstjänstförbundet. För April månad innehåller filen: 46 887 lönetransaktioner Bruttolönesumma på 127,9 mnkr En nettolönesumma på 95,8 mnkr Utbetalningar till 7 637 personer I den efterföljande analysen har följande kontroller gjorts: Validering av indata onormala belopp eller andra avvikelser Fördelning av lönearter Avvikande ålder (<16 år >67 år) Översikt månadslöner Granskning genom stickprov på 15 högsta nettoutbetalningar Stickprov på transaktioner för nyckelpersoner (politiker och ledande tjänstemän) Kontrollavstämning av prel. skatter och arbetsgivaravgifter Stickprov bland höga belopp för traktamenten Stickprov bland höga utbetalningar för övertid och fyllnadstid I nedanstående tabell har vi sorterat nettolöner utifrån beloppsintervall: 15
Beloppsintervall Antal Summa, belopp - Neg. 0,00 39-213 731 0,00 10 000,00 2 627 9 323 598 10 000,00 20 000,00 3 906 61 485 573 20 000,00 30 000,00 1 007 22 870 123 30 000,00 40 000,00 42 1 384 938 40 000,00 50 000,00 7 314 620 50 000,00 100 000,00 9 597 693 Summa: 7 637 95 762 813 Den övervägande delen av utbetalade nettolöner per person ligger alltså mellan 10 20 000 kr. Sexton löneutbetalningar i april månad ligger över 40 000 kr netto. Grunden för löneredovisningen och kopplingen till den ekonomiska redovisningen bygger på att varje lönetransaktion har en löneart som kopplas till ett konto i den ekonomiska redovisningen. April månads lönefil innehåller poster på 221 olika lönearter, de femton lönearterna med högst belopp under april månad är: Löneart Antal poster Belopp, kr Månadslön 5 247 115 933 460 Timlön 2 025 8 141 329 Månadslön m uppehåll 264 4 614 056 Ob-veckoslut 2 075 2 628 036 Arvode 642 2 345 134 Sjuklön 80% 761 1 336 955 Beredskap 293 1 146 695 Semesterersättning 1 981 1 079 404 Omkostnadsersättning 725 840 377 Kval övertid betald 219 552 626 Årsarvode förtroendevald 53 543 331 Semesterdagstillägg 1 860 522 193 Fyllnad betald 291 449 331 Ob-natt 819 441 767 Ob-kväll 2 015 391 729 Summa 19 270 140 966 424 Samtliga transaktioner i det granskade materialet är kopplade till en löneart. Avstämning mot redovisning av skatter och arbetsgivaravgifter till skatteverket för april månad har genomförts. 16
3.13.1 Validering av indata Som en del av analysen har vi tittat närmare på de femton högsta utbetalda nettolönerna under april och mars månad. Betalningarna uppgår netto till mellan 44 tkr till 85 tkr. De lönearter som ingår i dessa utbetalningar är arvode till familjehem, årsarvoden till gode män samt i tre fall avgångsvederlag. I ett fall har övertidsersättning registrerats för utbetalning till ett belopp av närmare 107 tkr. Utbetalningar till familjehem/kontaktpersoner har verifierats mot underlag. Rutinerna bygger på att avtal om placering tecknas av familjehemsteamet och överlämnas till löneadministratörer vid socialtjänsten. Avtalen registreras i lönesystemet för den tid de gäller eller om de gäller över årsskiftet fram till årets slut. I dessa fall uppdateras avtalen med ändrade ersättningsnivåer inför första utbetalning på det nya året. Rutinerna bedöms ge en tillräcklig intern kontroll. Utbetalningar till gode män har verifierats mot underlag där attest finns från handläggare på överförmyndarens kansli. Utbetalda belopp avser årsarvoden för mellan tre sex klienter. Underlagen för utbetalningar av avgångsvederlag har attesterats av förvaltnings- eller enhetschef på särskild blankett. Den registrering av utbetalning som gjordes avseende övertid var felaktig då den anställde ville ha ersättningen i form av komptid. Då blanketten skickades till löneenheten missade attesterande chef att komplettera underlaget med upplysning om att ersättningen skulle ges i ledighet. Felet upptäcktes av den anställde innan utbetalningen gjordes och utbetalningen stoppades. Justering gjordes på maj månads löner. 3.13.2 Avvikande ålder Vi har granskat ersättningar till personer över 67 år och de flesta av dessa avser ersättningar till förtroendevalda. Fyra personer över 67 år har under april lön från kommunen. Det rör i två fall timanställningar och i två fall anhörigvårdare. Den yngsta person som erhåller ersättning i april är 17 år och även här avser ersättningen arvode. En annan iakttagelse är att endast två personer under 20 år erhåller månadslön från kommunen i april månad. 3.13.3 Transaktioner för nyckelpersoner Vi har granskat löneposter för förtroendevalda med mer än 40 % av heltid i årsarvode samt löneposter för förvaltningschefer. Under april har i fyra fall sammanträdesarvode utbetalats till förtroendevalda med mer än 40 % av heltid i årsarvode. I samtliga fall avser dessa arvoden möten som inte ingår i uppdraget som ligger till grund för årsarvodet och därmed är utbetalningarna i enlighet med riktlinjerna för arvoden. 17
3.13.4 Traktamenten Vi har genom stickprov granskat höga belopp avseende traktamenten. Totalt har traktamenten (netto) betalats ut med drygt 42 tkr vid april månads löneutbetalning. Utbetalningar över 2 tkr har verifierats mot underlag. 3.13.5 Övertidsersättning Kontant utbetald ersättning för övertid och fyllnadstid uppgår till totalt 1,1 mnkr i lönefilen för april månad. Granskningen har utförts genom att verifiera underlag för de tio högsta beloppen som utbetalats till anställda. Granskningen har tidigare kommenterats under 3.13.1 ovan. 2010-11-25 Anneth Nyqvist Hans Stark 18