Säkerhet i hantering av utbetalningar

(1)

Revisorer Distribution

Göran Melin Niklas Berggren Evelina Kallur

E, Bo Friberg *) PL, Stefan Engdahl *) HR, Niclas Lamberg *) UH, Anna Lundman *) ÖD, Bo Netz GD, Lena Erixon Riksrevisionen

*) Ansvarig för observationer

Revisionsrapport

Säkerhet i hantering av utbetalningar

Internrevisionen 2017-05-12 TRV 2017/15469

(2)

Innehåll

1 Introduktion ... 3

1.1 Sammanfattning ... 3

1.2 Bakgrund ... 4

1.3 Omfattning ... 4

1.4 Generella kommentarer ... 5

1.5 Ledningens respons ... 5

2 Observationer och rekommendationer ... 6

2.1 Bidragsgivning till enskilda vägar ... 6

2.1.1 Kontroll av bidragsmottagare ... 6

2.1.2 Riskhantering och kontroller ... 8

2.1.3 Loggfunktion i EVB2 ... 8

2.2 Utbetalningar genom CDI och Agresso ... 9

2.3 Utbetalningar genom Heroma ... 10

Skapat av: Göran Melin Dokumenttyp: Rapport

(3)

1 Introduktion

1.1 Sammanfattning

Trafikverket genomför löpande en stor mängd utbetalningar på höga belopp.

För att säkerställa att samtliga utbetalningar sker med rätt belopp och till rätt mottagare krävs att ändamålsenliga kontroller finns på plats. Kontroller

avseende utbetalningar bör regelbundet utvärderas och följas upp med avseende på ändamålsenlighet och tillämpning.

Revisionen har syftat till att utvärdera ändamålsenlighet och tillämpning, samt föreslå förbättringar beträffande hantering och kontroller relaterat till system som genererar utbetalningar från Trafikverket. De system som har berörts är CDI/Agresso (leverantörsutbetalningar), Heroma (löneutbetalningar) och EVB2 (Enskilda vägar bidragssystemet).

Revisionen har noterat att en allvarlig risk för bedrägerier vid ändring av betalningsmottagare för bidrag till enskilda vägar inte är hanterad trots att Trafikverket utsattes för ett sådant bedrägeriförsök 2012. Dessutom finns det brister beträffande riskanalyser av de olika utbetalningsprocesserna.

Med utgångspunkt från den genomförda granskningen bedömer IR att den interna styrningen och kontrollen är till viss del otillfredsställande med förbättringsmöjligheter beträffande bidragsgivning till enskilda vägar och till stor del tillfredställande med vissa förbättringsmöjligheter för löneutbetalningar samt leverantörsutbetalningar via CDI/Agresso.

Observationer med hög eller mycket hög risk

# Observation Rekommendation Ansvar

1 Bristfälliga kontroller vid ändring av mottagarkonto gör att ett bedrägeri av samma typ som genomfördes 2012 skulle kunna lyckas även idag.

[Risk = Hög]

Inför kontroller som hanterar risken för den typ av bedrägeri som skedde 2012.

PL

3 Det genomförs ingen

systematisk, återkommande och dokumenterad

riskbedömning av processen för bidrag till enskilda vägar.

[Risk = Hög]

Säkerställ systematisk riskhantering avseende

processen för bidrag till enskilda vägar i enlighet med

”Trafikverkets riskhantering”

(TDOK 2014:0308), Bilaga T1.

PL

(4)

riskbedömning av utbetalningsprocessen.

Riskbedömningen bör också inkludera en bedömning av behovet av säkerhetsskydd och vilka befattningar som eventuellt bör vara föremål för säkerhetsklassning eller annan typ av personkontroll (t.ex. UC).

[Risk = Hög]

utbetalningsprocessen i enlighet med ”Trafikverkets

riskhantering” (TDOK 2014:0308), Bilaga T1.

E

1.2 Bakgrund

Trafikverket genomför löpande en stor mängd utbetalningar på höga belopp.

För att säkerställa att samtliga utbetalningar sker med rätt belopp och till rätt mottagare krävs att ändamålsenliga kontroller finns på plats. Kontroller

avseende utbetalningar bör regelbundet utvärderas och följas upp med avseende på ändamålsenlighet och tillämpning.

Revisionsprojektet ”Säkerhet i hantering av utbetalningar” ingår i den av styrelsen fastställda revisionsplanen för år 2017. Till grund för revisionsplanen ligger den verksamhetsanalys som ledningen för Trafikverket fastställt samt de underliggande riskanalyser som genomförts på verksamhetsområden och centrala funktioner. Internrevisionen har därtill kompletterat med egna bedömningar utifrån erfarenheter från tidigare granskningar.

Risker som identifierats är att bristfälligt utformade kontroller i system som genererar utbetalningar ger möjlighet för aktörer att genomföra felaktiga utbetalningar på stora belopp. Händelser i omvärlden motiverar granskning av risken för att interna eller externa aktörer stör Trafikverkets förmåga att

genomföra utbetalningar, samt risken för bedrägerier. Organiserad brottslighet söker sig allt närmare näringslivet i form av kriminell IT-verksamhet.

1.3 Omfattning

Revisionen har syftat till att utvärdera ändamålsenlighet och efterlevnad samt föreslå förbättringar beträffande hantering och kontroller relaterat till system som genererar utbetalningar från Trafikverket. Syftet med granskningen har också varit att bedöma om specifika risker kopplat till fraud (bedrägeri och stöld) av väsentlig karaktär, är beaktade och omhändertagna. De system som har berörts är Agresso, CDI, Heroma och Enskilda vägar bidragssystemet (EVB2).

(5)

IR arbetar i överensstämmelse med internationella riktlinjer för yrkesmässig internrevision. Revisionen har genomförts enligt den revisionssed och metodik som beskrivs i Internrevisionshandboken. Rapporten är skriven i avvikelseform, vilket innebär att det i första hand är de områden där IR har synpunkter eller har förslag till förbättringar som kommenteras.

1.4 Generella kommentarer

Vi har under revisionen upplevt ett stort engagemang och öppenhet hos de personer vi intervjuat, och vi är mycket nöjda med den hjälp vi fått för att genomföra revisionen så effektivt som möjligt.

1.5 Ledningens respons

Ansvariga chefer i Trafikverket är överens med IR om revisionsrapportens observationer och rekommendationer.

Borlänge den 12 maj 2017

Göran Melin Peter Funck

Revisionsledare Internrevisionschef

(6)

2 Observationer och rekommendationer

2.1 Bidragsgivning till enskilda vägar 2.1.1 Kontroll av bidragsmottagare

Vid årsskiftet 2011-2012, inför utbetalningen av årligt driftbidrag för enskilda vägar, drabbades Trafikverket av ett bedrägeriförsök. Bedrägeriet utfördes genom att personer utanför Trafikverket anmälde ändring av utbetalningskonto för fyra olika vägföreningar i olika delar av Sverige. Det belopp som felaktigt hade kunnat utbetalas uppgick till strax över 1,9 mkr. De nya konton som anmäldes var bankkonton som tillhörde privatpersoner och som därför inte kunde kontrolleras med avseende på om de tillhörde respektive vägförening. Vid ändring till bankkonto, med privatperson som betalningsmottagare, krävde Trafikverket verifiering i form av kopia på styrelseprotokoll (som bevis för vilken person som ska motta betalningen) och kopia av kontoutdrag från bank (för att bevisa att personen är kontoinnehavare). I dessa fall hade styrelseprotokoll och kontoutdrag förfalskats.

Trafikverket upptäckte bedrägeriförsöket av en slump beroende på att en person ringde till en bidragshandläggare och var väldigt angelägen om att få veta när pengarna skulle betalas ut, varvid bidragshandläggaren anade oråd och kontrollerade uppgifterna med vägföreningen. Trafikverket stoppade då sju stycken utbetalningsfiler och vid en analys upptäcktes ytterligare tre felaktiga mottagarkonton. I några fall hann felaktiga utbetalningar genomföras men spärrades av banken för uttag.

Som ett resultat av bedrägeriförsöket och svårigheten att kontrollera bankkonton med privatpersoner som ägare beslutades det i rutinen

”Kontaktuppgifter och konto vid bidrag till enskilda vägar” (TDOK 2012:173, version 2.0) att införa följande kontroll: ”Om väghållaren saknar

organisationsnummer eller om väghållaren anger bankkonto och det beräknade årliga driftbidraget kommer att överstiga 50 000 kronor ska meddelande bifogas delgivningen till väghållaren som bekräftelse på

kontaktperson och konto, väghållaren uppmanas i meddelandet att höra av sig om någon uppgift är fel. Bidragshandläggaren skriver in vägnr, datum,

kryssar i vad som avses och signerar i en ”Meddelandelogg” för att

dokumentera att meddelande sänts. Meddelandeloggen förvaras i pärm hos bidragshandläggaren.”

Enligt vad som framkommit under granskningen har denna kontroll inte genomförts, något som, enligt IR:s bedömning, indikerar på en svag styrning och kontroll inom detta område. Detta kan till viss del förklaras av att

verksamheten inom VO Underhåll varit splittrad under 13 olika chefer.

Förutsättningarna för en tydligare styrning och kontroll kommer att förbättras under 2017, då hela denna verksamhet inom VO Underhåll kommer att samlas i en nationell organisation. Processansvaret för bidragsgivning till enskilda väghållare finns hos VO Planering, och processen ”Ge bidrag till enskilda vägar”

kommer att bli en egen huvudprocess i Trafikverkets nya processkarta.

(7)

På grund av banksekretessen är det fortfarande svårt att kontrollera ägare till bankkonton. Den möjlighet som finns är att via bankgirocentralen kontrollera om konto och personnummer matchar. Det är dock inte tvingande att lämna sitt personnummer i samband med anmälan om konto för utbetalning av bidrag för enskilda vägar, och personnummer för kontoinnehavaren saknas därför ofta.

Den kontroll som infördes efter bedrägeriförsöket är borttagen i den senaste versionen av rutinen ”Kontaktuppgifter och konto vid bidrag till enskilda vägar”

(version 3.0, fastställd 2016-12-19), och verifiering av betalningsmottagare sker fortfarande i form av kopia av styrelseprotokoll och kopia av kontoutdrag från bank. IR ser detta som anmärkningsvärt, då det medför att samma typ av bedrägeri som genomfördes 2012 skulle kunna lyckas även idag.

Trafikverket arbetar för att merparten av vägföreningarna ska ha egna

organisationsnummer så att utbetalningskontot ska kunna knytas till respektive vägförening. Det är dock en trög process och det kommer att ta flera år innan detta finns på plats. IR bedömer att risken för bedrägerier genom felaktiga utbetalningskonton måste hanteras genom ytterligare kontroller så länge som dessa konton inte går att kontrollera. Någon form av verifiering mot tidigare kontaktperson för en vägförening där konto ändrats till bankkonto behöver därför återinföras om inte andra typer av kontroller kan säkerställa korrekt mottagarkonto. Eftersom Trafikverket har tillgång till mejladress till majoriteten av vägföreningarna skulle autogenererade mejl som en verifiering vid byte av konto kunna vara en möjlig lösning. Trafikverket bör också undersöka möjligheten att införa krav på e-legitimation där vägföreningarna själva kan administrera sina betalnings- och kontaktuppgifter via internet. Som exempel kan nämnas att Jordbruksverket nyligen infört krav på e-legitimation för de som ska söka jordbrukarstöd via internet. En högre grad av digitalisering av denna process bör också kunna bidra till kostnadseffektivisering.

1 Bristfälliga kontroller vid ändring av mottagarkonto gör att ett bedrägeri av samma typ som genomfördes 2012 skulle kunna lyckas även idag.

[Risk = Hög]

Inför kontroller som hanterar risken för den typ av bedrägeri som skedde 2012.

PL

2 Införande av krav på e- legitimation skulle ge

vägföreningarna möjlighet att själva kunna administrera sina mottagaruppgifter via internet och därmed öka säkerheten beträffande betalningsmottagare.

[Risk = Måttlig]

Utred förutsättningarna för en process för bidragsgivning till enskilda vägar, där krav på e- legitimation ökar säkerheten beträffande

betalningsmottagare.

PL

(8)

2.1.2 Riskhantering och kontroller

I rutinen ”Trafikverkets riskhantering” (TDOK 2014:0308), bilaga T1 –

”Trafikverkets riskhantering inom processer” står följande:

”Riskbedömningen i befintliga processer ska uppdateras årligen ner till

processnivå två. Ytterligare nivåer kan inkluderas om det behövs med tanke på till exempel processens komplexitet eller särskilda krav, till exempel för

trafiksäkerhet. Riskbedömningen ska vara inriktad på leveranserna från processen, men man ska även beakta leveranserna till processen, resurser, styrning, ansvar och kritiska aktiviteter och arbetssätt. Riskbedömning och åtgärder för att behandla de största ingående hoten ska registreras och vara åtkomliga i ledningssystemet för respektive process.”

Processen för bidragsgivning till enskilda vägar ligger till grund för både

myndighetsbeslut och utbetalningar på över en miljard kronor per år. Processen måste därför bedömas ha särskilda krav och därmed falla in under kraven på riskhantering inom processer. Dessutom kommer denna process att bli en huvudprocess i Trafikverkets nya processkarta.

Det är viktigt att processansvarig regelbundet och systematiskt analyserar processens risker och bedömer om beslutade kontroller är ändamålsenliga. I en sådan analys bör även krav på dualitet och lämplig uppdelning av

arbetsuppgifter (behörigheter) ingå. I en process som genererar stora utbetalningar är det också viktigt att kartlägga och hantera risker för

bedrägerier, både externa och interna (se avsnitt 2.1.1). IR har under revisionen konstaterat att ingen systematisk och regelbunden riskhantering sker med avseende på processen för bidragsgivning till enskilda vägar. Det går därför inte att utläsa vilka risker som är identifierade och om de är tillräckligt

omhändertagna, d.v.s. aktuell nettorisk.

riskbedömning av processen för bidrag till enskilda vägar.

[Risk = Hög]

processen för bidrag till enskilda vägar i enlighet med

”Trafikverkets riskhantering”

(TDOK 2014:0308), Bilaga T1.

PL

2.1.3 Loggfunktion i EVB2

EVB2 är ett IT-stöd för hantering av bidragsgivning till enskilda vägar. Systemet togs i drift 2015 som en ersättning för ett tidigare system (EVB). I nuläget saknas loggfunktion i EVB2. Spårbarhet med avseende på vem som gjort vad i systemet och vid vilken tidpunkt måste betraktas som ett grundläggande krav för ett system som genererar förslag till utbetalningar och myndighetsbeslut.

(9)

# Observation Rekommendation Ansvar 4 Loggfunktion saknas i EVB2

vilket försämrar

spårbarheten med avseende på vem som gjort vad och när.

[Risk = Måttlig]

Säkerställ möjlighet till

spårbarhet genom loggning av viktiga transaktioner i systemet EVB2.

UH

2.2 Utbetalningar genom CDI och Agresso 2.2.1 Riskhantering och kontroller

Utifrån rutinbeskrivningen ”Trafikverkets riskhantering” (se avsnitt 2.1.2) bedömer IR att utbetalningsprocessen måste betraktas som en process med särskilda krav och därmed omfattas av kraven gällande årlig riskbedömning.

Det finns ett stort riskmedvetande i hanteringen av utbetalningsprocessen vilket medför att många effektiva kontroller finns på plats. Det förekommer

regelbundna riskdiskussioner, dock saknas en systematisk, återkommande och dokumenterad riskbedömning av utbetalningsprocessen. När en systematisk och heltäckande riskbedömning, inkluderande identifierade risker, utvärdering av kontroller/rutiner, riskhistorik och aktuell nettorisknivå etc. inte upprättas är risken att fullständigheten i riskhanteringen blir bristfällig.

Under revisionen har vi, i utbetalningsprocessen, noterat några brister av olika karaktär och betydelse som bör uppmärksammas i en årlig riskbedömning.

Det finns ingen kontroll av utbetalningar summerat per mottagarkonto eller någon kontroll av om samma mottagarkonto registreras för flera leverantörer.

En konsekvens är att det troligen inte skulle upptäckas om samma

mottagarkontonummer förekom på, exempelvis, flertalet vägföreningar, eller om flera andra leverantörsutbetalningar ändrades till samma mottagarkonto.

Det finns inte heller någon kontroll av om fakturabeloppet ändrats efter att en faktura blivit definitivbokförd.

En annan notering gäller ”RK01-rapporten”, som bland annat används för kontroll av fakturor och leverantörsdata där ändring skett efter att fakturan blivit definitivbokförd, exempelvis ändring av mottagarkonto. I nuläget sker denna kontroll innan betalningsförslaget skapas, vilket innebär risk för att ytterligare ändringar kan ske innan det slutgiltiga betalningsförslaget upprättas.

För att fungera som en mer ändamålsenlig och effektiv kontroll skulle ”RK01- rapporten” kunna senareläggas och utföras i samband med kontroll av det slutgiltiga betalningsförslaget.

Ett stort antal personer har fullständiga behörigheter i både CDI, Agresso och i systemens databaser. Denna typ av behörigheter kan vara nödvändiga för att

(10)

praktiskt administrera systemen, men det kan inte uteslutas att kompenserande kontroller är nödvändiga för att upprätthålla en god intern kontroll och säkerhet i hanteringen av utbetalningar.

En riskanalys, i utbetalningsprocessen, bör också inkludera en bedömning av behovet av säkerhetsskydd och vilka befattningar som eventuellt bör vara föremål för säkerhetsklassning eller annan typ av personkontroll (t.ex. UC).

riskbedömning av utbetalningsprocessen.

Riskbedömningen bör också inkludera en bedömning av behovet av säkerhetsskydd och vilka befattningar som eventuellt bör vara föremål för säkerhetsklassning eller annan typ av personkontroll (t.ex. UC).

[Risk = Hög]

utbetalningsprocessen i enlighet med ”Trafikverkets

riskhantering” (TDOK 2014:0308), Bilaga T1.

E

2.3 Utbetalningar genom Heroma 2.3.1 Riskhantering och kontroller

IR bedömer att det sammantaget finns en säkerhet i hanteringen av löneutbetalningar som skulle upptäcka försök till väsentliga felaktiga

utbetalningar. Det finns inom processen kontroller och spärrar som upptäcker om större felaktiga löner finns registrerade för utbetalning. Det kan heller inte ske någon utbetalning till fel mottagare eftersom banken kontrollerar att lönemottagaren är ägare eller medägare av mottagarkontot.

Det är dock av vikt att kontrollerna regelbundet, genom systematisk riskhantering, utvärderas efter ändamålsenlighet och effektivitet då förutsättningar, teknik och omvärld ständigt förändras.

Utifrån rutinbeskrivningen ”Trafikverkets riskhantering” (se avsnitt 2.1.2) bedömer IR att processen för löneutbetalningar måste betraktas som en process med särskilda krav och därmed omfattas av kraven gällande årlig

riskbedömning. Inom delar av processen för löneutbetalningar har det förekommit inslag av riskhantering, exempelvis informationssäkerhetsanalys och kontinuitetsbedömning, dock saknas en systematisk, återkommande och dokumenterad riskbedömning av löneutbetalningsprocessen.

(11)

När en systematisk och heltäckande riskbedömning, inkluderande identifierade risker, utvärdering av kontroller/rutiner, riskhistorik och aktuell nettorisknivå etc. inte upprättas är risken att fullständigheten i riskhanteringen blir bristfällig.

riskbedömning av processen för löneutbetalningar.

[Risk = Måttlig]

processen för löneutbetalningar i enlighet med ”Trafikverkets riskhantering” (TDOK 2014:0308), Bilaga T1.

HR

(12)

Bilaga

Riskvärdering och sammanfattande bedömning

Internrevisionen tillämpar Trafikverkets kriteriemodell för riskvärdering av respektive observation (TDOK 2010:163):

Internrevisionen tillämpar följande kriterier i den sammanfattande bedömningen av intern styrning och kontroll i relation till revisionens omfattning:

Bedömning Kriterier

Tillfredsställande med mindre

förbättringsmöjligheter Rapporten innehåller observationer värderade med måttlig risk

Till stor del tillfredställande med

vissa förbättringsmöjligheter Rapporten innehåller minst en observation värderad med hög risk Till viss del otillfredsställande med

förbättringsmöjligheter Rapporten innehåller ett betydande antal observationer värderade med hög risk

Till viss del otillfredsställande med

stor(a) förbättringsmöjlighet(er) Rapporten innehåller minst en observation värderad med mycket hög risk

Otillfredsställande med flera stora

förbättringsmöjligheter Rapporten innehåller flera

observationer värderade med mycket hög risk

(13)

Trafikverket, Internrevisionen, 781 89 Borlänge. Besöksadress: Röda vägen 1.

Telefon: 0771-921 921,Texttelefon: 0243- 750 90 www.trafikverket.se