Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn
Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun
Förstudie av personalsystemet Innehållsförteckning 1 Inledning 1 1.1 Syfte och revisionsfrågor 1 1.2 Avgränsning 1 1.3 Metod 1 2 Iakttagelser 2 3 Revisionell bedömning 4 Kalmar kommun
1 Inledning Kommunens revisorer har gett PwC i uppdrag att göra en förstudie av kommunens personalsystem. Anledningen är påtalanden om svårigheter att få fram relevanta rapporter för kommunens bolag samt vid avstämning av kommunens semesterlöneskuld i samband med granskning av årsredovisning 2010. 1.1 Syfte och revisionsfrågor Syftet med förstudien är att få en uppfattning om kommunens personalsystem och rutinerna kring detta. Kontrollmålen avser att ge svar på: Är roller och ansvar kring systemet tydliggjorda på ett tillfredsställande sätt? Nyttjas systemet i de processer eller aktiviteter som systemet är tänkt att stödja? Har användare ett tillräckligt stöd för effektivt nyttjande? Erhålls korrekt, aktuell information samt erhålls informationen på ett effektivt sätt? Är driftssäkerhet och felfrekvens rimlig och finns bra system att ta hand om eventuella problem för att åtgärda dessa? Finns tillfredsställande uppföljning av kostnader för systemet? Finns tillfredsställande behörighetshantering av systemet (effektiv och säker)? Finns tillfredsställande backuphantering avseende systemets information? 1.2 Avgränsning Förstudien är översiktlig vilket innebär att den ska ge ett underlag för att kunna bedöma om det finns ett behov av ytterligare granskningsinsatser. 1.3 Metod Intervju har genomförts med personalchef och lönesamordnare. Vi har tagit del av kommunens informationssäkerhetspolicy. Kalmar kommun 1 av 5
2 Iakttagelser Är roller och ansvar kring systemet tydliggjorda på ett tillfredsställande sätt? Kommunen har antagit en informationssäkerhetspolicy där roller och ansvar definieras för systemägare, systemförvaltare, användare, IT-enheten med flera. Systemförvaltaren, som snart ska gå i pension, är placerad på personalenheten. Det pågår en kunskapsöverföring till utsedda som ska ta över arbetsuppgifterna. IT-enheten har vid en genomgång klassat personalsystemet som verksamhetskritiskt, vilket innebär att det är prioriterat. Det finns en kontaktperson på IT-enheten för systemet. Personalenheten har gjort en överenskommelse med IT för att rutiner om personalsystemet ska fungera. Det är viktigt att personalenheten tar kontakt i god tid med IT-enheten för att planera kommande uppdateringar och andra förändringar av systemet. För övrigt finns en kontaktperson hos leverantören Aditro samt hos ITföretaget Tieto, som ansvarar för driften av systemet. Nyttjas systemet i de processer eller aktiviteter som systemet är tänkt att stödja? Kommunen använder personalsystemet Personec-P från Aditro. År 2004 infördes självservice med decentraliserad lönerapportering, vilken personalenheten bedömer fungerar bra. Självservice har införts för de flesta personalgrupper inom kommunen, men vissa grupper återstår. För närvarande är det en stor grupp anställda inom LSS-verksamheten som får tillgång till systemet. Sedan står vissa kvarvarande kommunala bolag på tur. Olika fristående leverantörer har specialiserat sig på systemlösningar inom personalområdet. Dessa systemlösningar utgör komplement till personalsystemet och finns till exempel inom områden som rekrytering (Offentliga Jobb), schemaläggning (Time-Care) och LAS-hanteringen. Kommunen har möjlighet att ställa krav på leverantören via ett rikstäckande användarråd, som består av flera nätverk. Har användare ett tillräckligt stöd för effektivt nyttjande? När leverantören genomför en större förändring av systemet håller leverantören informationsträffar runt om i landet. Det sker normalt sett en gång per år. Från Kalmar kommun åker några representanter för att få information om ändringarna. Leverantören tillhandahåller även en manual där ändringarna beskrivs. Användarna ute i verksamheten delges ändringarna via e-post och manualer. Dessutom kallar personalenheten alla personalredogörare, ca 90 st, en gång varje år. Då deltar även representanter från de kommunala bolagen. Alla bolag har en kontaktperson på personalenheten. Kalmar kommun 2 av 5
En gång varje år hålls en kommunövergripande utbildning för nyanställda. Under året får nyanställda instruktioner av löneadministratörerna. Det finns även s.k. smart-ass guider samt kollegor att ta hjälp av. Inom personalenheten sker kunskapsöverföringen till nyanställda genom att de får sitta bredvid en erfaren kollega och sedan utföra uppgifter enligt instruktioner. Utöver specifika instruktioner finns lönehjulet som beskriver arbetsuppgifter som återkommer regelbundet under ett år. Under de senaste åren har personalenheten haft flera pensionsavgångar och personal har även slutat av andra skäl. För att minska sårbarheten ska det inte finnas någon arbetsuppgift som bara utförs av en person på enheten. Arbetsuppgifter har inventerats och numera ska minst två anställda, ibland tre, kunna utföra varje arbetsuppgift. Erhålls korrekt, aktuell information samt erhålls informationen på ett effektivt sätt? För att lön ska betalas ut krävs ett anställningsavtal. Anställningsavtal läggs alltid in i systemet av någon på personalenheten. Systemet har vissa kontroller vid inregistrering som förhindrar att fel val görs. Kontrollerna har skapats av systemförvaltaren och av leverantören. Kontroller att löneutbetalningarna grundas på utfört arbete ansvarar arbetsledare för. Löneadministratörerna och löneassistenter/personalredogörare bevakar uppgifterna och påtalar om något ser felaktigt ut. Det kan gälla frånvaro utan slutdatum, läkarintyg vid sjukdom, vilka anställningar som löper ut, att ledighetsansökan kommer in vid t.ex. föräldraledighet. Löneadministratörerna på personalenheten gör övergripande kontroller innan lön utbetalas. Den anställde har även tillgång till uppgifterna som lönen grundar sig på genom självservice och har möjlighet att själv upptäcka och påtala eventuella felaktigheter. Beräkning av semesterlöneskulden ingår som en punkt i körschemat inför en löneutbetalning. Det genereras en lista som sparas och det ska gå att skriva ut den vid ett senare tillfälle. Systemförvaltaren har skött utskriften och det är oklart varför inte listan fanns tillgänglig vid årsbokslutet 2010. Personalenheten har infört kontroller för att det inte ska hända igen. Bolagen har påtalat att det har varit problem att få tillgång till vissa typer av listor t.ex. när det gäller pensioner. Arbetsuppgiften innehades tills för ett år sedan av en anställd som gick i pension hösten år 2010. Vid pensioneringen gjordes en överenskommelse att den anställde skulle bistå personalenheten vid framtagandet av listorna för att lära upp ny personal. Bearbetningen utförs en gång per år. Bolagen önskar att få en lista som visar nettolön per person och månad. Det är ingen lista som kommunen använder sig av men, personalenheten har försökt tillgodose behovet på olika sätt. Bolag med få anställda har fått lönespecifikationerna för varje anställd. Nyligen har en lista som visar bruttolön, avdrag och nettolön skickats till Kalmar Airport, men personalenheten har vid tiden för intervjun inte hört om den accepteras av bolaget. Kalmar kommun 3 av 5
Är driftssäkerhet och felfrekvens rimlig och finns bra system att ta hand om eventuella problem för att åtgärda dessa? Driftssäkerheten anses vara rimlig eftersom systemet sällan är otillgängligt. Planerad service utförs mellan kl. 10-12 en onsdag i månaden. Det görs två stora versionsbyten per år. Innan Kalmar kommun byter version har testkommuner påtalat de värsta bristerna i den nya versionen. Testkommunerna utgörs av stora kunder som t.ex. Västernorrlands Läns Landsting. Systemet kan upplevas som lite instabilt dagarna efter en uppdatering, men det upplevs inte som störande. Eftersom systemet har klassats som verksamhetskritiskt av IT-enheten får de oftast snabb hjälp förutsatt att det är något som IT-enheten kan åtgärda. Leverantören Aditro har en support dit kommunen kan vända sig om det uppstår problem med systemet. Det tar lång tid innan supporten återkommer med svar på frågor på grund av stor omsättning på personal. Då används istället informella kontakter. Ärenden, som skickats till supporten, dokumenteras så att informationen kan användas om samma eller liknande problem återkommer. I vilken utsträckning sker uppföljning av kostnader för systemet? Kalmar kommun har ett löpande avtal med leverantören av systemet. Avtalet innehåller indexuppräkning av kostnaden för systemet. Finns tillfredsställande behörighetshantering av systemet (effektiv och säker)? All information i personalsystemet är offentlig. Känsliga uppgifter som läkarintyg m.m. arkiveras hos de olika förvaltningarna. Kommunen ska införa ett nytt behörighetssystem där fler funktioner loggas. Systemet är uppbyggt genom att roller ger behörighet och styrs mot läs (endast läsa information) eller skriv (lägga in information). Fyra anställda på personalenheten har arbetat i projektet med ett nytt behörighetssystem. Personalsystemet kräver lösenord, som byts efter 60 dagar enligt kommunens IT-säkerhetspolicy. Finns tillfredsställande backuphantering avseende systemets information? Backuper av personalsystemet hanteras av Tieto i Malmö och körs varje kväll. Maximal dataförlust om servrarna förstörs helt är en dag, annars rör det sig om minuter. 3 Revisionell bedömning Sedan år 2004 har Självservice successivt införts för decentraliserad lönerapportering. För vissa delar av den kommunala verksamheten återstår att få tillgång till systemet. Kalmar kommun 4 av 5
Personalenheten har under de senaste åren haft omsättning av personal på grund av pensionsavgångar. När erfaren personal slutat har det blivit tydligt att vissa arbetsuppgifter endast har utförts av en person. För att göra sig mindre sårbar har enheten aktivt arbetat för att fler än en anställd ska känna till hur en arbetsuppgift ska utföras. Följande frågor kvarstår: Är rollbeskrivningen i IT-säkerhetspolicyn känd på personalenheten? Är systemägare utsedd? Är personalavdelningens arbetsbelastning rimlig i förhållande till tillgänglig personal? Att flera ska kunna utföra en arbetsuppgift är ett effektivt sätt att minska sårbarheten. Hur säkerställs att flera anställda kan utföra en arbetsuppgift? De kommunala företagen har andra krav på rapportering än den förvaltningskommunala verksamheten. Finns det ett formellt forum för dialog mellan personalenheten och de kommunala bolagen? Hur upplever förvaltningarna och de kommunala företagen stödet från personalenheten? Kalmar kommun 5 av 5