www.pwc.se Revisionsrapport Anneth Nyqvist Behörigheter i system Sundsvalls kommun
Innehållsförteckning 1. Sammanfattande bedömning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2. Syfte och revisionsfråga... 2 2.3. Avgränsning... 2 2.4. Metod... 2 3. Granskningsresultat... 3 3.1. Granskade system... 3 3.2. Roller och behörighetsnivåer... 3 3.2.1. Behörighet gällande attestering av egna kostnader... 5 3.2.2. Användare med hög behörighet... 5 3.3. Rutiner för upplägg, förändring och avslut av behörigheter... 6 3.3.1. Upplägg av behörigheter... 6 3.3.2. Avslut av anställning... 7 3.3.3. Förändring av anställning... 7 3.4. Rutiner för kontroll och uppföljning av behörigheter... 9 3.4.1. Övergripande kontroller av registrerade behörigheter... 9 3.4.2. Nämndernas kontroll av registrerade behörigheter... 9 3.5. Aktuella förteckningar över behörigheter och attester... 10 April 2015 Sundsvalls kommun
1. Sammanfattande bedömning På uppdrag av de förtroendevalda revisorerna i Sundsvalls kommun har revisorerna beslutat att genomföra en granskning avseende behörigheter i system. Syftet med granskningen är att bedöma om den interna kontrollen är tillräcklig när det gäller tilldelning och uppföljning av tilldelade behörigheter i IT-system. Granskningen har resulterat i följande iakttagelser och bedömningar: - Användarnas behörighetsnivåer är i huvudsak ändamålsenliga. Behörigheter styrs utifrån vad som bedömts som lämpligt utifrån användarnas respektive befattning och det behov som föreligger för att säkerställa fungerande rutiner. Vi har noterat att beloppsgränserna för beslutsattestanterna varierar mellan förvaltningarna. - Det saknas funktioner för systematiserade kontroller av attester i ProCapita och det saknas dokumenterade rutiner för de manuella kontroller som utförs. - I ProCapita och även delvis i Heroma loggas användarna regelbundet. Motvarande loggning görs inte i Raindance. - Det finns till stor del fungerande rutiner för tilldelning, avslut och förändring uppföljning av behörighet men det saknas dokumenterade rutiner. Hela kedjan förutsätter dock att samtliga förändringar rapporteras till systemförvaltare för Heroma vilket inte görs i nuläget. - Det finns delvis fungerande rutiner för kontroll av registrerade behörigheter. Flera av nämnderna gör utifrån nämndsbeslut regelbundna kontroller av att attester stämmer mot delegationsordning. - Kommunen saknar en fastställd rutin för kontroller av förändringar av behörigheter utöver attesträtter. Uppföljningar och kontroller görs på eget initiativ av systemförvaltare inom de olika systemen. - Det finns aktuella attestförteckningar i Raindance och de rapporteras årligen till nämnd och/eller förvaltningsledning. I ProCapita görs en sammanställning över samtliga användare årligen. För Heroma saknas liknande rutiner. Sammanfattningsvis bedömer vi att den interna kontrollen gällande tilldelning och uppföljning av behörigheter i IT-system delvis är tillräcklig. I syfte att utveckla verksamheten lämnar vi följande förslag till åtgärder: - Kontinuerliga översyner, speciellt gällande högre behörighet, bör göras för att säkerställa att användarnas behörighetsnivåer är adekvata utifrån exempelvis förändrade rutiner och uppdrag. - Beloppsgränser för beslutsattestanter bör ses över i syfte att säkerställa likartade rutiner inom kommunen. - Rutiner för loggning av användare med hög behörighet som rapporteras till närmast överordnad chef bör införas. - Dokumenterade rutiner för tilldelning, avslut och förändring av behörigheter bör upprättas inklusive rutiner för att säkerställa att förändringar av anställningar rapporteras till systemförvaltare för Heroma. - I vissa fall kan vara befogat att göra en mer strukturerad analys vid tilldelning av behörigheter i syfte att säkerställa rätt behörighetsnivåer. - Rutiner för löpande kontroll av förändringar av behörigheter i de granskade systemen bör upprättas. - Årsvisa förteckningar över attester och högre behörigheter i Heroma bör sammanställas och arkiveras. Sundsvalls kommun 1 av 11
2. Inledning 2.1. Bakgrund Enligt kommunallagen kan kommunfullmäktige föra ned rätten att fatta beslut till nämnderna och vidare kan dessa delegera till tjänstemän. En viktig förutsättning för en väl fungerande intern kontroll är att det finns rutiner som säkerställer att tilldelade behörigheter i IT-system överensstämmer med beslutade delegationer. 2.2. Syfte och revisionsfråga Granskningen syftar till att bedöma om den interna kontrollen är tillräcklig när det gäller tilldelning och uppföljning av tilldelade behörigheter i IT-system. Följande kontrollmål ska besvaras: Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter. Behörighetsrutinerna är ändamålsenliga. Det finns fungerande rutiner för tilldelning och uppföljning av behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet som behörighetsnivå i IT-system. Rutinen är dokumenterad. Det finns fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning samt av förändringar under året (exempelvis medarbetare som slutar, är lediga eller tillfälliga förändringar av behörighet). Det finns en aktuell attesträttsförteckning avseende attest av ekonomiska transaktioner. 2.3. Avgränsning Granskningen omfattar allmän behörighet till kommunen, ekonomisystem, personalsystem och socialnämndens system för utbetalning av försörjningsstöd (ProCapita IFO). 2.4. Metod Dokumentstudier av styrande/stödjande dokument. Kontroller av gällande attestreglemente/attestförteckning och ett antal stickprov för att verifiera riktigheten i gällande rutiner och riktlinjer. Intervjuer med systemförvaltare Heroma, sektionschef Servicecenter -Ekonomi, leverantörsreskontra, avdelningschef och medarbetare på Servicecenter IT, enhetschef Mottagningsgrupp för ekonomiskt stöd samt systemförvaltare ProCapita IFO. Sundsvalls kommun 2 av 11
3. Granskningsresultat 3.1. Granskade system De IT-system som omfattas av granskningen är lönesystemet Heroma, ekonomisystemet Raindance samt socialförvaltningens verksamhetssystem ProCapita som bland annat används för utbetalning av försörjningsstöd. 3.2. Roller och behörighetsnivåer Heroma Heroma består av två olika system, Heroma och Heroma web. I själva Heroma registreras och uppdateras person- och löneuppgifter. De olika behörighetsnivåer som finns är: tittbehörighet 68 st lönehandläggare, 29 st full uppdatering PA/HR-strateger, 14 st viss uppdatering systemförvaltare, 6 st varav 4 har möjlighet att lägga upp behörigheter, Samtliga systemförvaltare har högsta behörighet, med undantag av identitetsskyddade personer där bara tre av systemförvaltarna har behörighet att uppdatera. Utifrån beslut i kommunfullmäktige är det fem personer, som två i förening, har fullmakt/behörighet att skicka bankfilen(bilaga). Sektionschef för löne- och pensionsadministration har behörighet att uppdatera uppgifter, skicka bankfilen samt att godkänna utbetalningar. Medarbetare och chefer har endast tillgång till Heroma web, där medarbetaren registrerar avvikelser och cheferna kan godkänna eller avslå. En ny roll har tillkommit, chef med löneöversyn, som innebär att chefer under en begränsad tidsperiod får registrera ny lön för sina medarbetare. HR-strategerna går igenom och kontrollerar samtliga nya löner innan löneutbetalning. Raindance Även Raindance består av två olika delar; Raindance classic och Raindanceportalen. Större delen av användarna har endast tillgång till portalen. Raindance classic innehåller bl a huvudbok, kund- och leverantörsreskontra, internfakturering och anläggningsregister etc. De behörighetsgrupper som finns är: Admingrupp Ekonomiservice Superanvändare portal underkataloger Classic användare enkel (tittbehörighet) Classicanvändare enkel (ändra förfallodag mm) Classicanvändare med AR (anläggningsregister) Classicanvändare ekonomer/assistenter Classicanvändare utan behörighet att registrera leverantörer Sundsvalls kommun 3 av 11
Det är 4-5 medarbetare som har möjlighet att registrera behörigheter. Utifrån beslut i kommunfullmäktige är det tio personer, som två i förening, har fullmakt/behörighet att verkställa utbetalningar och uttag. Sektionschef på ekonomiservice har högsta behörighet i kombination med beslutsattest och har därmed även behörighet att exempelvis registrera nya leverantörer. Alla transaktioner måste godkännas av ytterligare en person. Det finns även någon enstaka medarbetare på koncernstaben som har både hög behörighet i Raindance Classic och beslutsattest. Ekonomerna har en hög behörighet i Raindance Classic men de har inte attesträtt. I Raindanceportalen hanteras leverantörsfakturor, internfakturor, bokföringsordrar samt kundfakturor. De roller som finns i portalen är: Beslutsattestant, godkänner fakturor. Behörigheten omfattar en eller flera ansvarskoder och upp till ett visst belopp. Vissa chefer kan ha höga behörigheter, både sett till antalet ansvarskoder och att beloppsgränsen är hög eller oändlig. Sakgranskning, kontrollerar att fakturan är korrekt. I Raindance finns inbyggda kontroller för att samtliga leverantörsfakturor måste godkännas av två personer samt att sakgranskning och beslutsattest inte kan utföras av samma person. Vi har noterat att det är stor skillnad mellan förvaltningarna gällande beloppsgränser för beslutsattestanter. För förvaltningscheferna varierar beloppsgränsen mellan ca 2 mkr och oändligt. ProCapita IFO I ProCapita ska både säkerhet vad gäller sekretess och betalningar säkerställas. I systemet finns ett antal olika roller och behörighetsnivåer kopplade till organisation och typ av beslut. Socialnämndens delegationsbestämmelser är detaljerade med behörigheter för olika typer av insatser och beslut samt specificerade beloppsgränser. All elektronisk kommunikation sker via ProCapita för att säkerställa sekretessen. Slumpmässiga loggar görs automatiskt varje vecka som skickas till berörd chef. Det finns även möjligheter att göra manuella loggar. I ProCapita registreras betalningar direkt till klient men även betalningar av klientrelaterade fakturor; både fakturor kopplade till försörjningsstöd men även köp av externa vårdplatser. Det saknas möjligheter att styra behörighet till beloppsgränser utan dessa kontroller måste göras manuellt. Huvudregeln är att registrering av klient och beslut om utbetalning ska ske av olika personer men ett fåtal socialsekreterare och enhetscheferna har behörighet att utföra båda momenten. Enhetschefer och systemförvaltare har höga behörigheter. Enhetscheferna har behörighet att registrera och besluta om utbetalningar men det har däremot inte behörighet att registrera ny klient och inte heller behörighet att skapa utbetalningsfilen till banken. Sundsvalls kommun 4 av 11
3.2.1. Behörighet gällande attestering av egna kostnader I Heroma finns inbyggda kontroller så att det inte går att registrera förändringar eller uppgifter på det egna användarkontot. Det finns möjligheter att kringgå systemet men alla händelser loggas. Loggar följs regelbundet av systemförvaltarna och det är enkelt att följa olika händelser. IT-service har också möjligheter att göra övergripande loggar. I Raindance finns inte möjligheter till motsvarande kontroller. Chefen har rätt att attestera alla fakturor på sina respektive ansvar och det är upp till den enskilde att vidarebefordra egna utlägg etc för attest av överordnad chef. (Stickprovskontroller av rutiner gällande attest av egna kostnader görs i granskningen Leverantörsfakturor). I ProCapita ska registrering av klient och beslut om utbetalning göras av två olika personer. Det finns dock användare som i systemet har behörighet att utföra båda momenten. 3.2.2. Användare med hög behörighet Sektionscheferna för ekonomiservice och löne- och pensionsadministration samt enhetschefer inom socialnämnden har höga behörigheter i systemen. Även medarbetarna inom Ekonomiservice och löne- och pensionsadministration har höga behörigheter. Utifrån genomförda intervjuer konstaterar vi att det inte görs några regelbundna loggar som rapporteras till överordnade chefer. Bedömning Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter. Rutiner kring behörigheter i granskade system är ändamålsenliga. Vi bedömer att användarnas behörighetsnivå i huvudsak är ändamålsenliga. Behörigheter styrs utifrån vad som bedömts som lämpligt utifrån användarnas respektive befattning och det behov som föreligger för att säkerställa fungerande rutiner. Vi menar dock att för speciellt högre behörighet bör kontinuerliga översyner göras för att säkerställa att användarnas behörighetsnivåer är adekvata utifrån exempelvis förändrade rutiner och uppdrag. Beloppsgränserna för beslutattestanter varierar mellan förvaltningarna och vi anser att de bör ses över. Vi konstaterar att det saknas funktioner för systematiserade kontroller av attester i ProCapita och att det saknas dokumenterade rutiner för de manuella kontroller som utförs. Kontroller och attest av betalningsfil sker i efterhand och de personer som skickar utbetalningsfil har små möjligheter att kunna kontrollera felaktigheter i filen. Sektionscheferna för ekonomiservice och löne- och pensionsadministration har en hög behörighet i systemet i kombination med attesträtt. Vi menar att det i dessa fall är extra viktigt att sakgranskning av enhetschefernas fakturor inte bör utföras av personer som står i beroendeställning till respektive chef. För ProCapita och delvis Heroma loggas användarna regelbundet och följs upp på respektive enhet. Vi föreslår att liknande rutiner införs även för Raindance. Loggar för sektionschefer och övriga användare med hög behörighet bör rapporteras och följas av överordnad chef. Sundsvalls kommun 5 av 11
3.3. Rutiner för upplägg, förändring och avslut av behörigheter 3.3.1. Upplägg av behörigheter I Sundsvalls kommun används en inloggning för samtliga system. När en ny anställning registreras i Heroma skapas ett konto automatiskt i metakatalogen och den anställde tilldelas ett användarnamn, lösenord och epostadress. Lösenordet ska bestå av minst 8 tecken och bestå av 1 versal och minst 2 siffror. Byte av lösenord måste göras var tredje månad med undantag av sommaren då intervallet förlängs med en månad. Registrering av behörighet i de granskade systemen sker därefter på lite olika sätt. Det är väsentligt att den person som har rätt att beställa behörigheter är väl in satt i vad medarbetaren har för ansvarsområden och arbetsuppgifter. Den person som har rätt att godkänna behörigheter bör ha god kunskap om hur behörigheterna är strukturerade i det aktuella systemet. Heroma För de personer som ska ha behörighet i Heroma finns det en blankett; beställning av behörigheter i Heroma(bilaga) som godkänns av respektive chef. På blanketten framgår att behörigheten är personlig och inte får lånas ut. Systemförvaltarna granskar behörigheterna innan registrering och om de har funderingar kontaktas den chef som godkänt. Det finns dock inget uttalat krav på att systemförvaltarna ska göra dessa kontroller. Heroma web Så snart den anställde har tilldelats användarnamn i metakatalogen får systemförvaltare ett mejl från metakatalogen som registrerar den anställde som användare i självservice och Heroma web. Det går därefter ut ett mejl till närmsta chef om att den anställde är upplagd. Chefer ska även ha behörighet att godkänna och det framgår på anställnings- och löneavtalet vilket område/enhet chefen ansvarar för och systemförvaltaren lägger in behörighet att godkänna utifrån dessa uppgifter. Tidigare fanns en särskild blankett för upplägg av chefernas behörigheter men nu har detta moment tagits bort. Det är bara månadsanställda som kan få en behörighet i Heroma web. Timanställda rapporterar tid på pappersblanketter. Tillfälligt inhyrda chefer kan inte få behörighet utan ansvaret måste fördelas om till annan chef eller överordnad chef. Raindance classic För att få användarbehörighet sker ansökan på särskild blankett som ska godkännas av behörig chef. Tilldelningen av behörighetstyp i Raindance baseras på medarbetarens arbetsuppgifter. Raindanceportalen För att få attesträtt i Raindance måste en ansökan göras. Tidigare har detta gjorts på en pappersblankett men nu görs ansökan elektroniskt via en websida. På ansökan uppges ansvarskod som kopplas/styrs till aktuell förvaltning och till den chef som ska godkänna. I samband med ansökan skapas ett mejl till medarbetaren, Sundsvalls kommun 6 av 11
den chef som ska godkänna och även till den som gjort ansökan om det är annan person. De personer som har rätt att godkänna kan avslå eller bevilja. Om attesten beviljas skickas ett mejl till den medarbetare som har fått attesten och det skickas en fil till Raindance som automatiskt läser in uppgifterna. Systemförvaltarna får ett mejl när detta är klart. Det är samma rutiner även för ersättare under exempelvis sommaren. Tidigare förekom det att ersättare registrerades innan beslut från behörig chef för att undvika inkasso och dröjsmålsräntor. Det finns möjlighet att ta ut rapporter för att kontrollera att samtliga attestanter har ersättare över sommarsemestern. Registrering av nya användare sker utifrån godkännande från överordnad chef som därmed ansvarar för att nämndens delegationsordning följs. Systematiserade rutiner för kontroller gentemot delegationsordning saknas utan de följs upp genom stickprover. För nyregistrering av sakgranskare finns det en elektronisk blankett på intranätet som fylls i av behörighet chef. ProCapita Upplägg av behörigheter utförs av Servicecenter -IT utifrån beställning från ansvarig chef på socialförvaltningen. Externa systemkonsulter Tilldelning av behörigheter och inloggning för externa konsulter är ytterst restriktiv. Den måste godkännas av uppdragsgivaren till konsulten och behörigheten är tidsbegränsad till ett fåtal dagar. Det är endas ett begränsat antal medarbetare på Servicenter - IT som har behörighet att registrera tillfälliga behörigheter. Servicecenter - IT har tagit fram skriftliga instruktioner för externa användare och någon medarbetare från Servicecenter IT är alltid närvarande när den externa konsulten arbetar i systemet. 3.3.2. Avslut av anställning När en medarbetare avslutats i Heroma finns det en funktion som automatiskt stänger ner användarkontot i meta-katalogen och medarbetaren kommer inte längre att kunna logga in på datorn. Avslut i raindance sker automatiskt i samband med avslut i metakatalogen. Till Heroma går information om att avslutning har skett och en manuell avslutning måste göras i systemet. Det finns dock inga möjligheter att exempelvis någon annans medarbetares dator logga in i Heroma. I Heroma sker det automatiskt en avstängning ett halvår efter att medarbetaren har avslutats. 3.3.3. Förändring av anställning Heroma Respektive överordnad chef ska meddela systemförvaltare på Heroma om förändringar men det är inte alltid det fungerar. Vid intervjuer framkommer att detta fungerar i uppskattningsvis vid 90 % av alla förändringar som sker. Om en chef byter anställning uppmärksammar systemförvaltaren oftast detta i samband Sundsvalls kommun 7 av 11
med att uppgifter på den nya chefen registreras och den tidigare chefen kan tas bort eller ändras. Ibland får lön- och pensionsavdelningen även informell information på annat sätt om att avslut eller förändring har skett. Systemförvaltaren kontaktar då berörd chef och får en bekräftelse på att förändringen ska göras. Alla förändringar skrivs ut och arkiveras. Raindance Respektive chef ansvarar för att meddela förändringar av behörighet och attester. Det är endast ett fåtal medarbetare ute på förvaltningarna som har hög behörighet och förändringar rapporteras löpande. Raindanceportalen När det sker en förändring av en chefs anställningsinformation i Heroma avslutas attesten automatiskt i Raindance och det måste göras en ny ansökan om attest. ProCapita Respektive chef ansvarar för att meddela förändringar av behörighet och attester. Vi har genom stickprover noterat att det i något fall har saknats beslut och att förändringar inte har registrerats gällande medarbetare med hög behörighet inom ekonomiservice och löne- och pensionsservice. Bedömning Det finns fungerande rutiner för tilldelning, avslut och förändring av behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet som behörighetsnivå i IT-system. Rutinen är dokumenterad. Vi bedömer att det till stor del finns fungerande rutiner för tilldelning, avslut och förändring av behörighet men att det saknas dokumenterade rutiner. De chefer som beställer behörigheter har dock inte alltid kunskaper om hur behörighetssystemet är upplagt och vilken behörighet medarbetaren behöver. Det blir därför systemförvaltaren som får göra denna bedömning. Vi menar att det vissa fall kan vara befogat att göra en mer strukturerad analys vid tilldelning av behörighet. För chefer med attesträtt är rutinerna i Raindance systematiserade och så snart en anställning ändras i Heroma tas attesträtten i Raindance bort. Det förutsätter dock att alla förändringar registreras i Heroma. I ProCapita måste förändringar göras manuellt. För att hela kedjan ska fungera måste alla förändringar rapporteras till systemförvaltare på löne- och pensionsservice vilket inte görs i nuläget. Systemförvaltarna gör vissa kontroller men ansvaret åvilar respektive förvaltning/nämnd. Vi anser därför att rutiner för att säkerställa att samtliga förändringar av anställningar rapporteras till löne- och pensionsservice bör utarbetas. Vi menar att det är viktigt att säkerställa att det finns beslut och att förändringar registreras löpande även för medarbetare inom ekonomiservice och löne- och pensionsservice. Sundsvalls kommun 8 av 11
3.4. Rutiner för kontroll och uppföljning av behörigheter 3.4.1. Övergripande kontroller av registrerade behörigheter I Heroma görs kontroller på eget initiativ utifrån behov och i mån av tid av systemförvaltarna men det finns inga fastställda rutiner. Ekonomiservice gör uppföljningar av användare med hög behörighet i Raindance en gång per år. För de som har högst behörighet görs bevakning kontinuerligt. Det är framförallt inom ekonomiservice de högsta behörigheterna återfinns. I ProCapita IFO görs årligen en genomgång av att behörigheterna stämmer. 3.4.2. Nämndernas kontroll av registrerade behörigheter Internkontrollplaner Av attestreglementet (fastställt av kommunfullmäktige 2007-04-23 125) framgår att kommunens nämnder och styrelser är skyldiga att se till att bestämmelserna i detta reglemente följs och att tillämpliga attestmoment utförs. Kommunstyrelsen, statsbyggnadsnämnden och lantmäterinämnden har i internkontrollplanerna för 2015 lagt in kontroller av att attestregler följs. Nämnden för arbetsmarknad, vuxenutbildning och integration hade liknande rutiner för 2014. Av socialnämnden och barn- och utbildningsnämndens beslut om attesträtt för 2015 framgår att förvaltningen utför kontroll av beslutsattester kontinuerligt via ekonomiportalen. Bedömning Det finns fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning samt av förändringar under året (exempelvis medarbetare som slutar, är lediga eller tillfälliga förändringar av behörighet). Vi bedömer att det delvis finns fungerande rutiner för kontroll av registrerade behörigheter. Flera av nämnderna gör utifrån nämndsbeslut regelbundna kontroller av att attester stämmer mot delegationsordning. Kommunen saknar dock en fastställd rutin för kontroller av förändringar av behörigheter utöver attesträtter. Uppföljningar och kontroller görs på eget initiativ av systemförvaltare inom de olika systemen. Vi föreslår att rutiner upprättas för löpande kontroll av förändringar av behörigheter i de granskade systemen. Sundsvalls kommun 9 av 11
3.5. Aktuella förteckningar över behörigheter och attester Av attestreglementet framgår att nämnd ska årsvis fatta beslut om vilka som skall ha rätten att vara beslutsattestanter samt ersättare för dessa. Nämnd svarar för att upprätta och hålla aktuella förteckningar över utsedda attestanter och ersättare. Nämnd kan vid behov återkalla attesträtt. Nämnd kan utse eller uppdra åt förvaltningschef att utse beslutsattestanter samt ersättare för dessa samt att återkalla attesträtt. Övriga attestanter utses i organisationen om inte nämnden beslutar annat. Av tillämpningsanvisningar till attestreglemente (fastställt av kommunstyrelsen 2008-09-15 485) framgår att förteckningen ska innehålla uppgift om vilka personer som är beslutsattestanter och ersättare för dessa samt uppdragets omfattning. Förteckningen skall innehålla uppgift om beloppsgränser samt om attesten avser löner. Förteckningen kan kompletteras med behörighetsattestanter och sakgranskare eller finnas som en separat förteckning. Förteckningen ska innehålla prov på namnteckning och signatur. Nämnden för arbetsmarknad, vuxenutbildning och integration samt kultur- och fritidsnämnden har delegerat beslutet att utse beslutsattestanter till förvaltningschef. Övriga nämnder fattar årligen övergripande beslut gällande beslutsattestanter. Heroma Det finns möjligheter att ta ut förteckning över samtliga användare och behörigheter, men de skrivs inte ut och/eller arkiveras. Raindance Ansvaret för att uppdatera och ajourhålla attester åvilar respektive nämnd/förvaltning. Förvaltningarna kan själva ta ut rapporter över aktuella attestanter i Raindance. Ekonomiservice skickar på eget initiativ ut aktuella attestlistor årligen till förvaltningarna för genomgång. Förvaltningarna skickar in attestförteckningar till ekonomiservice som samlas. Det görs dock inga kontroller av att samtliga förvaltningar har lämnat förteckningar eller att de är fullständiga eftersom arkivering ska ske på respektive förvaltning. ProCapita Förteckning över samtliga användare och behörigheter i systemet sammanställs årligen. Behörigheten i ProCapita är inte styrd utifrån samma parametrar som i Raindance och det kan därför finnas medarbetare som har attesträtt i ProCapita men inte i Raindance och därmed inte kommer med på de attestförteckningar som tas ut från Raindance. Bedömning Det finns en aktuell förteckning avseende attester och behörigheter. Vi bedömer att det finns aktuella attestförteckningar i Raindance och att de årligen rapporteras till nämnd och/eller förvaltningsledning. Gällande Heroma finns inga liknande rutiner men vi menar att årsvisa förteckningar över attester och högre behörigheter bör sammanställas och arkiveras. Sundsvalls kommun 10 av 11
Sundsvall 2015-06-12 Anneth Nyqvist PerÅke Brunström Sundsvalls kommun 11 av 11