Behörigheter i system

Relevanta dokument
Revisionsrapport Leverantörsfakturor Sundsvalls kommun Anneth Nyqvist Maj 2015

Intern kontroll i faktura- och lönehantering

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: Författare: Jonas Eriksson Carin Norberg

Intern kontroll i faktura- och lönehantering

Intern kontroll i faktura- och lönehantering

Uppföljning avseende granskning av attestrutiner

Granskning av utbetalningar

Tillämpningsanvisningar till reglemente för attest och kontroll av ekonomiska transaktioner

1 (5) Attestreglemente. Regler för kontroll av verifikationer. Antagen av Kommunfullmäktige

Attestreglemente för Tierps kommun

Kommunal författningssamling. Attestreglemente. Motala kommun

Uppföljning av intern kontroll avseende fakturahantering

Tillämpningsanvisning

Granskning av landstingets regler och rutiner för attestering av leverantörsfakturor och löner

Tillämpningsanvisning till Attestreglemente

Datum: Attestreglemente. För kontroll av kommunens ekonomiska transaktioner. Antaget av kommunfullmäktige den 27 oktober 2014, 70

Attestreglemente. Kommunfullmäktiges beslut Kommunstyrelsen (5) Konsult och uppdrag Ekonomi redovisning

Intern kontroll avseende fakturahantering

ATTESTREGLEMENTE FÖR SOTENÄS KOMMUN

Attestreglemente för Uppsala kommuns nämnder

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

Intern kontroll i kommunens elektroniska fakturahantering

Granskningsrapport Nr

Granskning av leverantörsregister och leverantörsutbetalningar

Granskning av utbetalningar

Beslutsattest omfattar följande moment:

Ekonomiavdelningen (5) REGLEMENTE FÖR KONTROLL AV EKONOMISKA TRANSAKTIONER I VÄRNAMO KOMMUN

Riktlinjer för attest av ekonomiska transaktioner

TILLÄMPNINGSANVISNINGAR TILL REGLEMENTE FÖR KONTROLL AV VERIFIKATIONER

Attestinstruktion för servicenämnden

Granskning av intern kontroll av system och rutiner för behörighet

Riktlinjen trädde i kraft den 1 januari 1997 enligt beslut i kommunfullmäktige den 19 december 1996, 161.

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Reglemente för attest

REGLEMENTE FÖR ATTEST OCH KONTROLL AV EKONOMISKA TRANSAKTIONER

Reglemente. Attest och kontroll av ekonomiska transaktioner. Mariestad. Antaget av Kommunfullmäktige Mariestad

Regler för attest i Göteborgs Stad, med utbildningsnämndens kompletterande anvisningar.

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Tillämpningsanvisningar till attestreglemente

Attestreglemente för Malung-Sälens kommun

Reglemente för kontroll av verifikationer attestreglemente Antaget av kommunfullmäktige , 81

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Följsamhet till regler och rutiner för attestering

Attestreglemente med tillämpningsanvisningar

Regler för attest i Göteborgs Stad

Tillämpningsanvisningar till reglemente för attestering av ekonomiska transaktioner i Bengtsfors kommunkoncern

Granskning av löner och ersättningar inklusive arvoden till förtroendevalda. Region Gotland

Riktlinje för attestering

FALKENBERGS KOMMUN 3.02 FÖRFATTNINGSSAMLING

Rapport Granskning av försörjningsstöd. Krokoms Kommun

Intern kontroll avseende behörigheter i ekonomisystem samt hantering av leverantörsfakturor och manuella betalningar

Söderhamns kommun Utökad granskning av leverantörsfakturor

Utfärdad/ändrad Beslut, datum, paragraf Diarienr Gäller fr o m Avd Sida. ATTEST- OCH UTANORDNINGSREGLEMENTE

Riktlinjer till reglemente för attest av ekonomiska transaktioner

ATTESTREGLEMENTE 1(6) STYRDOKUMENT DATUM

Attest- och utbetalningsreglemente

Intern kontroll och attester

Föreliggande dokument är antaget av kommunfullmäktige/styrelsen , 52. Reglemente för kontroll av ekonomiska transaktioner i Partille kommun

Attestreglemente. helsingborg.se. Kontaktcenter Postadress Helsingborg Växel

Granskning av leverantörsregister och leverantörsutbetalningar

Attestreglemente Regler för kontroll av verifikationer

Attestreglemente för Orsa kommun

Reglemente för attest och utanordning samt kontroll av ekonomiska transaktioner ( Inkluderarar bilaga 1 och 2 )

Laholmshem AB & Kommunfastigheter i Laholm AB

UaFS 14/ Blad 1 RIKTLINJER, MED REGLER, FÖR KONTROLL (ATTEST) AV EKONOMISKA TRANSAKTIONER I UDDEVALLA KOMMUN

Granskning av intern kontroll avseende betalningsrutiner. Mönsterås Bostäder AB

Attestreglemente för Härnösands kommun

TILLÄMPNINGSANVISNINGAR FÖR ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Revisionsrapport Ramavtal Sundsvalls kommun Linda Marklund, Revisionskonsult Per Ståhlberg, Cert. kommunal revisor


Att betalning sker vid rätt tidpunkt. Att transaktionen är rätt konterad

Attestreglemente Reviderat 2012 KS12.185

Intern kontroll avseende redovisning och räkenskaper Växjö Kommun. Genomförd på uppdrag av revisorerna

Attestreglemente. Förslag till beslut Kommunstyrelsen föreslår kommunfullmäktige besluta. att anta attestreglemente enligt bilaga.

Föreliggande dokument är antaget av kommunfullmäktige Dokumentet är fastställt på nytt av kommunfullmäktige , 63.

Granskning av intern kontroll i kommunens huvudboksprocess

Attestreglemente med anvisningar för kontroll av ekonomiska transaktioner

Granskning av fakturahanteringen. Trelleborgs kommun

Rapport Granskning av försörjningsstöd.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Granskning av Staffanstorps kommuns leverantörsskulder och dess system

ATTESTREGLEMENTE FÖR LANDSKRONA STAD KF

Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Granskning av leverantörsfakturor

PWC:s granskningsrapport av intern kontroll i kommunens huvudboksprocess. KS

Beslutsattest i ekonomiska ärenden 2015

S Attestregler Regler

Attestordning för Region Halland

Reglemente för attest

Rutiner för utbetalningar samt attest och firmateckning

Attestreglemente. Dokumenttyp: Reglemente Dokumentansvarig: Ekonomifunktionen Beslutad av: Kommunfullmäktige

Granskning av intern kontroll i lönehanteringen

Kommunal författningssamling för. Östra Göinge kommun

System och rutiner 2009

Anvisningar till attestreglemente

Katrineholms kommuns författningssamling

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Revisionsrapport Kundfakturering Sundsvalls kommun Linda Marklund Per Ståhlberg Cert. kommunal revisor

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Stadsgemensam tillämpningsanvisning

Transkript:

www.pwc.se Revisionsrapport Anneth Nyqvist Behörigheter i system Sundsvalls kommun

Innehållsförteckning 1. Sammanfattande bedömning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2. Syfte och revisionsfråga... 2 2.3. Avgränsning... 2 2.4. Metod... 2 3. Granskningsresultat... 3 3.1. Granskade system... 3 3.2. Roller och behörighetsnivåer... 3 3.2.1. Behörighet gällande attestering av egna kostnader... 5 3.2.2. Användare med hög behörighet... 5 3.3. Rutiner för upplägg, förändring och avslut av behörigheter... 6 3.3.1. Upplägg av behörigheter... 6 3.3.2. Avslut av anställning... 7 3.3.3. Förändring av anställning... 7 3.4. Rutiner för kontroll och uppföljning av behörigheter... 9 3.4.1. Övergripande kontroller av registrerade behörigheter... 9 3.4.2. Nämndernas kontroll av registrerade behörigheter... 9 3.5. Aktuella förteckningar över behörigheter och attester... 10 April 2015 Sundsvalls kommun

1. Sammanfattande bedömning På uppdrag av de förtroendevalda revisorerna i Sundsvalls kommun har revisorerna beslutat att genomföra en granskning avseende behörigheter i system. Syftet med granskningen är att bedöma om den interna kontrollen är tillräcklig när det gäller tilldelning och uppföljning av tilldelade behörigheter i IT-system. Granskningen har resulterat i följande iakttagelser och bedömningar: - Användarnas behörighetsnivåer är i huvudsak ändamålsenliga. Behörigheter styrs utifrån vad som bedömts som lämpligt utifrån användarnas respektive befattning och det behov som föreligger för att säkerställa fungerande rutiner. Vi har noterat att beloppsgränserna för beslutsattestanterna varierar mellan förvaltningarna. - Det saknas funktioner för systematiserade kontroller av attester i ProCapita och det saknas dokumenterade rutiner för de manuella kontroller som utförs. - I ProCapita och även delvis i Heroma loggas användarna regelbundet. Motvarande loggning görs inte i Raindance. - Det finns till stor del fungerande rutiner för tilldelning, avslut och förändring uppföljning av behörighet men det saknas dokumenterade rutiner. Hela kedjan förutsätter dock att samtliga förändringar rapporteras till systemförvaltare för Heroma vilket inte görs i nuläget. - Det finns delvis fungerande rutiner för kontroll av registrerade behörigheter. Flera av nämnderna gör utifrån nämndsbeslut regelbundna kontroller av att attester stämmer mot delegationsordning. - Kommunen saknar en fastställd rutin för kontroller av förändringar av behörigheter utöver attesträtter. Uppföljningar och kontroller görs på eget initiativ av systemförvaltare inom de olika systemen. - Det finns aktuella attestförteckningar i Raindance och de rapporteras årligen till nämnd och/eller förvaltningsledning. I ProCapita görs en sammanställning över samtliga användare årligen. För Heroma saknas liknande rutiner. Sammanfattningsvis bedömer vi att den interna kontrollen gällande tilldelning och uppföljning av behörigheter i IT-system delvis är tillräcklig. I syfte att utveckla verksamheten lämnar vi följande förslag till åtgärder: - Kontinuerliga översyner, speciellt gällande högre behörighet, bör göras för att säkerställa att användarnas behörighetsnivåer är adekvata utifrån exempelvis förändrade rutiner och uppdrag. - Beloppsgränser för beslutsattestanter bör ses över i syfte att säkerställa likartade rutiner inom kommunen. - Rutiner för loggning av användare med hög behörighet som rapporteras till närmast överordnad chef bör införas. - Dokumenterade rutiner för tilldelning, avslut och förändring av behörigheter bör upprättas inklusive rutiner för att säkerställa att förändringar av anställningar rapporteras till systemförvaltare för Heroma. - I vissa fall kan vara befogat att göra en mer strukturerad analys vid tilldelning av behörigheter i syfte att säkerställa rätt behörighetsnivåer. - Rutiner för löpande kontroll av förändringar av behörigheter i de granskade systemen bör upprättas. - Årsvisa förteckningar över attester och högre behörigheter i Heroma bör sammanställas och arkiveras. Sundsvalls kommun 1 av 11

2. Inledning 2.1. Bakgrund Enligt kommunallagen kan kommunfullmäktige föra ned rätten att fatta beslut till nämnderna och vidare kan dessa delegera till tjänstemän. En viktig förutsättning för en väl fungerande intern kontroll är att det finns rutiner som säkerställer att tilldelade behörigheter i IT-system överensstämmer med beslutade delegationer. 2.2. Syfte och revisionsfråga Granskningen syftar till att bedöma om den interna kontrollen är tillräcklig när det gäller tilldelning och uppföljning av tilldelade behörigheter i IT-system. Följande kontrollmål ska besvaras: Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter. Behörighetsrutinerna är ändamålsenliga. Det finns fungerande rutiner för tilldelning och uppföljning av behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet som behörighetsnivå i IT-system. Rutinen är dokumenterad. Det finns fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning samt av förändringar under året (exempelvis medarbetare som slutar, är lediga eller tillfälliga förändringar av behörighet). Det finns en aktuell attesträttsförteckning avseende attest av ekonomiska transaktioner. 2.3. Avgränsning Granskningen omfattar allmän behörighet till kommunen, ekonomisystem, personalsystem och socialnämndens system för utbetalning av försörjningsstöd (ProCapita IFO). 2.4. Metod Dokumentstudier av styrande/stödjande dokument. Kontroller av gällande attestreglemente/attestförteckning och ett antal stickprov för att verifiera riktigheten i gällande rutiner och riktlinjer. Intervjuer med systemförvaltare Heroma, sektionschef Servicecenter -Ekonomi, leverantörsreskontra, avdelningschef och medarbetare på Servicecenter IT, enhetschef Mottagningsgrupp för ekonomiskt stöd samt systemförvaltare ProCapita IFO. Sundsvalls kommun 2 av 11

3. Granskningsresultat 3.1. Granskade system De IT-system som omfattas av granskningen är lönesystemet Heroma, ekonomisystemet Raindance samt socialförvaltningens verksamhetssystem ProCapita som bland annat används för utbetalning av försörjningsstöd. 3.2. Roller och behörighetsnivåer Heroma Heroma består av två olika system, Heroma och Heroma web. I själva Heroma registreras och uppdateras person- och löneuppgifter. De olika behörighetsnivåer som finns är: tittbehörighet 68 st lönehandläggare, 29 st full uppdatering PA/HR-strateger, 14 st viss uppdatering systemförvaltare, 6 st varav 4 har möjlighet att lägga upp behörigheter, Samtliga systemförvaltare har högsta behörighet, med undantag av identitetsskyddade personer där bara tre av systemförvaltarna har behörighet att uppdatera. Utifrån beslut i kommunfullmäktige är det fem personer, som två i förening, har fullmakt/behörighet att skicka bankfilen(bilaga). Sektionschef för löne- och pensionsadministration har behörighet att uppdatera uppgifter, skicka bankfilen samt att godkänna utbetalningar. Medarbetare och chefer har endast tillgång till Heroma web, där medarbetaren registrerar avvikelser och cheferna kan godkänna eller avslå. En ny roll har tillkommit, chef med löneöversyn, som innebär att chefer under en begränsad tidsperiod får registrera ny lön för sina medarbetare. HR-strategerna går igenom och kontrollerar samtliga nya löner innan löneutbetalning. Raindance Även Raindance består av två olika delar; Raindance classic och Raindanceportalen. Större delen av användarna har endast tillgång till portalen. Raindance classic innehåller bl a huvudbok, kund- och leverantörsreskontra, internfakturering och anläggningsregister etc. De behörighetsgrupper som finns är: Admingrupp Ekonomiservice Superanvändare portal underkataloger Classic användare enkel (tittbehörighet) Classicanvändare enkel (ändra förfallodag mm) Classicanvändare med AR (anläggningsregister) Classicanvändare ekonomer/assistenter Classicanvändare utan behörighet att registrera leverantörer Sundsvalls kommun 3 av 11

Det är 4-5 medarbetare som har möjlighet att registrera behörigheter. Utifrån beslut i kommunfullmäktige är det tio personer, som två i förening, har fullmakt/behörighet att verkställa utbetalningar och uttag. Sektionschef på ekonomiservice har högsta behörighet i kombination med beslutsattest och har därmed även behörighet att exempelvis registrera nya leverantörer. Alla transaktioner måste godkännas av ytterligare en person. Det finns även någon enstaka medarbetare på koncernstaben som har både hög behörighet i Raindance Classic och beslutsattest. Ekonomerna har en hög behörighet i Raindance Classic men de har inte attesträtt. I Raindanceportalen hanteras leverantörsfakturor, internfakturor, bokföringsordrar samt kundfakturor. De roller som finns i portalen är: Beslutsattestant, godkänner fakturor. Behörigheten omfattar en eller flera ansvarskoder och upp till ett visst belopp. Vissa chefer kan ha höga behörigheter, både sett till antalet ansvarskoder och att beloppsgränsen är hög eller oändlig. Sakgranskning, kontrollerar att fakturan är korrekt. I Raindance finns inbyggda kontroller för att samtliga leverantörsfakturor måste godkännas av två personer samt att sakgranskning och beslutsattest inte kan utföras av samma person. Vi har noterat att det är stor skillnad mellan förvaltningarna gällande beloppsgränser för beslutsattestanter. För förvaltningscheferna varierar beloppsgränsen mellan ca 2 mkr och oändligt. ProCapita IFO I ProCapita ska både säkerhet vad gäller sekretess och betalningar säkerställas. I systemet finns ett antal olika roller och behörighetsnivåer kopplade till organisation och typ av beslut. Socialnämndens delegationsbestämmelser är detaljerade med behörigheter för olika typer av insatser och beslut samt specificerade beloppsgränser. All elektronisk kommunikation sker via ProCapita för att säkerställa sekretessen. Slumpmässiga loggar görs automatiskt varje vecka som skickas till berörd chef. Det finns även möjligheter att göra manuella loggar. I ProCapita registreras betalningar direkt till klient men även betalningar av klientrelaterade fakturor; både fakturor kopplade till försörjningsstöd men även köp av externa vårdplatser. Det saknas möjligheter att styra behörighet till beloppsgränser utan dessa kontroller måste göras manuellt. Huvudregeln är att registrering av klient och beslut om utbetalning ska ske av olika personer men ett fåtal socialsekreterare och enhetscheferna har behörighet att utföra båda momenten. Enhetschefer och systemförvaltare har höga behörigheter. Enhetscheferna har behörighet att registrera och besluta om utbetalningar men det har däremot inte behörighet att registrera ny klient och inte heller behörighet att skapa utbetalningsfilen till banken. Sundsvalls kommun 4 av 11

3.2.1. Behörighet gällande attestering av egna kostnader I Heroma finns inbyggda kontroller så att det inte går att registrera förändringar eller uppgifter på det egna användarkontot. Det finns möjligheter att kringgå systemet men alla händelser loggas. Loggar följs regelbundet av systemförvaltarna och det är enkelt att följa olika händelser. IT-service har också möjligheter att göra övergripande loggar. I Raindance finns inte möjligheter till motsvarande kontroller. Chefen har rätt att attestera alla fakturor på sina respektive ansvar och det är upp till den enskilde att vidarebefordra egna utlägg etc för attest av överordnad chef. (Stickprovskontroller av rutiner gällande attest av egna kostnader görs i granskningen Leverantörsfakturor). I ProCapita ska registrering av klient och beslut om utbetalning göras av två olika personer. Det finns dock användare som i systemet har behörighet att utföra båda momenten. 3.2.2. Användare med hög behörighet Sektionscheferna för ekonomiservice och löne- och pensionsadministration samt enhetschefer inom socialnämnden har höga behörigheter i systemen. Även medarbetarna inom Ekonomiservice och löne- och pensionsadministration har höga behörigheter. Utifrån genomförda intervjuer konstaterar vi att det inte görs några regelbundna loggar som rapporteras till överordnade chefer. Bedömning Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter. Rutiner kring behörigheter i granskade system är ändamålsenliga. Vi bedömer att användarnas behörighetsnivå i huvudsak är ändamålsenliga. Behörigheter styrs utifrån vad som bedömts som lämpligt utifrån användarnas respektive befattning och det behov som föreligger för att säkerställa fungerande rutiner. Vi menar dock att för speciellt högre behörighet bör kontinuerliga översyner göras för att säkerställa att användarnas behörighetsnivåer är adekvata utifrån exempelvis förändrade rutiner och uppdrag. Beloppsgränserna för beslutattestanter varierar mellan förvaltningarna och vi anser att de bör ses över. Vi konstaterar att det saknas funktioner för systematiserade kontroller av attester i ProCapita och att det saknas dokumenterade rutiner för de manuella kontroller som utförs. Kontroller och attest av betalningsfil sker i efterhand och de personer som skickar utbetalningsfil har små möjligheter att kunna kontrollera felaktigheter i filen. Sektionscheferna för ekonomiservice och löne- och pensionsadministration har en hög behörighet i systemet i kombination med attesträtt. Vi menar att det i dessa fall är extra viktigt att sakgranskning av enhetschefernas fakturor inte bör utföras av personer som står i beroendeställning till respektive chef. För ProCapita och delvis Heroma loggas användarna regelbundet och följs upp på respektive enhet. Vi föreslår att liknande rutiner införs även för Raindance. Loggar för sektionschefer och övriga användare med hög behörighet bör rapporteras och följas av överordnad chef. Sundsvalls kommun 5 av 11

3.3. Rutiner för upplägg, förändring och avslut av behörigheter 3.3.1. Upplägg av behörigheter I Sundsvalls kommun används en inloggning för samtliga system. När en ny anställning registreras i Heroma skapas ett konto automatiskt i metakatalogen och den anställde tilldelas ett användarnamn, lösenord och epostadress. Lösenordet ska bestå av minst 8 tecken och bestå av 1 versal och minst 2 siffror. Byte av lösenord måste göras var tredje månad med undantag av sommaren då intervallet förlängs med en månad. Registrering av behörighet i de granskade systemen sker därefter på lite olika sätt. Det är väsentligt att den person som har rätt att beställa behörigheter är väl in satt i vad medarbetaren har för ansvarsområden och arbetsuppgifter. Den person som har rätt att godkänna behörigheter bör ha god kunskap om hur behörigheterna är strukturerade i det aktuella systemet. Heroma För de personer som ska ha behörighet i Heroma finns det en blankett; beställning av behörigheter i Heroma(bilaga) som godkänns av respektive chef. På blanketten framgår att behörigheten är personlig och inte får lånas ut. Systemförvaltarna granskar behörigheterna innan registrering och om de har funderingar kontaktas den chef som godkänt. Det finns dock inget uttalat krav på att systemförvaltarna ska göra dessa kontroller. Heroma web Så snart den anställde har tilldelats användarnamn i metakatalogen får systemförvaltare ett mejl från metakatalogen som registrerar den anställde som användare i självservice och Heroma web. Det går därefter ut ett mejl till närmsta chef om att den anställde är upplagd. Chefer ska även ha behörighet att godkänna och det framgår på anställnings- och löneavtalet vilket område/enhet chefen ansvarar för och systemförvaltaren lägger in behörighet att godkänna utifrån dessa uppgifter. Tidigare fanns en särskild blankett för upplägg av chefernas behörigheter men nu har detta moment tagits bort. Det är bara månadsanställda som kan få en behörighet i Heroma web. Timanställda rapporterar tid på pappersblanketter. Tillfälligt inhyrda chefer kan inte få behörighet utan ansvaret måste fördelas om till annan chef eller överordnad chef. Raindance classic För att få användarbehörighet sker ansökan på särskild blankett som ska godkännas av behörig chef. Tilldelningen av behörighetstyp i Raindance baseras på medarbetarens arbetsuppgifter. Raindanceportalen För att få attesträtt i Raindance måste en ansökan göras. Tidigare har detta gjorts på en pappersblankett men nu görs ansökan elektroniskt via en websida. På ansökan uppges ansvarskod som kopplas/styrs till aktuell förvaltning och till den chef som ska godkänna. I samband med ansökan skapas ett mejl till medarbetaren, Sundsvalls kommun 6 av 11

den chef som ska godkänna och även till den som gjort ansökan om det är annan person. De personer som har rätt att godkänna kan avslå eller bevilja. Om attesten beviljas skickas ett mejl till den medarbetare som har fått attesten och det skickas en fil till Raindance som automatiskt läser in uppgifterna. Systemförvaltarna får ett mejl när detta är klart. Det är samma rutiner även för ersättare under exempelvis sommaren. Tidigare förekom det att ersättare registrerades innan beslut från behörig chef för att undvika inkasso och dröjsmålsräntor. Det finns möjlighet att ta ut rapporter för att kontrollera att samtliga attestanter har ersättare över sommarsemestern. Registrering av nya användare sker utifrån godkännande från överordnad chef som därmed ansvarar för att nämndens delegationsordning följs. Systematiserade rutiner för kontroller gentemot delegationsordning saknas utan de följs upp genom stickprover. För nyregistrering av sakgranskare finns det en elektronisk blankett på intranätet som fylls i av behörighet chef. ProCapita Upplägg av behörigheter utförs av Servicecenter -IT utifrån beställning från ansvarig chef på socialförvaltningen. Externa systemkonsulter Tilldelning av behörigheter och inloggning för externa konsulter är ytterst restriktiv. Den måste godkännas av uppdragsgivaren till konsulten och behörigheten är tidsbegränsad till ett fåtal dagar. Det är endas ett begränsat antal medarbetare på Servicenter - IT som har behörighet att registrera tillfälliga behörigheter. Servicecenter - IT har tagit fram skriftliga instruktioner för externa användare och någon medarbetare från Servicecenter IT är alltid närvarande när den externa konsulten arbetar i systemet. 3.3.2. Avslut av anställning När en medarbetare avslutats i Heroma finns det en funktion som automatiskt stänger ner användarkontot i meta-katalogen och medarbetaren kommer inte längre att kunna logga in på datorn. Avslut i raindance sker automatiskt i samband med avslut i metakatalogen. Till Heroma går information om att avslutning har skett och en manuell avslutning måste göras i systemet. Det finns dock inga möjligheter att exempelvis någon annans medarbetares dator logga in i Heroma. I Heroma sker det automatiskt en avstängning ett halvår efter att medarbetaren har avslutats. 3.3.3. Förändring av anställning Heroma Respektive överordnad chef ska meddela systemförvaltare på Heroma om förändringar men det är inte alltid det fungerar. Vid intervjuer framkommer att detta fungerar i uppskattningsvis vid 90 % av alla förändringar som sker. Om en chef byter anställning uppmärksammar systemförvaltaren oftast detta i samband Sundsvalls kommun 7 av 11

med att uppgifter på den nya chefen registreras och den tidigare chefen kan tas bort eller ändras. Ibland får lön- och pensionsavdelningen även informell information på annat sätt om att avslut eller förändring har skett. Systemförvaltaren kontaktar då berörd chef och får en bekräftelse på att förändringen ska göras. Alla förändringar skrivs ut och arkiveras. Raindance Respektive chef ansvarar för att meddela förändringar av behörighet och attester. Det är endast ett fåtal medarbetare ute på förvaltningarna som har hög behörighet och förändringar rapporteras löpande. Raindanceportalen När det sker en förändring av en chefs anställningsinformation i Heroma avslutas attesten automatiskt i Raindance och det måste göras en ny ansökan om attest. ProCapita Respektive chef ansvarar för att meddela förändringar av behörighet och attester. Vi har genom stickprover noterat att det i något fall har saknats beslut och att förändringar inte har registrerats gällande medarbetare med hög behörighet inom ekonomiservice och löne- och pensionsservice. Bedömning Det finns fungerande rutiner för tilldelning, avslut och förändring av behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet som behörighetsnivå i IT-system. Rutinen är dokumenterad. Vi bedömer att det till stor del finns fungerande rutiner för tilldelning, avslut och förändring av behörighet men att det saknas dokumenterade rutiner. De chefer som beställer behörigheter har dock inte alltid kunskaper om hur behörighetssystemet är upplagt och vilken behörighet medarbetaren behöver. Det blir därför systemförvaltaren som får göra denna bedömning. Vi menar att det vissa fall kan vara befogat att göra en mer strukturerad analys vid tilldelning av behörighet. För chefer med attesträtt är rutinerna i Raindance systematiserade och så snart en anställning ändras i Heroma tas attesträtten i Raindance bort. Det förutsätter dock att alla förändringar registreras i Heroma. I ProCapita måste förändringar göras manuellt. För att hela kedjan ska fungera måste alla förändringar rapporteras till systemförvaltare på löne- och pensionsservice vilket inte görs i nuläget. Systemförvaltarna gör vissa kontroller men ansvaret åvilar respektive förvaltning/nämnd. Vi anser därför att rutiner för att säkerställa att samtliga förändringar av anställningar rapporteras till löne- och pensionsservice bör utarbetas. Vi menar att det är viktigt att säkerställa att det finns beslut och att förändringar registreras löpande även för medarbetare inom ekonomiservice och löne- och pensionsservice. Sundsvalls kommun 8 av 11

3.4. Rutiner för kontroll och uppföljning av behörigheter 3.4.1. Övergripande kontroller av registrerade behörigheter I Heroma görs kontroller på eget initiativ utifrån behov och i mån av tid av systemförvaltarna men det finns inga fastställda rutiner. Ekonomiservice gör uppföljningar av användare med hög behörighet i Raindance en gång per år. För de som har högst behörighet görs bevakning kontinuerligt. Det är framförallt inom ekonomiservice de högsta behörigheterna återfinns. I ProCapita IFO görs årligen en genomgång av att behörigheterna stämmer. 3.4.2. Nämndernas kontroll av registrerade behörigheter Internkontrollplaner Av attestreglementet (fastställt av kommunfullmäktige 2007-04-23 125) framgår att kommunens nämnder och styrelser är skyldiga att se till att bestämmelserna i detta reglemente följs och att tillämpliga attestmoment utförs. Kommunstyrelsen, statsbyggnadsnämnden och lantmäterinämnden har i internkontrollplanerna för 2015 lagt in kontroller av att attestregler följs. Nämnden för arbetsmarknad, vuxenutbildning och integration hade liknande rutiner för 2014. Av socialnämnden och barn- och utbildningsnämndens beslut om attesträtt för 2015 framgår att förvaltningen utför kontroll av beslutsattester kontinuerligt via ekonomiportalen. Bedömning Det finns fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning samt av förändringar under året (exempelvis medarbetare som slutar, är lediga eller tillfälliga förändringar av behörighet). Vi bedömer att det delvis finns fungerande rutiner för kontroll av registrerade behörigheter. Flera av nämnderna gör utifrån nämndsbeslut regelbundna kontroller av att attester stämmer mot delegationsordning. Kommunen saknar dock en fastställd rutin för kontroller av förändringar av behörigheter utöver attesträtter. Uppföljningar och kontroller görs på eget initiativ av systemförvaltare inom de olika systemen. Vi föreslår att rutiner upprättas för löpande kontroll av förändringar av behörigheter i de granskade systemen. Sundsvalls kommun 9 av 11

3.5. Aktuella förteckningar över behörigheter och attester Av attestreglementet framgår att nämnd ska årsvis fatta beslut om vilka som skall ha rätten att vara beslutsattestanter samt ersättare för dessa. Nämnd svarar för att upprätta och hålla aktuella förteckningar över utsedda attestanter och ersättare. Nämnd kan vid behov återkalla attesträtt. Nämnd kan utse eller uppdra åt förvaltningschef att utse beslutsattestanter samt ersättare för dessa samt att återkalla attesträtt. Övriga attestanter utses i organisationen om inte nämnden beslutar annat. Av tillämpningsanvisningar till attestreglemente (fastställt av kommunstyrelsen 2008-09-15 485) framgår att förteckningen ska innehålla uppgift om vilka personer som är beslutsattestanter och ersättare för dessa samt uppdragets omfattning. Förteckningen skall innehålla uppgift om beloppsgränser samt om attesten avser löner. Förteckningen kan kompletteras med behörighetsattestanter och sakgranskare eller finnas som en separat förteckning. Förteckningen ska innehålla prov på namnteckning och signatur. Nämnden för arbetsmarknad, vuxenutbildning och integration samt kultur- och fritidsnämnden har delegerat beslutet att utse beslutsattestanter till förvaltningschef. Övriga nämnder fattar årligen övergripande beslut gällande beslutsattestanter. Heroma Det finns möjligheter att ta ut förteckning över samtliga användare och behörigheter, men de skrivs inte ut och/eller arkiveras. Raindance Ansvaret för att uppdatera och ajourhålla attester åvilar respektive nämnd/förvaltning. Förvaltningarna kan själva ta ut rapporter över aktuella attestanter i Raindance. Ekonomiservice skickar på eget initiativ ut aktuella attestlistor årligen till förvaltningarna för genomgång. Förvaltningarna skickar in attestförteckningar till ekonomiservice som samlas. Det görs dock inga kontroller av att samtliga förvaltningar har lämnat förteckningar eller att de är fullständiga eftersom arkivering ska ske på respektive förvaltning. ProCapita Förteckning över samtliga användare och behörigheter i systemet sammanställs årligen. Behörigheten i ProCapita är inte styrd utifrån samma parametrar som i Raindance och det kan därför finnas medarbetare som har attesträtt i ProCapita men inte i Raindance och därmed inte kommer med på de attestförteckningar som tas ut från Raindance. Bedömning Det finns en aktuell förteckning avseende attester och behörigheter. Vi bedömer att det finns aktuella attestförteckningar i Raindance och att de årligen rapporteras till nämnd och/eller förvaltningsledning. Gällande Heroma finns inga liknande rutiner men vi menar att årsvisa förteckningar över attester och högre behörigheter bör sammanställas och arkiveras. Sundsvalls kommun 10 av 11

Sundsvall 2015-06-12 Anneth Nyqvist PerÅke Brunström Sundsvalls kommun 11 av 11

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss