GÖTEBORGS UNIVERSITET

Relevanta dokument
Landstinget Blekinge. Revision av PA-system. Göteborg,

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Granskning av löner. Genomförd på uppdrag av revisorerna i Simrishamns kommun Februari Thomas Hallberg Josabeth Alfsdotter

Granskning av lönehanteringen

Lönehanteringen. Trelleborgs kommun. December Anna Eriksson Karin Andersson Henrik Friang

Granskning av lönehanteringen

Lathund för Attesterare Egenrapportering

Granskning av intern kontroll i lönehanteringen

Granskning av den interna kontrollen avseende löner

Lönehanteringen Ängelholms kommun December 2010 Anna Eriksson, revisionskonsult Karin Andersson, revisionskonsult Kenix Vuong, riskhanteringskonsult

Jan Sandvall Dnr B5 284/11. Granskning av löneprocessen

Granskning av intern kontroll i kommunens centrala löneprocess

EGENRAPPORTERING. Vid frågor ring gärna: Birgitta Fröjd Eva Johansson

Revisionsrapport Granskning av lönerutinerna. Härjedalens Kommun

Lathund för Attesterare Egenrapportering

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Intern kontroll i faktura- och lönehantering

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Granskning av den interna kontrollen avseende löner

Audit KPMG AB Antal sidor: 6

Olofströms kommun. Intern kontroll Granskning personalkostnader. Audit KPMG AB 9 mars 2011 Antal sidor: 7

Marks kommun - Granskning av intern kontroll i lönehanteringen

Granskning av generella IT-kontroller för PLSsystemet

Granskning av lönehanteringen

Intern kontroll i faktura- och lönehantering

Byggnadsnämnden bilaga till revisionsrapporten Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Granskning av lönehanteringen

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av arvoden och ersättningar

Revision av den interna kontrollen kring uppbördssystemet REX

Göteborgs Stads bostads AB bilaga till revisionsrapporten Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Intern kontroll i faktura- och lönehantering

Revisionsrapport. Löpande granskning Sammanfattning. Lantmäteriet Gävle Datum Dnr

Granskning av Lönehanteringen

Revisionsrapport. Landstinget i Jönköpings län. Löpande granskning av redovisning och administrativa system. - lönehantering

Revisionsrapport Granskning av lönehantering

Granskning av intern styrning och kontroll vid Statens servicecenter

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Säkerhet och intern kontroll i lönehanteringen

Granskning av lönehantering

Granskning av lönesystem

Svar på revisionsrapport Landstinget Blekinge granskning av löneprocess

Granskning av lönehanteringen

PM efter genomförd löpande granskning

Revisionsrapport Granskning av arvoden till förtroendevalda. Härnösand Kommun

Arvoden och ersättningar till förtroendevalda

Användarmanual Attestering

Palasso egenrapportering.. 3. Kom igång med egenrapportering, så här gör du: 3. Inloggningsuppgifter:.. 3

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Riktlinjer för ansvar och behörigheter i Personec P

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Registeranalys och intern kontroll i löneprocessen

Revisionsrapport. Genomförande av Kvalitetsmätning. Inledning Tullverket Box Stockholm.

Lokal rapportering i Primula

Granskning av intern kontroll avseende betalningsrutiner

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Svar på revisorernas rapport "Granskning av löneprocessen"

Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Nulägesbeskrivning Palasso

Granskning av lönehanteringen. Högsby, Lessebo och Uppvidinge kommuns revisorer

Granskning av intern kontroll i redovisningsprocessen 2013

Granskning av arvoden till förtroendevalda

Granskning av löner och ersättningar inklusive arvoden till förtroendevalda. Regionförbundet i Kalmar län

Rapport Granskning av försörjningsstöd. Krokoms Kommun

Granskning av Försvarshögskolan 2010

Individ. Adress: OBS! Ej www. Länk till BeSched Individ finns på hemsidans startsida Tidrapportering BeSched

Granskning av löner och ersättningar inklusive arvoden till förtroendevalda. Region Gotland

Uppföljning avseende granskning av attestrutiner

GOTLANDS KOMMUN. Uppföljning av granskning av lönerutiner i Personalsystemet IFS. Mats Renborn Viveca Karlsson

Granskning av löner och arvoden

Granskning av intern kontroll i löneprocessen

Granskning av den gemensamma lönenämnden 2012

Rutiner för manuell schemaläggning

December Rapport avseende löpande granskning Uddevalla kommun

Revisionsrapport Lönerutiner Sollefteå kommun Anneth Nyqvist, certifierad kommunal revisor Emelie Värja,

Kronofogdemyndigheten

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Granskning av den interna kontrollen i lönehanteringen. Nynäshamns kommun

Granskning av löneutbetalningar

Kungälvs kommun. Granskning av intern kontroll inom ekonomiprocesser 2018

Granskning av lönehantering

Revisionsrapport. Intern kontroll i ekonomi- och personaladministration samt Redovisning av utlandsinsatser

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Vård- och omsorgsnämnden BSN Norr Byggnadsnämnden Kultur- och fritidsnämnden Kommunstyrelsen. För kännedom: Kommunfullmäktige

Rapport Granskning av försörjningsstöd.

A n v ä n d a r m a n u a l

Revisionsrapport Uppföljning av granskning av kommunens övertidsskuld Lunds kommun

Lysekils kommun. Intern kontroll lönerutiner

Beslutsprotokoll Styrgrupp Samordnad löneadministration vid Göteborgs universitet. Christina Nordberg, Personaldirektör

Till styrelsen vid Göteborgs universitet Christina Wannehag Dnr B 5 30/07

N v. För kdnnedom till: Kommunfullmäktiges presidium, kommundirektören, respektive sektorschef samt ekonomichefen.

Region Skåne Granskning av IT-kontroller

Till: Uddevalla kommun Kommunstyrelsen Uddevalla

Revisionsrapport. Intern styrning och kontroll i upphandlings- och inköpsprocessen. Sammanfattning

Semester (Alfa 5 kap.) samt Personalhandbok A-Ö

SAMMANFATTNING INLEDNING Utgångspunkt Syfte Metod Avgränsning... 5

Granskning av lönekostnader

LATHUND PA-WEBBEN FÖR DIG SOM ÄR ANSTÄLLD. Redigerad

Transkript:

GÖTEBORGS UNIVERSITET Personalavdelningen Christian Wendeldahl, Lönechef PM 20 l 0-05-26 Dm B5 208211 O 1/3 Universitetsstyrelsen Svar på Riksrevisionens revisionsrapport gällande uppföljning av lönerutingranskning vid Göteborgs universitet Som framgår av denna promemoria så har löneenheten vid personalavdelningen redan genomfort forändringar eller planerar forändringar inom en snar framtid utifrån Interrevisionens och Riksrevisionens iakttagelser. Personalavdelningen kommer utöver dessa förändringar att börja med månatliga säkerhetskontroller i Palasso och bland annat lägga in spärrar for övertidstaket. Personalavdelningen kommer också, i samarbete med fakulteterna, att arbeta med att samordna och höja nivån på de löneunderlag som kommer in tilllöneenheten. Universitetets svar utifrån Riksrevisionens iakttagelser: l. Lönehandläggare har behörighet att utföra alla kritiska steg i löneprocessen. Endast två lönehandläggare samt två systemadministratörer har behörighet att exempelvis köra lön och bemyndiga utbetalningar av lön till Nordea. Dessa lönehandläggare och systemadministratörer gör det två och två i förening i syfte att kvalitetssäkra de kritiska momenten i processen. Självklart kan alla lönehandläggare lägga in nya uppgifter i lönesystemet, vilket är en förutsättning för att kunna utfora arbetsuppgifterna och kunna vara backup för varandra vid sjukdom och ledigheter mm, då vi annars blir alldeles för sårbara och ineffektiva i vårt arbete. Man får inte heller glömma att lönesystemet är till får att lönehandläggarna även skall kunna rätta felrapporteringar som har gjorts i egenrapportering av universitetets anställda. Personalavdelningen har infört en rutin for att säkerställa att en lönehandläggare inte lägger in felaktiga uppgifter genom att underlagen kontrolleras aven annan lönehandläggare. På så vis kontrolleras och rättas eventuella felaktigheter innan den månatliga lönekörningen. Personalavdelningen Vasagatan 33, Box 100, SE 405 30 Göteborg 031 786 0000, 031 786 1119 (fax) www.gu.se Styrelsesammanträde 2010-06-10 punkt 8

2/3 2. Lönehandläggare kan administrera egen grunddata samt attestera egna och andras lönehändelser. Personalavdelningen har ändrat på rutinerna och numera kan endast en lönehandläggare och en systernadministratör som har en så kallad "master-behörighet" attestera egna grunddata samt attestera egna och andras lönehändelser. Dessa två medarbetare kommer dessutom att skriva under en skriftlig ansvarsförbindelse med allmänna regler, påföljder och åtgärder vid regelbrott mm. 3. Chefer blir ej automatiskt underrättade när ändringar görs i grunddata, som ändring av lön, samt vid attestering av lönehändelser. Chefer blir inte automatiskt underrättade via vårt personalsystern då det i dagens version av Palasso inte finns den möjligheten. Personalavdelningen har regelbunden kontakt med vår systemleverantör Logica och hoppas att denna ändring införs i en kommande och nyare version av Palasso. I väntan på denna systemutveckling, underrättas alla chefer via en papperskopia när ändringar har gjorts av grunddata och/eller ändring av lön mm som dessutom har attesterats av chefen innan den har skickats in tilllöneenheten. För att säkerställa att en lönehandläggare inte lägger in felaktiga uppgifter kontrolleras alla underlag aven annan lönehandläggare än den som har lagt in uppgifterna i systemet. Dessutom har alla chefer möjlighet att gå in i universitetets datalager och se all sin personal och dess personaluppgifter. 4. Uppgifter för medarbetare med skyddad identitet lagras i klartext och kan ses av samtliga löne- och personalhandläggare. Sedan löneenheten bildades har vi lagt upp medarbetare med skyddad identitet på en egen organisation i universitetets organisationsträd. Till denna organisation har endast en lönehandläggare samt två personer i systerngruppen behörighet att kunna handlägga och lägga upp sådana ärenden. Alla andra med titt- eller handläggarbehörighet rar upp en signal "Du saknar behörighet för denna person" och kan därmed aldrig se några uppgifter kring medarbetare med skyddad identitet. På universitetet fanns ingen medarbetare med skyddad identitet under 2009 och det finns endast en medarbetare under 2010. 5. Rutinerför årlig genomgång av gällande attestkedjor och åtkomstmäjligheter i Palasso är ej genomfärda. Personalavdelningen kommer att distribuera listor två gånger per år som sänds till fakulteterna för genomgång och återkoppling. Avdelningen kommer även att kontrollera om personer med attestbehörighet varit inaktiva de senaste sex månaderna och avsluta dessa. Riktlinjer och arbetsprocesser för att kvalitetssäkra arbetet är under framtagning.

3/3 6. Detfinns inga kontroller av att en medarbetare överstiger 100 % i arbetsomfattning. Personalavdelningen bygger med hjälp av universitetets IT-service en systemfråga där man varje månad före lönekömingen gör en kontroll av arbetsomfattningen på all vår personal. Avdelningen har även vänt sig till vår systemleverantör Logica för att se om det går att bygga in en signal i Palasso som varnar för detta per automatik. Även här arbetar avdelningen med att ta fram riktlinjer och arbetsprocesser för att kvalitetssäkra arbetet. Förslag till beslut Universitetsstyrelsen beslutar att godkänna svaret på Riksrevisionens revisionsrapport angående uppföljning av lönegranskningsrutiner vid Göteborgs universitet Göteborg som ovan ~f5j~: TfPersonaldirektör ristian Wendeldahl Lönechef Bilaga: Riksrevisionens revisionsrapport - Uppföljning av lönerutingranskning vid Göteborgs universitet

ft>1lt!h-~i??yp( I.4anal ~~: ; ;B-n If.: e[ Revisionsrapport k I up /~f1<' ~ RII<SREVISION EN Göteborgs universitet Box 100 405 30 Göteborg Datum Dm 2010-04-20 32-2009-0632 GÖTEBORGS UNIVERSITET ~~/djiz,/~ onr 0 Uppföljning av lönerutinsgranskning vid ( Göteborgs universitet Riksrevisionen har som ett led i den årliga revisionen av Göteborgs universitet (GU) följt upp iakttagelser och rekommendationer från granskningar gjorda av GU:s internrevision under 2007 med avseende på lönerutinen vid myndigheten. Granskningen har genomförts av konsult Ernst & Young på uppdrag av Riksrevisionen. Granskningen har resulterat i iakttagelser som Riksrevisionen vill fästa styrelsens uppmärksamhet på i denna revisionsrapport. Granskningsresultatet framgår mer i detalj av bifogade konsultrapport. Riksrevisionen önskar information senast 2010-06-13 med anledning av våra iakttagelser i denna rapport. Iakttagelser och rekommendationer Granskningen visar att den interna kontrollen i löneprocessen ligger på en nivå som är likvärdig närbesläktade verksamheter. Systemet ger ett visst stöd för den interna kontrollen, exempelvis finns inmatningskontroller och tvingande attestering av lönehändelser. Löneavdelningen har också etablerat ett antal rutiner som används i samband med personaladministration, löneadministration, lönekörningar och utbetalning. Följande specifika iakttagelser anses vara de mest angelägna att åtgärda: Lönehandläggare har behörighet att utföra alla kritiska steg i löneprocessen, dvs. att administrera anställda, ändra grunddata, attestera lönehändelser samt genomföra lönekörning (dock två i förening). Lönehandläggare kan administrera egen grunddata samt attestera egna och andras lönehändelser. Chefer blir ej automatiskt underrättade när ändringar görs i grunddata, som ändring av lön, samt vid attestering av lönehändelse. Riksrevisionen 11490 Stockholm. (Nybrogatan 551 Tel 08-51714000. Fax 08-51714100. www.riksrevisionen.se 1 [ 2 ]

Dnr 32-2009-0632 Uppgifter för personer med skyddad identitet, som adress och telefonnummer, lagras i klartext och kan ses av samtliga löne- och personalhandläggare. Rutiner för årlig genomgång av gällande attestkedjor och åtkomsträttigheter i Palasso är ej införda. Det finns inga kontroller av att en person överstiger 100 % i arbetsomfattning. Riksrevisionen rekommenderar att GU stärker den interna kontrollen i lönerutinen avseende gjorda iakttagelser. Ansvarig revisor Per Flodman har beslutat i detta ärende. Uppdragsledare Irene Lindström har varit föredragande. Per Flodman Irene Lindström Kopia för kännedom: Regeringen 2 [ 2 ]

Riksrevisionen Uppföljning av lönerutinsgranskning, Göteborgs Universitet Göteborg, 2010-02-01 i!j ERNST& YOUNG

1111111111111111111111111111111""'" E!J ERNST& YOUNG Sammanfattning Bakgrund Hösten 2009 fick Ernst & Young i uppdrag av Riksrevisionen att följa upp iakttagelser och rekommendationer från granskningar gjorda av GU:s internrevision under 2007. Granskningen har genomfårts i form av intervjuer och dokumentinläsning. Inom ramen får uppdraget har även en dataanalys genomförts av lönetransaktioner hänfårliga till perioden l januari till 31 oktober 2009. Generella slutsatser Som ett resultat av personaldirektörens beslut 2008 om samordnad löneadministration skapades 2009-09-01 en gemensam löneenhet får hela GU. Löneprocessen sköttes tidigare lokalt av de olika fakulteterna. I den nya organisationen arbetar 21 personer, vilket motsvarar 16,5 heltidstjänster. Denna omorganisation har gjort att en av huvudrekommendationerna från tidigare revisioner, att det fanns oklara ansvarsfårhållanden mellan central och lokal administration, ej längre finns kvar. Vår bedömning är att den interna kontrollen i löneprocessen ligger på en nivå som är likvärdig närbesläktade verksamheter. Systemet ger ett visst stöd får den interna kontrollen, exempelvis finns inmatningskontroller och tvingande attestering av lönehändelser. Löneavdelningen har också etablerat ett antal rutiner som används i samband med personaladministration, löneadministration, lönekörningar och utbetalning. Vi ser dock att det finns fårbättringspotential både gällande systemdesign och manuella rutiner. Iakttagelser Följande specifika iakttagelser anser Ernst & Young vara de mest angelägna att åtgärda. En komplett lista över iakttagelser och rekommendationer finns i kapitel 4. Lönehandläggare har behörighet att utfåra alla kritiska steg i löneprocessen, dvs. att administrera anställda, ändra grunddata, attestera lönehändelser samt genomfåra lönekörning (dock två ifårening). Lönehandläggare kan administrera egen grunddata samt attestera egna och andras lönehändelser. Chefer blir ej automatiskt underrättade när ändringar görs i grunddata, som ändring av lön, samt vid attestering av lönehändelse. Uppgifter får personer med skyddad identitet, som adress och telefonnummer, lagras i klartext och kan ses av samtliga löne- och personalhandläggare. Rutiner får årlig genomgång av gällande attestkedjor och åtkomsträttigheter i Palasso är ej infårda. Det finns inga kontroller av att en person överstiger loo% i arbetsomfattning. 2 av 20

1111111111111111111111111111111'"'''' äj ERNST&YOUNG Innehållsförteckning Innehållsförteckning 3 1 Inledning 4 1.1 Uppdrag 4 1.2 Syfte 4 1.3 Metod 4 1.4 Avgränsningar 5 2 Organisations- och processbeskrivning 6 2.1 Organisation 6 2.2 Löneprocessen 6 3 Analys av kontrollmål 7 3.1 Organisation och ansvar 7 3.2 Inrapportering 7 3.3 Bearbetning 9 3.4 Utbetalning 10 3.5 Administration av lönesystem 11 3.6 Processövergripande kontroller 12 3.7 Resultat av dataanalys 13 4 Iakttagelser och rekommendationer 14 4.1 Atgärdade rekommendationer 14 4.2 Rekommendationer 15 3 av 20

1111111111111111111111111111111""'" älernst&young 1 Inledning 1.1 Uppdrag 1.2 Syfte På uppdrag av Göteborg universitets (GU) internrevision, genomförde Ernst & Young 2007 och 2008 två granskningar av hur löner hanteras av universitetet. Den ena granskningen fokuserade på lönesystemet Palasso, medan den andra fokuserade på sex utvalda kontroller i löneprocessen. Vidare genomfördes dataanalys dels för hela universitetet, och dels för tre utvalda fakulteter. Hösten 2009 fick Ernst & Young i uppdrag av Riksrevisionen att följa upp iakttagelser och rekommendationer från ovan två nämnda granskningar. 1.3 Metod Uppdraget är ett avrop på ramavtalet med dm 38-2008-0904. Avropet har dm 38-2009-1163. Syftet med detta uppdrag är att Följa upp iakttagelser och rekommendationer från internrevisionen granskningar 2007 och 2008. Ge rekommendationer gällande den interna kontrollen i GU:s löneprocess. Genomföra dataanalys av GU:s utbetalda löner under 2009 (fram till granskningsdatum). Uppdraget har genomförts i följande steg: Identifiering av tidigare granskningspunkter (kontrollmål). Informationsinsamling av nuläge. Gapanalys av nuläge mot granskningspunkter. Faktaavstämning Följande personer har intervjuats: Christian Wendeldahl, lönechef Christina Nordberg, personaldirektör Margaretha Palmqvist, lönehandläggare Brittmarie Källström, systemadministratör Katerina Tzova, byrådirektör Ragnar Pascher, systemman 4 av 20

111111111111111111111111111111111"'" i!j ERNST& YOUNG 1.4 Avgränsningar Granskningen har varit inriktad på utbetalning av löner, vilket innebär att exempelvis rutiner kring hantering av resekostnader, traktamenten och sociala avgifter inte har ingått i granskningen. Resultatet av dataanalysen är beroende av den datakvalitet som GU tillhandahållit. Systemfunktioner och beräkningsformler för lönehanteringen och löneberäkningar har inte granskats. Testning av kontroller har ej genomförts. 5 av 20

1111111111111111111111111111111""'" E!J ERNST& YOUNG 2 Organisations- och processbeskrivning 2.1 Organisation Som ett resultat av personaldirektörens beslut 2008 om samordnad löneadministration skapades 2009-09-0 l en gemensam löneenhet för hela ou. I den nya organisationen arbetar 21 personer, vilket motsvarar 16,5 heltidstjänster. Av löneenhetens 21 anställda arbetar tio personer med lönehandläggning och två med pensionshandläggning. Inom enheten finns även fyra s.k. kompetensområden, inom vilka medarbetarna kan specialisera sig: Systemforvaltning och -utveckling, reserapportering, egenrapportering samt blankett- och dokumenthantering. Följande roller finns representerade inom enheten: 2.2 Löneprocessen Lönechef Lönehandläggare Pensionshandläggare Kompetensområdesansvariga Varje månad görs ca 13 000 olika utbetalningar, varav ca 5 500 är månadslöner. Själva lönekörningen går i dagsläget till som följer: Input: Lagrade uppgifter från egenrapportering och lönerapportering från lönehandläggare. En preliminär lönekörning genererar en fel- och signallista, ur vilken lönehandläggarna kontrollerar händelser och korrigerar eventuella fel. Importhändelser (från egenrapportering, lönerapportering från lönehandläggare samt manuell hantering) kontrolleras, och eventuella fel åtgärdas. En skarp lönekörning genererar en ny fel- och signallista samt utbetalningsunderlag. Rimlighetskontroll görs, varefter filer överförs till Agresso, Nordea och SCR Nettolön bemyndigas. Fellista i Agresso bearbetas och rättelser genomförs. Output: Eventuellt korrigeringsbehov, lönespecifikationer, lön insatt på konton, underlag till OU-systemstöd, statistik, kontrolluppgifter samt underlag för inbetalning av diverse avgifter. 6 av 20

1111111111111111111111111111111'''''' E!J ERNST&YOUNG 3 Analys av kontrollmål Analysen nedan är gjord mot de kontrollmål som identifierades i granskningarna 2007 och 2008. Ett fåtal kontrollmål har tillkommit som resultat av den erfarenhet Ernst & Young tillskansat sig sedan tidigare granskningar. 3.1 Organisation och ansvar # 1 2 3 4 Kontrollmål Personaldirektören är processägare och har mandat att styra över lönehanteringsprocessen. Det skall finnas en tydlig ansvarsfördelning mellan fakultetsnivå och central nivå. --- Det görs uppföljning av användandet av egenrapporteringsmodulen på institutionsnivå. Personal har tillräcklig kunskap för att använda egenrapporteringsmodulen. Kontrollbeskrivning Personaldirektören är processägare och har mandat att styra över lönehanteringsprocessen. Fr.o.m. september 2009 har GU infört en central funktion för hantering av löner. 1Löneavdelningen gjorde 2009-03-20 en uppföljning av användandet av egenrapporteringsmodulen. Regelbunden utbildning genomförs där berörda chefer identifierar vilka personer som har behov av utbildning. Utbildningen är ej obligatorisk för nyanställda. utvärdering I Kontrolldesignen kan förbättras. Enligt genomförd utvärdering, se kontrollmål 3, minskar ej utbildningen su pportbehovet. 3.2 Inrapportering # Kontrollmål Kontrollbeskrivning Utvärdering 5 Information som automatiskt förs över I från egenrapportering till bearbetning är fullständig och korrekt. Enbart vissa lönehändelser importeras automatisk till Palasso Lön, medan vissa lönehändelser, exempelvis vissa typer av ledigheter måste importeras manuellt. I samband med överföring av lönehändelser från egenrapporteringen så skapas en lista innehållande samtliga lönehändelser som är nya (kopplade till anställda). De lönehändelser som på listan följs av ett "J" har importerats automatisk, medan de lönehändelser som följs av ett "N" kräver manuell import av lönehandläggare. tillfredställande 7 av 20

11111111111111111111111111111111"'" äl ERNST&YOUNG ** Kontrollmål Kontrollbeskrivning Utvärdering 6 Samtliga lönehändelser Vid införande avegenrapportering har Kontrolldesignen skall vara godkända personalavdelningen skapat attestenheter för kan förbättras. innan de registreras i att kunna söka ut anställda till respektive Det är önskvärt att lönesystemet. attestkedja. attestanten ser mer Då en anställd har rapporterat en information om lönehändelse så skalllönehändelsen gå lönehändelserna igenom attestkedjan för den aktuella typen av direkt i lönehändelse innan denna kan erhålla status attesteringsvyn. 'Godkänd'. En anställd kan ej attestera sina Som det är nu kan egna lönehändelser och en attesterare kan ej attestanten heller förändra en inrapporterad godkänna lönehändelse. Attesteraren kan dock välja att lönehändelser som avslå lönehändelser samt att lämna en semester och övertid kommentar till den anställde. Avslagna utan att kontrollera lönehändelser informeras den anställde om omfattning av dessa. via automatgenererad e-post. Posterna måste ha status "Godkänd" i Attest, för att kunna importeras till Palasso Lön. Attestant måste gå in i vyn"ackumulatorer" för att se exakt omfattning av lönehändelser. 7 All övertid skall vara Allt som rapporterats/ansökts aven godkänd innan de medarbetare måste antingen godkännas eller registreras i avslås av behörig chef. Posterna måste ha lönesystemet. I status "Godkänd" i Attest, för att kunna importeras till Palasso Lön. a Obehöriga skall ej ha Ätkomst till egenrapporteringen styrs aven åtkomst till grupptillhörighet som satts upp i Active ej egenrapporteringen. Directory. Genom en single-sign-on-iösning Felaktiga inloggningar når man sedan egen rapporteringen genom att skall leda till att kontot logga in i GU:s portal. Felaktiga inloggningar i spärras. Portalen leder ej till att kontot spärras. 9 Individer som Chefer kan ej handlägga löner. Chefer kan ej godkänner heller godkänna egna lönehändelser eller lönehändelser kan ej ändra egen grunddata. Kontroll finns styrt handlägga löner. mot personnummer. 10 Fel i indata minimeras Omfattningskontroll finns av att sjukdom och Kontrolldesignen genom att det finns tjänstledighet ej kan registreras under samma kan förbättras inmatningskontroller vid dag. Exempel på rapportering av tid, Anställd kan registrera semester trots att inmatningskontroller exempelvis saldon är/blir negativt. att implementera: underskott/överskott av Det går att registrera ett stort antal timmar rapporterad tid. övertid under ett dygn, vi testade 90 timmar. semester mot Det går att registrera semester under samma semestersaldo, dag som man registrerar tjänstledighet. maxtak på Det går ej att registrera lönehändelse efter anställningens avslutningsdatum. övertidstimmar per dygn samt kollisionskontroll av semester och tjänstledighet. a av 20

I 1 I I IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII""'!!JERNST&YOUNG # Kontrollmål Kontrollbeskrivning Utvärdering 11 Det finns rutiner för att Vid registrering av visstidsanstälida säkerställa att personer registreras alltid ett slutdatum för som har slutat sin anställningen. Då en tillsvidareanställd skall anställning, ej erhåller sluta meddelas detta av dennes institution till lön efter slutdatum. ansvarig lönehandläggare som registrerar ett slutdatum för anställningen. Möjligheten finns att ta ut en bevakningslista från Palasso innehållande anställda vars slutdatum närmar I sig. Skulle det registreras lönehändelser för en person för vilken slutdatum har passerat, signaleras detta i Fel- och signallistan. 12 Övertidsregistrering Formella regler saknas. görs inom rimlig tid. Anställda kan registrera övertid långt tillbaka ej i tiden, vi testade fyra år tillbaka. 3.3 Bearbetning # Kontrollmål Kontrollbeskrivning Utvärdering 13 Inkorrekta Lönehandläggare ansvarar för att kontrollera lönehändelser fel- och signallistan och genomföra eventuella analyseras och rättas åtgärder. Exempel på en signal är nettolöner till innan utbetalning. över en viss nivå eller minussaldo på lagrade semesterdagar. Tanken med fel och signallistan är att lönehandläggarna skall hinna åtgärda fel som lyfts upp i listan innan den slutliga lönekörningen. 14 Kontrall av period görs Då den anställde rapporterar lönehändelser då lönehändelser anges berörd dag. registreras för att säkerställa att lönehändelser registreras i rätt period. 15 Korrekt skattetabell Logica läser in skattetabellerna till Palasso vid Kontrolldesignen tillämpas. årsskiftet. kan förbättras. Det finns inga formella regler för hur Tillämpning av nyanställda som saknar skattebevis skall skattesatser vid hanteras. avsaknad av skattebevis bör vara l samma för alla anställda. 16 Individer som genomför Medarbetare på Löneenheten kan genomföra löneberäkningar beräkningar, attestera lönehändelser och ej godkänner ej genomföra utbetalningar. Dock krävs två i lönehändelser, förening för att verkställa en utbetalning. genomför ej utbetalningar och stämmer ej av löner. 17 Lönehandläggare kan ej Lönehandläggare kan förändra sina egna förändra sina egna löner. ej löner. 9 av 20

11111111111111111111111111111111"'''' E!J ERNST& YOUNG # 18 19 Kontrollmål Obehöriga skall ej ha åtkomst till lönesystemets klientdel. Felaktiga inloggningar skall leda till att kontot spärras. Det finns kontroller på plats för att förhindra icke auktoriserad åtkomst tilllönedata. Kontrollbeskrivning För att komma åt klientdelen krävs konto i Active Directory och Citrix. Efter tio misslyckade inloggningsförsök i Palassos klientdel spärras kontot i en minut. Palasso kontrollerar att användare har behörighet att redigera grunddata. Har I användaren ej behörighet att redigera I grunddata kan användaren ej gå in i aktuella fönster där grunddata redigeras. Personalhandläggare kan se samtliga löner inom GU. Uppgifter, som adress, för personer med skyddad identitet visas i klartext. Utvärdering Konttolldesignen kan förbättras. Personuppgifter för personer med skyddad identitet I bör ej lagras oskyddade i Palasso. 3.4 Utbetalning # Kontrollmål 20 Personalchef eller motsvarande granskar lönelistan innan utbetalning för att säkerställa att utbetalningar är fullständiga och korrekta. 21 Avstämning sker mellan utbetald lön, redovisat belopp i lönesystemet och redovisat belopp i ekonomisystemet. 22 Det finns rutiner för hur bankkontonummer kopplas till individer för att säkerställa att löneutbetalningar sker till rätt individ. 23 Dualitetsprincipen skall tillämpas vid löneutbetalning. 24 Enbart auktoriserade personer kan utföra utbetalningar. 25 Utbetalningsfilen är förändringsskyddad. Kontrollbeskrivning Person som genomför lönekörning genomför en rimlighetsbedömning mot tidigare månads utbetalning. Avstämning av nettolön görs mellan Underlag till bank och Lönelistans sista sida och Utbetalningsunderlag, genom att kontrollera noterad nettolön för de olika listorna. GU behöver, vid utbetalningarna, endast ha kunskap om de anställdas personnummer. Matchning mot respektive anställds bankkontonummer sker av banken. Det finns en blankett som hanterar både nyuppläggning och ändring av utbetalningsform och blanketten skall lämnas direkt till Nordea av den anställde. En person utför och en person bemyndigar utbetalningar. Detta görs med GiroVision (dosa samt kort). En lönehandläggare, en systemadministratör och en byrådirektör kan utföra utbetalningar. För direktutbetalningar läggs utbetalningsfilen i en mapp som krypterar filen automatiskt. För de ordinarie utbetalningsfiler skapas hashsummor (sigill) som kontrolleras av Logica då filerna tas emot. Utvärdering 10 av 20

11111111111111111111111111111111"'" i!j ERNST&YOUNG ** 26 Individer som genomför utbetalningarna godkänner inte lönehändelser eller genomför avstämning av redovisad lön mot utbetald lön. Medarbetare på Löneenheten kan genomföra utbetalningar, attestera lönehändelser samt stämma av redovisad lön med utbetald lön. ej Kontrollmål Kontrollbeskrivning Utvärdering 27 28 Genomgång av utbetald lön genomförs för att upptäcka påhittade lönehändelser. Lönesystemet ger i samband med lönekörning signaler på poster som bör följas upp. Dessa fel och signaler följs upp och rättas till. I Chefer gör ej rimlighetskontroller av utbetald lön. Lönehandläggare ansvarar för att kontrollera fel- och signallistan och att genomföra eventuella åtgärder. Exempel på en signal är nettolöner över en viss nivå eller minussaldo på lagrade semesterdagar. Tanken med fel och signallistan är att lönehandläggarna skall hinna åtgärda fel som lyfts upp i listan innan den slutliga lönekörningen. ej 3.5 Administration av lönesystem ** Kontrollmål 29 För att förhindra felaktig registrering av information avseende anställd i lönesystemet skall uppgifter avseende ny person eller förändring av person vara godkända. 30 För att förhindra felaktig registrering av information avseende anställd i lönesystemet råder en begränsad behörighet att registrera/förändra uppgift avseende anställd. 31 Systemet kräver att personnummer är unika för att förhindra att en person dubbelregistreras. Kontrollbeskrivning Utvärdering Chefen ska alltid attestera ett Kontrolldesignen förordnande som skickas till kan förbättras. löneavdelningen. Om det inte är attesterat I För att förhindra att skickas det tillbaks till chefen för påhittade personer underskrift. När en ny person är inlagd i skapas bör signal gå systemet får chefen en kopia på till chef då nya underlaget som är inskickat. personer läggs till. Det går ingen automatisk signal till chef om när en ny person läggs upp eller redigeras. Endast lönehandläggare kan ändra löner. Det görs dublettkontroll av personnummer. 11 av 20

11111111111111111111111111111111"'''' i!j ERNST&YOUNG # Kontrollmål Kontrollbeskrivning Utvärdering 32 Då granskare/attesterare Blankett för attestbehörighet skall fyllas i byter arbetsuppgifter/slutar enligt upprättad rutin. finns rutiner för att uppdatera attestkedjor. 33 Det finns rutiner för årlig Rutin saknas. genomgång av gällande ej attestkedjor. 34 Det finns rutiner för Blankett för behörighet till Palasso skall tilldelningen samt förändring fyllas i enligt upprättad rutin. av åtkomsträttigheter i lönesystemet. Samtliga tilldelade åtkomsträttigheter skall vara godkända. 35 Det finns rutiner för borttag Blankett för behörighet till Palasso skall av åtkomsträttigheter i I fyllas i enligt upprättad rutin. lönesystemet. 36 Det finns rutiner för årlig Personalavdelningen genomför i genomgång av gällande dagsläget inte någon periodisk ej åtkomsträttigheter i genomgång av behörigheter i Palasso lönesystemet. regelbundet. Genomgång har dock gjorts i samband med omorganisationen. 37 Lösenord bör ändras med Lösenord för egenrapportering ändras ej. regelbundenhet. Lösenord till Palasso ändras en gång per ej år. 3.6 Processövergripande kontroller # Kontrollmål Kontrollbeskrivning Utvärdering 38 Det finns en standardiserad Det finns checklistor att tillgå för checklista för lönekörningar. löneprocessen. 39 Det finns tydliga regler för Regler saknas. hur Palassos analysmodul ej skall användas. 40 Lönehandläggare Regler saknas. kontrollerar varandras ej lönehantering. 41 Det finns en rutin för Avstämning gjordes i samband med avstämning att personer omorganisationen 2009. Rutin är som erhåller sjukpension är framtagen och avstämning skall göras anmälda till SPV årligen. 12 av 20

1111111111111111111111111111111"''''!fl ERNST& YOUNG # Kontrollmål Kontrollbeskrivning Utvärdering 42 Det finns en signallista för kontroll av att anställda med över 100 timmars övertid skall komma med skriftlig anmälan innan 150 timmars överskrids. Regler saknas. ej 43 Det finns rutin för övervakning av långtidssjukskrivna och tjänstledigheter Det finns Rehab-regler där fakulteter rapporterar in sjukskrivningar längre än en vecka. 3.7 Resultat av dataanalys Nedan redovisas resultat av genomförd dataanalys. Analysen har gjorts utifrån data från Palassos databas, som Ernst & Young har erhållit från GU. Analysen har gjorts på länedata under perioden 1januari 2009 till 31 oktober 2009. Uppföljning av potentiella felaktigheter har ej gjorts inom revisionen. Excelark med fullständiga resultat distribueras separat. Granskningsområde Lönearter Större transaktionsbelopp Källskatteavdrag Dubbla poster Övertid Lön från flera avdelningar Personuppgifter Iakttagelse GU använder sig av 287 olika lönearter. 78 av dessa har använts 25 gånger eller färre. Vi har identifierat 28 transaktionsbelopp som är större än SEK 100000. GU har ett källskatteavdrag på 28,3%. Det finns 3062 transaktioner där identiska personnummer, löneart och belopp förekommer mer än en gång. 90 personer har en ackumulerad övertid och mertid som är större eller lika med 100 timmar. Totalt har drygt 30 000 övertids och mertidstimmar betalats ut fram till och med oktober 2009. 223 personer har fått utbetald lön från fler än en avdelning. För en person som fått lön utbetald saknas personuppgifter. 13 av 20

1111111111111111111111111 1111111 "'''' ej ERNST& YOUNG 4 Iakttagelser och rekommendationer 4.1 Åtgärdade rekommendationer Av de rekommendationer som gavs 2007 och 2008 har cirka hälften åtgärdats. Dessa redovisas nedan: # 1. 2. 3. 4. 5. 6. 7. 8. I Rekommendation Vi rekommenderar GU att se över hanteringen av direktutbetalningar. För en god intern kontroll bör två i förening tillämpas för att bemyndiga och bekräfta en utbetalning Följ upp kontrollmiljöns utformning och ansvarsfördelning mellan fakultetsnivå och central nivå. Skapa en standardiserad checklista för löneprocessen, samt hur denna skall arkiveras. Genomför utbildningsinsats för egenrapporteringsmodulen. Följ upp användandet av egenrapporteringsmodulen på institutionsnivå. Personaldirektören bör vara processägare och ha mandat att styra över lönehanteringsprocessen vid institutioner och fakultet. Skapa rutin för övervakning av långtidssjukskrivna och tjänstledigheter. Utbetalningsfil vid direktutbetalningar bör förändringsskyddas. Kommentar Dualitetsprincipen tillämpas vid direktutbetalningar. En centrallöneavdelning som hanterar alla GU:s löner har införts. I Checklista finns för lönekörningar. Kontinuerlig utbildning i egenrapportering genomförs. Uppföljning har genomförts under 2009. Personaldirektör är processägare och styr över löneprocessen. Anställda som varit sjuka mer än en vecka följs upp enligt gällande Rehabregler. Utbetalningsfil vid direktutbetalningar krypteras så fort filen läggs i en specifik mapp. 14 av 20

1111111111111111111111111111111''''''!J ERNST& YOUNG 4.2 Rekommendationer Nedan foljer våra rekommendationer samt ett forslag på prioritering. Rekommendationerna är prioriterade enligt foljande: Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. 1* Iakttagelse och rekommendation Prioritet 1. I Iakttagelse: Lönehandläggare på löneavdelningen har behörighet att administrera anställda, ändra grunddata, attestera lönehändelser samt utföra löneutbetalning (dock tillsammans med annan lönehandläggare). Att en och samma person kan genomföra alla kritiska moment i löneprocessen ökar risken för bedrägerier. I Vi rekommenderar att GU separerar möjligheterna att administrera anställda, ändra grunddata, attestera lönehändelser samt utföra löneutbetalning. 2. Iakttagelse: Lönehandläggare kan ändra sina egna grunddata samt attestera egna lönehändelser. Vi har noterat att chefer ej blir automatiskt underrättade när nyanställda läggs till, när lönehandläggare attesterar lönehändelser samt när ändringar görs i grunddata, exempelvis ändring av lön. Att lönehandläggare kan påverka egen grunddata samt attestera egna lönehändelser ökar risken för bedrägeri. Vi rekommenderar GU att konfigurera systemet så att ingen person kan redigera egen grunddata samt godkänna egna lönehändelser. 3. Iakttagelse: Vi har noterat att uppgifter för personer med skyddad identitet, som adress och telefonnummer, lagras i klartext. Vidare kan samtliga löne- och personalhandläggare se dessa uppgifter. Att flertalet personer kan se personuppgifter för personer med skyddad identitet ökar risken att deras identiteter röjs. Vi rekommenderar GU att utreda om det är möjligt att kryptera personuppgifter för personer med skyddad identitet. Tills frågan är utredd bör hemadress ej lagras i Palasso. Lönespecifikationer kan skickas elektroniskt eller till tjänsteadress. 15 av 20

11111111111111111111111111111111"""!J ERNST&YOUNG # Iakttagelse och rekommendation Prioritet 4. Iakttagelse: Rutiner för årlig genomgång av gällande attestkedjor är ej implementerade. Felaktiga attestkedjor kan leda till att felaktiga och/eller bedrägliga lönehändelser godkänns. Vi rekommenderar att rutiner för årlig genomgång av gällande attestkedjor skapas och genomförs. 5. Iakttagelse: Rutiner för årlig genomgång av gällande åtkomsträttigheter i Palasso är ej implementerade. Vi har noterat att genomgång av rättigheter har gjorts i samband med omorganisationen 2009. Felaktiga åtkomsträttigheter i Palasso kan leda till att obehöriga för tillgång till information och funktioner. Detta kan öka risken för bedrägerier. Vi rekommenderar att rutiner för årlig genomgång av gällande åtkomsträttigheter i Palasso skapas och genomförs. 6. Iakttagelse: En person kan ha flera anställningar. Det finns inga kontroller att en person inte kan överstiga 100% i arbetsomfattning. Genomförd dataanalys visar att 223 personer erhållit skattepliktig lön från två eller fler avdelningar. Avsaknad av anställningsomfattningskontroll ökar risken för att påhittade och/eller utgångna anställningar ej upptäcks. Det bör finnas en kontroll att en person inte kan överstiga ett av GU fastställd värde för arbetsomfattning. I dagsläget finns det en möjlighet att en person byter anställning inom Göteborgs universitet och tilldelas ytterligare en anställning till sitt personnummer. Om inte tidigare ansvarig chef avslutar den tidigare anställningen får personen ersättning från fler än ett område. Vidare bör stickprovskontroll genomföras av de 223 personer som erhållit lön från två eller fler avdelningar. 7. Iakttagelse: Vi har noterat att förvaltningschefer ej genomför formella rimlighetskontroller av utbetald lön varken före eller efter utbetalning. Det saknas regler för hur Palassos analysmodul skall användas. Avsaknad av rimlighetskontroller på förvaltningsnivå ökar risken att felaktiga utbetalningar ej identifieras. Vi rekommenderar GU att undersöka om en rimlighetskontroll kan utföras av förvaltningschefer innan eller efter utbetalning, exempelvis med hjälp av Palassos analysmodul. Medel Medel 16 av 20

1111111111111111111111111111111'"'''' i!j ERNST& YOUNG ** 8. 9. Iakttagelse och rekommendation Iakttagelse: Effektiva kontroller vid inrapporteringen av lönehändelser minimerar fel i lönesystemets indata. Vi har noterat att ett antal av de fel som lönehandläggare blir tvungna att avhjälpa skulle kunna förhindras redan vid registreringen av lönehändelser, exempelvis kontroll av negativt semestersaldo samt kollisionskontroll av semester och tjänstledighet. Bristande inmatningskontroller ökar risken att felaktiga kombinationer av lönehändelser ej identifieras. Vi rekommenderar att GU arbetar för att stärka inmatningskontrollerna. Lönehandläggare på löneavdelningen bör vara delaktiga i detta arbete, då de torde ha god kännedom om de vanligaste felen. Iakttagelse: Dataanalys har genomförts av samtliga lönetransaktioner hänförliga till perioden januari till och med oktober 2009. Vi har identifierat ett antal avvikelser i dataanalysen som kan vara tecken på felaktiga löneutbetalningar. Vi rekommenderar GU att följa upp följande resultat från dataanalysen: Analysera sammanställningen av belopp i beloppsintervall. Är fördelningen rimlig både avseende antal samt summa belopp. Gå igenom listan över lönearter och bedöm rimligheten av lönearter med väsentliga belopp. Bedöm även att lönearterna är rätt klassificerade avseende källskattsunderlag samt källskatteavdrag. Följ upp ett antal större transaktioner mot underlag (avtal). Kontrollera att det inte finns några oväntade personer i listan över höga bruttolöner samt att ersättningarna är rimliga. Följ upp ett antal personer som har höga respektive låga källskatteavdrag. Stäm av mot jämkningsbesked eller annat underlag. Följ upp ett antal transaktioner där anställningsnummer, löneart, period och belopp är identiska. Gå igenom listan över lönearter och bedöm om alla lönearter är nödvändiga. Det finns kanske snarlika lönearter som används mer frekvent. Kontrollera eventuellt felaktiga personnummer. Kontrollera om det förekommer personer som inte lägre är aktiva vid universitetet, med hjälp av listan över bruttolöner till personer som ej är bofasta i Göteborgsområdet. Följ upp ett antal personer med betydande antal utbetalda övertidstimmar/mertid. Följ upp ett antal personer som erhållit ersättning från flera olika avdelningar. Prioritet Medel Medel 17 av 20

11111111111111111111111111111111'''''' ~ ERNST&YOUNG ** Iakttagelse och rekommendation 10. Iakttagelse: Vi har noterat att chefer kan attestera lönehändelser i en attestvy med begränsad information. Exempelvis kan en chef attestera semester utan att veta hur många dagar som begärts. Dagens design av attestvyn ökar risken för att chefer godkänner felaktiga lönehändelser. Vi rekommenderar att attestvyn utökas med information, alternativt att alla lönehändelser skall godkännas i den detaljerade vyn. 11. Iakttagelse: Vi har noterat att det inte finns några tekniska spärrar eller formella regler för hur långt tillbaka i tiden övertid får rapporteras. Avsaknad av regler kring övertid kan leda till icke förutsebara kostnader för Göteborgs universitet. I Vi rekommenderar att GU tar fram regler för hur historisk övertid skall hanteras, samt att GU undersöker om inmatningskontroller kan användas för att stödja reglerna. 12. Iakttagelse: Användare avegenrapporteringen behöver ej byta lösenord. Vidare spärras ej konton efter ett visst antal felaktiga inloggningar. Lösenord till Palasso bytes en gång per år. Ökar risk för att obehöriga får tillgång till egenrapportering samt Palasso. GU att undersöka införa automatisk låsning av konton efter tre till fem misslyckade inloggningsförsök. Vidare bör lösenord bytas med jämna mellanrum. Lösenord till Palasso bör åtminstone bytas en gång per kvartal. 13. Iakttagelse: Vi har noterat att det inte finns några formella regler för hur skattesatsen sätts för anställda som saknar skattebevis. Vid intervju framkom det att olika personer har hanterats på olika sätt. Avsaknad av regler för hur skattesatser sätts för anställda kan leda till att felaktig skatt dras från lön. Vi rekommenderar att GU tar fram regler för hur personer utan skattebevis skall hanteras. Prioritet Låg Låg Låg Låg 18 av 20

11111111111111111111111111111111'''''' S!J ERNST& YOUNG ** 14. 15. 16. Iakttagelse och rekommendation Iakttagelse: Enligt genomförd utvärdering av egenrapporteringsmodulen minskar ej utbildningen supportbehovet. Utbildning är ej obligatorisk för alla anställda. Vi har dock noterat att ny utbildning med ny utformning har påbörjats. Ineffektiv utbildning kan leda till felaktig egenrapportering och supportkostnader kopplade till egenrapporteringsmodulen. Vi rekommenderar GU att undersöka om utbildningens innehåll, utförande och form kan förändras i syfte att minska supportbehovet. Iakttagelse: Vi har noterat att det finns ett initiativ till att låta lönehandläggare kontrollera varandras registreringar. Vid revisionens tidpunkt var detta dock ej fullständigt implementerat. Bristande kontroll av lönehandläggares registreringar kan öka risken för felaktiga registreringar, medvetna som omedvetna. GU bör fortsätta att implementera en rutin där lönehandläggare kontrollerar varandras registreringar, i syfte att säkerställa korrekt information vid registrering av nya/förändrade anställningsuppgifter. Iakttagelse: Det saknas kontroller för att identifiera personer med övertid som närmar sig 150 timmar per år. Personer med en årlig övertid på mer än 150 timmar skall rapportera detta till facket. i enlighet med Alfaavtalet. Genomförd dataanalys visar att 18 personer har jobbat mer än 150 timmar övertid under januari till och med oktober 2009. Kontroll av att skriftlig rapportering till facket gjorts har ej genomförts inom denna revision, Ökar risken att personer som jobbar med än 150 timmars övertid per år ej blir rapporterade till facket, i enlighet med Alfaavtalet. GU bör undersöka om det går att få fram en signallista eller liknande för personer som har jobbat övertid över 100 timmar. Prioritet Låg Låg Låg 19 av 20

Marcus Hansson marcus.hansson@se.ey.com 031-63 63 26 Anna Wibring anna. wibring@se.ey.com 031-636320 i!j ERNST&YOUNG