Granskning av intern kntrll avseende attestering av leverantörsfakturr Jönköping kmmun Februari 2017 Pernilla Rehnberg ch Kristina Engelke
Innehåll Sammanfattning 1 1. Inledning 2 2. Granskningsresultat 3
Sammanfattning Uppdrag ch bakgrund Delitte AB har av de förtrendevalda revisrerna i Jönköpings kmmun fått uppdraget att granska intern kntrll avseende attestering av leverantörsfakturr i Jönköpings kmmun. Revisinsfråga Har kmmunstyrelsen en tillfredsställande intern kntrll avseende attestering av leverantörsfakturr? Revisinskriterier Kmmunens rutinbeskrivningar. Svar på revisinsfråga Kmmunstyrelsen har en gd intern kntrll avseende attestering av leverantörsfakturr. Rekmmendatiner Vi rekmmenderar kmmunstyrelsen att: Vi rekmmenderar att dkumenterade plicy på övergripande nivå sammanställs. Detta säkerställer att prcessen är enhetlig i hela kmmunen ch att eventuella brister i rutinen kan identifieras. Införa kntrller för att säkerställa att endast certifierade beställare har möjlighet att lägga beställningar. Faktura stäms av mt beställning ch följesedel i samband med attestering ch dkumentering. Det alltid är två persner sm utanrdnar utbetalningarna. Jönköping den 17 februari 2017 DELOITTE AB Iakttagelser Det finns ingen centralt framtagen rutinbeskrivning för hela inköpsprcessen. Endast rutinbeskrivning avseende attestering av leverantörsfakturan har tagits fram centralt. Endast certifierade inköpare ska kunna genmföra en beställning från leverantörer. Vi har nterat att det inte finns någn kntrll m säkerställer att detta följs. Samtliga mttagningsattestanter dkumenterar inte avstämning av faktura mt följesedel ch beställning. Utbetalningar från bankgirt kräver inte två persner i förening. Pernilla Rehnberg Kristina Engelke 1
1. Inledning 1.1 Bakgrund Jönköping kmmun gör varje år ca 240 000 betalningar av leverantörsfakturr ch utbetalningsunderlag. Det bör finnas ett system sm säkerställer att endast fakturr med rörelsetillhörighet betalas. Systemet bör även säkerställa att leveranserna är beställda ch att pris ch kvantitet är krret samt att krrekt mms är avdragen. Om det inte finns tillfredställande rutiner finns istället en ökad risk för att felaktigt utställda fakturr, seriösa leverantörer eller felaktiga betalningar hanteras utan upptäckt. 1.2 Syfte ch avgränsning Syftet med granskningen är att bedöma kvaliteten på den interna kntrllen vad avser hanteringen av leverantörsfakturr ch betalningsrutiner. Urvalet har begränsats till de väsentliga prcesserna. 1.3 Revisinsfråga Har kmmunstyrelsen en tillfredsställande intern kntrll avseende attestering av leverantörsfakturr? 1.4 Underliggande frågeställningar Finns det rutinbeskrivningar upprättade för attestering av leverantörsfakturr? Följer kmmunen dessa rutinbeskrivningar? Är kmmunens rutiner tillfredsställande ur ett internkntrllperspektiv? 1.5 Revisinskriterier Granskningens revisinskriterier är kmmunens rutinbeskrivningar för intern kntrll. 1.6 Metd ch granskningsinriktning Granskningen kmmer att genmföras genm att befintliga rutiner jämförs med de skriftliga rutiner sm kmmunen har fastställt. Rutinerna kmmer att testas dels genm intervjuer med berörda ch dels genm kntrll av betalningar sm genmförts. Testerna kmmer att göras med hjälp av representativa stickprv. 1.7 Kvalitetssäkring Rapprten har kvalitetsgranskats genm Delittes interna kvalitetssäkringssystem samt genm faktakntrll av intervjuade tjänstemän. 2
2. Granskningsresultat Utifrån genmförda intervjuer ch dkumentstudier presenteras i följande kapitel resultatet av genmförd granskning. för hela inköpsprcessen men det finns framtagna rutinbeskrivningar för vissa av de lika mmenten. Organisatinen Jönköpings kmmun följer nedan rganisatinsstruktur. Det är tre tjänstemän sm arbetar på stadskntrets eknmiavdelning. De arbetar främst med avvikelser, uppföljning, betalning ch uppläggning av ny leverantör. Respektive förvaltning ansvarar för att beställa de varr/tjänster sm behövs, ta emt beställningarna ch attestera leverantörsfakturrna. Ingen rutinbeskrivning finns framtagen i dagsläget Allmän beskrivning av inköpsprcessen Respektive enhet identifierar ett inköpsbehv ch genmför därefter en beställning. Inm varje enhet finns utbildade certifierade beställare för att säkerställa att inköpet görs så kstnadseffektivt sm möjligt samt följer de avtal sm finns. I dagsläget finns ingen kntrll över att detta efterlevs vilket innebär att samtliga inm rganisatinen kan göra beställningar. Ett prjekt är påbörjat för att inför ett e-system för inköp vilket kmmer underlätta kntrllen av beställningar. Attesteringsansvarig på respektive enheten ansvarar för att beställaren stämmer av följesedel mt rder vid leverans, dkumentatin av avstämning sparas lkalt på respektive enhet. Eknmiavdelning på stadskntret Förvaltning 1 Förvaltning 2 Förvaltning 3 Inkmmande fakturr fördelas ut per enhet ifall leverantören är känd sedan tidigare ch referens finns. Endast felaktiga fakturr behandlas centralt, ca 8 %. Är leverantören inte känd sedan tidigare så hamnar fakturan på en fellista i leverantörsreskntramdulen i eknmisystemet. Nya leverantörer kntrlleras av två persner, en sm lägger upp ch en annan sm gör bakgrundskntrll. Fakturan mttagsattesteras på enheten ch därefter går fakturan vidare i attestledet för granskningsattest där bkning görs. Slutligen slutattesteras fakturan genm så kallad beslutsattest. Beslutsattestant ansvarar även för mttagnings- eller granskningsattest m en av dessa inte är gjrda innan beslutattestanten signar av. 3
Varje dag går tjänstemännen på leverantörsfakturaavdelningen på stadskntret igenm leverantörsreskntra för att få fram det sm ska gå för utbetalning nästkmmande vardag. En elektrnisk fil skickas till Bankgirt samtidigt sm en kpia skickas till Inyett AB. Inyett AB är ett företag sm tillhanda håller en tjänst sm går igenm betalfilen med samtliga fakturr. De säkerställer att inga betalningar görs till blufföretag, att risk för dubbelbetalningar minimeras ch varnar även för m belppet till en leverantör avviker mycket från tidigare betalningar till den leverantören. Skulle någt av vanstående inträffa så får tjänstemännen på leverantörsfakturaavdelningen på stadskntret ett mail inm någn minut ch de hinner då stppa betalningen innan den genmförs. Efter utbetalning stämmer kanslisten på stadskntret av, på ttalnivå, att det sm gått för utbetalning överensstämmer med vad sm har dragits på bankkntt. Flödesschema Delitte har efter utförda intervjuer tagit fram ett flödesschema för att beskriva hur prcessen ser ut. 2. Rätt att utföra beställning 3. Attestering av faktura 4. Betalning av fakturan Betalning genmförs Identifiera ett behv Beställning Varr/tjänst levereras Faktura erhålls Faktura skickas för attest Betalningsfil skapas Fil skickas till Inyett AB Leverantörsregister Ny leverantör 1. Tillgång till leverantörsregistret 4
Kmmunens fakturahantering Jönköpings kmmun erhåller ttalt ca 260 000 fakturr per år. Hur många fakturr sm respektive leverantör skickar varierar vilket framgår av tabellen nedan. Överst i tabellen framgår det att 32 leverantörer har skickat mer än 1 000 fakturr var under periden januari-ktber. Det mtsvarar i snitt 2 947 fakturr per leverantör ch innebär att kmmunen erhåller ca 12 fakturr per dag ch leverantör. Det kräver tid ch innebär större arbetsbelastning för de sm är attestanter på dessa fakturr. Kategri Antal leverantörer Summerat belpp Antal fakturr per kategri % av antal lev. > 1000 32 507954268 94312 0,7% 501 till 1000 18 203622843 12955 0,4% 101 till 500 146 509721037 32078 3,0% 21 till 100 428 855786798 18703 8,8% 11 till 20 360 459059425 5247 7,4% 2 till 10 1962 442024767 8600 40,4% 1 st 1906 50392605 1906 39,3% Summa 4852 3028561742 173801 100,0% Vi har vid genmgång av leverantörsregistret sett att 93,5 % av fakturrna har betalats i tid medan 5,7 % av fakturrna hade förfallit mer mellan 1-20 dagar innan de betalades. Antal dagar över Antal fakturr Ttalbelpp förfalldag < 0 dagar 207965 709840708 1 ch 5 5688 138121463 6 ch 10 4225 74415180 10 ch 20 2904 87843797 21 ch 30 680 16293625 31 ch 90 dagar 752 18619689 > 90 91 2155442 Summa 222305 4047289904 Att fakturr förfaller innan betalningsdagen berr främst på att de har fastnat i attestflödet. Fakturr sm har förfallit följer leverantörsfakturaavdelningen upp ch skickar fråga till ansvarig för att ta reda på varför attestering inte har utförts. Den sm ansvarar för fakturan kan i systemet skriva en kmmentar till varför de inte attesterar den t.ex. m det är någn tvist sm pågår med leverantörer eller liknande. 5
Finns det rutinbeskrivningar upprättade för attestering av leverantörsfakturr? En rutinbeskrivning över inköpsprcessen bör innehålla riktlinjer för hela prcessen, från att ett behv har identifierats till att leverantörsfakturan har blivit betald. Av rutinbeskrivningen bör det även framgå vilka kntrller sm finns för att upprätthålla rutinerna. Delar sm inköpsrutinen bör innefatta är: Beställning av varr/tjänster Vem har rätt att beställa. Vilka ramavtal finns. I vilka fall får en direktupphandling göras. Finns det lika belppsgränser vid beställning baserat på tjänst. Mttagning av vara Fakturahantering Utbetalningar Matcha följesedel med beställningsunderlaget. Stämmer erhållen vara/tjänst med beställningen. Vem har rätt att attestera fakturan. Bkning av faktura. Vem har rätt att utföra betalning. Bkning av betalning. Leverantörsregister Vem kan lägga upp ny leverantör. Vem kan ändra uppgifter i leverantörsregistret. Det finns ingen övergripande rutinbeskrivning för hela inköpsprcessen i Jönköpings kmmun. På kmmunens intranät finns dkument sm tydliggör när direkt upphandling får göras. Det finns även en bild över vägledning vid inköp. Det finns även ett dkument med namnet Attestregler ch kntrllrutiner, sm Delitte tagit del av. För samtliga attestanter gäller att de ska vara anställda eller förtrendevalda i Jönköpings kmmun. Endast i undantagsfall kan nämnden besluta m att någn utmstående kan attestera. Fyra typer av attester finns, attestmmenten beskrivs på följande vis i kmmunens rutinbeskrivning: Mttagningsattest Innebär att varan eller tjänsten är mttagen ch att kvantiteten ch kvaliteten överensstämmer med vad sm är avtalat. Mttaningsattest kan ske på en följesedel sm i så fall bifgas med fakturan. Granskningsattest Innebär en kntrll mt beställning, ramavtal eller taxr inklusive kntrll av pris, betalningsvillkr ch andra uträkningar. Vid bidragsutbetalning innebär granskningsattest kntrll av bidragsansökan samt mt bidragsregler. Beslutsattest Sker i nrmalfallet av den sm har budgetansvar. Beslutsattesten innefattar även ansvar för kntering, kntrll av att övriga frmella beslut sm krävs är fattade samt kntrll av att transaktinen ryms inm beslutad burget/tilldelade resurser. 6
Behörighetsattest Är en kntrll mt attestförteckning. I det elektrniska attestflödet är behörighetsattesten inbyggd ch kntrllerar behörighet ch attestbelpp. Vid manuella betalningar görs kntrll av signatur, kntering, belpp ch attestförteckning. Av rutinbeskrivningen framgår att kntrllrutinerna ska vara ett stöd i den internkntrllen. Kntrllåtgärden ska vara anpassad till transaktinens art så att den står i rimliga prprtiner till risken. Nedanstående punkter ska beaktas: Ansvarsfördelning Huvudregeln är att ingen persn ensam ska hantera en transaktin från början till slut ch den ska minst vara attesterad av två persner utöver behörighetsattestanten. Kmpetens Varje attestant ska ha erfrderlig insikt ch kunskap m attest ch rutiner. Integritet Innebär att den sm utför kntrller ska ha självständig ställning gentemt den kntrllerade. Jäv Innebär att man attesterar någt sm berör en själv persnligen. Detta är inte tillåtet, du får aldrig attestera kstnader eller intäkter sm berör dig persnligen, eller sm har nära anknytning till dig persnligen. Ansvarsfördelning Kntrllrutiner Kmpetens Integritet Jäv Dkumentatin Kntrllrdning Dkumentatin av attest sker. Kntrllrdning I IT-baserade system är minikravet att beslutsattestanten har gdkänt betalningsunderlaget med dess slutgiltiga innehåll. I pappersbaserade rutiner ska mttagningsattest samt granskningsattest utföras före beslutsattest, efter det skall behörighetsattest utföras. 7
Iakttagelser ch rekmmendatiner I samband med vår granskning har vi nterat att det inte finns någn rutinbeskrivning för hela inköpsprcessen. Vi har fått ta del av rutinbeskrivning rörande attestering av leverantörsfakturr. Följer kmmunen dessa rutinbeskrivningar? För att kunna svara på denna fråga har vi tagit fram fyra stycken nyckelkntrller sm vi har granskat. För att se vilka delar respektive kntrll tillhör var vänlig ch se flödesschema på sidan 4. Kntrllerna är: 1. Tillgång till leverantörsregistret 2. Rätt att utföra beställning 3. Attestering av faktura 4. Betalning av faktura. Tillgång till leverantörsregistret Det är tre tjänstemän sm jbbar med leverantörsfakturr på stadskntrets eknmiavdelning sm har behörighet att göra ändringar i leverantörsregistret. När faktura från en ny leverantör erhålls så hamnar den på en fellista i leverantörsreskntramdulen i eknmisystemet. Två av tjänstemännen på leverantörsfakturaavdelning har sm ansvar att hantera dessa. En lägger upp den nya leverantören medan den andra utför bakgrundskntrll av leverantören via t.ex. bankgircentralen ch Inyett. När bakgrundskntrllen är genmförd gdkänns uppläggningen. Vid ändringar av uppgifter i leverantörsregistret t.ex. ändring av bankgirnummer, adress m.m. ansvarar tjänstemännen på leverantörsfaktura avdelningen för detta. Det är bara de sm har de behörigheterna i systemet. Även ändringar av masterdata krävs att en lägger upp ch en annan gdkänner. Iakttagelser Kntrllen kring ändring av uppgifter i leverantörsregistret samt uppläggning av ny leverantör bedöms tillförlitlig. Det krävs två persner för att genmföra en ändring eller lägga upp ny leverantör vilket minimerar risken för egentligheter. Rätt att utföra beställning Under 2015 påbörjades ett prjekt med att utbilda certifierade beställare inm hela kmmunen. Utbildningen inriktade sig på att ge beställarna infrmatin m Lagen m ffentlig upphandling (LOU) samt hur viktigt det är att följa de ramavtal sm finns. Utbildning avslutades med ett test ch de sm klarar det får ett intyg på att de är certifierade beställare. För att få göra ett avrp mt ramavtal krävs det att persnen har en ställningsfullmakt. Denna fullmakt får respektive persn genm att bli certifierad beställare. Fullmakten är inget sm måste visas upp i samband med beställning utan är bara för att internt kunna påvisa vem sm har rätt att utföra beställningar. Under hösten 2016 utsågs en prjektledare sm ska ansvara för att ta fram ett elektrniskt beställningssystem. Detta kmmer att ytterligare säkerställa att bara certifierade beställare kan göra beställningar. Iakttagelser ch rekmmendatiner Eftersm leverantörerna inte vet vilka sm är certifierade beställare kan även persner sm inte har gått utbildningen göra beställningar. Det finns risk att de sm utför beställningar inte följer de ramavtal sm kmmunen har. Vid avsteg från ramavtalen så uppmärksammas detta först när faktura erhålls. Enligt tjänstemännen på leverantörsfaktura avdelningen så släpps dessa fakturr igenm ch persnen i fråga får endast en tillsägelse. 8
I denna kntrll ser vi den största risken i hanteringen av leverantörsfakturr. Detta då beställning kan göras av samtliga inm kmmunen ch felet upptäcks först när beställning erhålls alternativt när faktura erhålls. Vi rekmmenderar att rutinerna ses över ch att åtgärder vid tas för att säkerställa att endast certifierade beställare kan göra beställningar. Attestering av faktura Vi har på stickprvsbasis granskat 40 stycken fakturr för att granska attesteringen av leverantörsfakturr i kmmunen. 1) Mttagningsattest/granskningsattest I vår granskning kan vi se att en del av den granskning ch avstämning sm görs vid mttagningen av en faktura inte dkumenteras. Rutinen för attestering skiljer sig mellan de lika enheterna. Det sm är gemensamt för nästan alla sm ingått i vårt stickprv är att mttagen faktura stäms av mt avtal/beställning, antingen genm faktisk avstämning mt dkument eller genm samtal med den sm lagt beställningen. Det finns ett litet antal sm inte stämmer av mt varken följesedel eller rder. De bedömer att de har tillräckligt gd kmmunikatin med beställaren sm hade meddelat m det uppkmmit avvikelser mellan beställning ch vad sm levererats. Detta uppkmmer främst vid mttagning av fakturr sm är återkmmande ch rutinmässiga. 2) Beslutsattest Den sm beslutsattesterar kntrllerar även att knteringen blir rätt. Vi har i vår granskning sett att detta fungerar ch att bkföring av kstnaden hamnar på rätt knt. Vi har däremt inte kunnat följa upp på vilket sätt beslutsattestanten säkerställer att kstnaden ryms inm budgeten sett till ttala kstnader under året. Iakttagelser ch rekmmendatiner Vi bedömer att det kan uppstå en risk i ch med att samtliga mttagningsattestanter inte alltid dkumenterar gjrd granskning. Vi rekmmenderar att faktura stäms av mt beställning ch följesedel i samband med attestering ch att detta dkumenteras. Betalning av faktura En av tjänstemännen på leverantörsfakturaavdelningen går dagligen igenm leverantörsreskntran för att se vilka färdigattesterade fakturr sm förfaller nästkmmande vardag. De fakturr sm ska betalas markeras ch en betalfil skapas. Betalfilen skickas elektrniskt till banken samt till Inyett. Gdkännande av betalningar görs av en persn när det gäller bankgir ch två persner när det gäller plusgir. Efter betalningen har genmförts kntrllerar kanslist i kassan att utbetalt belpp på ttalnivå stämmer överens mellan betalfil ch dragning från bankkntt. Iakttagelser ch rekmmendatiner Vi bedömer att hanteringen kring betalning av faktura är gd. Användningen av Inyetts tjänster gör att säkerheten kring betalning stärks ytterligare då de får avvikelse mail vid risk för dubbelbetalning eller betalning till blufföretag. Vi rekmmenderar att det alltid är två persner sm utanrdnar utbetalningarna. Även m fakturan har passerat igenm gällande attestrdning är det ytterligare en kntrll att använda sig av dubbelattestering. 9
Abut Delitte Delitte refers t ne r mre f Delitte Tuche Thmatsu Limited, a UK private cmpany limited by guarantee ( DTTL ), its netwrk f member firms, and their related entities. DTTL and each f its member firms are legally separate and independent entities. DTTL (als referred t as Delitte Glbal ) des nt prvide services t clients. Please see www.delitte.cm/abut fr a mre detailed descriptin f DTTL and its member firms. Delitte prvides audit, cnsulting, financial advisry, risk management, tax and related services t public and private clients spanning multiple industries. Delitte serves fur ut f five Frtune Glbal 500 cmpanies thrugh a glbally cnnected netwrk f member firms in mre than 150 cuntries bringing wrld-class capabilities, insights, and high-quality service t address clients mst cmplex business challenges. T learn mre abut hw Delitte s apprximately 225,000 prfessinals make an impact that matters, please cnnect with us n Facebk, LinkedIn, r Twitter. Our advice is prepared slely fr the use f the client. Yu may nt disclse it r its cntents t any ther persn withut ur prir written cnsent. N ther persn may rely n the advice and we accept n respnsibility t any ther persn. 10 2016 Delitte AB