www.pwc.se Revisionsrapport Martin Möllerberg Projektledare Anna Thernfrid Projektmedarbetare Granskning av intern kontroll gällande attester för manuella bokföringsordrar, manuella betalningar samt leverantörsfakturor Robin Schönström Projektmedarbetare September/2017
Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Revisionskriterier... 3 1.4. Kontrollmål... 3 1.5. Avgränsning... 3 1.6. Metod... 3 2. Iakttagelser och bedömningar... 4 2.1. Dokumenterade rutiner och riktlinjer för manuella betalningar och bokföringsordrar... 4 2.1.1. Iakttagelser... 4 2.1.2. Bedömning... 6 2.2. Dokumenterade rutiner och riktlinjer för attester... 6 2.2.1. Iakttagelser... 6 2.2.2. Bedömning... 6 2.3. Systemstöd för intern kontroll... 7 2.3.1. Iakttagelser... 7 2.3.2. Bedömning... 7 2.4. Efterlevnad av riktlinjer... 7 2.4.1. Iakttagelser... 7 2.4.2. Bedömning... 8 2.5. Övriga iakttagelser... 8 3. Revisionell bedömning... 9 3.1. Rekommendationer... 9 September 2017 1 av 9
Sammanfattning har på uppdrag av kommunens förtroendevalda revisorer granskat intern kontroll gällande attester för manuella bokföringsordrar, manuella betalningar samt leverantörsfakturor i. Syftet med uppdraget är att bedöma om den interna kontrollen avseende granskade delar i det manuella attestflödet i kommunen är tillräcklig. Uppdraget ingår som en del av revisionsplanen för år 2017. Granskningen har genomförts genom analys av rutinbeskrivningar och intervjuer med berörda tjänstemän. Arbetet med manuella bokföringsordrar, manuella betalningar samt leverantörsfakturor hanteras av ett flertal tjänstemän och verksamhetschefer med avgränsade arbetsuppgifter och ansvar. Vår bedömning avseende intern styrning och kontroll av processer och rutiner inom intern kontroll gällande attester i ekonomisystem, är att den interna kontrollen är delvis tillräcklig. Tillsammans med tidigare gjord granskning av den interna kontrollen avseende intern kontroll och behörigheter i ekonomisystemet, är helhetsbedömningen att det finns förbättringspunkter som kommunen bör jobba med för att stärka den interna kontrollen. De huvudsakliga rekommendationerna till handlar om att säkerställa konsekvent dokumentation, konsekventa attestordningar, gemensamma rutiner för nämnderna avseende intern kontroll samt periodiska genomgångar. Rutiner och riktlinjer finns i huvudsak dokumenterade, men skiljer sig åt beroende på vilken nämnd som har dokumenterat dessa samt hur dessa efterlevs. Vissa kontroller förlitar sig starkt på de attester som finns i system, varav det är viktigt att attestordningen i systemet följs upp och kontrolleras på en periodisk basis för att säkerställa att den är korrekt. Vi anser att, för att nå upp till samma goda interna kontroll i samtliga delar, bör en komplett översyn av nämndernas arbetssätt och styrande dokument genomföras. Kontrollmål Kontrollmål 1 Det finns dokumenterade rutiner och riktlinjer för hantering av manuella betalningar och bokföringsordrar och dessa är ändamålsenliga. Kontrollmål 2 Det finns dokumenterade rutiner och riktlinjer för hantering av attestordningen för manuella betalningar, bokföringar och leverantörsfakturor och dessa är ändamålsenliga. Kontrollmål 3 Det finns ändamålsenliga systemstöd för att säkerställa god intern kontroll. Kontrollmål 4 Uppföljning att befintliga riktlinjer, policys och attester följs. Kommentar Delvis uppfyllt Delvis uppfyllt Delvis uppfyllt Uppfyllt September 2017 2 av 9
1. Inledning 1.1. Bakgrund Alla inköp, manuella bokföringar och manuella betalningar följer en given attestordning. Det finns risk att beslutade riktlinjer och policydokument inte följs i samband med attester. Det är nämnderna som ansvarar för den interna kontrollen inom sitt verksamhetsområde, både till utformning och till utförande. Nämnderna ska således utforma anvisningar för den egna interna kontrollens organisation, utformning och funktion. Kommunstyrelsen har till uppgift att främja den interna kontrollen. Viktigt är att den interna kontrollen utformas utifrån ett för alla nämnder gemensamt synsätt. 1.2. Syfte och Revisionsfråga Är kommunstyrelsens och nämndernas interna kontroll avseende attester tillräcklig? 1.3. Revisionskriterier De kriterier som berörs är: Attester Interna styrdokument och policys Respektive nämnds regelverk 1.4. Kontrollmål Det finns dokumenterade rutiner och riktlinjer för hantering av manuella betalningar och bokföringsordrar och dessa är ändamålsenliga. Det finns dokumenterade rutiner och riktlinjer för hantering av attestordningen för manuella betalningar, bokföringar och leverantörsfakturor och dessa är ändamålsenliga. Det finns ändamålsenliga systemstöd för att säkerställa god intern kontroll. Uppföljning att befintliga riktlinjer, policys och attester följs. 1.5. Avgränsning Granskningen avgränsas till manuella betalningar av leverantörsfakturor samt manuella bokföringsjournaler. 1.6. Metod Granskningen har skett utifrån ett väsentlighets- och riskperspektiv där ett antal kontrollmål väljs ut. Utifrån dessa kontrollmål sker en bedömning av dels befintliga regler och rutiner, dels förvaltningens egna kontrollaktiviteter. Genomförandet har skett i form av intervjuer med redovisningschef, systemansvarig och relevanta personer främst inom ekonomifunktionen. Stickprovskontroller har utförs på ett antal av kommunens egna kontroller där sedan uppföljning och verifiering av eventuella avvikelser skett tillsammans med berörda tjänstemän. Rapportens innehåll har sakgranskats av redovisningschef. September 2017 3 av 9
2. Iakttagelser och bedömningar använder sig av Agresso som ekonomi- och affärssystem samt Stratsys som verksamhetsstyrningssystem. Vidare används Inyett för hantering och kontroll av fakturor genom analys av betalningsfiler. Kommunen har även ett beställningsstöd med godkända leverantörsavtal. En e-handelsplattform finns framtagen där man kan söka fram artiklar som är tillgängliga för inköp samt skapa en rekvisition som sedan attesteras. har en decentraliserad ekonomifunktion där större delen av aktiviteter kopplade till ekonomifunktionen hanteras av respektive nämnd. Det finns totalt 14 nämnder, exklusive krisledningsnämnden och valnämnden. I princip har varje nämnd en egen unik uppsättning i Agresso vilket innebär att de har sin egen reskontra. Stadskontoret har det övergripande ekonomiansvaret. Kommunen jobbar med intern kontroll i form av årliga planer som sätts upp för varje nämnd och baseras på en kommunövergripande risk- och väsentlighetsanalys som görs varje ny mandatperiod. Varje nämnd utarbetar en ny risk- och väsentlighetsanalys varje år, med grund i den kommunövergripande analysen, som ligger till grund för den nämndens intern kontroll mål för året. I dagsläget är de olika nämndernas intern kontroll mål olika men från och med 2018 kommer kommunen jobba för att inkludera kommunövergripande mål för samtliga nämnder som ett tillägg till de specifika kontrollmål som varje nämnd själv tagit fram. 2.1. Dokumenterade rutiner och riktlinjer för manuella betalningar och bokföringsordrar Kontrollmål: Det finns dokumenterade rutiner och riktlinjer för hantering av manuella betalningar och bokföringsordrar och dessa är ändamålsenliga. 2.1.1. Iakttagelser Kommunen har vissa formella processbeskrivningar relaterade till manuella betalningar och bokföringsordrar dokumenterade, som uppdateras kontinuerligt. Dessa baserar sig dock inte på någon formellt antagen risk-och väsentlighetsanalys. Det finns även en policy för intern kontroll som senast uppdaterades under 2016. Manuella bokföringsordrar Bokföringsordrar kan skapas av de som har särskild behörighet i Agresso, vilket företrädesvis är olika ekonomimedarbetare. En manuell bokföringsorder skapas genom att fylla i samtliga obligatoriska uppgifter direkt i systemet eller genom att läsa in förberett underlaget direkt i Agresso. Samma person kan både boka och godkänna den manuella bokföringsordern. Det finns inga systemspärrar eller formella regler kring attest av överordnad chef för bokningar över en viss summa. De flesta manuella bokföringsordrar behandlar felbokade bokföringsordrar som ska ombokas, samt periodiseringar. Underlaget sparas alltid, antingen elektroniskt eller i pärm på respektive förvaltning, men beroende på vad det är för typ av bokning varierar kvaliteten på underlaget. Det har kommunicerats från ekonomiavdelningen på stadskontoret att det finns förbättringspotential gällande kvaliteten på underlagen. September 2017 4 av 9
Manuella utbetalningar Tidigare gick det att göra manuella utbetalningar direkt från Agresso. Denna funktion är sedan något år tillbaka låst i systemet (fortfarande öppen för vissa av bolagen i koncernen) och det går inte längre att utföra några klassiska manuella utbetalningar. Det sker ingen genomgång av ändring av parametrar i Agresso (exempelvis om funktionen för manuella utbetalningar hade öppnats upp). Parametrar kan endast ändras av systemansvariga. Vid unika fall då det behövs göra en utbetalning som inte grundar sig i en faktura, t.ex. återbetalning eller bidrag, skapas en utbetalning via en så kallad e-anordning. Dessa fungerar på samma sätt som om en leverantörsfaktura hade ställts ut och följer det automatiska flödet i Agresso. I det automatiska flödet för leverantörsfakturor matchas fakturan mot leverantörens gironummer och organisationsnummer, fakturan går in i attestflödet och efter slutattest skickas den automatiskt vidare till utbetalningsförslaget som går till plusgirot eller bankgirocentralen för utbetalning. E-anordningar kan skapas av de som särskild behörighet i Agresso, vilket främst är ekonomimedarbetare. Dessa utbetalningar utgör ca 2 % av de totala utbetalningarna. Det finns inga riktlinjer från centralt håll kring beloppsgränser för utbetalningar via e-anordningar utan varje nämnd sätter själva upp om, och hur stor, beloppsgräns de vill ha. De nämnder som har beloppsgränser på plats har dessa implementerade i Agresso som en systemgräns där överordnad chef måste attestera för att komma vidare. Manuella utbetalningar utanför det automatiska flödet: Utbetalningar som saknar IBAN-nummer går utanför det automatiska flödet i Agresso. Dessa sker direkt i internetbanken (Corporate Netbank) efter att relevant underlag mottagits som blivit manuellt signerat av kontroll- och slutattestant. I banken sker sedan en dubbelsignering av utbetalningen, totalt fyra personer har möjlighet att signera i Corporate Netbank. Vissa manuella utbetalningar görs även från kommunens eurokonto i banken, detta följer ovan process för utbetalningar utan IBAN-nummer. Dessa utbetalningar avser oftast EU-projekt. Inackorderingstillägg för barn och elever samt habiliteringsersättning sköts själv av nämnderna. En betalningsfil genereras för samtliga utbetalningar för månaden och baseras på underlag i form av listor över vilka som har rätt till ersättning. Listan godkänns av annan person än den som genererar den samt rimlighetsbedöms mot total summa mot föregående period. Ingen uppföljning görs på centralt håll från stadskontoret för att validera att utbetalningarna är baserade på korrekta underlag. Agresso genererar automatiskt ett betalningsförslag varje dag. Det sker ingen kontroll på informationen i betalningsförslaget då detta anses vara korrekt utifrån tidigare attester. I Corporate Netbank attesteras betalningsförslaget och en rimlighetsbedömning görs och jämförs med Agresso innan godkännande. Betalningar som inte kan utföras av banken, exempelvis på grund av att girot avslutas, åtgärdas av bokhållare ute i förvaltningarna och när fel är åtgärdade triggar systemansvariga att utbetalningen ska vara med i nästa utbetalningsförslag. Ifall bankgiro/plusgiro avslutats mellan inläsning av faktura i ekonomisystemet och utbetalning fångas detta inte förrän utbetalningsförsöket i Corporate Netbank. Efter gjord utbetalningen bokförs summan i Agresso och avstämning mot kassan görs. September 2017 5 av 9
2.1.2. Bedömning Vi bedömer att kontrollmålet är delvis uppfyllt. Det har vid granskningstillfället identifierats att vissa formella processbeskrivningar finns dokumenterade, såsom policy för attest och utbetalningsprocess av leverantörsfaktura, men man saknar exempelvis riktlinjer för hantering av manuella utbetalningar och bokföringsordrar. Det sker heller inte alltid attest på bokföringsordrar och kvalitén på de underlag dessa grundas på är varierande. 2.2. Dokumenterade rutiner och riktlinjer för attester Kontrollmål: Det finns dokumenterade rutiner och riktlinjer för hantering av attestordningen för manuella betalningar, bokföringar och leverantörsfakturor och dessa är ändamålsenliga. 2.2.1. Iakttagelser Under 2011 tog fram en övergripande policy kring attest. Denna gäller för samtliga nämnder i. Utifrån den övergripande policyn har varje nämnd själva skapat en attestordning som används vid attestering hos nämnderna. Det finns enbart inbyggt systemstöd för attestfunktion när det kommer till leverantörsfakturor. För manuella utbetalningar och bokföringsordrar sker detta utanför systemet. Varje nämnd ansvarar själva för att uppsättningen i systemet motsvarar den antagna attestförordningen samt följer den gemensamma attestpolicyn. Vidare ansvarar nämnderna själva för att genomföra periodiska genomgångar av attestuppsättningen i systemet på den periodiska basis som de anser är lämpligt. I nästa version av Agresso kommer det finnas möjlighet till systemstöd för attest av bokföringsordrar. Det är i dagsläget inte bestämt när detta kommer att implementeras. Vid alla utbetalningar är attestflödet alltid bestående av två attester, ett första godkännande och sedan en slutattest (ofta av överordnad chef). Samma person kan finnas i flera olika attestflöden, exempelvis vid specifika projekt. Detta styrs då via referensnummer på fakturan. 2.2.2. Bedömning Vi bedömer att kontrollmålet är delvis uppfyllt. Det har vid granskningstillfället identifierats att det finns en dokumenterad attestpolicy och attestordning. Det finns dock brister då attestanordningen bland annat inte alltid tydligt definierar hur ersättare bör sättas upp i attestflöde samt att det finns frågetecken kring vem som bör attestera vid tillfällen då det är flera kostnadsställen inblandade. Det har inte skett en uppföljning från centralt håll att nämnderna följer den uppsatta attestpolicyn. Bristen på systemstöd för attester leder till att det finns förbättringspotential kring attester av bokföringsordrar då dessa inte alltid kontrolleras vid skapandet (samma person kan både skapa och attestera) eller i efterhand (sker ingen genomgång av underlag, attest eller belopp). Då en stor del av kontrollerna, exempelvis utbetalningar, i förlitar sig på tidigare gjorda attester är det av stor vikt att man kan säkerställa att dessa är korrekta. September 2017 6 av 9
2.3. Systemstöd för intern kontroll Kontrollmål: Det finns ändamålsenliga systemstöd för att säkerställa god intern kontroll. 2.3.1. Iakttagelser Varje år görs en ny intern kontroll plan för varje nämnd samt kommunstyrelsen som rapporteras upp till kommunstyrelsen tillsammans med utfallet, sammanställningen och förbättringspotential från föregående års kontrollmål. Kommunstyrelsen har visat en positiv inställning till att utveckla arbetet med intern kontroll under de senaste åren. Planerna samt utfallet rapporteras i verksamhetsstyrningsprogrammet Stratsys. Från och med 2018 kommer kommunen att jobba med att lägga in övergripande kontrollmål som ska appliceras på samtliga nämnder och finnas med i respektive nämnds kontrollplan. Det finns i nuläget en del brister avseende det underlag som sparas för att visa att kontrollerna är utförda i vissa nämnder. Detta är något man kommer arbeta vidare med under 2017. Det finns även vissa brister i användningen av Stratsys då kontrollbevis inte alltid rapporteras in via verktyget. För uppföljning och kontroll av utbetalningar och leverantörer använder man sig sedan några år tillbaka av Inyett vilket beskrivs fungera bra. 2.3.2. Bedömning Vi bedömer att kontrollmålet är delvis uppfyllt. Det har vid granskningstillfället identifierats att det finns systemstöd i form av verksamhetsstyrningsprogrammet Stratsys, som stöd för arbetet med intern kontroll på nämnderna. Dock finns det en del brister avseende det underlag som sparas för att visa att kontroller är utförda. Det har även påtalats att det finns brister i användningen av Stratsys då vissa nämnder ej rapporterar fullt ut i verktyget när det kommer till att ladda upp dokumentation som styrker att kontrollmålen är uppfyllda. 2.4. Efterlevnad av riktlinjer Kontrollmål: Uppföljning att befintliga riktlinjer, policys och attester följs. 2.4.1. Iakttagelser Varje år genomförs en övergripande och samlad återkoppling avseende alla nämnders intern kontroll planer som en årlig uppföljning som sedan redogörs till kommunfullmäktige. Kvalitetsenheten är ansvarig för att sammanställa utfallet för de olika nämnderna. Kommunstyrelsen kan med stöd av uppsiktsplikten begära fördjupad rapportering av nämnder och bolagsstyrelser, detta sker inte med automatik utan är ett ställningstagande som görs vid aktuella fall. använder sig av verksamhetsstyrningsprogrammet Stratsys för att kunna strukturera och kontinuerligt följa upp vilka åtgärder man arbetar med från de iakttagelser som gjorts av nämndernas interna kontrollarbete. Stratsys används som en samlad plattform för dokumentation, styrning och uppföljning av intern kontroll och detta skall användas av varje nämnd för att kunna rapportera in information och följas upp. September 2017 7 av 9
Det finns dokumenterat i policy dokument för intern kontroll att nämnden/bolagsstyrelsen ska regelbundet följa upp internkontroll planen i sin helhet och, vid behov, fatta beslut om åtgärder. Nämnderna inom kommunstyrelsen, stadskontoret och samhällsbyggnadskontoret, har egna intern kontroll planer som det görs uppföljning på. Uppföljning redovisas, precis som för de övriga nämnderna, till kommunstyrelsen. Överlag går det att konstatera att alla nämnderna i följer de krav på dokumentation som skall upprättas i samband med intern kontroll, samt att uppföljning görs kring iakttagelser med förbättringsåtgärder. Dock finns det olika hög detaljnivå och struktur i den rapportering som sker avseende intern kontroll bland kommunens olika nämnder. Vissa nämnder har utförligare dokumentation och uppföljning, medan andra nämnder har en mer övergripande dokumentation. Ett exempel är Fastighetsnämnden där man identifierat att man saknar väsentliga delar som hur urval av stickprov har gjorts. Ett annat exempel kan vara hos det kommunala bolaget Halmstads Stadsnät AB där man inte beskrivet hur man kommit fram till resultatet vid testning av den interna kontrollen. 2.4.2. Bedömning Vi bedömer att kontrollmålet är uppfyllt. Det har vid granskningstillfället framkommit att arbetar och dokumenterar sin uppföljning av resultatet för intern kontroll. Dock finns det förbättringspotential gällande dokumentationen framöver då det framkommit att det saknas en konsekvent dokumentationsnivå bland de olika nämnderna. 2.5. Övriga iakttagelser Manuella utbetalningar kan även göras direkt från Heroma, Procapita och Ica Banken. Ingen granskning har skett av dessa system då de ligger utanför scoopet för denna granskning. Vid upplägg av ny leverantör görs en kontroll via en mall att leverantören är grön. Dock krävs det ingen attest vid upplägg av leverantören. Varje vecka genereras en lista över samtliga förändringar som gås igenom av ekonomiansvarig på varje nämnd samt redovisningsansvarig. Det sker ingen dokumentation över denna genomgång. September 2017 8 av 9
3. Revisionell bedömning Vår bedömning avseende intern styrning och kontroll av processer och rutiner inom intern kontroll gällande attester i ekonomisystem, är att den interna kontrollen är delvis tillräcklig. 3.1. Rekommendationer Vi rekommenderar att: Överenskomna rutiner dokumenteras och anpassas till förutsättningar i de olika förvaltningarna i. Med utgångspunkt av iakttagna avvikelser rekommenderar vi att en genomgång görs av rutiner som behöver förtydligas samt att komplettera med de rutiner som saknas. Styrelsen och nämnderna utformar rutiner och hantering för att säkerställa en kontinuerlig kontroll av att den interna kontrollen avseende attester är tillräcklig. Utgångspunkt kan vara vilka risker som finns avseende attester vid manuella utbetalningar och bokföringsordrar. Se över möjligheterna att införa en kompenserade kontroll gällande manuella bokföringsordrar för att minska risken för felaktiga bokningar. Att kommunen inventerar och implementerar en konsekvent och gemensam nivå av dokumentation samt struktur i samband med intern kontroll hos nämnderna samt att alla nämnder använder Stratsys fullt ut för verksamhetsstyrning och uppföljning. Detta för att kunna effektivisera uppföljningsarbetet av resultatet från intern kontroll samt kunna möjliggöra kunskapsutbyten mellan nämnderna avseende åtgärder vid liknande iakttagelser. 2017-09-11 Carl-Magnus Stenehav Uppdragsledare Martin Möllerberg Projektledare September 2017 9 av 9