Marks kommun
Granskning av intern kontroll i leverantörsreskontrarutinen
2011-10-12
Sara Wåhlin Emily Jönsson
Innehållsförteckning
1 INLEDNING ... 3
1.1 UPPDRAGSBESKRIVNING ... 3
1.2 METOD OCH AVGRÄNSNING ... 3
2 SLUTSATSER ... 4
3 ÖVERSIKTLIG INFORMATION ... 5
3.1 OMFATTNING ... 5
3.2 ROLLER OCH ANSVARSFÖRDELNING ... 5
3.3 BERÖRDA SYSTEM ... 5
3.4 INFORMATION/RIKTLINJER/POLICIES ... 5
4 ÖVERVAKANDE KONTROLLER ... 6
5 BEHÖRIGHETER ... 6
5.1 BEHÖRIGHETSRUTIN ... 7
5.2 LÖSENORD OCH SÄKERHET ... 8
6 FÖRÄNDRINGAR I LEVERANTÖRSREGISTRET ... 8
6.1 LOGGNING OCH UPPFÖLJNING ... 8
7 HANTERING AV LEVERANTÖRSFAKTURA ... 8
7.1 SCANNADE FAKTUROR ... 8
7.2 E-FAKTUROR ... 9
7.3 EDI ... 9
7.4 KONTERING ... 9
7.5 ATTESTREGLER ... 9
7.6 PARKERING/MAKULERING ... 10
8 BETALNINGSRUTINER ... 10
8.1 MANUELLA BETALNINGAR ... 10
8.2 UPPDATERING AV HUVUDBOK ... 11
8.3 MÅNATLIGA KONTROLLER ... 11
1 Inledning
1.1 Uppdragsbeskrivning
Som ett led i arbetet med att säkerställa att en god intern kontroll upprätthålls i verksamheten har PwC av de förtroendevalda revisorerna i Marks Kommun fått i uppdrag att kartlägga rutiner och kontroller avseende leverantörsreskontrarutinen inom kommunen. Granskningen syftar till att säkerställa att inkommande leverantörsfakturor är godkända och uppdaterar huvudboken fullständigt och riktigt.
Övergripande revisionsfråga:
Finns det kontroller på plats som säkerställer att endast godkända leverantörsfakturor bokförs och betalas?
Finns det kontroller på plats för att säkerställa att leverantörsfakturor uppdaterar redovisningen fullständigt och riktigt?
Nedan beskrivs leverantörsreskontrarutinerna översiktligt, eventuell avsaknad av kontroller eller där vi identifierat brister i kontrolldesignen i befintliga kontroller tydliggörs genom observationer med förslag till förbättringar. Noterade brister beskrivs i detalj i bifogat appendix. Denna genomgång används med fördel som underlag för vidare arbete med att stärka den interna kontrollen.
1.2 Metod och avgränsning
Granskningen har i första hand genomförts via intervjuer med berörda personer på den centrala ekonomifunktionen samt översiktlig granskning av relaterade dokument. Kartläggningen skapar förutsättningar för att effektivt verifiera att identifierade nyckelkontroller utförs och därmed öka informationens tillförlitlighet vid bedömning av kommunens räkenskaper. Stickprovsmässig verifiering att identifierade kontroller utförs som beskrivits ingår ej i detta uppdrag.
Processkartläggningen är huvudsakligen baserad på intervjuer med nedanstående personer:
Karl Lundgren – förvaltningschef (telefonintervju)
Lena Arvidsson – sektorchef teknik- och serviceförvaltningen.
Monica Johansson – systemadministratör, ekonomi- och systemhandläggare (redovisning och reskontra)
Lisbeth Jonasson – ekonomi- och systemhandläggare (Inköp och Faktura), systemadministratör
Annette Hagman – verksamhetsutvecklare, projektledare för e-fakturahantering
Martin Svenhed – redovisningschef
Birgitta Swedblom – fakturahantering
Granskningen genomförs hos centrala ekonomifunktionen och omfattar följande huvudmoment:
Övervakande kontroller för att rimlighetsbedöma inköpsvolymer
Godkännande/attest
Registervård av fasta data (leverantörsuppgifter, konteringsregler)
Översiktlig kartläggning av rutinen för behörighetsadministration (behörighetskontroller)
Utbetalning
2 Slutsatser
Iakttagelser med dess risker för respektive område redovisas under nedanstående avsnitt och är klassificerade enligt en fyrgradig skala.
Prioritet Beskrivning Rekommendation
1 Mycket allvarlig och uppenbar brist som kan få allvarliga konsekvenser för verksamheten.
Åtgärder bör vidtas omedelbart.
2 Allvarlig brist som på sikt eller i
kombination med andra brister skulle kunna få konsekvenser för verksamheten.
Åtgärder bör planeras omedelbart.
3 Problem som inte är förenligt med god praxis.
Åtgärder bör planeras.
4 Mindre problem eller område där utrymme finns för förbättring.
Åtgärder bör beaktas.
Vår utgångspunkt är att det är i kommunens intresse att ha en tydlighet kring de rutiner och kontroller som säkerställer en fullständig och riktig redovisning av leverantörsreskontrahantering. I tillägg till detta en i övrig lämplig nivå på den interna kontrollen samt effektiva rutiner. Vår bedömning är att Marks Kommun har fungerande rutiner med väl inarbetad personal. Kontroller utförs i stor utsträckning och det finns en stark kontrollfunktion i den attestfunktion som implementerad i Inköp och Faktura.
Kommunen behöver dock arbeta med att formalisera riktlinjer relaterat till inköp och intern kontroll och även formalisera de kontroller som görs idag för att kunna skapa bättre förutsättningar för att uppnå en god intern kontroll.
Identifierade brister redovisas enligt nedan, för mer detaljerad beskrivning se Appendix 1.
Ref. Område Identifierad brist Prioritet
3.2 Roller och ansvarsfördelning Roll-/Ansvarsfördelning 2
3.4a Information/Riktlinjer/Policies Riktlinjer avseende intern kontroll 2
3.4b Information/Riktlinjer/Policies Riktlinjer avseende inköp 2
3.4c Information/Riktlinjer/Policies Utbildning av inköpare 2
4a Övervakande kontroller Uppföljning/kontrollfunktion efterlevnad riktlinjer 2 4b Övervakande kontroller Uppföljning/kontrollfunktion riktighet fakturor 4
5 Behörigheter Behörighetsstruktur 2
5.1a Behörighetsrutin Beloppsgränser för attest 2
5.1b Behörighetsrutin Behörighetsrutin 2
6 Förändringar i leverantörsregistret
Registrering av ny leverantör 4
6.1 Förändringar i leverantörsregistret
Loggning av ändringar i kritisk data 2
8.1 Manuella betalningar Manuella betalningar 4
3 Översiktlig information
3.1 Omfattning
Marks kommun hanterar årligen ca 55 000 fakturor till ett värde av ca 890 miljoner SEK. Det förekommer ca 60 % fakturor som inkommer på papper och scannas in och ca 40 % är e-fakturor.
Kommunen arbetar med att öka mängden e-fakturor och bland annat finns krav på nya leverantörer att skicka e-fakturor. Kommunen erbjuder leverantörer att skapa e-fakturor gratis via kommunens portal på nätet.
3.2 Roller och ansvarsfördelning
Systemägare – Enligt kommunens IT-policy ska kommunstyrelsen utse systemägare för
kommungemensamma system, vilket rimligtvis bör omfatta ekonomisystemet. Inköp och faktura och Redovisning-reskontra är delar av ekonomisystemet.
Systemförvaltare – Enligt kommunens IT-policy ska systemägare utse systemförvaltare. Det finns två personer som i praktiken arbetar som systemförvaltare för berörda system.
Arbetsuppgifterna består av bland annat programuppdateringar och behörighetsadministration.
Det finns inte formaliserat vilket ansvar som ingår i systemförvaltarrollen.
Upphandlingsfunktionen – är ett stöd för samtliga förvaltningar i samband med upphandlingar och ligger organisatoriskt under Teknik- och Serviceförvaltningen.
Inköpare/beställare – Beställningar/inköp görs på respektive förvaltning. Det är inte formaliserat vem som får göra beställningar/inköp och vad som ingår i rollen.
Mottagningsattestant – person som kontrollerar att erhållen faktura stämmer överens med levererad tjänst/vara.
Beslutsattestant – person som kontrollerar fakturan mot underlag/beställning/beslut och villkor.
Det finns förtydligat i ekonomihandboken vad detta i detalj innebär.
Det saknas dokumenterade rollbeskrivningar och ansvarsfördelningar för vissa av rollerna ovan. (Se kontroll 3.2 Roll-/Ansvarsfördelning).
3.3 Berörda system
Inköp & faktura (IoF) - inköp och fakturahanteringssystem, hanterar både e-fakturor och scannade, här sker kontering, mottagningsattest, beslutsattest, innehåller ett leverantörsregister som är styrande och uppdaterar leverantörsregistret i RoR.
Redovisning och Reskontra (RoR) – huvudbok och leverantörsreskontra, leverantörsregister (som uppdateras från Inköp & faktura)
CSS – Behörighetssystem - används för behörighetsstyrning och är en modul i ”Inköp och faktura”. Här läggs användare upp med olika behörighetsroller.
Gemensam systemleverantör för ovan system är Aditro.
3.4 Information/Riktlinjer/Policies
Ekonomi har veckovisa verksamhetsmöten med information, uppföljning och avstämning av arbetet på ekonomiavdelningen.
I kommungemensamt reglemente för nämnderna i Marks Kommun (gäller from 2011-05-01) framgår att det är nämnden som har ansvar för den interna kontrollen inom verksamhetsområdet och har skyldighet att löpande följa upp det interna kontrollsystemet. Under granskningen framkom dock att Teknik- och Servicenämnden inte efterfrågat information eller gett instruktioner om hur arbete med intern kontroll avseende leverantörsreskontrahanteringen ska bedrivas. (Se kontroll 3.4a Riktlinjer avseende Intern kontroll).
På kommunens intranät har all personal tillgång till:
Utbildningsmaterial ex. ”Ta hand om din elektroniska faktura”.
Ekonomihandbok – som bland annat beskriver hur man konterar, vad man bör tänka på osv.
samt riktlinjer för betalningsvillkor. Denna handbok uppdateras årligen.
Referensmall – används som visitkort. De anställda som hanterar inköp har möjlighet att lämna ett personligt referenskort till leverantören med information om ex. fakturaadress och
referensnummer, så att fakturan läggs till rätt avdelning och berörd person.
Upphandlingspolicy
Upphandlingsriktlinjer – det framgår inte hur inköpare i förvaltningen ska gå tillväga då ett inköpsbehov uppstår eller vilka krav som finns på dokumentation när behovet är över/under tröskelvärden eller vad som gäller vid direktupphandling. (Se kontroll 3.4b Riktlinjer avseende inköp).
Idag sker beställningar via e-mail, per telefon eller muntligt. Berörd personal har fått en kortfattad allmän informationsgenomgång kring handhavande i IoF. (Se kontroll 3.4c Utbildning av inköpare.)
4 Övervakande kontroller
Det finns en central upphandlingsfunktion som ska stödja förvaltningarna vid större upphandlingar.
Upphandlingsfunktionen har dock inget ansvar att följa upp att gjorda inköp är i enlighet med LoU och att inköpen är samordnade för att hålla nere kostnader. Denna uppföljningsfunktion är inte formaliserad i den befintliga organisationen. (Se kontroll 4a Uppföljning/Kontrollfunktion efterlevnad riktlinjer).
Enligt uppgift följer förvaltningsekonomerna månadsvis upp förvaltningens kostnader på kontonivå och jämför utfall mot budget. Orimligt stora kostnader bör fångas i denna uppföljning.
Det finns möjligheter i RoR att få ut rapporter avseende orimliga momsbelopp etc. men denna funktion används inte kontinuerligt i verksamheten. I systemet IoF finns kontroller avseende dubbla fakturor som gör att samma fakturanummer inte kan läsas in två gånger. (Se kontroll 4b Uppföljning/Kontrollfunktion riktighet fakturor)
5 Behörigheter
IoF inklusive behörighetssystemet CSS och RoR är de applikationer där kritiska funktioner och data föreligger och där begränsad åtkomst och ansvarsfördelning bör föreligga för att det ska finnas förutsättningar för en god intern kontroll.
De roller som förekommer i CSS är ärvda av systemleverantören. Utöver ärvda roller har även vissa egna roller lagts till för att uppfylla kommunens behov av behörighetstilldelning. Detta innebär att det finns idag ett stort antal roller i CSS vilket gör behörighetsadministrationen svåröverskådlig.
Systemleverantören har planer på att erbjuda Neptune som behörighetssystem och då kan ett byte bli aktuellt.
För systemförvaltare likväl som övriga användare finns en behörighetsblankett som ligger till grund för vad man kommer åt i systemet. Det finns ingen tydlig beskrivning av vad de olika behörighetsrollerna ska innehålla, kopplat till vilken tjänst och det finns ingen formaliserad utvärdering av oförenliga arbetsuppgifter. Systemförvaltare har behörighet till att hantera fakturor, lägga upp leverantörer och skapa betalningar. (Se kontroll 5 Behörighetsstruktur).
5.1 Behörighetsrutin
I samband med nyanställning lägger Kommunikation- och IT-enheten upp den anställde i AD och ett skapar ett användarId. Systemadministratörerna får två behörighetsblanketter, gällande behörighet i IoF samt RoR från anställande chef där önskad behörighetsroll är ifylld. Utifrån detta kopplar systemförvaltarna användarId i CSS till önskad roll.
För beslutsattestanter ska även attestinformation anges på behörighetsblanketten och lämnas till systemadministratörerna för registrering av attestbeloppsgränser och kodsträngar. På underlaget framgår bl.a. totalt antal prisbasbelopp att attestera per faktura. Det finns ingen kontroll som säkerställer att attestgränser i IoF stämmer överens med fastställd attestordning enligt nämndernas delegation. (Se kontroll 5.1a Beloppsgränser för attest)
Borttagning av behörighet
När en anställd slutar ska en blankett fyllas i av närmsta chef och skickas till systemadministratörerna.
Utifrån denna blankett tas sedan behörigheterna bort. Det förekommer att anmälan om avslut sker via telefon, e-mail eller personligen. Det finns en rutin för hur avslut ska ske. Det finns ingen formaliserad rutin för att kontinuerligt gå igenom behörigheterna för att säkerställa att personal som slutat inte längre har åtkomst. I samband med observation i systemet identifierades totalt åtta personer som har den bredaste rollen (IDF_Systemansvarig) i Inköp och Faktura varav tre personer inte bör ha kvar rollen och bör plockas bort. De tre personerna har dock inte tillgång till programmet. (Se kontroll 5.1b
Behörighetsrutin).
Behörighet till IoF
De roller som används aktivt är framförallt fakturamottagare, mottagningsattestant och beslutsattestant.
Åtkomst till IoF styrs via modulen CSS.
Behörighet till CSS
De som har behörighet till CSS och kan tilldela behörigheter, är sju personer. Alla sju är för närvarande inte aktiva, varför en genomgång bör göras för att säkerställa att behörigheten speglar faktiska
ansvarsområden/arbetsuppgifter. (Se kontroll 5.1b Behörighetsrutin).
Behörighet för externa användare
IT avdelningen använder ett generellt användarId i de fall de behöver in och göra uppdateringar eller förändringar i Inköp och Faktura. Systemleverantören Aditro använder samma generella användarId i de fall de behöver åtkomst. Det är IT-avdelningen som öppnar upp och stänger ner för Aditro.
5.2 Lösenord och säkerhet
Till berörda system använder sig kommunen av single sign on, vilket innebär att användaren endast behöver logga in en gång för att komma åt samtliga system man har behörighet till. Då användaren varit inaktiv i mer än en timme loggas användaren ut systemet och inloggning krävs för att komma in igen.
Lösenord byts var tredje månad. Samma regler, gällande lösenord, gäller för alla personer i Marks kommun oavsett behörighetsgrad. Det finns dock ett åtkomstskydd i form av en lösenordsskyddad skärmsläckare som aktiveras efter 20 minuters inaktivitet.
Beslutsattesteringen är lösenordsskyddad vilket innebär att attestanten behöver logga in på varje faktura för att kunna attestera.
6 Förändringar i leverantörsregistret
En ny leverantör läggs oftast upp i samband med att en faktura kommer ifrån en leverantör som inte finns inlagd i kommunens leverantörsregister.
Användaren som lägger upp leverantören gör en del kontroller för att stämma av att leverantörens uppgifter, enligt fakturan, är korrekta. Det görs till exempel avstämnig att det finns ett giltigt momsnummer och att plus-/bankgiro nummer finns registrerat till aktuell leverantör. Det finns dock ingen formaliserad rutin som beskriver vilka moment/kontroller som ska göras före registrering av en ny leverantör. (Se kontroll 6 Registrering av ny leverantör). Förändringar och nyupplägg görs i IoF som uppdaterar RoR.
6.1 Loggning och uppföljning
IoF loggar vilka användare som loggar in och om en ändring görs. Det görs dock ingen loggning av vilka ändringar som görs. (Se kontroll 6.1 Loggning av kritisk data).
7 Hantering av leverantörsfaktura
Det förekommer tre olika typer av fakturor; scannade, E-fakturor och EDI.
7.1 Scannade fakturor
När en pappersfaktura anländer till kommunen scannas den in i programvaran Eyes and hands (leverantör Readsoft). Det finns vissa automatiska kontroller för att säkerställa att tolkningen av tecknen är korrekta. Om följande fel inträffar fastnar fakturan i en fellogg i IoF och måste korrigeras innan utskick i attestflödet: Fakturabeloppet är 0kr
Leverantör saknas i leverantörsregister
Samma fakturanummer finns redan för leverantören
Post-/bankgiro stämmer inte överens med uppgifter enligt leverantörsregistret
Referenskod saknas
Orimligt fakturadatum
Valuta uppgift saknas
Felloggen gås igenom dagligen och töms, för att inte stora volymer ska byggas upp. Det finns ingen automatisk kontroll som varnar för orimlig moms. I samband med verifiering av fakturan har det dock redan gjorts en manuell avstämning av den tolkade informationen mot fakturabilden. Det är i dagsläget 2-3 personer som delar på ansvaret att scanna in fakturor, arbetet motsvarar 1,5-2 tjänster.
7.2 E-fakturor
E-fakturor motsvarar ca 40 % av det totala fakturaflödet. E-faktura innebär att fakturan är i ett
elektroniskt standardformat när den anländer och att inläsning görs av en xml-fil. För att en E-faktura ska komma in i IoF fullständigt och riktigt krävs det att samtliga obligatoriska fält är korrekt
registrerade, i annat fall returneras fakturan till leverantören. E-faktura sparar mycket tid gentemot scanningen av pappersfakturor och det är ett fokusområde för kommunen att öka andelen leverantörer som E-fakturerar.
7.3 EDI
Kommunen har ett fåtal leverantörer som skickar EDI fakturor (fulltextfakturor), ex. Vattenfall och Telia. Dessa syns inte i den ovan nämnda loggen, utan syns istället i CSS-loggen. EDI-fakturor identifieras med GLN-nummer.
För att kunna skicka EDI-fakturor krävs att leverantören är upplagd i IoF. För periodiska fakturor finns det uppstyrt ett maxbelopp och ett minbelopp per fakturering. Uppfyller EDI-fakturan dessa villkor går fakturan direkt in och uppdaterar leverantörsreskontran och leverantörsskulden i kredit och kostnad och eventuellt ingående moms i debet.
Om något är fel på EDI-fakturan informeras systemadministratörerna via e-mail och felet åtgärdas. Då felet är åtgärdat styrs fakturan in samma väg som e-fakturorna.
7.4 Kontering
I samband med inläsning till IoF preliminärregistreras fakturorna och bokas upp som preliminär kostnad + eventuell ingående moms i Debet samt preliminär leverantörsskuld i Kredit. Därefter skickas
automatiskt ett e-mail till referensen att faktura inkommit och väntar på hantering.
I samband med mottagningsattesten görs en kontroll att fakturan stämmer överens med erhållen vara/tjänst och fakturan konteras och skickas vidare till beslutsattestant. Beslutsattestanten godkänner kostnaden och klarmarkerar fakturan för betalning (se även avsnitt 3.2 vad avser attestanternas roller).
7.5 Attestregler
Vad och hur mycket en person får attestera är fastställt i delegationsordningen och denna ligger till grund för behörighetsuppsättningen i IoF (genom attestlistan). Attestlistan fylls i vid anställning eller positionsbyte och läggs upp i IoF .
Uppsättningar i IoF förhindrar att samma person både mottagningsattesterar och beslutsattesterar en faktura. Systemet tvingar användaren att öppna varje enskild faktura för att kunna beslutsattestera och i tillägg till detta ska ett lösenord anges för beslutsattesten. Lösenord krävs även för mottagningsattest.
Det förekommer också ett begränsat antal manuella fakturor där attesten görs skriftligt på själva fakturan.
7.6 Parkering/Makulering
I systemet finns det ingen möjlighet att parkera en faktura. I de fall fakturan är felaktig ska man lägga en anteckning och fakturan justeras/makuleras av behörig personal (i dagsläget systemadministratörer).
I anteckningarna ska förklaring till varför fakturan inte är betald finnas. Det finns en möjlighet att makulera fakturor innan de klarmarkerats för betalning.
8 Betalningsrutiner
Fakturor som är beslutsattesterade och markerade för betalning får status K (=klar) och fångas upp i
”skicket” som görs dagligen av kassapersonal. Innan betalningen skickas tas en summering fram av antal fakturor och belopp fördelat på kommunen, VA, Avfall, Marks Fastighets AB och Mark Kraft Värme AB. Det görs även en uppdelning på fakturor som härrör från IoF respektive RoR. .
När summeringen har gjorts skapas betalningsuppdrag som innebär att alla betalmarkerade fakturor läggs i en bank- respektive plusgirofil separata filer som skyddas med sigill. Decapus
(filöverföringsprogram) hämtar upp betalningsfilen och skickar till bank- respektive plusgiro. Tieto ansvarar för att filen kommer fram fullständigt och riktigt.
Alla fakturor som ingår i betalningsfilen summeras på antal poster, bank-/plusgiro och summa. Denna summering (Kvitto betalningsuppdrag) används sedan som underlag för betalningsuppdraget och sparas tillsammans med betalningsfilen i två år.
8.1 Manuella betalningar
Det förekommer manuellt registrerade betalningar av fakturor som av olika anledningar inte går via IoF.
Anledningen till detta kan vara att leverantören saknas då den inte har ett momsregistreringsnummer, att fakturor delas mellan olika redovisningsenheter inom kommunen, att fakturan returnerats eller har kort betalningsdatum. För manuell utbetalning krävs ett underlag som ska vara mottagningsattesterat och beslutsattesterat av behöriga personer. Denna signering stäms av mot en lista vid kontrollen
behörighetsattest.
Från 1 januari 2011 till granskningstillfället (september 2011) hade det gjorts manuella utbetalningar motsvarande 73 miljoner kronor. Manuella utbetalningar omfattar olika typer av betalningar så som utbetalning av partistöd, skolskjutsar, löneförskott men kan även avse betalning av fakturor som inte kunnat hanteras i det ordinarie fakturaflödet. Beaktat volymen av de manuella utbetalningarna finns det en möjlighet att det ingår utbetalningar som kan styras om till andra befintliga utbetalningsrutiner med en starkare kontrollfunktion. (Se kontroll 8.1 Manuella betalningar).
8.2 Uppdatering av huvudbok
Fakturor från IoF uppdaterar huvudboken i samband med att fakturan klarmarkeras för betalning.
Manuellt registrerade fakturor från RoR uppdaterar huvudboken vid avstämning av registrerade poster.
Eventuella fel fastnar i fellogg som bevakas av systemförvaltaren för RoR. Fel måste korrigeras för att RoR ska kunna uppdateras.
8.3 Månatliga kontroller
Ekonomiavdelningen ansvarar för att stämma av leverantörsskuldskontot och momskonto månadsvis, kontoavstämningar dokumenteras och i samband med delårsbokslut och årsbokslut lämnas
kontoavstämningar in till bokslutssamordnare.
Inför bokslut görs uppföljningar av fakturor som ligger som preliminärregistrerade, påminnelser skickas ut till attestanter att attestera inför bokslutet. Denna uppföljning finns formaliserad i kommunstyrelsens bokslutsanvisningar.
