www.pwc.se Revisionsrapport Granskning av fakturahanteringen Emelie Lönnblad Revisionskonsult
1. Sammanfattning har fått i uppdrag av Trelleborg kommuns revisorer att genomföra en granskning av styrelse och nämnders fakturahantering. Syftet med granskningen har varit att bedöma om styrelsens och nämndernas interna kontroll avseende fakturahantering är ändamålsenlig Utifrån vår granskning av samtliga revisionskriterier bedömer vi att den interna kontrollen avseende styrelse och nämnders fakturahantering är ändamålsenlig. Vår bedömning grundar vi på att genomförd granskning visar att det finns reglemente och goda tillämpningsanvisningar, men att dessa bör uppdateras. Orsaken är bland annat att fakturahanteringssystemet är inaktuellt samt att kommunen numera scannar in sina fakturor. Vid uppdateringen av reglementet, och dess tillämpningsanvisningar, bör kommunstyrelsen upprätta en rutin som anger hur och när kontroller av att behörigheterna i ekonomisystemet är anpassade till respektive medarbetares arbetsuppgifter. Vi anser att de dokumenterade riktlinjerna är ändamålsenliga för att säkerställa att en och samma person inte kan göra inköp, attest och/eller utbetalning. Det centrala kontrollmomentet innebär att det endast är ekonomiavdelningen som kan utföra en utbetalning från bank. Vi har även kunnat identifiera att styrelse och samtliga nämnder har antagit och fastställt en formell attestförteckning för sina medarbetare Våra stickprovskontroller visar att hanteringen av kompletteringar av behörigheter, efter att attestförteckningen antagits fungerar på ett ändamålsenligt sätt. Dock noterade vi avvikelser avseende kommunstyrelsen, men korrigering i attestförteckningen har åtgärdats under granskningen.
Innehållsförteckning 1. Sammanfattning...2 2. Inledning... 1 2.1. Bakgrund... 1 2.2. Revisionsfråga och revisionskriterier... 1 2.3. Metod och avgränsning... 1 3. Utgångspunkter...2 3.1. Oegentligheter inom Gävle kommun...2 3.2. Kommunallagen...2 3.3. Kommunala redovisningslagen...3 4. Granskningsresultat...4 4.1. Övergripande tillämpningsanvisningar finns för hur den interna kontrollen ska skötas...4 4.1.1. Bedömning...5 4.2. Nämnden/styrelsen har fastställt en formell attestförteckning som finns tillgänglig för dess medarbetare....5 4.2.1. Bedömning...5 4.3. Alla systembehörigheter är anpassade till respektive persons aktuella arbetsuppgifter/ansvarsområde...5 4.3.1. Bedömning...6 4.4. Ändamålsenlig arbetsfördelning finns dokumenterad som säkerställer att inköp, attest och/eller utbetalning ej utförs av en och samma person....6 4.4.1. Bedömning...7 5. Sammanfattande bedömning...8
2. Inledning 2.1. Bakgrund Av kommunallagen framgår att kommunens nämnder skall ha kontroll över sin verksamhet. Detta innebär att nämnderna själva ansvarar för att ha en ändamålsenlig styrning så att verksamheten bedrivs på ett effektivt sätt och att det finns säkra rutiner som förhindrar förlust för kommunen och säkerställer att redovisningen är rättvisande. Kommunstyrelsen har ett övergripande ansvar för att den interna kontrollen fungerar. De händelser från bland annat Gävle kommun som figurerat i media har medfört att uppmärksamhet riktats mot kommunernas förebyggande arbete i syfte att begränsa riskerna för att oegentligheter ska uppstå och att förtroendet för kommunerna skadas. Revisorerna har i sin väsentlighet- och riskanalys uppmärksammat detta och beslutat om att granska detta område. 2.2. Revisionsfråga och revisionskriterier Revisionsfråga Är styrelsens och nämndernas interna kontroll avseende fakturahantering ändamålsenlig? Revisionskriterier Övergripande tillämpningsanvisningar finns för hur den interna kontrollen ska skötas. Nämnden/styrelsen har fastställt en formell attestförteckning som finns tillgänglig för dess medarbetare. Alla systembehörigheter är anpassade till respektive persons aktuella arbetsuppgifter/ansvarsområde. Ändamålsenlig arbetsfördelning finns dokumenterad som säkerställer att inköp, attest och/eller utbetalning ej utförs av en och samma person. 2.3. Metod och avgränsning Granskningen har genomförts genom intervju med ekonomichef och leverantörsreskontraansvarig avseende regler och rutiner, samt genomgång av relevant dokumentation. Samtliga förvaltningschefer har tillfrågats avseende deras anpassning av systembehörigheter till respektive persons/medarbetares aktuella ansvarsområde. Därutöver har 10 stickprovskontroller av leverantörsfakturor utförts samt kontroll av systembehörigheter för styrelse och varje nämnd. Granskningen har avsett styrelsen och samtliga nämnder. 1 av 8
3. Utgångspunkter Nedan beskrivs händelsen från Gävle kommun som visade på brister i den interna kontrollen. Den interna kontrollen för kommuner regleras i kommunallagen. Där anges vilket ansvar nämnder och styrelse har för att kontrollera och säkerställa att den interna kontrollen är ändamålsenlig. 3.1. Oegentligheter inom Gävle kommun Det var en kvinna i 50 års åldern, som arbetat inom Gävle kommun i över 20 år som skoladministratör, som under flera års tid förskingrade totalt cirka 20 miljoner av kommunens pengar. Hon utnyttjade sin situation som både kommunalt anställd och sitt uppdrag som kassör i en facklig organisation. Under nära tre år hade hon fört över pengar från kommunen via ett manuellt ekonomisystem till ett transaktionskonto hos fackföreningen. Därifrån hade hon fört över pengar till konton hon själv kontrollerade. Kvinnan tros mot slutet ha plockat ut pengar i princip varje arbetsdag, genomsnittsuttaget var närmare 25 000 kronor. Först när banken slog larm upptäcktes förskingringen. Anledningen till att oegentligheten har kunnat ske är brister inom den interna kontrollen. Bristerna innebär att en och samma person har kunnat hantera både upplägg och ändring av fasta data i leverantörsregistret, samt sammanställa utbetalningsförslag och skicka dem direkt till betalning. Även brister inom budgetprocessen gjorde att det skapades utrymme för de felaktiga utbetalningarna år efter år. Efter utredning av händelsen kunde man slutligen konstatera att det fanns omfattande brister i nämndens interna kontroll rörande kontrollmiljö, riskhantering, kontrollaktiviteter och uppföljning. 3.2. Kommunallagen I kommunallagens sjätte kapitel anges det vilket ansvar styrelse och nämnder har för den kommunala verksamheten. Styrelsen ska enligt kapitlets första paragraf leda och samordna förvaltningen av kommunens angelägenheter och ha uppsikt över övriga nämnders och eventuella gemensamma nämnders verksamhet. Styrelsen ska också ha uppsikt över kommunal verksamhet som bedrivs i företag och sådana kommunalförbund som kommunen är medlem i. Nämnderna ska enligt sjunde paragrafen samma kapitel se till att den interna kontrollen är tillräcklig samt att verksamheten drivs på ett tillfredställande sätt. De ska också se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de föreskrifter som gäller för verksamheten. Revisorernas ansvar, enligt nionde kapitlet kommunallagen, är att pröva om verksamheten sköts på ett ändamålsenligt och från ekonomisk synpunkt 2 av 8
tillfredsställande sätt, om räkenskaperna är rättvisande och att nämndernas interna kontroll är tillräcklig. 3.3. Kommunala redovisningslagen Enligt den kommunala redovisningslagen ska kommuners bokföring vara ordnad så att det ekonomiska utfallet av verksamheten kan jämföras med den budget som fullmäktige har fastställt, att en tillräcklig kontroll av verksamheten kan upprätthållas samt att en tillfredsställande finansstatistisk information kan lämnas. Den ekonomiska redovisningen ska vara ordnad så att det är möjligt att kontrollera fullständigheten i bokföringsposterna och överblicka verksamhetens förlopp, ställning och resultat. I en kommun har kommunstyrelsen ansvaret för att en årsredovisning upprättas. 3 av 8
4. Granskningsresultat 4.1. Övergripande tillämpningsanvisningar finns för hur den interna kontrollen ska skötas. Detta revisionskriterium ska verifiera att anvisningar finns avseende den interna kontrollen för kommunens hantering av fakturor. Vi har tagit del av kommunens Reglemente för kontroll av verifikationer (attestreglemente) med tillämpningsanvisningar. Dokumentet är utgivet och framtaget centralt av ekonomienheten. Det har behandlats i kommunstyrelsen och antogs av kommunfullmäktige 2001-11-19. Reglementet förändrades 2006 då kommunen gick över till elektronisk fakturahantering. Kommunstyrelsen godkände förändringen av reglementet 2006/ 211. Reglementet reglerar hanteringen av kommunens samtliga verifikationer inklusive verifikationer för medel som kommunen ålagts eller åtagit sig att förvalta. För varje paragraf i reglementet finns det tillhörande tillämpningsanvisningar för att tydliggöra hanteringen ytterligare samt hur hanteringen ska möjliggöra att reglementet efterlevs. Enligt reglementet ska varje verifikation kontrolleras avseende prestation, bokföringsunderlag, villkor, bokföringstidpunkt, kontering och beslut. Dessa kontroller ska utföras för att undvika oavsiktliga eller avsiktliga felaktigheter gällande transaktioner som bokförs. Kommunstyrelsen ska enligt reglementets tredje paragraf ansvara för utfärdandet av gemensamma tillämpningsanvisningar samt ansvara för övergripande uppföljning och utvärdering av att reglementet med tillämpningsanvisningar efterlevs. Ekonomikontorets ansvar är att följa upp och utvärdera att tillämpningsanvisningarna följs genom stickprovskontroller. Kommunstyrelsen har enligt reglementet det övergripande ansvaret för uppföljning av anvisningarna men det är upp till varje nämnd att säkerställa att de följs. På förvaltningsnivå är det respektive förvaltningschef som har ansvaret för att de som är kontrollansvariga/attestanter har information om reglerna och anvisningarnas innebörd. Det är den som har benämningen kontrollansvarig/attestant som har i uppgift att tillämpa dessa anvisningar. Det finns beskrivet vilket ansvar varje typ av kontrollansvarig/attestant har så som mottagningsattest, granskningsattest, beslutsattest och behörighetsattest samt vilka kontroller de ska utföra för respektive verifikation. De olika kontrollmomenten ska enligt reglementet utföras av någon med erforderlig kompetens och ha en självständig ställning till den som blir kontrollerad. Den som utför kontrollen får ej kontrollera betalningar till sig själv eller närstående för att undvika jäv. Alla utförda kontroller ska dokumenteras på ett ändamålsenligt sätt. 4 av 8
Reglementet återfinns på s intranät som är tillgängligt för samtliga medarbetare inom kommunen. 4.1.1. Bedömning Vi har noterat att Reglemente för kontroll av verifikationer (attestreglemente) med tillämpningsanvisningar godkändes av kommunfullmäktige år 2001 och reviderades av kommunstyrelsen år 2006. Reglementet hänvisar exempelvis till inaktuellt fakturahanteringssystem samt att kommunens hantering av fakturor har helt gått över till scanning. Vi anser att kommunstyrelsen bör tillse att reglementet uppdateras. Vi bedömer att övergripande tillämpningsanvisningar finns för hur den interna kontrollen ska skötas i form av kommunens Reglemente för kontroll av verifikationer (attestreglemente) med tillämpningsanvisningar. Vi anser att det blir en tydlig reglering eftersom det finns förklarande tillämpningsanvisningar kopplade till reglementets olika paragrafer. 4.2. Nämnden/styrelsen har fastställt en formell attestförteckning som finns tillgänglig för dess medarbetare. Vi har tagit del av attestförteckningar för samtliga nämnder och styrelsen. Alla attestförteckningarna är uppdaterade under år 2013. Vi har kontrollerat protokoll från nämnder och styrelse där attestförteckningen/attestlistan godkänts av nämnd/styrelse och expedierats till ekonomikontoret. En del nämnder har utsett förvaltningschefen till att löpande under året ha mandat att justera attestförteckningen vid behov. Vi har noterat att en del kompletteringar och förändringar har gjorts efter nämndens/styrelsens antagande av attestförteckning/attestlista. Dessa kompletteringar finns samlade hos ekonomiavdelningen som även justerar behörigheterna i ekonomisystemet. 4.2.1. Bedömning Vi har kunnat identifiera att samtliga nämnder och styrelse har antagit och fastställt en formell attestförteckning för dess medarbetare. 4.3. Alla systembehörigheter är anpassade till respektive persons aktuella arbetsuppgifter/ansvarsområde. Enligt Reglemente för kontroll av verifikationer (attestreglemente) med tillämpningsanvisningar är det varje förvaltningsekonom som ska hålla den aktuella attestförteckningen uppdaterad och sedan meddela systemansvarig på det centrala ekonomiavdelningen vilka personer som har beslutsattest inom de olika ansvaren. Vi har fått bekräftat från förvaltningschefer att det finns olika rutiner för hur uppföljning av systembehörigheter sker. Vi har inte tagit del av någon dokumenterad rutin som anger när och hur denna uppföljning ska utföras. Blankett måste fyllas i och undertecknas av närmsta chef och översändas till ekonomiavdelningen för att de ska ändra behörigheter i ekonomisystemet. Vi har 5 av 8
tagit del av dessa blanketter som finns för nyanställning, medarbetare som slutar och för ändrade förhållanden. I antagna attestförteckningar finns det en kolumn där förvaltningen kan ange om det är någon tidigare attestant som ska tas bort. Denna administration sköter ekonomiavdelningen. För att kontrollera att hanteringen av attester är ändamålsenlig har stickprovskontroller utförts på tio leverantörsfakturor per nämnd och styrelse. Kontroller har gjorts om attestbehörigheterna i ekonomisystemet stämmer överens med nämnder/styrelses antagna attestförteckning/attestlista. Stickprovskontrollerna visade på fyra avvikelser varav tre avsåg kommunstyrelsen. Avvikelserna avseende kommunstyrelsen gällde transaktioner inom pensioner och amortering av krediter. Skälet till avvikelserna visade sig vara att ansvarsområdet finans (ex. pensioner, krediter etc.) hade fallit bort vid upprättande av år 2013 attestförteckning. Systembehörigheterna gällande finans stämde överens med den tidigare attestförteckningen från 2012. Den fjärde avvikelsen som avsåg socialnämnden berodde på att en nyanställning skett sedan januari då attestförteckningen antogs. Vi har kunnat ta del av det kompletterande beslutet avseende upplägg av ny användare. 4.3.1. Bedömning Vi anser att det finns en god rutin avseende kontroller av att behörigheterna i ekonomisystemet är anpassade till respektive medarbetares arbetsuppgifter. Vi anser dock att en dokumenterad rutin bör finnas när och hur denna uppföljning ska ske. Kommunstyrelsen bör ta detta i beaktande vid uppdateringen av de övergripande tillämpningsrutinerna. De avvikelser som vi har noterat i våra stickprovskontroller avseende kommunstyrelsen har åtgärdats under granskningen. 4.4. Ändamålsenlig arbetsfördelning finns dokumenterad som säkerställer att inköp, attest och/eller utbetalning ej utförs av en och samma person. I Reglemente för kontroll av verifikationer (attestreglemente) med tillämpningsanvisningar anges det under kontrollernas utformning att dessa ska utformas så att den interna kontrollen inom respektive nämnd är tillräcklig. Det ställs specifika krav på hur utformningen av kontrollrutinerna ska se ut. I kontrollerna ska ansvarsfördelning, kompetens, integritet, jäv, dokumentation och kontrollordning beaktas. När det gäller ansvarsfördelningen står det i reglementet definierat att: Ansvarsfördelningen ska vara tydlig. Ingen person ska ensam hantera en transaktion från början till slut. Ansvarsfördelningen mellan de olika kontrollansvariga/attestanterna finns även beskrivna i reglementet. 6 av 8
Det minimikrav som anges för kontrollåtgärderna är att vid inköp av varor och tjänster ska mottagningsattest i det elektroniska fakturahanteringssystemet utföras av annan än beslutsattestanten. Det vill säga att det måste vara minst två personer som måste godkänna ett inköp för att en verifikation ska gå för utbetalning. Det finns även reglerat hur hanteringen ska ske om fakturor eventuellt skulle komma i form av en pappersfaktura. Enligt uppgift från ekonomiavdelningen utförs samtliga utbetalningar av dem. Förvaltningarna kan själva inte utföra någon utbetalning. 4.4.1. Bedömning Vi anser att de dokumenterade riktlinjerna är ändamålsenliga för att säkerställa att en och samma person inte kan göra inköp, attest och/eller utbetalning. Det centrala kontrollmomentet innebär att det endast är ekonomiavdelningen som kan utföra en utbetalning från bank. 7 av 8
5. Sammanfattande bedömning Är styrelsens och nämndernas interna kontroll avseende fakturahantering ändamålsenlig? Utifrån vår granskning av samtliga revisionskriterier bedömer vi att den interna kontrollen avseende styrelse och nämnders fakturahantering är ändamålsenlig. Vår bedömning grundar vi på att genomförd granskning visar att det finns reglemente och goda tillämpningsanvisningar, men att dessa bör uppdateras. Orsaken är bland annat att fakturahanteringssystemet är inaktuellt samt att kommunen numera scannar in sina fakturor. Vid uppdateringen av reglementet, och dess tillämpningsanvisningar, bör kommunstyrelsen upprätta en rutin som anger hur och när kontroller av att behörigheterna i ekonomisystemet är anpassade till respektive medarbetares arbetsuppgifter. Vi anser att de dokumenterade riktlinjerna är ändamålsenliga för att säkerställa att en och samma person inte kan göra inköp, attest och/eller utbetalning. Det centrala kontrollmomentet innebär att det endast är ekonomiavdelningen som kan utföra en utbetalning från bank. Vi har även kunnat identifiera att styrelse och samtliga nämnder har antagit och fastställt en formell attestförteckning för sina medarbetare 2013-06-11 Emelie Lönnblad Alf Wahlgren Projektledare Uppdragsledare 8 av 8