07.13 Bilaga12 - Revisionsrapport - Granskning av system och rutiner för behörigheter i ekonomisystem Sollentuna

www.pwc.se

Revisionsrapport

Linda Yacoub Hanna Holmberg Juni 2014

Granskning av intern kontroll av system

och rutiner för behö- righet i ekonomisy- stem

Sollentuna kommun

Granskning av intern kontroll av system och rutiner för behörighet i ekonomisystem

Granskning av intern kontroll av system och rutiner för behörighet i ekonomisystem

Innehållsförteckning

1. Sammanfattande bedömning ...1

2. Inledning ... 2

2.1. Bakgrund ... 2

2.2. Syfte, revisionsfråga och kontrollmål... 2

2.3. Revisionsmetod och avgränsning... 2

3. Kommunens rutiner ... 3

3.1. Styrande och stödjande dokument... 3

3.1.1. Riktlinjer för intern kontroll... 3

3.1.2. Reglemente för kontroll av ekononomiska transaktioner... 4

3.1.2.1. Rutin för upplägg och borttag av attesträtt och behörigheter ... 5

3.2. Stickprov... 7

3.2.1. Verifiering av behörigheter och attesträtt ...7

4. Bedömning och rekommendationer ... 11

4.1. Avstämning mot kontrollmål ... 11

4.2. Svar på revisionsfråga ... 12

4.3. Rekommendationer... 13

1. Sammanfattande bedömning

PwC har på uppdrag av revisorerna i Sollentuna kommun genomfört en granskning avseende tilldelning och uppföljning av behörigheter i ekonomisystemet.

Efter genomförd granskning bedömer vi att den interna kontrollen avseende tilldel- ning och uppföljning av behörigheter i ekonomisystemet inte är tillräcklig.

I övrigt hänvisar vi till de bedömningar och rekommendationer som redovisas i av- snitt 4.

2. Inledning

2.1. Bakgrund

Enligt kommunallagen kan kommunfullmäktige föra ned rätten att fatta beslut till nämnderna och vidare kan dessa delegera till tjänstemän.

En viktig förutsättning för en väl fungerande intern kontroll är att det finns rutiner som säkerställer att tilldelade behörigheter i IT-system överensstämmer med beslu- tade delegationer.

2.2. Syfte, revisionsfråga och kontrollmål

Granskningen syftar till att besvara följande revisionsfråga:

Är den interna kontrollen tillräcklig när det gäller tilldelning och uppföljning av tilldelade behörigheter i ekonomisystemet?

Granskningen inriktas mot följande moment:

 Det finns en aktuell attesträttsförteckning avseende attest av ekonomiska transaktioner.

 Det finns fungerande rutiner för tilldelning och uppföljning av behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet som behörighetsnivå i IT-system. Rutinen är dokumenterad.

 Det finns fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning samt av förändringar under året (exem- pelvis medarbetare som slutar, är lediga eller tillfälliga förändringar av be- hörighet).

 Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter.

2.3. Revisionsmetod och avgränsning

Granskningen sker genom dokumentstudier av styrande/stödjande dokument. Kon- troll sker av gällande attestreglemente/attestförteckning och ett antal stickprov för att verifiera riktigheten i gällande rutiner och riktlinjer. Intervju sker med ansvarig tjänsteman/tjänstemän på kommunen. Detta genom en inledande telefonintervju samt en intervju på plats hos kommunen i samband med genomgång av ekonomisy- stem tillsammans med systemförvaltare.

3. Kommunens rutiner

3.1. Styrande och stödjande dokument

3.1.1. Riktlinjer för intern kontroll

Kommunens riktlinjer för intern kontroll (antaget av kommunfullmäktige 2003-11- 17) anger att fullmäktige fastställer riktlinjerna för intern kontroll, kommunstyrel- sen har det övergripande ansvaret för att tillse att det finns en god intern kontroll, samt att nämnderna ansvarar för att ett system för intern kontroll upprättas inom respektive verksamhetsområde. Av kommentarer till riktlinjerna framkommer även att förvaltningschefen inom respektive område har det verkställande ansvaret för att arbeta fram regler och anvisningar om intern kontroll. Vidare anges att samtliga anställda är skyldiga att följa gällande regler och anvisningar för intern kontroll.

Nämnderna ska löpande eller senast den 31 januari varje år rapportera resultatet från uppföljningen av den interna kontrollen inom nämnden till kommunstyrelsen och kommunens revisorer. Kommunstyrelsen ska sedan, med utgångspunkt från nämndernas uppföljningsrapporter, utvärdera kommunens samlade system för in- tern kontroll. Om behov finns ska kommunstyrelsen lämna förslag på områden i behov av förbättring.

Internkontrollplan

I samband med granskningen har en genomgång av internkontrollplan för 2014 samt kommunens uppföljning av internkontrollplan för 2013 skett.

Kommunens internkontrollplan redovisas per nämnd. Nedan redogörs för de nämnder vars internkontrollplan för 2014 behandlar rutiner/system som är rele- vanta för granskningen.

Nämnd System Kontrollmoment/

delrutin

Kontroll- ansvar

Frekvens Metod Rapportering

Kom m unstyrelsen Raindance Att det finns kvit- ton/underlag till den tillfälliga utbetalning sam t att attestanten inte har attesterat utbe- talningar till ho- nom /henne själv (jäv- skontroll) och att det finns såväl en sak- granskningsattest som en beslutsattest liksom att m omsen är rätt redov isad.

Budget- och redov isning- schef.

2 ggr/år Stickprovskon- troller på alla av delningar inom KLK

Kom m unstyrel- sen i nov ember 2014

Socialnämnden Ascendo Kontrollera att kortin- nehavare av FirstCard inte har attesterat sina egna fakturor.

Ekonom och controller

1 ggr/mån Alla FirstCard Controller

Trafik- och fastig- hetsnämnden

Ascendo Kontroll att leveran- törsfakturor attesteras

Ekonom i 4 ggr/år Stickprov i Ascendo

Förv altningschef

av behörig person.

Miljö- och by gg- nadsnämnden

Ascendo Kontroll av att besluts- attester görs av behö- riga attestanter.

Enhetschef och förv alt- nings-chef.

- Stickprov av attestering.

Senast i MBN i decem ber 2014

Kommunens uppföljning av internkontrollplanen för 2013 innefattar nedanstående kontroller som bedöms vara relevanta för granskningen:

- Kommunledningskontoret granskade följande två kontrollmoment: 1) att två personer har attesterat leverantörsfakturor, samt 2) att delta-

gare/mottagare av representationsfaktura inte attesterat fakturan. För båda kontrollmoment framkom brister, detta då 14 av 100 leverantörsfaktu- ror endast var attesterade av en person samt att 5 av 39 representationsfak- turor var attesterade av deltagare/mottagare.

- Socialnämnden granskade följande två kontrollmoment: 1) att kortinneha- vare av FirstCard inte attesterat sina egna fakturor, samt 2) att vårdfaktu- ror bland annat haft korrekt granskningsattest, beslutsattest samt atteste- rats av rätt person i kontringsstämpeln. Av 214 granskade FirstCard- fakturor var 25 attesterade av kortinnehavaren. Vid granskningen av vård- fakturor förekom inga fel kopplande till ovan nämnda kontrollmoment.

Kommentarer och iakttagelser

Sedan ovan nämnda uppföljningar av internkontroll utfördes har åtgärder vidtagits av kommunledningskontoret. Detta i form av automatiska spärrar i Ascendo som omöjliggör att sakgranskning och beslutsattest utförs av samma person, d v s idag måste två personer attestera alla leverantörsfakturor. Denna spärr infördes oktober 2013 i samband med att kommunens attestreglemente uppdaterades med ett för- tydligande kring detta. Internkontrollplanen 2014 för kommunledningskontoret och socialnämnden innehåller fortsatta kontroller inom respektive område.

3.1.2. Reglemente för kontroll av ekononomiska transaktioner

Kommunens reglemente för kontroll av ekonomiska transaktioner (ändrat av kom- munfullmäktige 2006-05-08) anger att attest av transaktioner ska ske innan de utförs. Kommunen tillämpar följande tre attestformer:

 Sakgranskningsattest (namnteckning eller elektronisk signatur) som inne- bär kontroll mot leverans/prestation samt uträkning

 Beslutsattest (namnteckning eller elektronisk signatur) som medför kontroll mot underlag/beställning/beslut och villkor, samt

 Behörighetsattest (namnteckning) som innebär kontroll av behörighet Beslut om att utse beslutsattestanter och ersättare till dessa ska fattas av nämnd eller direkt underställd chef som i sin tur kan bemyndiga ytterligare tjänstemän att utse beslutsattestanter. En aktuell förteckning ska finnas över både dem som kan utse beslutsattestanter samt över dem som tilldelats attesträtt, vilket nämnd eller

underställd chef ansvarar för. Båda förteckningarna ska delges kommunrevisionen och redovisningsenheten. Vidare anger reglementet att attestmoment inte får utfö- ras av en medarbetare som själv ska betala till kommunen och där ta emot transakt- ioner eller själv ta emot betalning från kommunen. En ekonomisk transaktion ska attesteras av två personer förutom behörighetsattestanten, d v s sakgranskningsat- test samt beslutsattest ska utföras och momenten får inte utföras av samma person.

Kommentarer och iakttagelser

Det finns en förteckning över vilka personer som får utse beslutsattestanter och denna förvaras centralt. Rätten att utse beslutsattestanter innehas av samtliga för- valtningschefer och får även utföras i enlighet med respektive nämnds gällande de- legationsordning.

Attestmoment får inte ske av en medarbetare som själv ska betala till kommunen och där ta emot transaktioner eller själv ta emot betalning från kommunen. Medar- betare inom kommunen är skyldiga att följa reglementet. Redovisningsenheten sä- kerställer att så inte sker genom att samtliga tillfälliga utbetalningar kontrolleras av medarbetare på redovisningsenheten.

3.1.2.1. Rutin för upplägg och borttag av attesträtt och behörigheter

Attesträtt

Attesträtten i kommunen är uppbyggt på ansvar. Beslutsattestanter utgörs av an- svariga chefer ute på förvaltningarna. Sakgranskningsattest styrs utifrån den refe- rens som angetts på leverantörsfakturorna, d v s ska ske av beställare.

Attesträtten ligger separerat från behörigheter, dvs ansökan och beslut om rätt till attestansvar respektive behörighetsnivå sker på olika anmälningsblanketter. Samt- liga nämnder inom kommunen fyller manuellt i en attestblankett (”Ny ansvarig”) som sedan ligger till grund för den attesträtt som registreras i Ascendo. Attestblan- ketten används för ny beslutsattestant, upphörande av beslutsattestant, ersättare samt upphörande av ersättare, d v s rutinen för ifyllnad är densamma för samtliga förfaranden. Förvaring av attestblanketterna sker hos kassan.

Förändringar sker på originalblankett, d v s den attestblankett som ifyllts vid ny- upplägg. Vid avslut av attesträtt ska en ny attestblankett (”Upphörande av ansva- rig”) fyllas i av berörd medarbetare eller dennes chef. Det är dock berörd chefs an- svar att inrapportera när medarbetare avslutat sin anställning. Blanketten ska sedan skickas till systemförvaltare för avslut av attesträtt. Detta sker främst vid avslut av medarbetare i chefspositioner eller högre behörighetsnivå, men sällan för övriga medarbetare.

Utifrån attestblanketten registreras attesträtt i fakturasystemet Ascendo. Totalt kan tre medarbetare på redovisningsenheten registrera attesträtt, vilka är systemförval- tare, systemadministratör samt en medarbetare i kassan. Ersättare för beslutsattes- tanter registreras i samband med upplägg av ordinarie beslutsattestanter. Det före- kommer dock att ersättare registreras först då behov uppstår. Ersättare attesterar främst under semesterperioden. Ekonomichefen har attesträtt när medarbetare inom kommunledningskontoret är frånvarande och är även ersättare för kommun- direktören.

Användningen av attestblanketten varierar mellan kommunens olika nämnder. För sex nämnder sammanställs sedan 2013 attestblanketterna till en attestlista med uppgift om ansvar samt namn på beslutsattestant och dess ersättare. Till attestlistan bifogas en lista med namn och namnteckningsprov för beslutsattestanter. Vid för- ändringar av attesträtt uppdateras attestlistan. Uppdatering av lista med namn- teckningsprov varierar. I vissa uppdateras hela listan med samtliga beslutsattestan- ter. I andra fall biläggs en ny lista till den ordinarie endast innehållande nytill- komna beslutsattestanter. Attestlistor med namnteckningsprov ska upprättas årlig- en. I dagsläget saknar tre nämnder detta förfarande och använder fortfarande at- testblanketter. Namnteckningslistan kompletteras med en bilaga innehållande den nya namnteckningen, ursprungsförteckningen sparas därmed intakt. Detta då kommunen vill möjliggöra att i efterhand kunna kontrollera samtliga namnteck- ningar.

Kommentarer och iakttagelser

Uppföljning/inventering av attesträtt ska ske årligen. Detta sker dock inte i dagslä- get.

Enligt kommunen kan systemadministratören ge sig själv attesträtt, dock saknar medarbetaren behörighet att bemyndiga utbetalningar hos banken.

Fakturasystemet Ascendo innehåller automatiska spärrar som omöjliggör följande:

- attest på annans ansvar

- att sakgranskningsattest och beslutsattest utförs av samma person (fr o m oktober 2013)

I samband med granskningen har en verifiering av de automatiska spärrarna i Ascendo genomförts tillsammans med kommunen vad gäller omöjliggörande av attest på annans ansvar samt att samma person utför sakgranskningsattest och be- slutsattest.

Behörighet i Raindance och Ascendo

För att få en användarbehörighet i ekonomisystemet Raindance sker ansökan på en särskild blankett, som är annan än attestblanketten. Behörighetsblanketten anger tre nivåer av behörighet.

 Nivå 1 är en grundbehörighet som innehas av samtliga användare som har tillgång till Raindance och innebär en tittarbehörighet avseende informat- ionsuttag i alla delsystem.

 Nivå 2 avser uttag av rapporter och uppgifter i Excel

 Nivå 3 medför registrerarbehörighet i extern leverantörsreskontra, intern- reskontra, extern kundreskontra och/eller bokföringsorder/budget.

Vid nyanställning ska ansvarig chef gå igenom de system som ny medarbetare ska ha behörighet till och fyller sedan i behörighetsblanketten som skickas till kassan för upplägg. Tilldelningen av behörighetstyp i Raindance baseras på medarbetarens arbetsuppgifter i fakturahanteringssystemet Ascendo samt om personen i fråga har ekonomiskt ansvar eller inte. Raindance möjliggör uttag av listor över medarbetare

som har behörighet till systemet. Behörighetsblanketten som används vid registre- ring av behörighet anger tre behörighetsnivåer – behörighetsnivå 1-3. Enligt syste- madministratören anges dock att behörighetsnivå 1-7 används vid tilldelning av behörighet. Behörighetsnivå 7 är högsta behörighetsnivå och innehas av två system- förvaltare och medarbetare i kassan. Behörighetsnivåer högre än nivå 3 ska endast tilldelas administrativ personal centralt.

Y tterligare en behörighetsblankett används vid upplägg av behörighet fakturahante- ringsystemet Ascendo. Behörighet i Ascendo avser sakgranskning (omfattar sak- granskning och kontering) samt beslutsattest (omfattar sakgranskning, kontering och beslutattest). Ascendo möjliggör uttag av listor över medarbetare som har behö- righet till systemet.

Behörighetsblanketterna ska skrivas ut och fylls i manuellt. Förändringar sker på samma blankett, d v s den originalblankett som fyllts i vid nya upplägg. Förvaring av blanketterna sker hos kassan. Det sker ingen löpande uppföljning av behörighet- er.

Kommentarer och iakttagelser

Medarbetares behörighet i Raindance och Ascendo samt attest ska fyllas i på av- sedda behörighetsblanketter som sedan lämnas till systemförvaltaren. I viss ut- sträckning utförs detta även genom att ansvarig chef eller förvaltningschef muntlig- en efterfrågar behörighetsregistreringen av systemförvaltaren dvs behörighetsblan- ketter används inte. Detta sker dock endast fall då medarbetaren enbart tilldelas tittarbehörighet.

3.2. Stickprov

3.2.1. Verifiering av behörigheter och attesträtt

Som ett led i granskningen har verifiering av attest och behörigheter genomförts.

Behörigheter

Behörigheter i Raindance

Granskning har utförts av ett urval av registrerade behörigheter i Raindance. Kon- troll har skett av behörigheter för totalt 30 medarbetare inom kommunen varav 15 genom att jämföra registrerad behörighet i Raindance mot anmälningsblankett.

Y tterliggare 15 har granskats genom att jämföra anmälningsblankett mot registre- rad behörighet i Raindance (se tabell 1).

T abell 1. Behörighet Raindance

Kontrollmoment Utfall

Raindance

Registrerad behörighet har kontrol- lerats mot anmälningsblankett

 För 15 av 15 medarbetare med registrerad behörig- het i Raindance återfanns anmälningsblankett.

Raindance

Anmälningsblankett har kontrolle- rats mot registrerad behörighet

 För 15 av 15 medarbetare med behörighet i Rain- dance enligt anmälningsblankett återfanns regi- strerad behörighet i Raindance.

Kom m entarer:

 I elv a fall v ar anmälningsblanketterna för behörighet i Raindance ify lld korrekta.

 I tio fall har sy stemförvaltaren delvis angivit v ilka behörigheter som beviljas eller av slås.

 I fem fall saknas signatur från sy stemförvaltare.

 I tv å fall har sy stemförvaltaren inte angivit om behörigheter beviljats eller avslagits.

 I ett fall har endast en kommentar om behörighetsnivå angivits; ”samma som övriga hand- läggare på KC”, d v s inga behörigheter har ify llts.

 I ett fall anges behörighetsnivå 7.

Behörigheter i Ascendo

Granskning har utförts av ett urval av registrerade behörigheter i Ascendo. Kontroll har skett av behörigheter för totalt 20 medarbetare inom kommunen varav tio ge- nom att jämföra registrerad behörighet i Ascendo mot anmälningsblankett. Ytter- liggare tio har granskats genom att jämföra anmälningsblankett mot registrerad behörighet i Ascendo (se tabell 2).

Tabell 2. Behörighet Ascendo

Kontrollmoment Utfall

Ascendo

Registrerad behörighet har kontrollerats mot anmälnings- blankett

 För 5 av 10 medarbetare återfanns anmälningsblan- kett.

 För 5 av 10 medarbetare med registrerad behörighet i Ascendo saknades anmälningsblankett.

Ascendo

Anmälningsblankett har kon- trollerats mot registrerad behö- righet

 För 6 av 10 medarbetare återfanns registrerad behö- righet.

 För 4 av 10 medarbetare med behörighet i Ascendo enligt anmälningsblankett saknades registrerad b e- hörighet.

Kom m entarer:

 Inga öv riga avvikelser har noterats Behörigheter i bokföringsportalen

Granskning har utförts av ett urval registrerade behörigheter i bokföringsportalen.

Kontroll har skett av behörigheter för ett antal medarbetare i kommunen från totalt tio ansökningsblanketter genom att jämföra mot registrerad behörighet i bokfö- ringsportalen.

Tabell 3. Behörighet i bokföringsportalen

Kontrollmoment Utfall

Bokföringsportalen

Anmälningsblankett har kontrolle- rats mot lista

 För 10 av 10 anmälningsblanketter återfanns samtliga medarbetare med registrerad behörighet i bokföringsportalen.

Kom m entarer:

 Inga av v ikelser noterade

Kommentarer och iakttagelser

Efter genomförda verifieringar kan vi konstatera att behörighetshanteringen för Raindance och Ascendo inte sker helt i enlighet med kommunens rutin. I Raindance överensstämde samtliga anmälningsblanketter mot registrerad behörighet i Rain- dance. Dock noterades att anmälningsblanketterna för behörigheterna var ofull- ständigt ifyllda, bl a avsaknad av signatur från systemförvaltaren samt avsaknad av korrekt specifikation av vilken behörighetsnivå som valts för den specifika medar- betaren.

Attesträtt

Attesträtt i Ascendo

Kontroll av ett urval attesträtter i Ascendo har utförts enligt följande:

1) Aktuell förteckning över registrerade attesträtter i Ascendo har inhämtats från kommunen.

2) Aktuell förteckningen över registrerade attesträtter i Ascendo har sedan jämförts mot nämndernas senaste version av attestlista, eller i de fall en så- dan saknas, mot senaste version av attestblankett. Detta har kontrollerats för tio personer. Se tabell 4.

3) Som ett andra steg har senaste version av attestlista, eller i de fall en sådan saknas, senaste version av attestblankett, jämförts mot aktuell förteckning över registrerade attesträtter i Ascendo. Detta har kontrollerats för tio per- soner. Se tabell 5.

Tabell 4. Attesträtt enligt Ascendo

Beslutsattestant Nam nteckning Attesträtt enligt Ascendo överens- stäm mer m ed attest- blankett

Ev . av v ikelse

1 Nej Nej Registrerad attesträtt på

ansv ar 702 saknar be- slutsunderlag

2 Nej Ja -

3 Ja Ja -

4 Nej Ja -

5 Ja Nej Registrerad attesträtt på

ansv ar 800, 260 och 262-268 saknar besluts- underlag

6 Nej Ja -

7 Ja Nej Registrerad attesträtt på

ansv ar 145 och 165 sak- nar beslutsunderlag.

8 Nej Ja -

9 Nej Ja -

10 Nej Ja -

Kom m entarer:

 I 7 av 10 fall saknas namntekning för beslutsattesranten.

 I 3 av 10 fall fanns fler ansv ar registrerade i Ascendo än v ad som specificeras på beslutsunderlag.

Tabell 5. Attesträtt enligt blankett

Beslutsattestant Nam nteckning Attesträtt enligt at- testblankett öv erens- stäm mer m ed

Ascendo

Ev . Av vikelse

1 Ja Ja -

2 Ja Nej Registrerad attesträtt på

ansv ar 693 saknar be- slutsunderlag.

3 Ja Ja -

4 Ja Ja -

5 Ja Ja -

6 Ja Ja -

7 Nej Ja -

8 Ja Nej Registrerad attesträtt på

ansv ar 260 saknar be- slutsunderlag.

9 Ja Nej Registrerad attesträtt på

ansv ar 260 och 262 saknar beslutsunderlag.

10 Ja Ja -

Kom m entarer:

 I 1 av 10 fall saknas namnteckning för beslutsattestanten.

 I 3 av 10 fall fanns fler ansv ar registrerade i Ascendo än v ad som specificeras på beslutsunderlag.

Kommentarer och iakttagelser

Efter genomförda verifieringar kan vi konstatera att attesthanteringen inte sker helt i enlighet med kommunens nuvarande rutin. En aktuell attestförteckning med atte- stanternas underskrift bör upprättas varje år. Totalt sex av de 20 kontrollerade medarbetarna har registrerade attesträtt som omfattar fler ansvar än vad som be- slutats enligt blankett/lista. I åtta fall saknas attestanternas namnteckning.

4. Bedömning och

rekommendationer

4.1. Avstämning mot kontrollmål

Kontrollmål Kommentar

Det finns en aktuell attesträttsförteck- ning avseende attest av ekonomiska transaktioner.

Delvis uppfyllt

I samband med granskningen erhölls en förteckning över registrerade attesträt- ter i Ascendo. Denna kontrollerades mot de senaste versionerna av attestblanket- ter och/eller attestlista för ett antal per- soner. Attestblanketter och/eller attest- listor ligger till grund för registreringen av attesträtt. Denna verifiering visade dock på ett antal avvikelser. Förteck- ningen över registrerade attesträtter i Ascendo bedöms därmed som inaktuell.

I de fall avvikelser noterades mellan förteckningen och attestblanketter och/eller attestlistor påtalades vid faktaavstämning att äldre versioner av attestblanketter och/eller attestlistor finns och som anses gälla. Dessa bedö- mer vi dock som inaktuella.

Det finns fungerande rutiner för tilldel- ning och uppföljning av behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet som behörighetsnivå i IT-system. Rutinen är dokumenterad.

Ej uppfyllt

Kommunen saknar dokumenterade ru- tiner för tilldelning och uppföljning av behörigheter och attesträtt i faktura- och ekonomisystemet. Kommunen har muntliga rutiner, vilka dock inte följs fullt ut.

Det finns fungerande rutiner för kon- troll av att registrerade behörigheter är korrekta utifrån delegationsordning samt av förändringar under året (exem- pelvis medarbetare som slutar, är lediga eller tillfälliga förändringar av behörig- het).

Delvis uppfyllt

Kommunens rutin avseende tilldelning av attesträtt och behörigheter innefattar att ansvarig chef ska godkänna registre- ringen av attesträtt vid nyupplägg.

Kommunen saknar dock en rutin för kontroll av förändringar av attesträtt och behörigheter under året. Det görs inte heller någon uppföljning av at- testrätt eller behörigheter.

Användarnas behörighetsnivå i IT- system är ändamålsenlig utifrån ansvar och befogenheter.

Ej bedömningsbart

I samband med granskningen av behö- righeter i ekonomisystemet framkom att behörighetsnivåer i systemet är fler än vad som framgår av behörighetsblan- kett. Detta medför att tilldelning av be- hörigheter inte sker i enlighet med vad som ifyllts och godkänts på behörig- hetsblankett.

4.2. Svar på revisionsfråga

Efter genomförd granskning bedömer vi att den interna kontrollen avseende tilldel- ning och uppföljning av behörigheter i ekonomisystemet inte är tillräcklig.

Bedömningen görs mot bakgrund av följande:

Kommunen har inga dokumenterade rutiner för tilldelning och hantering av behö- righeter och attesträtt i faktura- och ekonomisystemet. Kommunen har muntliga rutiner, vilka beskrivs i rapporten. Rutinerna bedöms till viss del ändamålsenliga, dock visar granskningen att de inte följs fullt ut.

Som ett led i granskningen har verifiering av attesträtt genomförts. Kommunen ombads inkomma med en aktuell förteckning över registrerade attesträtter i Ascendo. Denna kontrollerades mot de attestblanketter och/eller attestlistor som ligger till grund för registreringen av attesträtt. Verifieringen visade på ett antal avvikelser. Vid faktaavstämningen av rapporten framkom att den förteckning som erhållits inte var aktuell. På begäran har en aktuell förteckning inte kunnat erhållas i samband med granskningen. Avvikelserna beror även på att registrerade attesträt- ter i Ascendo kontrollerats mot de senaste versionerna av attestblanketter och/eller attestlista för ett antal personer. Vid faktaavstämning påtalade kommunen att äldre versioner av attestblanketter och/eller attestlistor finns. Dessa bedömer vi dock som inaktuella. Detta medför att en fullständig verifiering inte kunnat genomföras som avsetts. Kommunen saknar även en rutin för systematisk och/eller löpande kontroll av förändringar av attesträtt och behörigheter. Vidare saknas rutin för uppföljning av attesträtt eller behörigheter.

I samband med granskningen erhölls en förteckning över registrerade attesträtter i Ascendo. Denna kontrollerades mot de senaste versionerna av attestblanketter och/eller attestlista för ett antal personer. Attestblanketter och/eller attestlistor ligger till grund för registreringen av attesträtt. Denna verifiering visade dock på ett antal avvikelser. Förteckningen över registrerade attesträtter i Ascendo bedöms därmed som inaktuell.

Granskning av behörigheter i ekonomisystemet visade på fler behörighetsnivåer än vad som framgår av behörighetsblankett. Behörighetsblankett ifylls och godkänns av ansvarig chef och tilldelad behörighet registreras av systemförvaltare. Systemför- valtare ska i samband med registrering bevilja eller avslå de behörigheter som an- svarig chef tilldelat. Verifieringen visar på att det är svårt att bedöma hur tilldel- ningen och registreringen genomförts då urvalet visar på ett stort antal avvikelser mellan behörighetsblanketter och registrerade behörigheter. Enligt behörighets- blanketten finns behörighetsnivå 1 – 3. Vid genomgång av behörighetsnivåer i eko- nomisystemet med systemförvaltare framkom att behörighetsnivå 1 – 7 tillämpas.

Inom behörighetnivå 1 – 7 finns dessutom ytterligare nivåer inom respektive behö- righet. Detta medför att tilldelning av behörigheter inte sker i enlighet med vad som ifyllts och godkänts på behörighetsblankett samt att det saknas en samlad och tydlig bild av behörighetshantering i kommunen.

I samband med granskningen informerade redovisningsenheten att ett nytt ekono- misystem kommer att införas vid årsskiftet 2014/2015. Detta kommer medföra en förändring av kommunens rutiner för hantering av behörigheter och attesträtt.

4.3. Rekommendationer

Efter genomförd granskning lämnar vi följande rekommendationer:

- Att kommunen utformar dokumenterade rutiner för tilldelning av behörig- heter och attesträtt i faktura- och ekonomisystemet.

- Att kommunen tar fram rutiner för löpande kontroll av förändringar av be- hörigheter och attesträtt i faktura- och ekonomisystemet.

- Att kommunen upprättar ett system för uppföljning i syfte att säkerställa att registrerade behörigheter och attesträtter är aktuella. De kontroller och den uppföljning som genomförs bör dokumenteras.

- Att kommunen genomför en översyn avseende hanteringen av behörighets- nivåer i ekonomisystemet.

2014-06-10

Linda Yacoub Anders Haglund

Projektledare Uppdragsledare