R E V I S I O N S R A P P O R T
2014-06-17 Kommunfullmäktige
Sid 1 (3) Dnr: 13REK19
Handläggare: Gunilla Beckman Ljung
K O M M U N R E V I S I O N E N
Granskning personalsystemen Personec P och Hogia Granskningen
Revisorerna har, efter en risk- och väsentlighetsanalys av resultat- och balans- räkningarna, beslutat vilka stora flöden som ska granskas för att de ska kunna uttala sig om att den interna kontrollen är tillräcklig. Under 2013 valde reviso- rerna ut personalsystemen Personec P som omsatte knappt 3,2 miljarder kr och Hogia med drygt 220 mnkr (avser helår 2012).
Kommunstyrelsen är systemägare och systemförvaltare för Personec P som används av kommunen, Gavlefastigheter Gävle Kommun AB, Gävle Hamn AB samt Gästrike Vatten AB. Gävle Energi AB och AB Gavlegårdarna är system- ägare och systemförvaltare för sina respektive personalsystem i Hogia.
Syftet med granskningen är att bedöma säkerheten i löneutbetalningar och därtill hörande rutiner för intern kontroll. Granskningen omfattar en kart- läggning av kommunens samt bolagens rutiner och väsentliga styrdokument.
Den omfattar också en databaserad registeranalys för samtliga löne-, arvodes- och ersättningstransaktioner under perioden januari till augusti 2013.
Granskningen har genomförts av EY (tidigare Ernst & Young). Revisorerna noterar att vissa brister som upptäcktes under granskningen åtgärdades om- gående.
Sid 2 (3)
Granskningen har utmynnat i ett antal rekommendationer och de tyngsta är:
► Att dokumentera risker i löneprocessen samt vilka nyckelkontroller som ska finnas för att hantera dem. Ha en rutin för att genomföra kon- trollerna. (Samtliga)
► Att samtliga behörigheter och uppgifter i Personec P och Hogia inven- teras regelbundet och att behörigheter knyts med godkända av- tal/underlag för att säkerställa att korrekt behörighet är registrerad.
Kontrollen bör dokumenteras. (Samtliga)
► Att ha detaljerad avstämning mot ekonomisystemet. (Hogia-bolagen)
► Att tydliggöra Lön och Arbetsrätts respektive bolagens ansvar för ut- tag av uppgifter ur Personec P som utgör underlag för redovisning i bolagen. (Kommunen)
► Att ha en dokumenterad kontroll som säkerställer att nya lönerna inte överskrider förhandlingsutrymmet. (Kommunen)
► Att införa ytterligare kontroller av inrapporterade timmar för timan- ställda så att dessa överensstämmer med faktisk arbetad tid. (Kom- munen)
► Att stärka riktigheten i fasta data i Personec P med kontroller vid ny- upplägg och uppdateringar av adresser via folkbokföringen (Kommu- nen)
► Att hantera överförmyndarnämndens arvodesutbetalningar med fil- överföring från Wärna till Personec P (Kommunen)
Rapportens behandling
Rapporten presenterades för revisorskollegiet i Gävle 2013-11-05. Revisorer- na beslutade att ta in synpunkter på genomförd registeranalys och inarbeta dessa i rapporten innan den översändes till berörda enheter för yttrande.
Vid ett möte 2014-02-06 har rapporterna presenterats för Gävle kommuns och bolagens HR-chefer. Yttranden inkom från bolagen 2014-03-20. Yttrande från Kommunstyrelsen inkom 2014-06-05.
Sid 3 (3)
Yttrande Gävle Energi AB och AB Gavlegårdarna
Gävle Energi AB och AB Gavlegårdarna har svarat att de har eller kommer att vidta åtgärder inom de rekommenderade områdena för att stärka den interna kontrollen. De har dock inte för avsikt att i sina ekonomisystem skapa detalje- rade uppföljningsmöjligheter, utan anser att den interna kontrollen kan lösas via personalsystemet och rutiner uppbyggda kring det.
Yttrande Kommunstyrelsen
Kommunstyrelsen har också svarat att de kommer att vidta åtgärder enligt de rekommendationer som getts och svarar också positivt på de frågor som revi- sorerna lyft. Den fråga som kvarstår för senare åtgärd är överföringen av upp- gifter från Wärna i filform till Personec P. Det som prioriterats under 2014 var filöverföringar från Troman, dvs arvoden till förtroendevalda.
Överväganden och ställningstaganden
Resultatet av granskningen när det gäller Personec P och Hogia visar att inga övergripande riskanalyser har gjorts. Under 2014 kommer revisorerna att göra en uppföljning av arbetet med riskanalyser och intern kontrollpla- ner/uppföljning i kommunkoncernen.
Bolagen och Kommunstyrelsen har tagit till sig de rekommendationer som granskningsrapporten utmynnat i och antingen genomfört eller planerar att genomföra ändringar i sin interna kontroll och i sina rutiner. Dessa åtgärder får följas upp i den fortsatta granskningen.
Revisorerna i Gävle kommun
Gunilla de Maré Gunilla Beckman Ljung
Revisorskollegiets ordförande Revisionschef Bilaga:
1. Rapport ” Granskning av Personalsystemet Personec P”
2. Rapport ” Granskning av Personalsystemet Hogia”
3. Yttranden: Kommunstyrelsen, AB Gavlegårdarna och Gävle Energi AB
Granskning av Personalsystemet Personec P
Gävle Kommun, Gästrike Vatten AB, Gävle Hamn AB och Gavlefastigheter Gävle Kommun AB
21 februari 2014
Innehållsförteckning
1 Inledning ... 2
1.1 Bakgrund ... 2
1.2 Projektets syfte och avgränsning ... 2
1.3 Revisionsfrågor ... 2
1.4 Metod och genomförande ... 3
2 Beskrivning av löneprocessen ... 4
2.1 Fast data ... 4
2.2 Rörlig data ... 5
2.3 Utbetalning av löner och bokföring av lönekostnader ... 6
2.4 Sociala avgifter och semesterlöneskuld ... 8
2.5 Övrigt ... 9
3 Registeranalys ... 10
3.1 Iakttagelser och noteringar efter registeranalys ... 10
4 Svar på revisionsfrågorna ... 13
4.1 Har organisationerna ändamålsenliga rutiner kopplat till utbetalning av löner samt beräkning av semesterlöneskuld samt sociala avgifter? ... 13
4.2 Finns tillfredställande rutiner för attester och kontroll av lönegrundande dataregistreringar i personalsystemet och försystemet? ... 13
4.3 Finns tillfredställande rutiner för kvalitetssäkring och överföring av lönegrundande data från verksamhetssystemet och försystemet till personalsystemet? ... 14
4.4 Finns tillfredställande rutiner för kvalitetssäkring och överföring av lönegrundande data mellan personalsystem och ekonomisystem? ... 14
4.5 Finns det inom bolagen tillfredställande rutiner för kontroll och uppföljning av väsentlig logginformation från personalsystemet? ... 15
4.6 Är uppgifterna i Personec P tillförlitliga? ... 15
5 Sammanfattande bedömning och rekommendationer ... 16
Bilaga 1 – Registeranalysen har granskat följande områden Bilaga 2 – Analysdokument i Excel
1 Inledning
1.1 Bakgrund
Gävle kommuns revisorer har beslutat att granska den interna kontrollen kopplat till personalsystemet Personec P som används av Gävle kommun, Gästrike
Vatten AB (”Gästrike vatten”), Gävle Hamn AB (”Gävle hamn”) och
Gavlefastigheter Gävle kommun AB (”Gavlefastigheter”). Bolagen ingår i Gävle kommuns företagskoncern.
EY har av Gävle kommuns revisorer tilldelats att genomföra granskningen.
1.2 Projektets syfte och avgränsning
Syftet med vår granskningsrapport är att kartlägga Gävle kommun, Gästrike Vatten, Gävle Hamn och Gavlefastigheter rutiner och väsentliga styrdokument kopplat till löneprocessen och personalsystemet Personec P. Utgångspunkten ligger i organisationernas delegations/-attestregler och riktlinjer för
internkontroll samt kommun koncernens IT-säkerhetshandbok. Granskningens inriktning har inte varit att testa interna kontroller för att säkerställa att dessa fungerat effektivt under räkenskapsåret.
Vidare är granskningens syfte att genomföra en registeranalys för
organisationernas samtliga löne-arvodes, och ersättningstransaktioner under perioden januari till och med sista augusti 2013. Resultatet från
registeranalysen ska ges till kommunrevisorerna för vidare granskning och uppföljning.
1.3 Revisionsfrågor
► Har organisationerna ändamålsenliga rutiner kopplat till utbetalning av löner samt beräkning av semesterlöneskuld samt sociala avgifter?
► Finns tillfredställande rutiner för attester och kontroll av lönegrundande dataregistreringar i personalsystemet och försystemet?
► Finns tillfredställande rutiner för kvalitetssäkring och överföring av lönegrundande data från verksamhetssystem och försystem till personalsystemet?
► Finns tillfredställande rutiner för kvalitetssäkring och överföring av lönegrundande data mellan personalsystem och ekonomisystem?
► Finns det inom bolagen tillfredställande rutiner för kontroll och uppföljning av väsentlig logginformation från personalsystemet?
1.4 Metod och genomförande Intern kontrollgranskning
Granskningen har genomförts genom genomläsning av dokument, intervjuer av nyckelpersoner inom respektive organisation samt genom granskning av
underliggande information till personalkostnader, sociala avgifter och semesterlöneskuld. Som grund för vår analys och kartläggning har vi använt Committe Of Sponsoring Organization of the Treadway Commissions ramverk för intern kontroll (”COSO-modellen”). Vårt fokus har varit att bedöma
kontrollmiljön, riskbedömningar, kontrollaktiviteter, information och
kommunikation samt övervakande aktiviteter inom respektive organisation.
I vår granskning har delat upp löneprocessen i fyra underprocesser, Fast data, Rörlig data, Utbetalning och bokföring av lönekostnader samt Sociala avgifter och semesterlöneskuld.
Registeranalys
Registeranalys har genomförts på organisationernas lönedata utifrån filer som skapats av respektive organisation. Analys har gjorts utifrån 16 olika
frågeställningar som ämnar utreda om lönedata i Personec P är tillförlitlig.
Samtliga frågeställningar återfinns i Bilaga 1.
Gävle kommun
Gästrike Vatten
Gävle Hamn
Gavlefastigheter
Antal anställda
FY12 6 134 65 150 57
Personalkostnader
FY12 (Tkr) 3 047 500 38 698 74 133 31 676
Försystem Troman
Medvind Självservice Flex
Självservice Flex
Självservice Flex
Självservice Flex
Personalsystem Personec P Personec P Hogia PA
(jan-mars 2013) Personec P (april 2013-)
Personec P
Ekonomisystem Agresso Agresso Hogia
Ekonomi Agresso
Nyckelpersoner Löne.C.
Redv.C Löne- samordnare System- förvaltare Ekonomi- assistenter
Ekonomi- assistent PersonalC.
Ekonomichef PersonalC.
Redv.C.
Ekonomi- assistenter
Ekonomichef Personalchef Controller
VD- Styrelse sekreterare Ekonomi-assistenter
2 Beskrivning av löneprocessen
2.1 Fast data
Enheten Lön och arbetsrätt inom Gävle kommun o ansvarar för den löpande löneadministrationen för Gävle kommun och för vissa av Gävle kommuns
koncernbolag. För att administrera löner använder Lön och arbetsrätt Personec P som lönesystem. Enheten består av 25 anställda. I personalen ingår förutom enhetschefen bland annat lönesamordnare, löneadministratörer och
systemförvaltare.
Registrering av fasta data, såsom nyanställdas personuppgifter, görs av löneadministratörer vid Lön och arbetsrätt av underlag som kommer från respektive organisation. Nya löner från lönerevision och ändringar av lönegrundande arbetsvillkor registreras genom filöverföring från förhandlingsmodulen.
Godkännande av nyanställningar och uppsägningar görs på liknande sätt inom respektive organisation. Det är den närmsta chefen som är ansvarig utifrån delegationsordningen. att godkänna nyanställningar och uppsägningar. Chefer inom kommunen skriver ett anställningsavtal i en förtryckt blankett. Avtalet signeras av överordnad för att sedan skickas till Lön och arbetsrätt. Till hjälp att fylla i anställningsavtalet finns instruktioner på Kommunens interna hemsida.
Underlagen kommer till Lön och arbetsrätt och granskas okulärt av ansvarig löneadministratör. Till sin hjälp har löneadministratören rutinbeskrivning för att registrera nyanställda. Det finns ingen dokumenterad kontroll att
löneadministratören ska säkerställa att det är korrekt chef som signerat anställningsavtalet utan detta görs okulärt och utifrån löneadministratören kännedom över vilka chefer som har rätt att skriva under anställningsavtal. Om löneadministratören upptäcker felaktigheter i blanketten skickas den tillbaka till ansvarig chef för komplettering.
Efter att underlagen blivit godkända registreras uppgifter såsom bland annat, namn, personuppgifter, anställningsnummer, tjänst, startdatum,
konteringskoder, anställningsform och schema, i Personec P. För att anställda ska få lön på rätt bankkonto får respektive anställd en blankett som de ska fylla i och skicka till sin bank. Kommunen hanterar inga kontouppgifter. Samtliga anställningsavtal sparas vid Lön och arbetsrätt i brandsäkra arkivskåp.
Uppdateringar i systemet för personer som ska sluta, gå i pension eller byta tjänst görs endast efter skriftligt underlag från närmaste chef.
Personalcheferna för respektive organisation har det övergripande ansvaret att sätta löneutrymmet för sina medarbetare förutom Gästrike Vatten AB, där har VD det övergripande ansvaret för att sätta löneutrymmet. Respektive chef har ansvaret att sätta löner för sina anställda inom bestämt löneutrymme. Detta
lönerna godkänns av respektive chef efter förhandling med de anställda
och/eller facket beroende på yrkeskategori och avtal. Enligt uppgift från Lön och arbetsrätt går det som chef att överskrida sitt förhandlingsutrymme i systemet, d.v.s. ge sina anställda högre löner än löneutrymmet. Detta skall dock
kontrolleras och klarmarkeras av respektive HR Chef. Det finns ingen dokumenterad kontroll som säkerställer att de nya lönerna inte överskrider förhandlingsutrymmet. Enligt uppgift från kommunen görs dock en avstämning av förhandlingsutrymmet när kommunen gör avstämning med de fackliga organisationerna.
Alla bolag som använder Personec P inom kommunkoncernen har möjligheten att använda sig av förhandlingsmodulen för att administrera lönerevisionen.
Enligt uppgift av lön och arbetsrätt görs detta dock inte av samtliga organisationer.
Behörigheter inom Personec P sätts av lönesamordnare och av systemförvaltare. Principen går ut på att behörigheter sätts utifrån
personalgrupper. Lön och arbetsrätt gör för närvarande ingen dokumenterad registervård eller uppföljning av att en person ligger med rätt registrerad behörighet i Personec P.
Utifrån vår genomgång av underprocessen, fast data, har vi noterat att Gävle kommun inte har genomfört en riskanalys där de identifierat väsentliga risker inom processen och därtill interna kontroller som säkerställer att riskerna hanteras på ett tillbörligt vis.
2.2 Rörlig data
Kommunen och koncernbolagen använder fyra olika tid- och
avvikelserapporteringssystem. Främsta systemet som används är Självservice i Personec P, som ca 5 500 personer använder för att rapportera in avvikelser.
Till Självservice kan även tidssystemet, Flex, användas för att rapportera arbetad tid. Enligt uppgift från Gävle kommun använder ca 700 personer Flex.
Större delen av de anställda vid Omvårdnad Gävle använder
arbetstidsplaneringssystemet Medvind. Systemet skickar dagliga importfiler till Personec P som i sin tur uppdaterar lönesystemet. I likhet med Självservice ska anställda vid Omvårdnad Gävle rapportera sin tid och avvikelser månatligen och överordnad chef ska godkänna dessa.
Löneadministratörer vid Lön och arbetsrätt övervakar och skickar påminnelser till respektive chef som inte har godkänt tid- och avvikelserapporter. Detta gäller oavsett system.
Förtroendevalda personer använder Troman som system för att rapportera in tid. Troman integreras med Personec P genom datafiler.
System Enhet/Förvaltning Antal anställda Koppling till Personec P
Medvind Omvårdnad 2 000 månatlig filimport
Troman Förtroendevalda Samtliga förtroendevalda Månatlig filimport
Självservice i
Personec P Övriga förvaltningar och
bolag 5 500 Uppdateras i realtid
FLEX i Personec P
Övriga förvaltningar och
bolag 700 Uppdateras i realtid
Rapportering av avvikelser i Personec P ska godkännas av närmaste högre chef.
Utifrån delegationsordningen kan rätten att attestera tid/avvikelserapporter delegeras till attestantens närmaste chef.
För att säkerställa att samtliga avvikelserapporter blir godkända övervakar löneadministratören avvikelserapporter inom Gävle kommun, Gästrike Vatten, Gävle hamn och Gavlefastigheter. Chefer som inte har attesterat
avvikelserapporter får påminnelser innan respektive lönebryt per email av löneadministratör och ej godkända rapporter ligger kvar i Självservice tills dessa blir godkända alternativt justerade.
Inför utbetalning och bokföring av lönekostnader genomför lönesamordnare vid Lön och arbetsrätt granskning och kontroll av lönedata utifrån rutinen
”Lönebearbetning”. Till sin hjälp har de rutinbeskrivningar och checklistor som beskriver rutinen och vilka kontroller som ska göras. T.ex. ska orimliga brutto- och nettolöner granskas särskilt. Vi har noterat att de kontroller som genomförs dock inte är kopplade till risker inom processen och för närvarande görs ingen övervakning över att kontrollerna genomförs.
Efter att lönesamordnarna har granskat den månatliga lönebearbetningsfilen och efter att erforderliga justeringar gjorts, sammanställer lönesamordnaren en utbetalningsfil och en konteringsfil. Båda filerna tas ut som textfiler. I
konteringsfilen finns samtliga lönekostnader, sociala avgifter. Uppgifter om semesterlöneskulden tas ut som en särskild rapport ur Personec. I
utbetalningsfilen finns samtliga nettobelopp som skall betalas ut till kommunens/bolagens anställda.
Utifrån vår genomgång av underprocessen, rörlig data, har vi noterat att
organisationerna inte har genomfört en riskanalys där de identifierat väsentliga risker inom processen och därtill interna kontroller som säkerställer att riskerna hanteras på ett tillbörligt vis.
2.3 Utbetalning av löner och bokföring av lönekostnader
till Nordea som i sin tur verkställer utbetalningarna. Vi har noterat att både bokföringsfilen och betalningsfilen är öppna för redigering efter att de har sparats ner från Personec P och att det går att göra justeringar i båda filerna.
Vidare har vi noterat att enheten inte granskar att filerna överensstämmer med den slutliga lönebearbetningen vilket kan möjliggöra för att felaktiga belopp kan bli utbetalda och bokförda.
Bokföringen av lönekostnader, sociala avgifter och semesterlöneskulden görs inom Gävle kommun av redovisningsassistenter vid ekonomiavdelningen vid Kommunledningskontoret (”KLK”). Redovisningsfilen, som kommer från Lön och Arbetsrätt, importeras in i Agresso av en systemförvaltare vid
ekonomiavdelningen. Agresso har en automatisk kontroll som känner av om filen innehåller rader med felaktiga ekonomiska koder. För att filen ska bli inläst måste systemförvaltaren justera dessa felaktiga koder. För att minimera antal justeringar mellan Personec P och Agresso skickar KLK varannan vecka en kodkontrolleringsfil från Agresso som Lön och arbetsrätt uppdaterar Personec P. Vi noterar att bokföringen av löner och ersättningar görs på en aggregerad nivå vilket försvårar en detaljerad avstämning av utbetalda löner och bokförda löner. Enligt uppgift från Gävle kommun har en applikation installerats som medfört att chefer inom kommunen kan stämma av bokförda löner på individnivå. Applikationen installerades under oktober 2013.
I anslutning till att Lön och arbetsrätt skickar över betalning- och konteringsfilen till ekonomiavdelningen meddelar de per e-post vad nettosumman av
löneutbetalningen blev. Meddelandet sparas av dagbokföringssgruppen, vid ekonomiavdelningen, för att de ska kunna stämma av utbetalningen från banken.
Dagbokföringen bokför bankutbetalningen efter att de erhållit kvittens från banken. Under slutet av dagen jämförs huvudboken mot kontoutdrag från banken för att säkerställa att samtliga betalningar blivit bokförda.
Sociala avgifter blir bokförda av ekonomiavdelningen utifrån
deklarationsunderlag som kommer från Lön och Arbetsrätt. Kopian av filen sparas vid ekonomiavdelningen och hos respektive bolag. En gång i månaden rapporterar ekonomiavdelningen och bolagen skatter och avgifter till
Skatteverket. Vi noterar att bolagen och ekonomiavdelningen har separerat hanteringen av att bokföra och betala sociala avgifter genom att två olika personer på respektive organisation är ansvariga för att bokföra och utbetala sociala avgifter.
Avstämning av skattekontot görs dels en gång i månaden av
ekonomiavdelningen, dels varje kvartal. Den månatliga kontrollen dokumenteras inte men däremot sparas dokumenten för den kvartalsvisa avstämningen.
Semesterlöneskulden för Gävle kommun bokförs av ekonomiavdelningen utifrån en fil från Personec P. Skulden bokförs endast på en aggregerad nivå vilket betyder att den inte specificeras ut på respektive förvaltning.
Rutinen att bokföra löner för respektive bolag liknar i allt väsentlig rutinen vid Gävle kommun. Lön och arbetsrätt skickar konteringsfiler till respektive bolag
som bokför lönekostnaderna i respektive ekonomisystem. Vi har dock noterat att Gästrike vatten och Gavlefastigheter inte har upprättat rutinbeskrivningar över processen. Bristen av att inte ha dokumenterade rutiner är att detta kan leda till att hanteringen av redovisning och rapportering av löner, sociala avgifter och semesterlöneskulden inte görs på ett ändamålsenligt sätt om befintlig personal byts ut vid sjukdom eller av andra händelser.
Vi noterar att Lön och arbetsrätt har dokumenterat övergripande
serviceåtagandet gentemot bolagen som använder Personec P. Dokumentet beskriver delprocesser och bolagens samt Lön och Arbetsrätts ansvar. T.ex. för tid och avvikelserapportering så är det bolagens ansvar att rapportera och attestera ledigheter inom systemet Självservice medan det är Lön och
arbetsrätts ansvar att bevaka oattesterade avvikelser och skicka påminnelser till berörd chef.
För Gästrike Vatten och Gavlefastigheter saknas det dock en tydlig
ansvarsfördelning mellan Gävle kommuns Lön och arbetsrätt, som är ansvarig för Personec P, och bolagen vad avser vem som ska dokumentera
semesterlöneskulden. I och med att det inte går att ta ut listan i efterhand är det svårt för bolagen att styrka att korrekt semesterlöneskuld blivit bokförd.
Utifrån vår genomgång av underprocessen, Utbetalning av löner och bokföring av lönekostnader, har vi noterat att Gävle kommun inte har genomfört en
riskanalys där de identifierat väsentliga risker inom processen och därtill interna kontroller som säkerställer att riskerna hanteras på ett tillbörligt vis.
2.4 Sociala avgifter och semesterlöneskuld Sociala avgifter
Processen att förbereda och bokföra sociala avgifter och semesterlöneskuld är i allt väsentligt likartad hos Gävle kommun, Gavlefastigheter, Gävle Hamn och, Gästrike Vatten.
Avdelningen Lön och arbetsrätt förbereder månatligen underlagen för sociala avgifter och semesterlöneskulden. Båda posterna förbereds utifrån ekonomiska kodsträngar som finns registrerade i Personec P på respektive anställd. För att få ut månadens sociala avgifter och underlag till Skatteverkets månatliga deklaration tar Lönesamordnare ut en fil från Personec. Filen hämtas upp av Gävle Kommun och respektive bolag.
Deklarationen skapas av respektive organisation utifrån underlag från Lön och arbetsrätt. Vi noterar att betalningen av sociala avgifter inte görs i två i förening hos Gästrike Vatten och att efterkontrollen av att betalningen är korrekt inte dokumenteras.
Kopplat till sociala avgifter, som blir betalda till skattekontot, gör Gävle kommun och respektive bolag regelbundna avstämningar av skattekontot för att
säkerställa att transaktioner kopplat till skattekontot blir korrekt redovisade.
Semesterlöneskuld
Semesterlöneskuld och kostnaden/intäkten för förändringen av
semesterlöneskulden bokförs en gång per månad för samtliga bolag förutom Gästrike Vatten som bokför skulden kvartalsvis. Underlaget kommer, i likhet med sociala avgifter, från avdelningen Lön och arbetsrätt. Rapporten kan tas ut av respektive bolag men vi noterar att kompetensen att ta ut och stämma av
semesterlöneskulden är bristfällig hos Gästrike Vatten och att dessa är beroende av material från Lön och arbetsrätt. Vi noterar att Gävle Hamn identifierade felaktigheter i semesterlöneskulden som beror på att anställda varit registrerade med fel koder i Personec P.
2.5 Övrigt Intern kontrollplan
Vi har noterat att samtliga bolag och Gävle kommun har en övergripande intern kontrollplan som respektive styrelse varje år godkänner.
3 Registeranalys
3.1 Iakttagelser och noteringar efter registeranalys
Utifrån lönedata framställt av organisationerna har vi genomfört en registeranalys på 18 olika kategorier/frågeställningar under perioden 2013-01-01 till och med 2013- 08-31. För samtliga kategorier har analysen sparats i ett Exceldokument som kan användas för vidare granskning. Se bilaga 2.
Nedan följer vår analys per kategori.
1. Personer över 67 år
Totalt har vi noterat 328 personer som är äldre än 67 år. Av dessa har 275 erhållit ersättning under perioden. Ingen av dessa har haft en tillsvidareanställning utan utgörs av bland annat intermittenta anställningar och uppdragstagare. Samtliga personer finns specificerade i bifogat Exceldokument.
2. Personer som är 18 år eller yngre
Totalt har vi noterat 348 personer som är 18 år eller yngre. Samtliga personer är registrerade som ferieanställda eller visstidsarbetare. Samtliga personer finns specificerade i bifogat Exceldokument.
3. Korrekta personnummer
Eftersom Gävle Kommun inte har någon koppling mot Folkbokföringen registreras det namn som är angivet på anställningsavtalet. Efter en kontroll mot Skatteverkets databas, Navet, har vi funnit att en person är registrerad med ett felaktigt namn i Personec P. Vi rekommenderar att revisorerna följer upp denna avvikelse.
Noteringen finns specificerad i bifogat Exceldokument.
4. Sparade semesterdagar överstiger 40 dagar
I vår analys har det framkommit att 13 person har fler än 40 sparade semesterdagar.
Vid stickprovsgranskning har det dock visat att dessa personer har haft mer än en anställning under perioden. Analysen har inte beaktat detta vilket har inneburit att antalet sparade semesterdagar beräknats dubbelt. Samtliga fall finns specificerade i bifogat Exceldokument. Utifrån stickprovet har således inga avvikelser identifierats.
5. Korrekt antal semesterdagar
Vi har noterat att totalt 3 personer har semesterrätt som överstiger 35 dagar.
Samtliga har en personligt avtalad semesterrätt uppgående till 37 dagar. Dessa finns specificerade i bifogat Exceldokument.
6. Höga löner
Lista över de tio högsta månadsutbetalningar för Gävle kommun och respektive bolag har tagits fram för avstämning mot avtal. Vi har noterat att två personer vid Gävle kommun har under perioden erhållit en engångssumma som överstigit 150 000 kr varav en person fick ett belopp om 262 200 kr (bägge avser en
omställningsersättning). En timanställd har felaktigt erhållit ersättning för 325 timmar vilket under året har korrigerats.
Vi rekommenderar att revisorerna granskar dessa utbetalningar mot verifierande underlag. Vi rekommenderar Gävle kommun att undersöka möjligheten att införa en kontroll av inrapporterade timmar så att dessa överensstämmer med faktisk arbetad tid.
De 10 högsta lönetransaktioner för respektive organisation finns specificerade i bifogat Exceldokument.
7. Låga löner
Lista över de tio lägsta månadsutbetalningar för Gävle kommun och respektive bolag har tagits fram för avstämning mot avtal. Vi rekommenderar att revisorerna granskar dessa utbetalningar mot verifierande underlag. De 10 lägsta lönetransaktioner för respektive organisation finns specificerade i bifogat Exceldokument.
8. Negativa värden
Totalt har negativa löner uppkommit vid 100 tillfällen. Lista över dessa har tagits fram för avstämning mot underlag. Vi rekommenderar att stickprovsvis granska negativa registreringar mot verifierande underlag.
9. Ersättning utöver månadslön
Totalt har 801 personer erhållit ersättning utöver månadslön under perioden. 18 personer vid Gavlefastigheter, nio personer vid Gästrikevatten, 37 personer vid Gävle Hamn och 737 personer i Gävle kommun. Totalt uppgår ersättningarna till ca 10,5 mkr (7,3 mkr avser omställningsersättning). Vi rekommenderar revisorerna att stickprovsvis genomföra kontroll av ersättningarna från listan mot underlag.
Samtliga personer finns specificerade i bifogat Exceldokument.
10. Lön/ersättning efter avslutad anställning
Totalt har vi noterat 46 personer som har avslutat sin anställning och som har erhållit lön och/eller ersättning två månader efter avslutsdatum. De två vanligaste förekommande lönearterna inom denna analys är Ersättning för pensionsavgift och Semesterersättning för innevarande år. Samtliga fall avser personal från Gävle kommun. Vi rekommenderar revisorerna att följa upp dessa för att säkerställa att korrekt ersättning blivit utbetald.
11. Tillsvidareanställda med övertid
Lista med tillsvidareanställda (månadsavlönade) som har högst antal övertidstimmar för analys mot underlag har tagits fram för Gävle kommun och respektive bolag.
Personer som har högst antal övertidstimmar:
Gävle kommun: 303 timmar Gästrike Vatten: 111 timmar
Gävle Hamn: 50 timmar
Gavlefastigheter: 239 timmar 12. Timanställda med övertid
Vi har noterat att fyra timanställda personer som har erhållit övertid. Ingen av personerna har övertid som överstiger 20 timmar. Lista framtagen för vidare analys mot underlag.
13. Deltidsanställda med övertid
343 deltidsanställda har registrerat övertid. Den som har flest övertidstimmar har ackumulerat 284 timmar. Lista framtagen för vidare analys mot underlag.
14. Ej rätt till övertid med övertid
Sju anställda personer har erhållit övertidsersättning men, som någon gång under analysperioden, inte har haft rätt till övertid. Observera att analysen inte beaktat tidigare anställningsförhållanden utan endast utgår ifrån gällande anställning. Vi rekommenderar att revisorerna följer upp registreringarna för att säkerställa att dessa är korrekta.
15. Anställda med heltidstjänst som arbetat fyllnadstid
Totalt har 255 personer erhållit ersättning för fyllnadstid. Två personer arbetar vid Gavlefastigheter och resterande arbetar vid Gävle kommun. Observera att denna analys grundar sig på grundanställning och beaktar inte eventuell partiell ledighet.
Således rekommenderar vi revisorerna att stickprovsvis granska personer som erhållit fyllnadsbetalning mot underlag. Lista för samtliga personer som erhållit fyllnadstid finns framtagen.
16. Komptid
Vi noterar att totalt 1 378 personer har registrerad komptid. Gävle kommun 1 283, Gästrike Vatten 27, Gävle hamn 48 och Gavlefastigheter 20 personer. Fem personer har komptidssaldo som överstiger 100h. Den högsta har över 287 timmar
ackumulerat. Samtliga anställda finns specificerade i bifogat Exceldokument.
17. Bilersättning
Vi noterar att 753 personer har erhållit bilersättning om totalt ca 1 543 tkr. 13 personer har erhållit bilersättning överstigande 15 tkr, samtliga är anställda inom Gävle kommun. Vi rekommenderar att stickprovsvis kontroll av bilersättningen mot verifierande underlag för att bekräfta korrekta registreringar. Samtliga personer med bilersättning finns specificerade i bifogat Exceldokument.
18. Adresskontroll
Eftersom Gävle Kommun inte har någon koppling mot Folkbokföringen registreras den adress som är angivet på anställningsavtalet. Efter en granskning av
adressuppgifter i Personec P jämfört med information från Folkbokföringsregistret har vi noterat att uppgifterna för 1 819 personer ej överensstämmer. Totalt
kontrollerades 12 051 adressuppgifter. Andel noterade avvikelser uppgår till ca 15 procent.
Vi rekommenderar Gävle kommun att överväga att införa en integration mot folkbokföringen som säkerställer korrekta adressuppgifter.
4 Svar på revisionsfrågorna
4.1 Har organisationerna ändamålsenliga rutiner kopplat till utbetalning av löner samt beräkning av semesterlöneskuld samt sociala avgifter?
Gävle kommun, Gästrike Vatten, Gävle Hamn och Gavle fastigheter Processen av att genomföra utbetalningar av löner och beräkning av
semesterlöneskulden och sociala avgifter är likartad för samtliga organisationer då denna del av processen sköts av Lön och arbetsrätt.
Vi noterar att utbetalningar av löner görs i två i förening vid Lön och arbetsrätt.
Vi har dock noterat att det saknas en kontroll som säkerställer att bankfilen samt konteringsfilen som skickas till banken respektive ekonomiavdelning
överensstämmer med den slutliga lönebearbetningen från Personec P.
Upprättande av underlag till semesterlöneskulden och sociala avgifter görs utifrån inlagd data i Personec P. Systemet generar automatiskt en fil som sedan skickas till respektive organisation för bokföring i respektive organisations ekonomisystem. Gävle kommun, Gävle hamn och Gavlefastigheter bokför skulden månatligen medan Gästrike vatten bokför skulden kvartalsvis.
Vi har noterat att det saknas en tydlig ansvarsfördelning mellan Lön och arbetsrätt och Gästrike Vatten avseende vem som ska ansvara för att
dokumentera semesterskuldslistan, Vidare noterade vi att det råder bristande kompetens inom Gästrike Vatten för att kunna ta fram en sådan lista.
Vi har noterat att samtliga organisationer inte har utvärderat eller dokumenterat risker inom de fyra underprocesserna Därtill har vi noterat att bolagen inte har kopplat sina interna kontroller till riskerna vilket försvårar en bedömning om huruvida organisationerna har tillräcklig intern kontroll.
För Gävle Hamn och Gavlefastigheter har vi noterat att bolaget saknar en dokumenterad ansvarsfördelning samt rutinbeskrivningar gällande hantering av sociala avgifter och beräkning av semesterlöneskuld.
Genom vår granskning bedömer vi att organisationerna har en tillräcklig intern kontroll men med utrymme för förbättringar.
4.2 Finns tillfredställande rutiner för attester och kontroll av lönegrundande dataregistreringar i personalsystemet och försystemet?
Gävle kommun, Gästrike Vatten, Gävle Hamn och Gavlefastigheter
I likhet med underprocessen utbetalning av löner och bokföring saknar samtliga organisationer en riskutvärdering inom processen att registrera fast och rörlig lönedata. Vidare saknas det dokumentation över att interna kontroller hanterar specifika risker inom processen. Sammantaget medför detta att
organisationerna inte kan uppvisa på att de har implementerat interna kontroller som ska täcka samtliga väsentliga risker i processen.
Genom vår granskning bedömer vi att organisationerna har en tillräcklig intern kontroll, men med utrymme för förbättringar.
4.3 Finns tillfredställande rutiner för kvalitetssäkring och överföring av lönegrundande data från verksamhetssystemet och försystemet till personalsystemet?
Gävle kommun
Vi noterar att Gävle kommun har ett par olika tid- och
avvikelserapporteringssystem. Oavsett system har kommunen en rutin för att tid-och avvikelserapporter ska godkännas av överordnad. Utifrån uppgifter från kommunen har vi noterat att vissa enheter delegerar rätten att rapportera avvikelserapporter i försystemet till administratörer.
Lön och arbetsrätt har även åtagit sig att övervaka rapporteringen och en gång i månaden skickas påminnelser till de chefer som inte har attesterat tid- och avvikelserapporter. För samtliga system sker import av data från försystem genom datafiler. För Överförmyndarnämnens verksamhetssystem /
arvodesutbetalningar sker all rapportering genom manuell registrering vilket medför att Lön och arbetsrätt behöver manuellt registrera in data i Personec P.
Manuella registreringar kan medföra en högre risk av att fel sker.
Genom vår granskning bedömer vi att Gävle kommun har en tillräcklig intern kontroll men med utrymme för förbättringar.
Gästrike Vatten, Gävle Hamn och Gavlefastigheter
Överföringar från tid- och avvikelserapporteringssystemet Självservice,
genomförs i realtid till personalsystemet. Överföringarna sker automatiskt och inom samma huvudsystem, d.v.s. Personec.
I likhet med Gävle kommun övervakar löneadministratören att
avvikelserapporterna blir attesterade i tid och påminnelser skickas till de chefer som har oattesterade rapporter vid månadsslutet.
Genom vår granskning bedömer vi att organisationerna har en tillräcklig intern kontroll.
4.4 Finns tillfredställande rutiner för kvalitetssäkring och överföring av lönegrundande data mellan personalsystem och ekonomisystem?
Gävle kommun, Gästrike Vatten
Vi har noterat att organisationerna har tillfredställande rutiner för
kvalitetssäkring och överföring av data mellan Personec P och Agresso. Vi har dock noterat att kommunen och bolagen saknar riskutvärdering inom processen att bokföra lönekostnader, sociala avgifter och semesterlöneskulden. Vidare saknas det dokumentation över att interna kontroller hanterar specifika risker inom processen. Sammantaget medför detta att organisationerna har svårt att visa på att de har implementerat interna kontroller som ska täcka samtliga väsentliga risker i processen.
Utöver ovanstående notering har vi även identifierat att redovisningen av
lönekostnader för samtliga organisationer görs på en aggregerad nivå, vilket kan försvåra en avstämning av bokförda kostnader. Vi har även noterat att
organisationerna har bristande dokumentation för hur hanteringen av manuella bokföringsorder ska ske inom respektive organisation.
Slutligen har vi även noterat att Gästrike Vatten AB och Gavlefastigheter inte har några rutinbeskrivningar som beskriver bolagets arbetsmoment i
löneprocessen. Bristen kan leda till att hanteringen inte görs på ett
ändamålsenligt vis om befintlig administrativ personal byts ut vid sjukdom eller av andra händelser.
Genom vår granskning bedömer vi att organisationerna har en tillräcklig intern kontroll, men med utrymme för förbättringar.
4.5 Finns det inom bolagen tillfredställande rutiner för kontroll och uppföljning av väsentlig logginformation från personalsystemet?
Gävle kommun, Gästrike Vatten, Gävle Hamn och Gavlefastigheter Vi har noterat att avdelningen Lön och arbetsrätt inte har en rutin för att säkerställa att registrerade personer i Personec P finns inregistrerade med korrekta uppgifter. Därtill noterar vi att det inte genomförs någon kontroll över förändringar av data genom logglistor.
Vidare har vi noterat att bokföring av lönekostnader görs på en aggregerad nivå inom respektive organisation vilket försvårar en detaljerad avstämning mellan personalsystemet och ekonomisystemet. Enligt Gävle kommun pågår emellertid ett projekt för att införa en applikation som gör det möjligt att respektive organisation kan följa upp lönekostnaderna på en detaljerad nivå.
Vår bedömning är att organisationerna delvis saknar tillfredställande rutiner för kontroll och uppföljning av väsentlig logginformation från personalsystemet.
4.6 Är uppgifterna i Personec P tillförlitliga?
Utifrån vår registeranalys av organisationernas lönedata har vi tagit fram underlag för vidare granskning av revisorerna. Vi rekommenderar revisorerna att följa upp poster identifierade i bilaga 3 mot verifierande underlag.
5 Sammanfattande bedömning och rekommendationer
Gävle kommun
► Vi rekommenderar Gävle kommun att implementera en kontroll som
säkerställer att skickade konteringsfiller och bankfiler överensstämmer med den slutgiltiga lönekörningen.
► Vi rekommenderar Gävle kommun att dokumentera risker i löneprocessen samt vilka nyckelkontroller som ska finnas för att hantera identifierade risker.
Vidare rekommenderar vi Gävle kommun att inrätta en övervakningsrutin som säkerställer att samtliga nyckelkontroller genomförs enligt plan och att dessa är effektiva.
► Vi rekommenderar Gävle kommun att implementera ett system som medför att lönekostnader i Agresso kan stämmas av mot rapporterade kostnader i Personec P av personer med personal- och budgetansvar.
► Vi rekommenderar Gävle kommun att samtliga manuella bokföringsorder ska granskas och godkännas av en överordnad.
► Vi rekommenderar att Gävle kommun inför en rutin där samtliga behörigheter och uppgifter i Personec P blir inventerade på en regelbunden basis och att behörigheter knyts med godkända avtal/underlag för att säkerställa att korrekt behörighet är registrerad. Kontrollen bör dokumenteras.
► Det finns ingen dokumenterad kontroll som säkerställer att nya lönerna sätts på ett sådant sätt att sammantaget gör att lönerna överskrider
förhandlingsutrymmet.
► Vi rekommenderar Gävle kommun att undersöka möjligheten att införa en kontroll av inrapporterade timmar så att dessa överensstämmer med faktisk arbetad tid
Gästrike Vatten
► Vi rekommenderar Gästrike Vatten AB att dokumentera risker i löneprocessen samt vilka nyckelkontroller som ska finnas för att hantera identifierade risker.
Vidare rekommenderar vi Gästrike Vatten AB att inrätta en övervakningsrutin som säkerställer att samtliga nyckelkontroller genomförs enligt plan och att dessa är effektiva.
► Vi rekommenderar Gästrike Vatten att ställa krav på kommunen att implementera ett system som medför att lönekostnader i Agresso kan stämmas av mot rapporterade kostnader i Personec P av personer med personal- och budgetansvar.
► Vi rekommenderar Gästrike Vatten att genomföra efterkontroll av lönefilen på individnivå för såväl lön som sociala avgifter så fort aktuella listor kan tas fram av Lön och Arbetsrätt.
► Vi rekommenderar Gästrike Vatten att samtliga manuella bokföringsorder ska granskas och godkännas av en överordnad.
► Vi rekommenderar Gästrike Vatten att månatligen bokföra
semesterlöneskulden samt utbilda berörd personal om hur rapporter tas fram i Personec P.
► Vi rekommenderar Gästrike Vatten att införa en ändamålsenlig ansvarsfördelning vid utbetalningar av källskatt och sociala avgifter.
Ansvarsfördelningen och kontrollen av utbetalningen bör dokumenteras.
► Vi rekommenderar Gästrike Vatten att upprätta rutinbeskrivningar som beskriver bolagets arbetsmoment i löneprocessen samt dokumentera vem som utför vad inom processen hos bolaget.
Gävle Hamn
► Vi rekommenderar Gävle Hamn att dokumentera risker i löneprocessen samt vilka nyckelkontroller som ska finnas för att hantera identifierade risker.
Vidare rekommenderar vi Gävle Hamn AB att slutföra arbetet av
övervakningsrutin som säkerställer att samtliga nyckelkontroller genomförs enligt plan och att dessa är effektiva.
► Vi rekommenderar Gävle Hamn att ställa krav på kommunen att implementera ett system som medför att lönekostnader i Hogia kan stämmas av mot
rapporterade kostnader i Personec P.
► Vi rekommenderar Gävle Hamn att genomföra efterkontroll av lönefilen på individnivå för såväl lön som sociala avgifter så fort aktuella listor kan tas fram av Lön och arbetsrätt.
► Vi rekommenderar Gävle Hamn att samtliga manuella bokföringsorder ska granskas och godkännas av en överordnad.
► Vi rekommenderar Gävle Hamn att slutföra upprättandet av checklista till cheferna.
► Vi rekommenderar Gävle Hamn att upprätta rutinbeskrivningar som beskriver bolagets arbetsmoment i löneprocessen samt dokumentera vem som utför vad inom processen hos bolaget.
Gavlefastigheter
► Vi rekommenderar Gavlefastigheter att dokumentera risker i löneprocessen samt vilka nyckelkontroller som ska finnas för att hantera identifierade risker.
Vidare rekommenderar vi Gavlefastigheter att inrätta en övervakningsrutin
som säkerställer att samtliga nyckelkontroller genomförs enligt plan och att dessa är effektiva.
► Vi rekommenderar Gavlefastigheter att implementera ett system som medför att lönekostnader i Agresso kan stämmas av mot rapporterade kostnader i Personec P av personer med personal- och budgetansvar.
► Vi rekommenderar Gavlefastigheter att genomföra efterkontroll av lönefilen på individnivå för såväl lön som sociala avgifter så fort aktuella listor kan tas fram av Lön och arbetsrätt.
► Vi rekommenderar Gavlefastigheter att samtliga manuella bokföringsorder ska granskas och godkännas av en överordnad.
► Vi rekommenderar Gavlefastigheter att upprätta rutinbeskrivningar som beskriver bolagets arbetsmoment i löneprocessen samt dokumentera vem som utför vad inom processen hos bolaget.
Stockholm den 21 februari 2014
Marie Grenholm Daniel Cadei
Auktoriserad revisor Auktoriserad revisor
Bilaga 1 Registeranalysen har granskat följande områden
►
Personer över 67 år
►
Personer som är 18 år eller yngre
►
Korrekta personnummer
►
Sparade semesterdagar överstiger inte 40 dagar
►
Korrekt antal semesterdagar
►
Höga löner/Låga löner
►
Negativa värden
►
Lönetillägg
►
Lön/ersättning efter avslutad anställning
►
Anställda med mycket övertid
►
Timanställda med övertid
►
Deltidsanställda med övertid
►
Ej rätt till övertid med övertid
►
Anställda med heltidstjänst som arbetat fyllnadstid
►
Komptid
►
Bilersättning
Granskning av personalsystemet Hogia
Gavlegårdarna AB och Gävle Energi AB
21 februari 2013
Innehållsförteckning
1 Inledning ... 2 1.1 Bakgrund ... 2 1.2 Projektets syfte och avgränsning ... 2 1.3 Revisionsfrågor ... 2 1.4 Metod och genomförande ... 3 2 Beskrivning av löneprocessen ... 3 2.1 Fast data ... 3 2.2 Rörlig data ... 5 2.3 Utbetalning av löner och bokföring av lönekostnader ... 6 2.4 Övriga personalkostnader ... 6 2.5 Övrigt ... 7 3 Registeranalys ... 7 3.1 Iakttagelser och noteringar efter registeranalys ... 7 4 Svar på revisionsfrågorna ... 10 4.1 Har organisationerna ändamålsenliga rutiner kopplat till utbetalning av löner samt beräkning av semesterlöneskuld samt sociala avgifter? ... 10 4.2 Finns tillfredsställande rutiner för attester och kontroll av lönegrundande
dataregistreringar i personalsystemet och försystemet? ... 10 4.3 Finns tillfredsställande rutiner för kvalitetssäkring och överföring av
lönegrundande data mellan personalsystem och ekonomisystem? ... 11 4.4 Finns det inom bolagen tillfredsställande rutiner för kontroll och uppföljning av
väsentlig logginformation från personalsystemet? ... 12 5 Sammanfattande bedömning och rekommendationer ... 13 Bilaga 1 Dataanalysen har granskat följande områden ... 15
1 Inledning
1.1 Bakgrund
Gävle kommuns revisorer har beslutat att granska den interna kontrollen kopplat till
personalsystemet Hogia som används av Gavlegårdarna AB (”Gavlegårdarna”) och Gävle Energi AB (”Gävle Energi”). Båda bolagen ingår i Gävle kommuns företagskoncern med Gävle Stadshus AB som moderbolag. EY har från Gävle kommuns revisorer fått uppdraget att genomföra granskningen.
1.2 Projektets syfte och avgränsning
Syftet med vår granskning är att kartlägga Gavlegårdarna och Gävle Energis rutiner och väsentliga styrdokument kopplat till löneprocessen. Utgångspunkten ligger i organisationernas delegations/- attestregler och riktlinjer för internkontroll samt kommunkoncernens IT-säkerhetshandbok.
Granskningens inriktning har inte varit att testa interna kontroller för att säkerställa att dessa fungerat effektivt under räkenskapsåret.
Vidare är granskningens syfte att genomföra en registeranalys för organisationernas samtliga löne-, arvodes- och ersättningstransaktioner under perioden januari till och med sista augusti 2013.
Resultatet från registeranalysen kan användas för vidare granskning och uppföljning.
1.3 Revisionsfrågor
► Har bolagen ändamålsenliga rutiner kopplat till utbetalning av löner samt beräkning av semesterlöneskuld samt sociala avgifter? Finns tillfredsställande rutiner för attester och kontroll av lönegrundande dataregistreringar i personalsystemet och försystemet?
► Finns tillfredsställande rutiner för kvalitetssäkring och överföring av lönegrundande data från verksamhetssystem och försystem till personalsystemet?
► Finns tillfredsställande rutiner för kvalitetssäkring och överföring av lönegrundande data mellan personalsystem och ekonomisystem?
► Finns det inom bolagen tillfredsställande rutiner för kontroll och uppföljning av väsentlig logginformation från personalsystemet?
► Är uppgifterna i Personec P tillförlitliga?
1.4 Metod och genomförande Internkontrollgranskning
Granskningen har genomförts genom genomläsning av nyckeldokument, intervjuer av nyckelpersoner inom respektive bolag samt genom granskning av underliggande information avseende personalkostnader, sociala avgifter och semesterlöneskulden. Som grund för vår analys och kartläggning av processflödet har vi använt Committee of Sponsoring Organizations of the Treadway Commissions ramverk för intern kontroll (”COSO-modellen”). Vårt fokus har varit att bedöma kontrollmiljön, riskbedömningar, kontrollaktiviteter, information och kommunikation samt övervakande aktiviteter.
Vår granskning har delat upp löneprocessen i fyra underprocesser; fast data, rörlig data, utbetalning och bokföring av lönekostnader samt övriga personalkostnader.
Registeranalys
Vi har genomfört registeranalyser på lönedata utifrån filer som skapats av respektive organisation.
Analys har gjorts utifrån 16 olika frågeställningar som ämnar utreda om data i Hogia PA/Lön är tillförlitlig. Samtliga frågeställningar återfinns i Bilaga 2.
2 Beskrivning av löneprocessen
2.1 Fast data
Löneadministratörer vid respektive bolag ansvarar för den löpande administrationen av löner och löneavtalen. För att administrera löner använder administratörerna Hogia Lön+ som lönesystem.
Gavlegårdarna Gävle Energi
Antal anställda FY12 189 192
Personalkostnader FY12 (Tkr)
100 770 12 164
Försystem Portalen PBM Flex
Personalsystem/
Lönesystem
Hogia PA/Hogia Lön Hogia PA/Hogia Lön
Ekonomisystem Movex Enterprise
Nyckelpersoner Löneadministratör HR Chef Ekonomichef Ekonomiassistent
Löneadministratör HR Chef Ekonomichef Ekonomiassist
Respektive bolag har utöver personaladministratören även en personalchef som har det övergripande ansvaret för personalrelaterade frågor.
Registrering av fasta lönedata, såsom personuppgifter, anställningsvillkor, lönerevision görs av personaladministratören utifrån godkända underlag. Underlagen kopplat till nyanställningar är standardiserade, vilket säkerställer att rätt information tas fram. Som hjälpmedel för att hantera processen har personaladministratören en egen upprättad arbetsbeskrivning över processen.
Vid Gavlegårdarna godkänner närmaste chef nyanställningar och uppsägningar. Vi noterar dock att det inte finns någon tydlig koppling till delegationsordningen avseende godkännande av
nyanställningar vid Gavlegårdarna. Bolaget har dock en rutin där personalchefen får samtliga avtal för genomgång och godkänner dem för registrering genom att skicka ett epost meddelande till personaladministratören. Cheferna har även en checklista till hjälp för att säkerställa att kritiska steg genomförs vid nyanställning. I Gävle Energi godkänner VD skriftligt samtliga nyanställningar efter att närmsta chef skrivit under anställningsavtalet.
Utifrån underskrivna avtal registreras den nyanställde i personalsystemet, Hogia PA av
personaladministratören. Uppgifter som bl.a. kategori, befattning, anställningsform och semesterrätt registreras. Om personaladministratören upptäcker felaktigheter i underlagen skickas de tillbaka till ansvarig chef för komplettering.
För att anställda ska få lön på rätt bankkonto får respektive anställd en blankett som de ska fylla i och lämna till löneadministrationen för inrapportering till Nordea. Bolagen registrerar och sparar inga bankuppgifter lönesystemet men blanketten sparas i personakten. Samtliga anställningsavtal arkiveras i ett plåtskåp vid respektive bolag.
Bisysslor hanteras i allt väsentligt på liknande sätt i respektive bolag. Grunden för hanteringen är att samtliga nyanställda ska rapportera om de har en bisyssla. Underlag kopplat till de anställdas bisysslor arkiveras i en pärm hos personaladministratören eller vid personalavdelningen. Bisysslorna registreras sedan i Hogia PA. Gavlegårdarna sparar uppgifter kopplat till anställda som har bisysslor i Hogia PA. Alla bisysslor måste godkännas av närmaste chef. Vid Gavlegårdarna genomförs det årligen en granskning på all personal av bisysslor. Gävle Energi genomför ingen sådan granskning.
Lönerevisioner genomförs årligen hos de båda bolagen. Vi har noterat att rutinen skiljer sig mellan de två bolagen. Gavlegårdarna administrerar chefernas lönerevision utifrån Excellistor med förinställda formler som ska säkerställa att de nya lönerna inte överstiger det beslutade
löneutrymmet. Samtliga Excellistor skrivs ut av respektive chef som sedan signerar och skickar den till personaladministratören. Enligt uppgift från bolaget skickas listorna digitalt till HR chefen för vidare godkännande. Personaladministratören för sedan in de nya lönerna i Hogia PA efter godkännande av HR Chefen.
I Gävle Energi använder respektive chef en modul i Hogia för att registrera nya löner.
Personalchefen och VD godkänner sedan de nya lönerna. De nya lönerna importeras sedan in i
Utifrån vår genomgång av underprocessen, fast data, har vi noterat att Gavlegårdarna och Gävle Energi inte har genomfört en riskanalys där de identifierat väsentliga risker inom processen och därtill interna kontroller som säkerställer att riskerna hanteras på ett tillbörligt vis.
2.2 Rörlig data
Avvikelserapportering görs av samtliga fast anställda i Gavlegårdarna genom systemet, Portalen PBM. Vissa anställda arbetar med ackord. Dessa närvarorapporterar i PBM. Samtliga rapporter godkänns och attesteras av närmaste chef i systemet. Inför lönebearbetningen kontrollerar personaladministratören om samtliga rapporter blivit inskickade, godkända och attesterade. För de rapporteringar som inte har blivit attesterade skickar personaladministratören påminnelser per e-post via PBM.
Rörlig data från Portalen PBM importeras in i Hogia lön+ genom en elektronisk fil. Hogia lön har en applikationskontroll som genererar en fellista. Listan innehåller samtliga rader som av någon anledning inte har blivit inlästa in till Hogia. Personaladministratören hanterar dessa fel genom att göra erforderliga justeringar av data. Den automatgenererade fellistan skrivs ut och sparas.
Personaladministratören ansvarar för den månatliga lönebearbetningen inför löneutbetalning.
Gävle Energi använder tidrapporteringssystemet, Flex. Modulen är kopplad till Gävle Energis intranätsida där respektive anställd kan registrera sin tid. Varje vecka ska närmaste chef granska och godkänna tid/avvikelserapporterna. Inför lönebearbetningen skickar personaladministratören påminnelser till alla anställda som inte har klarmarkerade och godkända tidrapporter.
Rörlig data från Flex importeras in i Hogia Lön genom en elektronisk fil. Personaladministratören granskar okulärt varje anställd i Flex och i Hogia lön för att säkerställa att korrekt inläsning blivit gjord.
Lönebearbetningen är i allt väsentligt likartad i Gavlegårdarna och Gävle Energi. Processen startar med att personaladministratören kontroller att lönedata är rimlig och korrekt utifrån diverse kontroller.
Exempelvis kontrolleras komplicerade lönearter och att den totala lönesumman inte skiljer sig mot föregående månads lönesumma. Preliminära lönelistor skrivs ut och sparas hos respektive personalavdelning. Respektive anställd får månatligen lönespecifikationer som de kan använda för att stämma av sin utbetalda lön.
Personaladministratören vid respektive bolag genomför en introduktionskurs av personalsystemet för samtliga nyanställda. Enligt uppgift från Gavlegårdarna dokumenteras kontrollaktiviteten i form av personaladministratörens egen checklista för introduktionen. Gävle Energi saknar dokumentation över kontrollaktiviteten.
Utifrån vår genomgång av underprocessen, fast data, har vi noterat att Gavlegårdarna och Gävle Energi inte har genomfört en riskanalys där de identifierat väsentliga risker inom processen och därtill interna kontroller som säkerställer att riskerna hanteras på ett tillbörligt vis.
2.3 Utbetalning av löner och bokföring av lönekostnader
Efter att lönebearbetningen är klar tar bolagens personaladministratör ut en bankkopplingsfil som skickas till banken. Ekonomichefen alternativt vice VD/Controller vid Gavlegårdarna och
personalchefen vid Gävle Energi signerar digitalt betalningen och vi noterar att betalningar görs av två olika personer i respektive bolag.
Vid vår granskning har vi noterat att betalningsfilen är en öppen textfil där det går att göra justeringar efter att den tagits ut från systemet. Vidare har vi noterat att avdelningen inte dokumenterar sin granskning av att filerna överensstämmer med den slutliga lönebearbetningen vilket kan öppna upp för att felaktiga belopp kan bli utbetalda och bokförda.
I Gävle Energi skrivs utbetalningslistan ut och rimligheten bedöms av personalchefen, vilket säkerställer att utbetalningen i allt väsentligt är korrekt.
Underlag för bokföring av månadens lönekostnad, sociala avgifter och semesterlöneskulden förbereds av bolagens personaladministratörer och skickas sedan vidare till respektive bolags ekonomiavdelning som genomför bokningen i bolagens ekonomisystem. Rutinen skiljer sig mellan bolagen såtillvida att Gavlegårdarna skriver ut lönefilen i Excel, som sedan manuellt registreras av ekonomiassistenten i ekonomisystemet. Verifikatet granskas och signeras av ekonomichefen. Gävle Energi skapar en elektronisk fil från Hogia som sedan importeras in i ekonomisystemet av
ekonomiassistenten vilket i sin tur medför lägre grad av manuella moment. Filen skrivs ut och sparas vid ekonomiavdelningen. Gävle Energi har dock ingen rutin som säkerställer att samtliga
bokföringsorder granskas och signeras av överordnad.
Utifrån vår genomgång av underprocessen, utbetalning av löner och bokföring av lönekostnader, har vi noterat att Gavlegårdarna och Gävle Energi inte har genomfört en riskanalys där de identifierat väsentliga risker inom processen och därtill interna kontroller som säkerställer att riskerna hanteras på ett tillbörligt vis.
2.4 Övriga personalkostnader Sociala avgifter
Processen att förbereda och bokföra sociala avgifter och semesterlöneskuld är i allt väsentligt likartad hos Gavlegårdarna och Gävle Energi.
Personaladministratören förbereder månatligen underlagen för sociala avgifter och semesterlöneskulden. Båda posterna förbereds utifrån ekonomiska kodsträngar som finns registrerade i Hogia på respektive anställd. För att få ut månadens sociala avgifter och underlag till Skatteverkets månatliga deklaration tar personaladministratören ut en fil från Hogia. Deklarationen kontrolleras av personaladministratören innan den skickas till ekonomiavdelningen för bokföring i ekonomisystemet. Betalningen av sociala avgifter sker i likhet med löneutbetalning i två i förening.
Personaladministratörerna i bolagen har inte behörighet att genomföra utbetalningar. Kopplat till sociala avgifter, som blir betalda till skattekontot, görs det månatliga avstämningar av skattekontot
Semesterlöneskuld
Semesterlöneskuld och kostnaden/intäkten för förändringen av semesterlöneskulden bokförs en gång per månad. Underlaget kommer i likhet med sociala avgifter från en rapport ur Hogia.
Rapporten kontrolleras och rimligheten bedöms mot föregående månadsrapport innan den skickas till ekonomiavdelningen.
2.5 Övrigt Internkontrollplanen
Gavlegårdarna har tagit fram en internkontrollplan som baseras på COSO-modellen. Vi bedömer dock att informationen som lämnas för respektive riskområde inte har karaktären av att beskriva vilka rutiner och kontrollmoment som finns, utan mer utgör en allmän beskrivning, huvudsakligen kopplat till åtgärder till förbättringar och vilket arbete som pågår inom respektive riskområde. Genom att åtgärderna är för allmänt hållna försvåras en effektiv uppföljning av hur dessa har påverkat riskerna. Slutligen har vi noterat att det inte finns några identifierade risker inom löneprocessen.
Gävle energi saknar en framtagen internkontrollplan.
3 Registeranalys
3.1 Iakttagelser och noteringar efter registeranalys
Utifrån lönedata framställt av bolagen har vi genomfört en analys av 16 olika
kategorier/frågeställningar under perioden 2013-01-01 till och med 2013-08-31. För samtliga kategorier har analysen sparats i ett Exceldokument som revisorerna kan använda för vidare granskning.
Nedan följer beskrivning över våra iakttagelser och rekommendationer per kategori:
1. Personer över 67 år
Vi noterade totalt sex personer som var äldre än 67 år och som erhållit lön och/eller ersättning under granskningsperioden. Samtliga personer utgörs av styrelsemedlemmar alternativt av personer som slutat under året.
2. Personer som är 18 år eller yngre
Totalt noterade vi att 61 personer som är 18 år eller yngre och som har erhållit lön och/eller ersättning. Samtliga personer är kategoriserade som ferieanställda som slutat under juli eller augusti.
3. Korrekta personnummer
För att kontrollera att personer ligger registrerade med rätt personnummer har vi jämfört data från Hogia mot data från Skatteverkets databas, Navet. Utifrån vår kontroll framkom det att tre personer
har ett annat efternamn i Navet än vad som finns registrerat i Hogia. Vi rekommenderar att revisorerna kontrollerar att dessa tre personer ligger korrekt registrerade i Hogia.
4. Sparade semesterdagar överstiger 40 dagar
Vi har noterat att en person i Gavlegårdarna har sparade semesterdagar som överstiger 40 dagar, personen har 41 registrerade övertidsdagar. Vi rekommenderar revisorerna granskar
övertidsdagarna för att säkerställa att registreringen är korrekt.
5. Korrekt antal semesterdagar
Vi har noterat att en person i Gavlegårdarna har en semesterrätt som överstiger 35 dagar. Personen har 37 dagar. Vi rekommenderar att revisorerna följer upp om personens semesterrätt är korrekt registrerad.
6. Höga löner
Vi har utifrån material i Hogia listat de tio högsta månadsutbetalningar för respektive bolag. Vi rekommenderar att revisorerna granskar personernas utbetalda löner mot avtal för att säkerställa att korrekt utbetalning genomförts.
7. Låga löner
Vi har utifrån material i Hogia listat de tio lägsta månadsutbetalningar för respektive bolag. Vi rekommenderar att revisorerna granskar personernas utbetalda löner mot avtal för att säkerställa att korrekt utbetalning genomförts.
8. Negativa värden
Vi har noterat att det inte förekommit negativa värden under perioden.
9. Lönetillägg
14 personer vid Gavlegårdarna och 24 personer vid Gävle Energi har erhållit lönetillägg under analysperioden. Totalt uppgår lönetilläggen till ca 230 tkr. Lista framtagen för avstämning.
10. Lön/ersättning efter avslutad anställning
Vi har noterat att samtliga löner och ersättningar som har blivit utbetalda till personer som avslutat sin anställning, har blivit utbetalda maximalt en månad efter avslutad anställning. Ingen vidare uppföljning rekommenderas.
11. Anställda med mycket övertid
För vidare analys och granskning har vi tagit fram en lista som visar tillsvidareanställda (månadsavlönade personer) som har högst antal övertidstimmar.
12. Timanställda med övertid
Vi har noterat att två timanställda personer har erhållit övertid. Vi rekommenderar att revisorerna granskar registreringarna av övertid mot avtal och tidredovisning för att säkerställa att
registreringarna är korrekta.
13. Deltidsanställda med övertid
Vi har noterat att åtta deltidsanställda har registrerat övertid. Vi rekommenderar att registreringarna av övertid verifieras genom en granskning mot avtal och tidredovisning för att säkerställa att registreringarna är korrekta.
14. Ej rätt till övertid med övertid
Vi har inte funnit några anställda som erhållit övertid och som inte ska ha rätt till övertid.
15. Anställda med heltidstjänst som arbetar fyllnadstid
Totalt har sex personer erhållit ersättning för fyllnadstidsarbete. Två personer har slutat och en har arbetat 80 procent. Vi rekommenderar revisorerna att stickprovsvis granska noterade personers ersättning för fyllnadstid för att säkerställda att korrekt registrering gjorts.
16. Komptid
Totalt har 250 personer registrerat kompensationstid (”Komptid”). 117 personer vid Gavlegårdarna och 133 personer vid Gävle Energi. Sex personer vid Gavlegårdarna har saldon som överstiger 150 timmar. Det högsta saldot uppgår till 350 timmar.
17. Bilersättning
Vi har noterat att 115 personer har erhållit bilersättning om totalt ca 650 tkr. Sex personer har erhållit bilersättning överstigande 15 tkr (Tre från Gavlegårdarna och tre från Gävle Energi). Vi
rekommenderar att revisorerna stickprovsvis kontrollerar bilersättningar mot verifierande underlag för att bekräfta korrekta registreringar.
