Om-råde
Prio Iakttagelse Risk Rekommendation
3.1 M Det finns inom kommunerna upphandlingspolicys, en broschyr med riktlinjer avseende inköp som
nyanställda får ta del av och riktlinjer för
direktupphandling.
Dokumenten är från 2015. Det finns även attest – och
utbetalningsreglemente som beskriver hur attest ska göras och vad det innebär att attestera en transaktion.
Det saknas dock en rutin för att säkerställa att styrande dokument regelbundet uppdateras.
Utan en rutin för att säkerställa att styrande dokument är uppdaterade finns det risk för att styrande dokument inte följer regler, lagkrav och befintliga rutiner när dessa ändras med tiden.
Vi rekommenderar respektive kommunstyrelse och
Servicenämnd Ekonomi och Personal att en rutin införs för att regelbundet se över och uppdatera, exempelvis årligen, eller vid större förändringar av styrande dokument eller processer.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.1 M Båda kommunerna saknar ett internkontrollramverk eller likande för vilka kontroller inom inköpsprocessen som skall utföras inom
kommunerna.
Utan ett ramverk för internkontroll ökar risken att rutiner och
kontroller inte lever upp till kommunernas behov för intern kontroll samt ökar risken för att inköpskontroller inte är
implementerade på ett
ändamålsenligt sätt. Det finns även en risk att styrande dokument inte efterlevs.
Vi rekommenderar respektive kommunstyrelse och
Servicenämnd Ekonomi och Personal att dokumentera de kontroller som ska genomföras i inköpsprocessen så att det framgår vem som ska utföra kontrollen, vilken risk
kontrollen ska hantera eller hur och hur ofta kontrollen ska utföras etc. Att kontrollerna utförs bör följas upp för att säkerställa att styrande dokument efterlevs.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.2 M Avsaknad av dokumenterade rollbeskrivningar eller beskrivning av
ansvarsfördelning för systemförvaltare, beställare och upphandlingsansvarig.
Brist på roll- och
ansvarsbeskrivningar ökar risken för dubbelarbete. Vidare kan det även medföra att väsentliga uppgifter och kontroller inte genomförs.
Vi rekommenderar att roll- och ansvarsbeskrivningar upprättas för systemförvaltare och
inköpare/beställare.
Beskrivningen bör förtydliga ansvaret för respektive roll och i de fall det är tillämpligt omfatta samtliga väsentliga uppgifter samt kontrollmoment som respektive befattning ansvarar för.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.2 M Med undantag för vid
anställningstillfälle noterades en avsaknad utav regelbundna
utbildningar/-informationsträffar för att utbilda och informera chefer och beställare om
förändringar avseende exempelvis nya leverantörer och nya priser.
Avsaknad av utbildning för
beställare kan medföra att inköpare medvetet eller omedvetet inte följer de policy och riktlinjer som finns.
Vi rekommenderar att beställare och chefer inom kommunerna löpande får relevant utbildning för att kunna efterleva kommunernas policy och riktlinjer avseende inköp och för att kunna göra kostnadseffektiva inköp.
3.3 M Rutiner saknas för regelbundna
behörighetsgenomgångar i Raindance för att säkerställa att tilldelade behörigheter överensstämmer med aktuellt ansvar och aktuella
anställningar.
Utan en regelbunden granskning av aktuella behörighetsnivåer ökar risken för otillbörlig åtkomst och användning av ekonomisystemet.
Vi rekommenderar att det upprättas en kontroll för att med viss periodicitet säkerställa att enbart behöriga användare är registrerade med rätt behörighet i ekonomisystemet Raindance. Denna kontroll bör även dokumenteras.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.3 M Ingen uppföljning görs utav antal inköp eller andra inköpsvolymer och vilka som är registrerade beställare samt om dessa fortfarande skall ha ett beställarid.
Att inte göra någon uppföljning av vilka som gör inköp och i vilken mån, kan medföra att
beställningsbehörigheter inte stämmer överens med aktuellt ansvar och aktuella anställningar och att onödiga inköp utförs.
Vi rekommenderar respektive kommunstyrelse och
Servicenämnd Ekonomi och Personal att införa en regelbunden genomgång av samtliga inköpare för att säkerställa att dessa behörighet överensstämmer med befintlig anställning och ansvar. Det bör även fastställas hur
uppföljningen skall dokumenteras samt hur avvikelser skall åtgärdas. Vi rekommenderar även att respektive kommunstyrelse och Servicenämnd Ekonomi och Personal överväger att införa olika typer av uppföljning av inköp.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.3 L Konsulter från CGI har ständig tillgång till test- och
produktionsmiljöer för
Raindance. De konsulter som är inne i systemet mer frekvent har egna konton men det finns även ett supportkonto som flera på CGIs support delar.
Att utomstående har ständig tillgång till ekonomisystemet kan medföra att förändringar görs utan lämpliga tester eller
godkännande, antingen med eller utan avsikt.
Generiska konton innebär en brist i spårbarhet då det inte går att
Ett exempel på begränsning kan vara att utvecklare enbart tilldelas åtkomst vid planerade tillfällen.
Vi rekommenderar även att alla användare har unika
användarnamn och lösenord och att inte generiska konton används.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.3 M Attestbehörigheter i
Raindance uppdateras utifrån beslut från behörig person i verksamheten (Vårgårda kommun) och utifrån nämndbeslut (Herrljunga kommun). Det saknas dock en rutin inom båda kommuner för att säkerställa att rätt attesträttigheter ligger i
Risken för ej korrekt godkända utbetalningar ökar då
kommunerna förlitar sig på attestreglementet vad gäller attester och beloppsgränser.
Avsaknad av beloppsgränser för inköp kan medföra att personer som tilldelats beställarid inom kommunerna inte vet vilka
befogenheter de har och inom vilka gränser de har tillåtelse att handla samt att fakturor för höga belopp attesteras när de inte borde.
Vi rekommenderar att rutiner och ansvar för underhåll och attestreglementet tydliggörs. En periodisk uppföljning av
tilldelade attesträtter bör ske för att säkerställa att alla relevanta förändringar i underliggande policy och organisation avspeglas i systemet.
Vidare rekommenderar vi att respektive kommunstyrelse och Servicenämnd Ekonomi och Personal fastställer
beloppsnivåer som gäller för inköp/attest för respektive attestberättigad person.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.4 L Det noterades att
ekonomiavdelningen inför delårs-och årsbokslut utför en kontroll där de stämmer av oattesterade fakturor varpå controllern kontaktar respektive chef för att säkerställa att attest sker innan stängning av perioden. Ingen rutinbeskrivning finns över hur kontrollen skall utföras och själva utförande d0kumenteras heller inte.
Avsaknad av rutinbeskrivning för kontrollen bidrar till ökat
personberoende och kan leda till problem vid oförutsägbara händelser eller
personalomsättning. Brist på dokumentation i utanförlandet av kontrollen medför en avsaknad av spårbarhet.
Vi rekommenderar att
kontrollen formaliseras och en kontrollbeskrivning bör
upprättas för hur kontrollen ska utföras. Vidare bör utförandet utav kontrollen dokumenteras för att öka spårbarheten samt för att kunna påvisa att kontrollen utförs.
Ärende 8
Sammanställning iakttagelser
Om-råde
Prio Iakttagelse Risk Rekommendation
3.5 L Upplägg utav nya leverantörer sker först i samband med att faktura erhålls och inte innan inköp görs.
Att leverantörer läggs upp baserat på faktura och inte i förväg
godkända leverantörer ökar risken för att inköp görs av leverantörer man ej vill/bör handla med.
Vi rekommenderar att
respektive kommunstyrelse och Servicenämnd Ekonomi och Personal överväger att införa en rutin för att leverantörer läggs upp i leverantörsregistret baserat på godkända underlag innan inköp görs. I största möjliga utsträckning bör upplägg/ändrings av
leverantörsinformation göras snarast efter att kommunerna valt att använda sig av en ny leverantör, exempelvis då ett nytt ramavtal tecknats.
3.5 L Det ingår i en ekonomiassistents dagliga rutiner att säkerställa att inte några fakturor fastnat vid inläsning till Raindance. Det saknas dock en formaliserad kontroll för att inför bokslut säkerställa att alla fakturor är inlästa.
Det finns en risk att inte alla fakturor som tillhör perioden blir registrerade inför bokslut.
Vi rekommenderar att
respektive kommunstyrelse och Servicenämnd Ekonomi och Personal inför en
dokumenterad kontroll av att det inte fastnat några fakturor vid inläsning i Raindance vid bokslut.
Ärende 8
Sammanställning iakttagelser
Omr åde
Prio Iakttagelse Risk Rekommendation
3.5 L Loggning utav kritiska användaraktiviteter finns tillgänglig och är påslagen i ekonomisystemet men det görs ingen uppföljning av dessa loggar.
Avsaknad av uppföljning utav loggar kan medföra att
felaktigheter och obehörig åtkomst inte upptäcks i tid, alternativt inte upptäcks alls.
Vi rekommenderar att
respektive kommunstyrelse och Servicenämnd Ekonomi och Personal identifierar vilka aktiviteter som kan betraktas som känsliga och därefter inför en rutin som säkerställer att loggar över känsliga
användaraktiviteter
kontinuerligt analyseras samt att eventuella incidenter följs upp
3.5 L I båda kommuner genomförs vid leverantörsutbetalning en
kontroll på fakturor över 500000 kronor till privata företag. Dessa fakturor
kontrolleras för att säkerställa att bankgironummer och
totalsumma inte är feltolkad.
Kontrollen dokumenteras för Vårgårda kommun men inte för Herrljunga kommun.
Att inte dokumentera utförandet medför en avsaknad av spårbarhet utav kontrollen.
Vi rekommenderar kommunstyrelsen för Herrljunga kommun och Servicenämnd Ekonomi och Personal att kontrollen av utbetalning av höga belopp till privata företag dokumenteras.
Ärende 8
Sammanställning iakttagelser
Omr åde
Prio Iakttagelse Risk Rekommendation
3.5 H Vid utbetalning av
leverantörsfakturorna skapas en sparas ner (krypterad) på en server där den automatiskt hämtas upp och läses in till bankgirocentralen. Ingen kontroll av posterna i filen sker innan den läses in till banken.
Det behövs ej heller något ytterligare godkännande av betalningsfilen hos
bankgirocentralen innan posterna utbetalas.
Avsaknad av dokumentation av en kontroll minskar spårbarheten av kontrollen.
Avsaknad av kontroll utav posterna i betalfilen och godkännande av utbetalningsfilen innan
bankinläsningen ökar risken att oriktiga utbetalningar sker.
Vi rekommenderar att en kontroll införs där en annan person än den som skapat utbetalningsfilen till bankgirocentralen gör en rimlighetsbedömning och godkänner filen innan den görs klar för inläsning hos banken.
Därefter bör en avstämning ske mellan inlästa poster och belopp mot vad som godkänts i rimlighetsbedömningen.
Dokumentation av kontrollen bör ske för att öka spårbarhet.