Registrering av ny leverantör 4
6.1 Förändringar i leverantörsregistret
Loggning av ändringar i kritisk data 2
8.1 Manuella betalningar Manuella betalningar 4
3 Översiktlig information
3.1 Omfattning
Marks kommun hanterar årligen ca 55 000 fakturor till ett värde av ca 890 miljoner SEK. Det förekommer ca 60 % fakturor som inkommer på papper och scannas in och ca 40 % är e-fakturor.
Kommunen arbetar med att öka mängden e-fakturor och bland annat finns krav på nya leverantörer att skicka e-fakturor. Kommunen erbjuder leverantörer att skapa e-fakturor gratis via kommunens portal på nätet.
3.2 Roller och ansvarsfördelning
Systemägare – Enligt kommunens IT-policy ska kommunstyrelsen utse systemägare för
kommungemensamma system, vilket rimligtvis bör omfatta ekonomisystemet. Inköp och faktura och Redovisning-reskontra är delar av ekonomisystemet.
Systemförvaltare – Enligt kommunens IT-policy ska systemägare utse systemförvaltare. Det finns två personer som i praktiken arbetar som systemförvaltare för berörda system.
Arbetsuppgifterna består av bland annat programuppdateringar och behörighetsadministration.
Det finns inte formaliserat vilket ansvar som ingår i systemförvaltarrollen.
Upphandlingsfunktionen – är ett stöd för samtliga förvaltningar i samband med upphandlingar och ligger organisatoriskt under Teknik- och Serviceförvaltningen.
Inköpare/beställare – Beställningar/inköp görs på respektive förvaltning. Det är inte formaliserat vem som får göra beställningar/inköp och vad som ingår i rollen.
Mottagningsattestant – person som kontrollerar att erhållen faktura stämmer överens med levererad tjänst/vara.
Beslutsattestant – person som kontrollerar fakturan mot underlag/beställning/beslut och villkor.
Det finns förtydligat i ekonomihandboken vad detta i detalj innebär.
Det saknas dokumenterade rollbeskrivningar och ansvarsfördelningar för vissa av rollerna ovan. (Se kontroll 3.2 Roll-/Ansvarsfördelning).
3.3 Berörda system
Inköp & faktura (IoF) - inköp och fakturahanteringssystem, hanterar både e-fakturor och scannade, här sker kontering, mottagningsattest, beslutsattest, innehåller ett leverantörsregister som är styrande och uppdaterar leverantörsregistret i RoR.
Redovisning och Reskontra (RoR) – huvudbok och leverantörsreskontra, leverantörsregister (som uppdateras från Inköp & faktura)
CSS – Behörighetssystem - används för behörighetsstyrning och är en modul i ”Inköp och faktura”. Här läggs användare upp med olika behörighetsroller.
Gemensam systemleverantör för ovan system är Aditro.
3.4 Information/Riktlinjer/Policies
Ekonomi har veckovisa verksamhetsmöten med information, uppföljning och avstämning av arbetet på ekonomiavdelningen.
I kommungemensamt reglemente för nämnderna i Marks Kommun (gäller from 2011-05-01) framgår att det är nämnden som har ansvar för den interna kontrollen inom verksamhetsområdet och har skyldighet att löpande följa upp det interna kontrollsystemet. Under granskningen framkom dock att Teknik- och Servicenämnden inte efterfrågat information eller gett instruktioner om hur arbete med intern kontroll avseende leverantörsreskontrahanteringen ska bedrivas. (Se kontroll 3.4a Riktlinjer avseende Intern kontroll).
På kommunens intranät har all personal tillgång till:
Utbildningsmaterial ex. ”Ta hand om din elektroniska faktura”.
Ekonomihandbok – som bland annat beskriver hur man konterar, vad man bör tänka på osv.
samt riktlinjer för betalningsvillkor. Denna handbok uppdateras årligen.
Referensmall – används som visitkort. De anställda som hanterar inköp har möjlighet att lämna ett personligt referenskort till leverantören med information om ex. fakturaadress och
referensnummer, så att fakturan läggs till rätt avdelning och berörd person.
Upphandlingspolicy
Upphandlingsriktlinjer – det framgår inte hur inköpare i förvaltningen ska gå tillväga då ett inköpsbehov uppstår eller vilka krav som finns på dokumentation när behovet är över/under tröskelvärden eller vad som gäller vid direktupphandling. (Se kontroll 3.4b Riktlinjer avseende inköp).
Idag sker beställningar via e-mail, per telefon eller muntligt. Berörd personal har fått en kortfattad allmän informationsgenomgång kring handhavande i IoF. (Se kontroll 3.4c Utbildning av inköpare.)
4 Övervakande kontroller
Det finns en central upphandlingsfunktion som ska stödja förvaltningarna vid större upphandlingar.
Upphandlingsfunktionen har dock inget ansvar att följa upp att gjorda inköp är i enlighet med LoU och att inköpen är samordnade för att hålla nere kostnader. Denna uppföljningsfunktion är inte formaliserad i den befintliga organisationen. (Se kontroll 4a Uppföljning/Kontrollfunktion efterlevnad riktlinjer).
Enligt uppgift följer förvaltningsekonomerna månadsvis upp förvaltningens kostnader på kontonivå och jämför utfall mot budget. Orimligt stora kostnader bör fångas i denna uppföljning.
Det finns möjligheter i RoR att få ut rapporter avseende orimliga momsbelopp etc. men denna funktion används inte kontinuerligt i verksamheten. I systemet IoF finns kontroller avseende dubbla fakturor som gör att samma fakturanummer inte kan läsas in två gånger. (Se kontroll 4b Uppföljning/Kontrollfunktion riktighet fakturor)
5 Behörigheter
IoF inklusive behörighetssystemet CSS och RoR är de applikationer där kritiska funktioner och data föreligger och där begränsad åtkomst och ansvarsfördelning bör föreligga för att det ska finnas förutsättningar för en god intern kontroll.
De roller som förekommer i CSS är ärvda av systemleverantören. Utöver ärvda roller har även vissa egna roller lagts till för att uppfylla kommunens behov av behörighetstilldelning. Detta innebär att det finns idag ett stort antal roller i CSS vilket gör behörighetsadministrationen svåröverskådlig.
Systemleverantören har planer på att erbjuda Neptune som behörighetssystem och då kan ett byte bli aktuellt.
För systemförvaltare likväl som övriga användare finns en behörighetsblankett som ligger till grund för vad man kommer åt i systemet. Det finns ingen tydlig beskrivning av vad de olika behörighetsrollerna ska innehålla, kopplat till vilken tjänst och det finns ingen formaliserad utvärdering av oförenliga arbetsuppgifter. Systemförvaltare har behörighet till att hantera fakturor, lägga upp leverantörer och skapa betalningar. (Se kontroll 5 Behörighetsstruktur).
5.1 Behörighetsrutin
I samband med nyanställning lägger Kommunikation- och IT-enheten upp den anställde i AD och ett skapar ett användarId. Systemadministratörerna får två behörighetsblanketter, gällande behörighet i IoF samt RoR från anställande chef där önskad behörighetsroll är ifylld. Utifrån detta kopplar systemförvaltarna användarId i CSS till önskad roll.
För beslutsattestanter ska även attestinformation anges på behörighetsblanketten och lämnas till systemadministratörerna för registrering av attestbeloppsgränser och kodsträngar. På underlaget framgår bl.a. totalt antal prisbasbelopp att attestera per faktura. Det finns ingen kontroll som säkerställer att attestgränser i IoF stämmer överens med fastställd attestordning enligt nämndernas delegation. (Se kontroll 5.1a Beloppsgränser för attest)
Borttagning av behörighet
När en anställd slutar ska en blankett fyllas i av närmsta chef och skickas till systemadministratörerna.
Utifrån denna blankett tas sedan behörigheterna bort. Det förekommer att anmälan om avslut sker via telefon, e-mail eller personligen. Det finns en rutin för hur avslut ska ske. Det finns ingen formaliserad rutin för att kontinuerligt gå igenom behörigheterna för att säkerställa att personal som slutat inte längre har åtkomst. I samband med observation i systemet identifierades totalt åtta personer som har den bredaste rollen (IDF_Systemansvarig) i Inköp och Faktura varav tre personer inte bör ha kvar rollen och bör plockas bort. De tre personerna har dock inte tillgång till programmet. (Se kontroll 5.1b
Behörighetsrutin).
Behörighet till IoF
De roller som används aktivt är framförallt fakturamottagare, mottagningsattestant och beslutsattestant.
Åtkomst till IoF styrs via modulen CSS.
Behörighet till CSS
De som har behörighet till CSS och kan tilldela behörigheter, är sju personer. Alla sju är för närvarande inte aktiva, varför en genomgång bör göras för att säkerställa att behörigheten speglar faktiska
ansvarsområden/arbetsuppgifter. (Se kontroll 5.1b Behörighetsrutin).
Behörighet för externa användare
IT avdelningen använder ett generellt användarId i de fall de behöver in och göra uppdateringar eller förändringar i Inköp och Faktura. Systemleverantören Aditro använder samma generella användarId i de fall de behöver åtkomst. Det är IT-avdelningen som öppnar upp och stänger ner för Aditro.
5.2 Lösenord och säkerhet
Till berörda system använder sig kommunen av single sign on, vilket innebär att användaren endast behöver logga in en gång för att komma åt samtliga system man har behörighet till. Då användaren varit inaktiv i mer än en timme loggas användaren ut systemet och inloggning krävs för att komma in igen.
Lösenord byts var tredje månad. Samma regler, gällande lösenord, gäller för alla personer i Marks kommun oavsett behörighetsgrad. Det finns dock ett åtkomstskydd i form av en lösenordsskyddad skärmsläckare som aktiveras efter 20 minuters inaktivitet.
Beslutsattesteringen är lösenordsskyddad vilket innebär att attestanten behöver logga in på varje faktura för att kunna attestera.
6 Förändringar i leverantörsregistret
En ny leverantör läggs oftast upp i samband med att en faktura kommer ifrån en leverantör som inte finns inlagd i kommunens leverantörsregister.
Användaren som lägger upp leverantören gör en del kontroller för att stämma av att leverantörens uppgifter, enligt fakturan, är korrekta. Det görs till exempel avstämnig att det finns ett giltigt momsnummer och att plus-/bankgiro nummer finns registrerat till aktuell leverantör. Det finns dock ingen formaliserad rutin som beskriver vilka moment/kontroller som ska göras före registrering av en ny leverantör. (Se kontroll 6 Registrering av ny leverantör). Förändringar och nyupplägg görs i IoF som uppdaterar RoR.
6.1 Loggning och uppföljning
IoF loggar vilka användare som loggar in och om en ändring görs. Det görs dock ingen loggning av vilka ändringar som görs. (Se kontroll 6.1 Loggning av kritisk data).