Revisionsrapport Granskning intern kontroll och behörigheter i ekonomisystemet

Relevanta dokument
Revisionsrapport. Granskning av intern kontroll gällande attester för manuella bokföringsordrar, manuella betalningar samt leverantörsfakturor

Granskning av intern kontroll i lönehanteringen

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av leverantörsreskontran

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Uppföljande granskning av landstingets leverantörsregister

Revisionsrapport. Granskning av leverantörsregister. Sollentuna kommun. pwc

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: Författare: Jonas Eriksson Carin Norberg

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av intern kontroll avseende betalningsrutiner

Uppföljning avseende granskning av attestrutiner

Granskning av utbetalningar

Granskning av leverantörsregister och leverantörsutbetalningar

Granskning av intern kontroll i löneprocessen

N v. För kdnnedom till: Kommunfullmäktiges presidium, kommundirektören, respektive sektorschef samt ekonomichefen.

Intern kontroll avseende behörigheter i ekonomisystem samt hantering av leverantörsfakturor och manuella betalningar

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Rapport Internkontroll Kommunstyrelsen

Granskning av intern kontroll avseende betalningsrutiner. Mönsterås Bostäder AB

Vilma Lisboa April 2010

Granskning av intern kontroll i kommunens centrala löneprocess

Granskning av intern kontroll i huvudboksprocessen

Granskning av intern kontroll avseende betalningsrutiner. Mönsterås Utvecklings AB

Intern kontroll i faktura- och lönehantering

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av landstingets regler och rutiner för attestering av leverantörsfakturor och löner

Revisionsrapport Granskning av lönerutinerna. Härjedalens Kommun

Revisionsrapport Ramavtal Sundsvalls kommun Linda Marklund, Revisionskonsult Per Ståhlberg, Cert. kommunal revisor

Revisionsrapport Granskning av arvoden till förtroendevalda. Härnösand Kommun

Granskning av utbetalningar

Granskning av leverantörsregister och leverantörsutbetalningar

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Kundfordringar en uppföljande granskning

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Löpande intern kontroll i administrativa rutiner Kostnämnden

Styrning av behörigheter

ABCD. Intern kontroll avseende inköp Revisionsrapport. Arvika kommun. KPMG Antal sidor: 12

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

EXFLOW DYNAMICS NAV ELEKTRONISK FAKTURAHANTERING

Granskning av den interna kontrollen avseende löner

Arvoden och ersättningar till förtroendevalda

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Uppföljning av intern kontroll avseende fakturahantering

Revisionsrapport Granskning av rutiner för anställningar och förtroendekänsliga poster inom UAK

Externt finansierade projekt

Granskning av intern kontroll avseende kommunens konst

Intern kontroll och riskbedömningar. Sollefteå kommun

Granskning av Staffanstorps kommuns leverantörsskulder och dess system

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Marks kommun - Granskning av intern kontroll i lönehanteringen

Intern kontroll avseende redovisning och räkenskaper Växjö Kommun. Genomförd på uppdrag av revisorerna

Rapport Granskning av försörjningsstöd.

Svar på revisionsrapport Landstinget Blekinge granskning av löneprocess

Intern kontroll i faktura- och lönehantering

Granskning av generella IT-kontroller för PLSsystemet

Löpande intern kontroll i administrativa rutiner. Kollektivtrafiknämnden. Region Västmanland. Regionens förtroendevalda revisorer Mars 2019

Granskning av intern styrning och kontroll vid Statens servicecenter

Löpande redovisning och intern kontroll i redovisningsrutiner

Till: Uddevalla kommun Kommunstyrelsen Uddevalla

Granskning av intern kontroll i redovisningsprocessen 2013

Granskning av kommunens beredskap avseende EKOfrågor (Etik, Korruption och Oegentligheter) Revisorerna Bollnäs kommun

Intern kontroll avseende fakturahantering

Granskning av upphandlingsverksamheten. Sandvikens kommun

Granskning av fakturahanteringen. Trelleborgs kommun

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Granskning av lönehanteringen

Uppföljning av granskning av intern kontroll avseende drivmedelskort

Behörigheter i system

PWC:s granskningsrapport av intern kontroll i kommunens huvudboksprocess. KS

Granskning av löneutbetalningar

Granskning av interna kontrollen

Avtalsuppföljning utifrån granskning om bisysslor

Granskning av drifts- och servicenämnden. Karlstads kommun

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Intern kontroll i faktura- och lönehantering

Attest och u ta n ord n i n g

Granskning av intern kontroll i redovisningsrutiner

Tillämpningsanvisningar till reglemente för attest och kontroll av ekonomiska transaktioner

Revisionsrapport Intern kontroll avseende representation och resor hos samtliga nämnder

Granskning av lönesystem

Kommunrevisionen: Granskning av rutiner för anställningar och förtroendekänsliga poster inom UAK

Uppföljning avseende granskning kring Avtalstrohet

Revisionsrapport Granskning av upphandlingsrutiner. Ragunda Kommun

GOTLANDS KOMMUN. Uppföljning av granskning av lönerutiner i Personalsystemet IFS. Mats Renborn Viveca Karlsson

Granskning av behörigheter till journalsystemet

Kommunal författningssamling för. Östra Göinge kommun

Rapport Granskning av försörjningsstöd. Krokoms Kommun

Komrnunstyrelseri Nämnder och styrelser

Granskning av fakturahantering

Granskning av införandet av lönesystemet Heroma

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Håbo kommuns förtroendevalda revisorer

Revisionsrapport Bokslutsprocessen

Intern kontroll avseende inköpskort

Audit KPMG AB Antal sidor: 6

Granskning av intern kontroll svar på revisionsskrivelse

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

Revisionsrapport Granskning av förtroendevaldas och anställdas ersättning avseende resor med egen bil

Transkript:

www.pwc.se Revisionsrapport Granskning intern kontroll och behörigheter i ekonomisystemet Martin Möllerberg Risk Manager Jonas Wendt Risk Manager Augusti 2016

Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Revisionskriterier... 3 1.4. Kontrollmål... 3 1.5. Avgränsning... 4 1.6. Metod... 4 2. Iakttagelser och bedömningar... 5 2.1. Kontrollmål 1 Det finns rutiner på plats för att säkerställa att befintliga riktlinjer och policys följs... 5 2.1.1. Iakttagelser... 5 2.1.2. Bedömning och rekommendationer... 5 2.2. Kontrollmål 2 Det finns ett systemstöd för att säkerställa god intern kontroll... 6 2.2.1. Iakttagelser... 6 2.2.2. Bedömning och rekommendationer... 7 2.3. Kontrollmål 3 Behörighetstilldelning, ändring och borttag sker på ett säkert och ändamålsenligt sätt... 8 2.3.1. Iakttagelser... 8 2.3.2. Bedömning och rekommendationer... 10 2.4. Kontrollmål 4 Det finns en ansvarsfördelning mellan olika roller/behörigheter i systemen som kontinuerligt säkerställs... 11 2.4.1. Iakttagelser... 11 2.4.2. Bedömning och rekommendationer... 12 2.5. Kontrollmål 5 Logglistor över förändringar i fasta data hanteras på ett säkert och ändamålsenligt sätt... 13 2.5.1. Iakttagelser... 13 2.5.2. Bedömning och rekommendationer... 13 Augusti 2016 1 av 14

Sammanfattande revisionell bedömning På uppdrag av de förtroendevalda revisorerna i har granskat intern kontroll och behörigheter i ekonomisystemet och internetbanken. Granskningen har främst varit inriktad på administration av behörigheter, periodvis genomgång av dessa, samt hantering av logglistor över förändringar i fasta data. Revisionsfrågan har varit att bedöma om kommunstyrelsens och nämndernas interna kontroll avseende behörigheter i ekonomisystemet och internetbanken är tillräcklig. Vi bedömer att kommunstyrelsens och nämndernas interna kontroll avseende behörigheter i ekonomisystemet och internetbanken inte är tillräcklig. Vi grundar vår bedömning på att 4 av 6 kontrollmål bedöms som ej uppfyllda och att resterande kontrollmål bedöms som delvis uppfyllt. För fullständig bedömning av respektive kontrollmål hänvisas till bedömningsavsnittet under respektive kontrollmål i denna rapport. Kontrollmål Kontrollmål 1 Det finns rutiner på plats för att säkerställa att befintliga riktlinjer och policys följs Kontrollmål 2 Det finns ett systemstöd för att säkerställa god intern kontroll Kontrollmål 3 Behörighetstilldelning, ändring och borttag sker på ett säkert och ändamålsenligt sätt. Kontrollmål 4 Det finns en ansvarsfördelning mellan olika roller/behörigheter i systemen som kontinuerligt säkerställs. Kontrollmål 5 Logglistor över förändringar i fasta data hanteras på ett säkert och ändamålsenligt sätt. Kommentar Ej uppfyllt Ej uppfyllt Delvis uppfyllt Ej uppfyllt Delvis uppfyllt Augusti 2016 2 av 14

1. Inledning 1.1. Bakgrund Många transaktioner i såväl ekonomisystemet som bank och övriga system styrs av behörighetsmatriser. Det finns en risk att beslutade riktlinjer och policydokument inte efterföljs i samband med behörighetshantering. I en kommun bör det finnas såväl preventiva som detektiva kontroller kopplade till behörighetsprocessen. Preventiva kontroller utförs exempelvis vid tilldelning och ändring av behörigheter medan detektiva kontroller kan vara att granska logglistor över utförda förändringar för att identifiera vilka användare som gjort vilka ändringar. Denna granskning inkluderar såväl preventiva som detektiva kontroller. Det är nämnderna som ansvarar för den interna kontrollen inom sitt verksamhetsområde, både vad gäller utformning och genomförande. Nämnderna ska således utforma anvisningar för den egna interna kontrollens organisation, utformning och funktion. Kommunstyrelsen har till uppgift att främja den interna kontrollen. Viktigt är att den interna kontrollen utformas utifrån ett, för alla nämnder, gemensamt synsätt. Bakgrunden till granskningen är revisorernas riskanalys. 1.2. Syfte och Revisionsfråga Granskningen ska ge svar på följande revisionsfråga: Är kommunstyrelsens och nämndernas interna kontroll avseende behörigheter i ekonomisystemet och internetbanken tillräcklig? 1.3. Revisionskriterier De kriterier som berörs är: Behörigheter Interna styrdokument och policys Respektive nämnds regelverk 1.4. Kontrollmål 1. Det finns rutiner på plats för att säkerställa att befintliga riktlinjer och policys följs. 2. Det finns ett systemstöd för att säkerställa god intern kontroll. 3. Behörighetstilldelning, ändring och borttag sker på ett säkert och ändamålsenligt sätt. 4. Det finns en ansvarsfördelning mellan olika roller/behörigheter i systemen som kontinuerligt säkerställs. 5. Logglistor över förändringar i fasta data hanteras på ett säkert och ändamålsenligt sätt. Augusti 2016 3 av 14

1.5. Avgränsning Granskningen omfattar kommunstyrelsen och samtliga nämnder, men är avgränsad till ekonomi- och banksystem. Kontroller har genomförts avseende befintliga och historiska användare per 2016-05-23. 1.6. Metod Granskningen har skett utifrån ett väsentlighets- och riskperspektiv där ett antal kontrollmål valts ut. Utifrån dessa kontrollmål har en bedömning skett av dels befintliga regler och rutiner och dels förvaltningens egna kontrollaktiviteter. Stickprovskontroll har utförts på ett antal av kommunens egna kontroller. Uppföljning och verifiering av identifierade avvikelser och orimliga värden har skett samt intervjuer med kommunens redovisningschef, systemansvarig Heroma samt representanter från kommunens avdelning för ekonomi och styrning. Rapporten har varit föremål för sakgranskning av berörda tjänstemän. Augusti 2016 4 av 14

2. Iakttagelser och bedömningar 2.1. Kontrollmål 1 Det finns rutiner på plats för att säkerställa att befintliga riktlinjer och policys följs 2.1.1. Iakttagelser Nedan följer en sammanställning över vilka riktlinjer och policys som styr hanteringen av användare och behörigheter, samt hur det säkerställs att dessa efterföljs: Policy/Riktlinje Riktlinjer för attest, KF 2011-06-21 Roller i Agresso 5.5 Arbetsbeskrivning för bokhållare Hur säkerställs det att denna efterföljs? Stadskontoret har gjort en inventering kring vilka nämnder som inte tagit fram anvisningar för attest i enlighet med policyn. Dessa har enligt uppgift informerats att ta fram en sådan. Roller distribueras till användare vid tilldelning. Det görs ingen regelbunden genomgång över samtliga behörigheter för att säkerställa en korrekt ansvarsfördelning. Ingen uppföljning görs av stadskontoret att bokhållaren agerar i enlighet med arbetsbeskrivningen, exempelvis gällande granskning av nya leverantörer mot företagsinformation. Under granskningen har även noterat att det inte finns något centralt dokument som reglerar användar- och behörighetsprocessen. 2.1.2. Bedömning och rekommendationer Vi bedömer kontrollmålet som ej uppfyllt. Det finns inget centralt dokument som reglerar användar- och behörighetsprocessen. Det finns ett antal riktlinjer och instruktioner, men det finns brister i uppföljande kontroller för dessa dokument. Exempelvis finns det ingen uppföljningskontroll som säkerställer att bokhållaren agerar i enlighet med de instruktioner som presenteras i arbetsbeskrivningen. Vi rekommenderar kommunstyrelsen att tillse att det skapas ett centralt dokument som reglerar användar- och behörighetsprocessen. I dokumentet bör det framgå vem som är ansvarig för behörigheter centralt och i nämnderna/förvaltningarna, vilken behörighetsprocess som är tillämplig för vilket system (Heroma, Agresso, Bank) samt hur en säker och ändamålsenlig ansvarsfördelning skall säkerställas. Detta dokument bör vidare underbyggas med instruktioner och riktlinjer, varpå det är viktigt att nu existerande dokument såsom exempelvis arbetsbeskrivning för bokhållare, riktlinjer för attest och riktlinjer för hantering av logglistor uppdateras/skapas i enlighet med detta centrala dokument. I dessa dokument bör det även definieras rutiner och kontroller för att säkerställa att instruktionerna i dokumenten efterlevs av personalen. Augusti 2016 5 av 14

2.2. Kontrollmål 2 Det finns ett systemstöd för att säkerställa god intern kontroll 2.2.1. Iakttagelser använder ekonomisystemet Agresso 5.5 i vilket man har en koncernstruktur med fler-företags-uppsättning. Varje förvaltning har en egen kundreskontra och leverantörsreskontra. använder sig av Nordeas internetlösning Corporate Netbank. Utöver ekonomisystemet och banken finns ett personalsystem, Heroma, där användarkonton skapas och lön administreras. Det skall inte skapas några användare direkt i applikationerna, utan detta ska göras i Heroma som föder metakatalogen med personaluppgifter. Metakatalogen förser i sin tur Agresso med användare. I Agresso kopplas behörigheter till respektive användare, se vidare nästa kontrollmål, behörighetstilldelning. Denna rutin gäller dock ej för bankapplikationen där såväl användare och behörigheter administreras direkt i applikationen via banken. Inloggning till systemen styrs av AD (Active Directory) genom single-sign-on. Detta innebär att inloggning till systemen i denna granskning (undantaget banken) sker via inloggning på respektive dator. Behörigheterna i respektive system styrs sedan direkt i systemen av systemförvaltare och lokala administratörer. Enligt uppgift kan det i undantagsfall finnas användare i Agresso som ej existerar i Heroma. Detta gäller exempelvis konsulter som av olika anledningar behöver tillgång till Agresso, men som inte är att ses som anställda och bör därför ej finnas i personalsystemet. För att säkerställa detta jämförde samtliga användare i Agresso mot personalregistret i Heroma. Vi upptäckte ett stort antal användare (över 1000 stycken) som hade en web-basroll i Agresso utan att finnas upplagda i Heroma. Vid vidare diskussion framkom det att det finns olika anledningar till detta där den vanligaste är att personen avslutat sin anställning innan övergången till Heroma (september 2015), men ej tagits bort från Agresso. Därför finns användaren kvar i Agresso, men ej i Heroma. Utöver detta upptäckte vi 21 användare som hade utökade behörigheter (annat än webbasroll) i Agresso utan att vara registrerade i Heroma. En sammanställning av dessa finns återgiven nedan: Två användare: Aktiv framtida anställning. Personen har varit anställd tidigare och har en framtida tjänst, men inte påbörjat denna än. Kontot ligger således kvar sedan tidigare. Tre användare: Inget slutdatum i datumuppgifter. Anställningsraden är avslutad, men fältet slutdatum i kommunen är tomt. Rutinen är att detta fält skall fyllas i efter ett avslutspm, så har dock ej skett i dessa fall. Två användare: Extern konsult. Finns ej upplagda i Heroma av ovan nämnd anledning. Augusti 2016 6 av 14

Tre användare: Praktikanter som ej finns upplagda i Heroma. Elva användare: Slutdatum innan övergången till Heroma. Beror enligt kommunen sannolikt på ett fel som uppstått i lönemodulen i Agresso. Under granskningen noterade även att det förekommer fall av manuell hantering i vissa processer som går utanför det systemuppsatta flödet. Detta innebär att det inte finns någon systemgenererad användarstruktur för dessa transaktioner, varpå behörigheter kontrolleras manuellt via exempelvis signering på underlag. Detta gäller exempelvis manuella utbetalningar av lön vid felaktigheter i lönekörning. 2.2.2. Bedömning och rekommendationer Vi bedömer kontrollmålet som ej uppfyllt. Det finns ett systemstöd för att möjliggöra god intern kontroll, men vi har identifierat tillfällen där behörigheter av olika skäl har tilldelats direkt i applikationerna exempelvis vid praktikanter och konsulter. Utöver detta har vi identifierat ett antal oklarheter/felaktigheter i gällande behörigheter som kommunen förklarar genom systemfel eller okända anledningar. Det finns även fall där man arbetat med manuella transaktioner som inte följer samma behörighetsrutin som de systemgenererade transaktionerna. Vi rekommenderar kommunstyrelsen att tillse att behörighetsstrukturen i Agresso är i linje med Heroma för att följa det uppsatta flödet. Kommunstyrelsen bör även utreda om det finns ett behov av manuella transaktioner eller om dessa kan hanteras i systemen. Vidare bör kommunstyrelsen tillse att gamla/ej aktiva behörigheter i Agresso som ligger kvar sedan övergången till Heroma tas bort. Vi rekommenderar även att en uppföljande granskning görs av eventuella transaktioner utförda av användare som slutat. Då användaren slutat bör det inte finnas några transaktioner registrerade i systemet efter anställningens upphörande. Augusti 2016 7 av 14

2.3. Kontrollmål 3 Behörighetstilldelning, ändring och borttag sker på ett säkert och ändamålsenligt sätt 2.3.1. Iakttagelser 2.3.1.1. Behörighetstilldelning ekonomisystemet Det finns ett regelverk på plats som definierar vem som har rätt/möjlighet att tilldela olika roller med tillhörande behörigheter i Agresso. Regelverket är uppdaterat 2016-04-01 och innehåller ett stort antal roller i Agresso (dock ej alla) med information om vad rollen är avsedd för, samt vilka behörigheter som är kopplade till rollen. I regelverket framgår det även vem som har möjlighet att tilldela respektive roll. Generellt finns det två nivåer på tilldelning, system och AG-Distbeh. System är personer som har möjlighet att tilldela i princip samtliga behörigheter i Agresso. Användare med behörighet system finns återgivna nedan (vi har dolt användarnas namn och bytt ut dessa till namn 1, 2 etc.): Användare Roll Är användaren korrekt? Kommunens svar: Agresso konsult Automatisk Inläsning System System Ja. Agressosupporten behöver komma åt systemet för driftsupport. Ja. En systemanvändare som ingen loggar in på men som kör automatiskt schemalagda rapporter, bland annat inläsningar. Namn 1 System Ja och Nej. Personen kommer att sluta inom kort men har varit ansvarig för drift/support/uppsättning av lönemodulerna på lönekontoret Stadskontoret. Kommer tas bort när hen slutat. Namn 2 System Ja. Arbetar med drift/support/utveckling av systemet på redovisningsenheten Stadskontoret. Namn 3 System Ja. Arbetar med drift/support/utveckling av systemet på redovisningsenheten Stadskontoret. Namn 4 System Ja. Arbetar med utveckling av systemet sam budgetfrågor på budgetenheten Stadskontoret. Namn 5 System Ja. Arbetar med drift/support/utveckling av systemet på redovisningsenheten Stadskontoret. Namn 6 System Ja. Arbetar med drift/support/utveckling av systemet på redovisningsenheten Stadskontoret. Namn 7 System Ja. Arbetar med drift/support/utveckling av systemet på redovisningsenheten Stadskontoret. TEST- ENATOR System Ja. Tieto ansvarar för applikationsdrift av Agresso och behöver komma åt systemet för driftsupport. Användare med behörighet system kan även tilldela behörigheten AG-Distbeh till andra personer. Denna behörighet ger personerna möjlighet att tilldela vissa enklare behörigheter till personal inom förvaltningen. Syftet med denna uppsättning är att det skall finnas en lokal Agresso-ansvarig som har hand om lokala behörigheter, attestnivåer etc. Vilka behörigheter som tilldelas av vilken nivå (system eller AG-Distbeh) framgår av regelverket. Generellt, AG-Distbeh kan tilldela vissa basbehörigheter medan system kan ge mer avancerade behörigheter till användare. Augusti 2016 8 av 14

Samma instans som tilldelar behörigheter (system eller AG-Distbeh) administrerar även förändringar i roller och behörigheter. En förändring i en roll uppdaterar giltig-fråndatum. granskade samtliga roller och identifierade ett antal datum som var ofta förekommande som giltig-från-datum. Förklaring från kommunen över dessa datum: Datum Antal nya Orsak för nya användare användare 1901-01-01 118 Gamla användare sedan tidigare 2013-07-03 1488 Startade lösningen med import av användare från metakatalogen 2013-07-05 90 Startade lösningen med import av användare från metakatalogen 2014-05-02 132 Förlängning av timanställningar 2014-05-03 396 Förlängning av timanställningar 2014-08-04 2194 Synkronisering med e-postadresser 2014-08-12 687 Synkronisering med e-postadresser 2015-11-26 915 Implementering av Heroma som lönesystem 2016-01-11 134 Löst problemet med stopp i FIM-synk 2016-04-30 163 Förlängning av timanställningar Vid avslutad tjänst skall HR Service informeras och uppdatera sista giltighetsdatum i Heroma. Från Heroma läses datumet via metakatalogen in i Agresso varpå sista giltighetsdatum uppdateras även här. har granskat samtliga användare i Agresso och identifierat användare som har behörigheter kvar i Agresso trots avslutad anställning i kommunen enligt Heroma. Detta innebär en systembrist i kopplingen mellan de två systemen. Då inloggning sker via AD till Agresso och AD spärras när anställning avslutas har personen dock ej längre tillgång till Agresso. 2.3.1.2. Behörighetstilldelning bank Behörighetsadministration i internetbanken administreras centralt av stadskontoret. har granskat samtliga behörigheter i banken och jämfört dessa mot personallistor från Heroma. I granskningen upptäcktes 15 personer som hade någon form av behörighet i bankapplikationen, men som inte fanns i personalregistret i Heroma. Kommunen kommenterar dessa 15 personer enligt följande: Person Kommentar 1 Felstavat namn 2 Namnbyte 3 Namnbyte 4 Arbetar på HFAB och finns därför inte i Heroma 5 Arbetar på HFAB och finns därför inte i Heroma 6 Arbetar på HFAB och finns därför inte i Heroma 7 Arbetar på HFAB och finns därför inte i Heroma 8 Arbetar på HFAB och finns därför inte i Heroma 9 Arbetar på HFAB och finns därför inte i Heroma 10 Arbetar på Halmstads Energi & Miljö och finns därför inte i Heroma 11 Arbetar på Halmstads Energi & Miljö och finns därför inte i Heroma 12 Arbetar på Hallands Hamnar Halmstad och finns därför inte i Heroma 13 Arbetar på Hallands Hamnar Halmstad och finns därför inte i Heroma 14 Telge Kraft, sköter elhandel (behörighet med låsta mallar) 15 Telge Kraft, sköter elhandel (behörighet med låsta mallar) Augusti 2016 9 av 14

2.3.2. Bedömning och rekommendationer Vi bedömer kontrollmålet som delvis uppfyllt. Nya behörigheter och roller tilldelas i enlighet med gällande reglemente, däremot finns det brister i hanteringen av borttag. Det finns en uttalad rutin hur användaren skall avslutas i Heroma och rollen inaktiveras i Agresso, dock finns det ett antal tillfällen när denna rutin ej har efterföljts, möjligen på grund av systemfel. Vidare har det varit svårt för kommunen att regelbundet gå igenom bankbehörigheterna varpå det finns en del mindre felaktigheter här. Detta beror på begränsad användarvänlighet i de listor som genereras från bankens internetlösning. Under granskningen noterade att det finns ett regelverk som definierar vilka behörigheter som ingår i vilka roller, samt vem som har möjlighet att tilldela dessa. Dock har vi uppmärksammat att regelverket saknar ovan information om ett antal roller, nämligen: system, super, Wi, samt samtliga inom kategorin reg. Vi rekommenderar kommunstyrelsen att tillse att rutinen för borttag av behörigheter och roller förbättras samt att en regelbunden genomgång av bankbehörigheterna implementeras. Vi rekommenderar även kommunstyrelsen att tillse att gällande regelverk för användare uppdateras för att inkludera samtliga roller i Agresso. Augusti 2016 10 av 14

2.4. Kontrollmål 4 Det finns en ansvarsfördelning mellan olika roller/behörigheter i systemen som kontinuerligt säkerställs 2.4.1. Iakttagelser I regelverket för användare i framgår det vilka behörigheter som är kopplade till respektive roller. I regelverket finns det en viss ansvarsfördelning som exempelvis säkerställer att inte all personal kan utföra kritiska förändringar eller transaktioner, utan detta är begränsat till ett fåtal personer. I varje förvaltning finns det exempelvis en bokhållare som har hand om leverantörsregistret. SU-Bokhållare 1 Rollen är avsedd för den person som ska kunna underhålla fakturor som har fastnat vid inläsning. Bokhållaren åtgärdar även avvisade fakturor, omdistribuerar fakturor som avbrutits och har möjlighet att lägga upp nya leverantörer, ändra leverantörsuppgifter, ändra förfallodatum på fakturor etc. har granskat bokhållarnas övriga behörigheter och noterat att det endast finns en bokhållare som även har möjlighet att registrera utbetalningar (SU-UTBETAL). Denna person arbetade tidigare på stadskontoret och skulle ha avslutats för en tid sedan. Så skedde dock aldrig av oklar anledning. Det finns ingen uttalad rutin inom kommunen att en bokhållare inte får ha behörighet att utföra utbetalningar och det finns inga uppföljningskontroller för att säkerställa att så inte är fallet. Bokhållarna har möjlighet att skapa och ändra all fast data för leverantörer, såväl generisk information som bankuppgifter. Det krävs ingen attest av utomstående person vid upplägg av ny leverantör eller förändringar i kritiska fält. I såväl löneprocessen som inköpsprocessen hanteras ansvarsfördelning i transaktionsflödena genom ett fördefinierat attestflöde. Inom löneprocessen i Heroma bygger attestflödet på närmsta chef som skall attestera tid och frånvarorapporter. Det finns systemspärrar för att säkerställa att en person inte kan attestera sin egen tid. För inköpsfakturor som avrop mot ett ramavtal krävs en attest på inköpsordern i inköpsmodulen Doris. Det finns ett systemstöd i Doris för ansvarsfördelning mellan orderläggare och attestant. Efter godsmottag godkänns fakturan automatiskt om godsmottaget och fakturan matchar den godkända inköpsordern. För direktinköp sker ingen attest innan inköpet, istället blir fakturan föremål för attest i Agresso. Det krävs två personers attest av fakturan, en kontrollattestant och en slutattestant. Det finns inget krav på ytterligare attestanter på fakturor överstigande fördefinierade beloppsnivåer. Det finns ingen riktlinje som definierar att en bokhållare inte bör vara slutattestant av fakturor. Enligt gällande riktlinjer för attest (antaget i KF 2011-06-21, 64) är det upp till varje nämnd att skapa anvisningar för attest som kan innehålla beloppsgränser och kostnadsställen för attesten. Enligt uppgift finns inte dessa anvisningar för attest för samtliga nämnder. Det finns även bristande riktlinjer och dokumentation för hanteringen av reservattestanter vid exempelvis semester eller sjukfrånvaro. 1 Hämtat ur Roller i Agresso 5.5 s.8. Augusti 2016 11 av 14

2.4.2. Bedömning och rekommendationer Vi bedömer kontrollmålet som ej uppfyllt. Detta beror främst på följande iakttagelser: Det finns ingen dokumenterad rutin som nämner att en bokhållare inte får hantera utbetalningar. Det finns ingen dokumenterad rutin som nämner att en bokhållare inte bör vara slutattestant av fakturor. Det finns inget fördefinierat belopp över vilket leverantörsfakturor kräver ytterligare attest. Det finns ingen ansvarsfördelning mellan person som registrerar leverantörsinformation och person som registrerar bankuppgifter och det sker inget godkännande vid upplägg av nya leverantörer. Ett antal nämnder har inte tagit fram egna anvisningar för attest i enlighet med riktlinjer för attest KF 2011-06-21, 64. Det finns ingen formell rutin för att utse reservattestanter vid tillfällig eller långvarig frånvaro. I nämndens anvisningar skall det finnas en tydlighet i detta. Vi rekommenderar kommunstyrelsen att tillse att ovan punkter hanteras för att säkerställa en god nivå av ansvarsfördelning inom kommunen. Punkterna kan med fördel hanteras på nämndnivå och tydliggöras i respektive nämnds version av dokumentet anvisningar för attest. Respektive nämnd kan således avgöra om det finns en mening i att införa ytterligare attest över fördefinierade belopp, ansvarsfördelning i fasta data för leverantörer, tydliggöra hanteringen av reservattestanter etc. Augusti 2016 12 av 14

2.5. Kontrollmål 5 Logglistor över förändringar i fasta data hanteras på ett säkert och ändamålsenligt sätt 2.5.1. Iakttagelser Det finns ingen dokumenterad rutin eller riktlinje som beskriver hur arbetet bör ske med logglistor över förändringar i fasta data. Förändringar i fasta data relaterar främst till förändringar i leverantörsmasterdata, personalmasterdata och fasta data för anläggningsregister. har via intervju noterat att det inte görs någon genomgång av förändringar av fasta data för anläggningsregister. Detta innebär det finns en risk för att felaktiga förändringar i exempelvis avskrivningstider inte upptäckas. För löneprocessen finns det automatiska flöden för de flesta förändringar. Personalen rapporterar själva in bankuppgifter till Nordea, varpå inte handhar denna information. Personuppgifter uppdateras från folkbokföringen. Således är den enda kritiska informationen som hanteras i personalmasterdata lönenivå. Loggfunktionen i systemet är aktiverad vilket innebär att en uppföljande kontroll kan implementeras. Eventuella felaktiga förändringar i lönenivå upptäcks i budgetuppföljningsprocessen. För leverantörsmasterdata skickar stadskontoret veckovis ut information till respektive förvaltnings Agressoansvarige över vilka förändringar som gjort i leverantörsmasterdata. Respektive förvaltning har således möjlighet att granska utförda förändringar för att säkerställa att dessa är korrekta. Det görs dock ingen återkoppling till stadskontoret efter utförd kontroll, varpå det inte kan säkerställas att granskningen faktiskt utförts. 2.5.2. Bedömning och rekommendationer Vi bedömer kontrollmålet som delvis uppfyllt. Det finns inte någon dokumenterad rutin eller riktlinje för hantering av logglistor och görs det inga formella granskningar av logglistor relaterade till anläggningsregister och personalmasterdata. Dock är risken kopplad till felaktigheter i fasta data för anläggningsregistret begränsad och budgetuppföljningsprocessen kan ses som en kompletterande kontroll för personalmasterdata. Den uppföljningskontroll som utförs för leverantörsmasterdata är informell och ingen återrapportering sker till stadskontoret, varpå det inte kan säkerställas att kontrollen utförs på ett ändamålsenligt sätt. Vi rekommenderar kommunstyrelsen att tillse att det skapas en dokumenterad rutin för hantering av logglistor över förändringar i fasta data, samt att det säkerställs att denna rutin efterföljs. Rutinen bör med fördel inkludera granskande kontroller för anläggningsregister, personalmasterdata samt leverantörsmasterdata. Augusti 2016 13 av 14

2016-08-16 Uppdragsledare Carl-Magnus Stenehav Projektledare Martin Möllerberg Augusti 2016 14 av 14

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss