Rutiner för utbetalningar samt attest och firmateckning

Intern kontroll

Rutiner för utbetalningar samt attest och firmateckning

Lysekil

Revisionsrapport

Juli 2013

Henrik Bergh

Håkan Olsson

Innehåll

Uppdrag och genomförande ... 3

Sammanfattning ...4

Synpunkter...4

Granskningsiakttagelser ... 7

Systemdokumentation... 7

Attestreglemente... 7

Behörighetsattest ... 7

Registrering och kontroll av attestanter...8

Kontroll av beloppsgränser i ekonomissystemet ...9

Investeringar...9

Finanspolicy... 10

Inbetalningar till likvidkonto ... 10

Automatisk registrering av utbetalningar i försystemet ... 10

Manuell registrering av utbetalningar direkt i ekonomisystemet ... 10

Utbetalning via betalfil och plusgiro ...11

Registrering av nya leverantörer ... 12

Utbetalning via internetbanken – girovisionen ... 12

Utbetalning av löner ... 13

Utbetalning från socialkontorets likvidkonto ... 14

Bokföring av likvidkonto ... 14

Avstämning av likvidkonton... 15

Behörighetsstruktur... 15

Uppdrag

Vi har på uppdrag av revisorerna i Lysekils kommun granskat den interna kontrollen vid rutiner för utbetalning samt attest och firmateckning. En viktig del av den interna kontrollen och rutinerna vid utbetalningar är att kommunen fördelar ansvar och befogenhet genom delegationsbeslut, attesträtt och rätten att teckna firma är ändamålsenliga och stödjer en säker hantering.

Metod

Vi har kartlagt organisation och rutiner och regelverk genom intervju med berörda handläggare.

Analysen har skett genom granskning av följande moment:

 Är beslut avseende delegation/delegater, attestanter och undertecknande av värdehandling mm firmateckning aktuell och anpassad till organisationen

 Tillämpas tvåhands principen och finns det en intern kontroll som säkerställer att utbetalningen sker på rätt sätt

 Finns det en tydlig organisation/ansvarsfördelning med en ”back officefunktion”

Genomförande

Vi har översiktlig granskat rutiner för utbetalning via ekonomisystemet och försystemet eBuilder samt rutiner vid utbetalning av löner och utbetalning från socialförvaltningens likvidkonton.

Vi har också översiktligt granskat vissa delar av behörighetsstrukturen. Vi har däremot inte granskat rutiner för kontroll av och behörighetskoder och loggar i de olika systemen som används vid för utbetalningar i Lysekils kommun. Det kan kanske därför finnas skäl att återkomma med en uppföljande granskning av detta inom ramen för kontroll av IT säkerheten i Lysekils kommun.

De intervjuer som ligger till grund för rapporten har i huvudsak genomförts under maj och i början på juni månad detta år och det kan därefter ha införts nya rutiner och förändrade behörigheter. Vi har skickat ut ett koncept till berörda handläggare och av de svar vi erhållit så gäller de uppgifter som redovisas i rapporten per aktuell tidpunkt i slutet på maj och i början på juni månad.

Under granskningens gång har några handläggare slutat anställning eller fått nya arbetsuppgifter.

I några fall har det också varit svårt att kartlägga rutiner då handläggare inte alltid till alla delar har haft full kunskap om hur de fungerar.

Våra framförda synpunkter i revisionsrapporten får därför ses mot denna bakgrund och i de fall kommunstyrelsen vid en uppföljande analys finner att vissa av de efterfrågade rutinerna redan finns på plats eller är under framtagande så får detta ses som något positivt.

Sammanfattning

Nuvarande systemdokumentation är inte uppdaterad och är därför till vissa delar inaktuellt.

Några tillämpningsanvisningar till attestreglementet finns ännu inte antagna.

Attestreglementet anger att berörd nämnd har ansvar för att upprätthålla en aktuell förteckning över attestanter men det finns inga rutiner som klargör hur detta skall utföras och behörighetsattestanten ansvar är enligt vår uppfattning otydligt formulerat i attestreglementet.

Vi har inte heller kunnat återfinna något beslut som klargör vilka personer kommunstyrelsen utsett till behörighetsattestanter. Det saknas fastställda skriftliga rutiner som klargör vilket underlag som skall lämnas vid registrering av attestanter i försystem och i ekonomisystemetets sambandskontroll. Det finns också brister i rutinen vad gäller kontroll av att beloppsgränser enligt attestbeslut följs.

Finanspolicyn saknar regler som klargör hur back office funktionen skall organiseras eller hur den interna kontrollen av administrativa risker skall utföras och dokumenteras.

Det saknas skriftliga rutiner som anger vilka kontroller som skall utföras av den som registrerar respektive skickar en betalfil. Vid granskningstillfället kunde samma person både registrera en betalning och skicka en betalfil vilket inte är lämpligt ur intern kontrollsynpunkt då det är viktigt att utbetalningskedjan bryts.

Det saknas skriftliga rutiner som säkerställer att berörda banker erhållit information om aktuellt beslut om firmatecknare. Vi har inte heller kunnat finna några skriftliga rutiner som klargör hur man utser behöriga till att kunna göra registrera och utföra en utbetalning via internetbanken.

Det saknas skriftliga rutiner för hur avstämning av kommunens likvidkonto skall utföras och dokumenteras och det finns inte några skriftliga rutiner som klargör hur en uppföljande intern kontroll skall utföras.

Det saknas fastställda skriftliga rutiner där man klargör vilka underlag som skall lämnas vid

registrering av behörigheter i de olika system som används vid utbetalning. Det finns inte heller några centrala anvisningar med krav på att det skall finnas skriftliga rutiner för intern kontroll av att

tilldelade behörigheter i systemen för utbetalning är aktuella.

Vi har inte heller kunnat finna några centrala anvisningar med krav på att det skall finnas skriftliga rutiner för uppföljande intern kontroll och analys av behörighetstuktur, behörighetskoder och loggar.

Bedömning av intern kontroll

Vi bedömer att det finns brister i den interna kontrollen av rutiner för utbetalning samt attest och firmateckning i Lysekils kommun

Synpunkter

Vi vill efter genomförd granskning av den interna kontrollen i rutinerna för utbetalning samt attest och firmateckning framföra följande synpunkt:

 Det bör ske en uppdatering av nu gällande systemdokumentation som är från år 2010 då det tillkommit nya system för utbetalningar i kommunen.

 Det bör upprättas och fastställas tillämpningsanvisning till attestreglementet.

 I tillämpningsanvisningarna bör det framgå hur nämnderna skall utföra sin uppföljande kontroll av att attestregister i ekonomisystemet är aktuellt och överensstämmer med formella beslut och det bör förtydligas vilka kontroller som behörighetsattesttant skall utföra.

 Det bör fastställas rutiner och blanketter för registrering av attestanter i försystemet och för registrering av sambandskontroller i ekonomisystemet.

 Det bör klargöras vilka som är behörighetattestanter för kommunstyrelsen samt vem som utsett dem.

 Det bör upprättas rutiner som säkerställer att en utbetalning inte kan genomföras om den överstiger de beloppsgränser som anges i de formella attestbesluten.

 Det bör upprättas rutiner till finanspolicyn som klargör hur backoffice funktionen skall organiseras samt hur den interna kontrollen av administrativ risk skall utföras.

 Det bör upprättas rutiner som anger vilka kontroller som skall utföras av den som registrerar in en utbetalning respektive skickar en betalfil.

 Det antal personer som skall ha behörighet att registrera en utbetalning i ekonomisystemet bör ur intern kontrollsynpunkt i möjligaste mån begränsas.

 Det är inte lämpligt att en och samma person har behörighet till att både kunna registrera in en utbetalning samt skapa och sända betalfiler.

 Det bör upprättas rutiner som säkerställer att berörda banker har erhållit aktuell information om vilka som utsetts till firmatecknare.

 Det bör upprättas rutiner som klargör hur man utser behöriga till att kunna registrera och utföra en utbetalning via internetbanken.

 Det bör upprättas rutiner för hur avstämning av kommunens likvidkonton skall utföras och dokumenteras.

 Det bör upprättas rutiner för en uppföljande intern kontroll av att kommunens avstämningar av likvidkonton utförts på ett korrekt sätt.

 Det bör fastställas rutiner och blanketter för registrering av behörigheter i de olika systemen för utbetalning.

 Det bör fastställas rutiner för verifiering av att behörigheter i systemen för utbetalning är aktuella samt att behörighetsstruktur, lösenord och loggar uppfyller kravet på en god intern kontroll.

 Kommunstyrelsen bör inom ramen för sitt tillsynsansvar genomföra en uppföljande kontroll och analys av att de system som används för utbetalningar uppfyller kravet på en god intern kontroll vilket då bland annat innefattar att utbetalningskedjor bryts och att

behörighetstrukturer analyseras.

 Resultatet av denna analys bör dokumenteras och rapporteras till kommunstyrelsen.

Granskningsiakttagelser

Nedan följer en kort beskrivning och kommentarer kring de områden som granskats.

Våra kommentarer och beskrivningar berör de områden som vi anser är väsentliga sett ur intern kontroll.

Systemdokumentation

Den systemdokumentation som bilagts rapporten är från 2010 och är inte uppdaterad med de nya system som tillkommit i form av nytt lönesystem Heroma, debiteringsrutiner för båtplatser, nytt system Magna Cura som skall ersätta utbetalningar via Pro Capita

Vår kommentar.

Det bör ske en uppdatering av nu gällande systemdokumentation som är från år 2010 då det därefter har tillkommit nya system för utbetalningar i kommunen.

Attestreglemente

Enligt det av fullmäktige 2010-01-28 § 7 antagna attestreglementet är det respektive nämnd som utser kontrollansvariga samt ersättare för dessa.

Av reglementet så framgår det att attest skall dokumenteras i enlighet med tillämpningsanvisningar.

Några tillämpningsanvisningar till attestreglementet hade vid granskningstillfället ännu inte antagits.

Av reglementet så framgår att varje nämnd har ansvar för att upprätta och hålla aktuella förteckningar över utsedda kontrollansvariga. Det finns inte några centrala anvisningar som klargör hur en periodisk intern kontroll och uppföljning av kommunens attestregister mot attestbeslut skall utföras.

Vår kommentar:

Det bör fastställas tillämpningsanvisning till attestreglementet.

Det bör i tillämpningsanvisningar till attestreglementet klargöras på vilket sätt nämnderna skall utföra sin uppföljande kontroll av att attestregister i ekonomisystemet är aktuellt och överensstämmer med formella beslut även om nämnderna vid behov också kan anta egna tillämpningsanvisningar.

Behörighetsattest

Enligt attestreglemente så anges att det skall finnas behörighetsattestanter och de skall kontrollera att nödvändiga kontrollmoment har skett av behöriga personer. Det kan om man så vill tolkas som att de bland annat har till uppgift att kontrollera att rätt person har attesterat fakturan men vi tycker formuleringen är oklar.

Av attestreglementet framgår att kontrollansvariga skall utses av respektive nämnd men vi har inte kunnat finna att kommunstyrelsen har utsett några behörighetsattestanter i sitt attestbeslut 2010-06- 02 § 117. I samma beslut så har kommunstyrelsen bemyndigat ekonomichefen att på egen hand ta beslut om de redaktionella förändringar som behöver göras av attestförteckningen.

Vid fråga till administrativ chef så uppger denne att han inte tror att det meddelats eller tagits några beslut om redaktionella ändringar av kommunstyrelsens ursprungliga attestförteckning. Hur beslut om behörighetsattestanter ser ut för övriga nämnder har vi inte granskat.

Vår kommentar:

Det bör i tillämpningsanvisning till attestreglementet förtydligas vilka kontroller som skall utföras av behörighetsattesttant och den instruktion för behörighetsattestanter som uppges finnas bör i så fall uppdatateras så den överensstämmer med vad som kommer att anges i tillämpningsanvisningarna.

Det bör klargöras vilka som utsetts till behörighetattestanter för kommunstyrelsen samt utifrån vilket underlag detta har skett.

Behörighetskontroll

Vid en registrering av en utbetalning i ekonomisystemet så utförs kontrollen av attestbehörighet av utsedd behörighetsattestant. Vid registrering av en utbetalning i försystemet eBuilder så sker det en elektronisk kontroll av attestbehörighet.

Registrering av attestant

Försystemet

Som underlag för inläggning av attesträtt i försystemet eBuilder så används en blankett som skall skrivas under av ansvarig chef på berörd nämnd och förvaltning. Enligt en skriftlig rutin som har upprättats av ekonomienheten 2011- 09-07 så anges det att den ansvarige chefen skall förvissa sig om att uppgifterna på blanketten är korrekta och stämmer med attestliggaren.

Huruvida denna rutin skall uppfattas som en gemensam anvisning är oklart.

I försystemet så lägger man in godkännandeattestant för aktuellt kostnadsställe dit fakturan först skickas utifrån angiven referenskod. I försystemet så lägger man också in vilken ansvarskod fakturan sedan skall skickas för attest. När båda attesterna har utförts så skickas den vidare till

ekonomisystemet för betalning.

Ekonomisystemet

Kontrollen av att den på fakturan angivna konteringen är korrekt kopplade till verksamhetskonto och kostnadsslag sker i ekonomisystemets sambandskontroll. Registrering av denna kodsträng kopplad till formellt attestbeslut har en gång utförts av ekonomikontoret men vi har inte kunnat klarlägga när detta gjordes samt av vem.

Någon förändring har inte lagts in av nuvarande systemansvarig varför denne inte kunde svara på frågan vilka attestbeslut nuvarande sambandskontroll i ekonomisystemet vilar på och var detta underlag nu förvaras. Under senare tid har systemansvarig vid något tillfälle lagt in en förändring som då har baserats på meddelande via mail.

Vår kommentar:

Det bör i tillämpningsanvisning till attestreglementet fastställas rutiner för registrering av attestanter i försystemet samt vid registrering av uppgifter för sambandskontroller i ekonomisystemet.

Kontroll av beloppsgränser i ekonomissystemet

Det sker inte någon kontroll i försystemet e Builder av formellt fastställda beloppsgränser per verksamhetskonto. Enligt systemansvarig beror detta på att man har funnit det svårt att lägga in en beloppsgräns per ansvarskod i försystemet.

Om samma person har flera ansvarskoder i försystemet så slås därför beloppsgränserna ihop till ett enda belopp vilket har medfört att beloppsgränsen i försystemet för exempelvis personalchefen i dagsläget är 33 mkr, för kommunchef 11 mkr, för administrativ chef 30 mkr.

Detta oavsett om det i antagen attestförteckning finns angivet betydligt lägre beloppsgräns vid kontering på visst verksamhetskonto och det sker inte heller någon ytterligare kontroll av beloppsgränser i ekonomisystemet.

Det är också tidsödande att utföra en kontroll av inlagda beloppsgränser per ansvarskod i försystemet då det inte går att få ut en samlad lista utan man får istället söka per person och den ansvarskod som personen är kopplade till.

Vår kommentar:

Det bör upprättas rutiner som säkerställer att en utbetalning inte kan genomföras om den överstiger de beloppsgränser per verksamhetskonto som anges i de formella attestbesluten.

Investeringar

För att kunna kontera och bokföra en faktura som avser en investering så krävs vid kontering utöver ansvar och verksamhet också en projektkod för att passera sambandskontrollen.

Så som det beskrivits för oss så har ekonomichefen tidigare lämnat besked om vem som är behörig att attestera på investeringskonto men vid granskningstillfället var det oklart vem som nu meddelade detta för registrering i ekonomisystemet och utifrån vilket underlag detta i så fall sker.

1. Av kommunstyrelsens delegationsordning så framgår att man delegerat till ledningsutskottet att fatta beslut om igångsättningstillstånd för investeringar inom fastställd investeringsbudget överstigande 1 mkr.

2. Kommunstyrelsens ordförande tillsammans med ersättare har på samma sätt fått delegation om att fatta beslut om igångsättning av investeringar för belopp inom intervallet 300- 1000 tkr.

3. Förvaltningschef för samhällsbyggnadsförvaltningen har på samma sätt erhållit delegation om att fatta beslut om igångsättning av investeringar för belopp upp till 300 tkr.

Finanspolicy

I den av kommunstyrelsens 201-06-08 § 126 antagna delegationsordning så har ekonomichefen erhållit rätt att uppta lån inom ramen för kommunfullmäktiges beslut samt sköta placering av donationsfonder och kortfristiga placeringar.

I finanspolicyn som antagits av fullmäktige under år 2010 § 86 så anges också att det är

ekonomichefen som har huvudansvaret för att verka på ett professionellt och kostnadseffektivt sätt i enlighet med finanspolicyn för att bland annat se till att det finns en fungerande organisation och ansvarfördelning.

I finanspolicyn nämns också den administrativ risk som kan uppstå på grund av dåliga rutiner och kontrollsystem. Enligt finanspolicyn kan detta motarbetas genom goda rutiner och kontroll genom att exempelvis två personer skall attestera eller en utför affären och en annan bokför (back office

funktion). Några skriftlig instruktion för hur den interna kontrollen skall utövas har inte upprättas i finanspolicyn.

Vår kommentar.

Det bör upprättas anvisningar och rutiner till finanspolicyn som klargör hur backoffice funktionen skall organiseras samt hur den interna kontrollen av administrativ risk skall utföras.

Inbetalningar till likvidkonto

Inbetalningar till kommunens plusgiro eller bankgiro sker till olika underkonto. Dessa töms sedan automatisk och överförs till kommunens huvudkonto 1162 20- 5 .

Automatisk registrering av utbetalningar i försystemet

De flesta leverantörsfakturor scannas eller registreras på annat sätt elektroniskt i försystemet

E-builder. Kontroll av att fakturan erhållit godkännandeattest och beslutsattest sker också elektroniskt och därefter skickas den vidare för utbetalning via betalfil i ekonomisystemet.

Behörigheten att attestera i försystemet registreras in av ekonomiassistent på serviceenheten som är en av flera systemansvariga för detta försystem. Som underlag för denna registrering så finns det en särskild blankett med en tillhörande skriftlig rutin. Huruvida denna skriftliga rutin skall uppfattas som en gemensam anvisning är oklart.

Manuell registrering av utbetalningar direkt i ekonomisystemet

Det förekommer också manuella registreringar av utbetalningar direkt i ekonomisystemet och dessa utbetalningar kan avse bostads anpassningsbidrag, utbetalningar till privatpersoner, utbetalningar till elever, tillfälliga löneutbetalningar. Underlagen för utbetalning direkt i ekonomisystemet skall vara fullständigt attesterade och signerade av behörighetsattestant. Det finns ingen skriftlig rutin som anger vilka kontroller som skall utföras av den som registrerar in en utbetalning.

Behörighet att registreras in en utbetalning direkt i ekonomisystemet har lagts in av ekonomen på socialförvaltningen som är tillika är systemansvarig för ekonomisystemet.

Som underlag för registrering av denna behörighet i ekonomisystemet så finns det en blankett som skall skrivas under av ansvarig chef. Det finns däremot ingen skriftlig rutin som reglerar att särskild blankett skall användas för detta ändamål samt som klargör hur och var de skall förvaras.

Enligt en lista som vi erhållit av systemansvarig så finns det 27 personer som har behörighet att registrera in utbetalningar i ekonomisystemet varav 13 har sin behörighet kopplad till vissa verksamhetskonton.

Vår kommentar.

Det bör upprättas en skriftlig rutin som anger vilka kontroller som skall utföras av den som registrerar en utbetalning i ekonomisystemet.

Det antal personer som skall ha behörighet att registrera en utbetalning i ekonomisystemet bör ur intern kontrollsynpunkt i möjligaste mån begränsas.

Utbetalning via betalfil och plusgiro

Efter att det skapats en definitivsättning av utbetalningar för automatiskt registrerade fakturor så skapas och sänds en betal fil av den person på ekonomikontoret som har denna arbetsuppgift och behörighet. Det finns ingen skriftlig rutin som anger vilka kontroller som skall utföras av den som skapar och skickar en betalfil.

Den skapade betal filen passerar ett bank sigill innan den når banken vilket innebär att det sker en kontroll av att den fil som lämnar kommunen är identisk med den som når banken. Banksigillet byts ut vid jämna mellanrum av Nordea som lämnas till chefen på serviceenheten som i sin tur lämnar uppgifterna vidare till IT avdelningen som verkställer förändringen i systemet.

Dagen efter att betalfilen har sänts så stämmer ekonomiassistent på serviceenheten av att betal filer kommit till plusgirot med samma belopp.

För sändning av betal fil från plusgirot så tillämpas inte principen två i förening utan det sker endast vid utbetalning via dosa i internetbanken. Istället så är tanken att det skall vara olika personer som registrerar underlaget respektive sänder betalfilen.

Det fanns vid granskningstillfället sju personer som var behöriga att både kunna registrera in en utbetalning och skicka betalfiler. En av dessa personer arbetar på ekonomikontoret och har som ordinarie uppgift att registrera en utbetalning och skicka betalfil och en annan person på serviceenheten är ersättare (back-up).

Behörighet att kunna registrera en utbetalning och skicka betalfil läggs in av in av systemansvarig för ekonomisystemet. Nuvarande systemansvarig har hittills inte själv lagt in några behörigheter utan dessa har lagts in tidigare systemansvarig och det var därför oklart vilket underlag som krävs och om det finns en skriftlig rutin att följa.

Vår kommentar:

Det bör upprättas en skriftlig rutin som anger vilka kontroller som skall utföras av den som skapar och skickar en betalfil i ekonomisystemet.

Det är ur intern kontrollsynpunkt viktigt att utbetalningskedjan bryts och det är därför inte lämpligt att en person både har behörighet till att kunna registrera in en utbetalning samt skapa och sända betalfiler.

Registrering av nya leverantörer

Leverantörer samt mottagarkonto för privatpersoner registreras i försystemet. Denna registrering utförs av ekonomiassistent på serviceenheten som tillika är systemansvarig och leverantörsregister överförs sedan till ekonomisystemet. Samma person har som tidigare nämnts också till arbetsuppgift att som ersättare kunna registrera en utbetalning samt skapa och sända en betalfil.

Utbetalning via internetbanken – Girovisionen

För utbetalning via internetbanken Girovision så krävs det två personer i förening.

Detta utförs via dosa och vid granskningstillfället så hade två ekonomiassistenter på serviceenheten som tillika arbetar i kassan samt chef på serviceenheten (ersättare) denna arbetsuppgift och

behörighet.

Därutöver så fanns det ytterligare två personer på ekonomikontoret som hade denna behörighet.

Huruvida även ekonomichefen var behörig var vid granskningstillfället oklart.

Underlagen för utbetalning via internetbanken skall vara fullständigt attesterade. Behörighetsattestant skall också med sin signatur bekräfta att underlaget har kontrollerats.

Det finns ingen skriftlig rutin som anger vilka kontroller som skall utföras av den som utför en betalning via internetbanken.

Internetbanken Girovision används vid alla utlandsbetalningar samt vid vissa akuta betalningar.

Den används även vid överföring av likvida medel mellan olika bankkonton i kommunen samt vid förflyttningar av pengar inom koncernen (koncernvalutakontona). Tidigare så sköttes även utbetalningar för Kolholmarna AB via internetbanken Girovision.

Utbetalning via internetbanken sker via dosa och kort. Systemet kräver byte av lösenord med jämna mellanrum. Vid utbetalning via girovisionen till utlandet så finns det en beloppsgräns inlagt på 500 000 kr per dygn.

Så som det beskrivits för oss så tar ekonomichefen beslutet om vilka som skall vara behöriga i internetbanken varefter banken meddelas. Vid behov av förändring av den inlagda behörigheten så krävs det två i förening för att göra en ny registrering av behörigheten i internetbanken.

Tio personer har enligt särskilt beslut i kommunstyrelsen 2013-03-06 § 43 erhållit befogenhet och upptagits på förteckning att vara firmatecknare (två i förening) för kommunens plusgiro- och bankutbetalningar. Så som vi tolkar beslutet så finns de personer som erhållit behörighet att göra utbetalningar via internetbanken med på listan.

Det var vid granskningstillfället oklart om det finns en skriftlig rutin för att meddela berörda banker om beslut om firmatecknare samt hur kommunen förvissar sig om att banken har erhållit alla beslut om förändringar av denna lista.

Från och med augusti i år så kommer man gå över till ett nytt system som heter Corporate Netbank.

Vid samtal med chefen för serviceenheten så angavs att det idag finns två personer som har till arbetsuppgift och behörighet att via dosa genomföra utbetalningar två i förening genom Corporate Netbank. Det var vid granskningstillfället oklart vilka dessa personer var och vilka rutiner som tillämpas för att meddela banken vilka som utsetts.

Vår kommentar

Det bör upprättas en skriftlig rutin för hur kommunen skall säkerställa att berörda banker har erhållit information om aktuellt beslut om firmatecknare.

Det bör upprättas en skriftlig rutin som klargör hur man utser behöriga till att kunna registrera och utföra en utbetalning via internetbanken.

Utbetalning av löner

Ett nytt lönesystem Heroma har införts under år 2012. Systemansvarig är person som till 50 % jobbar med Heroma på lönekontoret och sköter kontakter med systemleverantör. Lönechef är den som är ansvarig för att lägga in behörigheter i lönesystemet.

Löneutbetalning sker via fil och ett elektroniskt banksigill. Bemyndigande sker via att utsedd person på lönekontoret registrerar motsvarande belopp i internetbanken och kontroll sker av banken Nordea att lönefilen stämmer med bemyndigat belopp. Det finns även en spärr på att fakturor inte kan

konteras på lönekontot då dessa lönearter inte finns upplagda i systemet bortsett från ersättningar och utlägg som avser personliga assisteneter. Det finns även en signalista på lönebetalningar över halva månadslönen och det går inte heller att göra löneutbetalning till sig själv.

I det tidigare lönesystemet Aditro så fanns det möjlighet att få ersättning för sina personliga utlägg.

Dessa utbetalningar ske numer som en manuell registrering och utbetalning via kassan.

Underlag för bokföringavlikviduttag lämnas till kassan.

Dessa består av en signerad lista av behöriga attestanter över total lönesumma som sedan stäms av mot underlag från banken av tidigare nämnd systemansvarig på lönekontoret.

Utbetalning från socialkontorets likvidkonto

Socialkontorets utbetalningar sker från socialförvaltningens likvidkonto.

För utbetalning från socialkontorets likvidkonto så används i dagsläget försystemet Pro Capita men man kommer att gå över till ett nytt system som heter Magna Cura. Systemansvarig för Pro Capita är en administratör på socialförvaltningen och samma person lägger också in behörigheter i systemet.

Fyra ekonomiassistenter på socialförvaltningen har behörighet i systemet att registrera en utbetalning av kostnadsposter i Procapita. De har inte behörighet att verkställa någon utbetalning vilket uppfyller kravet på en god intern kontroll.

.

Efter att utbetalningar har registretas så verkställs utbetalningarna via betal fil och dosa och särskilt lösenord vidare till banken genom ett elektroniskt banksigill. Samtidigt skickas en motsvarande bokföringsfil till ekonomisystemet.

Den ekonomiassistent/ekonom som verkställer och beordrar avsläppet på socialförvaltningen sköter också avstämning mot det likvidkonto på socialförvaltningen varifrån utbetalningen sker. Den person som verkställer en utbetalning har inte behörighet att göra några registreringa av utbetalningar i Pro Capita vilket uppfyller kravet på en god intern kontroll.

Att få behörighet att registrera in utbetalningar i systemet följer av vilken tjänst man erhållit.

Berörda chefer meddelar på blankett till systemansvarig vilken behörighet som personen skall tilldelas och detta underlag förvaras hos systemansvarig (och detta meddelas också till IT avdelningen som ger behörighet att komma in i systemet).

För de som har erhållit behörighet att verkställa och släppa betalfiler så krävs det också att

vederbörande personen skriver under en särskild blankett som förvaras hos systemansvarig för Pro Capita.

Vid granskningstillfället så fanns det inte någon matris eller särskild sammanställning över

behörighetsstrukturen. Systemansvarig kunde däremot på begäran ta ut en lista över vilka som har behörighet i systemet. Enligt systemansvarig så har det hittills inte funnits någon intern kontrollrutin med återkommande analyser av behörighetstruktur, behörighetskoder och loggar i systemet.

Huruvida sådana skriftliga rutiner och anvisningar nu har upprättas var däremot oklart.

Vid samtal med 1:a socialsekreterare så framkom att man nu börjat göra analys och stickprovs- kontroller av loggar men vi har vid vår granskning inte närmare analyserat hur dessa kontroller har utförs och dokumenteras. Det har också införts en skriftlig rutin för utbetalningar av försörjningsstöd samt en skriftlig rutin för uppföljande intern kontroll

Bokföring av likvidkonto

En person på serviceenheten som arbetar i huvudkassan har getts behörighet att bokföra dagens transaktioner på kommunens likvidkonto (+ ekonomiassistent på servicekontoret som är ersättare).

Dagens likvidtransaktioner erhåller ett eget verifikationsnummer som tillsammans med underlag för likviduttagen sätts in i en särskild verifikationsserie och förvaras i särskild arkiv pärm.

Behörighet att sköta likvidbokföringen läggas in av systemansvarig för ekonomisystemet.

Avstämning av likvidkonton.

Dagen efter bokföringen så stämmer den som arbetar i kassan av mot kontoutdrag via internet att likvidkonton stämmer med det som skall bokföras och bifogar aktuellt underlag.

Avstämning av likvidkonton inkluderar de utlandsbetalningar som skickats för betalning via internetbanken. ´

När ordinarie personen som arbetar i kassan är ledig så sköts avstämningen av likvidkonton av ekonomiassistent på serviceenheten som också har behörighet att via dosa göra en utlandsbetalning via Girovisionen. Det finns ingen skriftlig rutin för hur avstämning avlikvidkonto skall utföras och det finns inte heller någon anvisning för intern kontroll av att avstämning av kommunens huvudkonto utförs korrekt.

Vår kommentar:

Det bör upprättas skriftliga rutiner för hur avstämning av kommunens likvidkonton skall utföras och dokumenteras och det bör också upprättas skriftliga rutiner för hur en uppföljande intern kontroll av att kommunens avstämningar av likvidkonton utförts på ett korrekt sätt.

Behörighetsstruktur

Det finns behörighetsprocesser för de olika system som används för utbetalning i Lysekils kommun.

Steg ett är att systemförvaltare får vetskap om att en person ska läggas upp samt vilken behörighet personen skall bli tilldelad. För registrering av behörighet i försystemet builder så finns det en skriftlig rutin. Någon motsvarande skriftlig rutin för ekonomisystemet har vi inte kunnat återfinna.

God intern kontroll kräver att en person inte skall ha behörighet och möjlighet att själv kunna

registrera en utbetalning genom hela utbetalningskedjan eller på annat sätt skapa sig en behörighet på ett otillbörligt sätt

Vid vår granskning på ekonomienheten i början av juni så var vårt intryck att det var svårt att få en samlad och aktuell bild av de behörigheter som var inlagda i ekonomisystemet och av detta skäl så uppdrog vi åt systemansvarig för ekonomisystemet att upprätta en aktuell sammanställning. Vid detta tillfälle så framförde systemansvarig för ekonomisystemet också sin tveksamhet kring om hon hade tillräcklig kunskap om systemet för att sköta denna arbetsuppgift.

Vi har utifrån de uppgifter som vi erhållit av systemansvariga för eBuilder och ekonomisystemet gjort en sammanställning för ett antal personer såsom vi uppfattat att de båda systemen ger behörighet till.

Systemansvariga på kommunen bör närmare kontrollera om vår sammanställning av behörigheter är korrekt. Oavsett denna prövning så finns det ändå skäl för ekonomikontoret att göra en riskanalys av behörighetstrukturen i ekonomisystemet utifrån kravet på en god intern kontroll.

Fyra personer har en möjlighet att kunna ge sig själv behörighet i försystemet eBuilder för att kunna lägga in nya leverantörer och skapa attesträtter men i praktiken är det bara en person som idag har som arbetsuppgift och behörighett att göra dessa registreringar.

Totalt hade sju personer vid granskningstillfället behörighet att både kunna registrera en utbetalning i ekonomisystemet och skicka en betalfil.

Exempel på sju personers behörigheter i försystem Ebuilder och ekonomisystem

Registrera Registrera Registrera Skicka

attesträtt leverantör utbetalning betalfil

x x x x

x x x x

x x x x

x x x x

x x

x x

Exempel på en persons arbetsuppgifter med tillhörande behörigheter i försystem Ebuilder och ekonomisystem

Skapa attesträtt i för systemet E bulider (elektronisk attest) Registrera in leverantörer

Registrera in underlag för betalning (som ersättare) Skapa samt sända betal fil (som ersättare)

Sköter avstämning av betalda fakturor

Registrerar utbetalningar via dosa i Girovision (två i förening) Sköter (som ersättare) bokföring samt avstämning av likvidkonton Rutiner för lösenord och loggar

Vi har inte granskat rutiner för uppföljning av tilldelad behörighet, kontroll och rutin för lösenord samt kontroll av loggar. Det kan kanske därför finnas skäl att återkomma med en mer fördjupad kontroll inom ramen för en granskning av IT säkerhet i Lysekils kommun.

Vår kommentar:

Det bör upprättas en gemensam anvisning med krav på att det upprättas skriftliga rutiner för registrering av behörigheter i de olika systemen för utbetalning.

Utifrån vad som framkommit vid vår översiktliga granskning av rutiner för behörighet så bedömer vi ändå att det finns anledning att uppmärksamma behovet av att det i Lysekils kommun upprättas anvisningar och rutiner för en löpande analys och kontroll av struktur och aktualitet i

behörighetsystemen, lösenord och loggar.

2013-07-25

--- ---

Henrik Bergh Håkan Olsson