Granskningsrapporten - Landstinget i Kalmar län

Landstinget i Kalmar Län
Granskning av betalningsrutiner
Innehåll
1.
Sammanfattning ..........................................................................................................2
2.
Inledning ......................................................................................................................3
2.1. Bakgrund och syfte...................................................................................................3
2.2. Revisionskriterier ......................................................................................................3
2.3. Ansvarsprövningens grunder....................................................................................4
2.4. Granskningens avgränsning och genomförande ......................................................4
3.
Övergripande organisation och regelverk .................................................................4
3.1. Riktlinje för attest ......................................................................................................5
3.2. Riktlinje för intern kontroll .........................................................................................5
3.3. Förvaltningsspecifika riktlinjer ...................................................................................6
3.4. Bedömning ...............................................................................................................6
4.
Rutiner för hantering av fakturor och betalningar ....................................................7
4.1. Rutiner för attest.......................................................................................................7
4.2. Scanning ..................................................................................................................7
4.3. Nya leverantörer .......................................................................................................8
4.4. Betalningar ...............................................................................................................8
4.5. Uppföljning internkontroll ..........................................................................................9
4.6. Bedömning ...............................................................................................................9
5.
Svar på revisionsfrågor ............................................................................................11
1
1. Sammanfattning
På uppdrag av de förtroendevalda revisorerna i Landstinget i Kalmar Län har EY granskat
om landstinget har säkra och ändamålsenliga betalningsrutiner.
Den övergripande bedömningen är att landstinget har en organisation som bedöms vara
ändamålsenlig och ger förutsättningar för en god intern kontroll gällande betalningsrutiner.
Tydliga regler och riktlinjer har upprättats och vår bedömning är att de i stort är kända i organisationen.
Landstinget i Kalmar Län har en hög ambitionsnivå med flera kontrollsteg och en hög kontrollmedvetenhet med rutiner som bygger på dualitetsprincipen, det vill säga att ingen person
ensam ska hantera alla steg i transaktionskedjan. Vi har noterat ett behov av att förstärka
vissa rutiner såsom formalia kring tilldelning av attesträtt samt betalningskontroller. Vi har
även identifierat förbättringsmöjligheter avseende landstingets egna kontroller gällande organisationens efterlevnad av beslutade regler och rutiner.
Mot bakgrund av vad som framkommit i granskningen ges följande rekommendationer till
fortsatt utvecklingsarbete:
► Utveckla interna kontrollplaner utifrån en risk- och väsentlighetsbedömning så att de
årligen omfattar väsentliga kontroller i betalningsprocessen.
► Tillse att blanketter för tillägg och ändringar i attesträtter kompletteras med godkännande och underskrift av behörig chef.
► Förstärk kontrollen av i systemet registrerade attestanter. Kontrollen bör även omfatta
tillfälliga förändringar i attester som skett under året, samt kontroll av att personer
med rätt att hantera atteständringar inte har attesterat några transaktioner. Personer
som har höga behörigheter i systemen bör även vara föremål för förstärkta kontroller
► Inför kontroll av transaktioner som har hanterats utanför scanningsystemet.
► Förstärk betalningskontrollerna. Vi rekommenderar landstinget att förtydliga och formalisera beskrivningar av betalningskontroller samt att beloppsgränser i kontrollerna
fastställs av landstingets ekonomidirektör. För att öka effektiviteten och säkerheten i
utbetalning av mycket höga belopp bedömer vi att denna kontroll bör förstärkas av
personer i ledande ställning. Därutöver rekommenderar vi även en slumpmässig kontroll av utbetalningar av mindre belopp.
► För en helt säker hantering av landstingets bankkonton anser vi att samtliga åtgärder
alltid ska hanteras av två personer. Vi rekommenderar även landstingets ledning att
kontrollera aktuella teckningsrätter på banken och utföra och dokumentera denna
kontroll kontinuerligt.
2
2.
Inledning
2.1. Bakgrund och syfte
På uppdrag av de förtroendevalda revisorerna i Landstinget i Kalmar Län har EY granskat
om landstinget har säkra och ändamålsenliga betalningsrutiner.
För att kunna besvara den övergripande revisionsfrågan har landstingets revisorer fastställt
ett antal delfrågor. I enlighet med projektplanen är frågorna indelade i två underrubriker,
ändamålsenliga rutiner och övergripande IT-frågor med bäring på betalningsrutiner. Under
granskningens genomförande har förutsättningarna förändrats och granskningen berör uteslutande administrativa rutiner.
I granskningen besvaras följande revisionsfrågor:
► Har landstinget ändamålsenlig organisation, styrning och ansvarsfördelning på området? Finns tydliga delegationsbeslut?
► Är landstingets attestrutiner säkra och ändamålsenliga med klar uppgiftsfördelning?
► Finns rutiner för att löpande hålla attesträttigheter uppdaterade vid personalbyten
osv?
► Är rutinerna vid inscanning av fakturor säkra och ändamålsenliga?
► Är kontrollen tillräcklig vid uppläggning av nya leverantörer och vid förändring av leverantörers uppgifter (namn, konton osv)?
► Är kontrollen tillräcklig vid utbetalning av stora belopp?
► Finns kontroll att inbetalningar till landstinget (statsbidrag, projektbidrag, EU-medel,
kommunala medel, återbetalningar från leverantörer osv) blir bokförda i landstingets
räkenskaper?
► Hur påverkar e-fakturor säkerheten i betalningsrutinerna?
► Har landstinget bra rutiner mot bluffakturor?
► Finns ändamålsenliga attestrutiner som säkerställer en korrekt hantering genom hela
kedjan, från beställning till betalning?
► Vilka undantag från scanning finns? Hur säkerställer landstinget att en god intern
kontroll vidmakthålls vid hantering av undantag?
► Vid utbetalningar för betalningar utanför scanningssystemet, exempelvis vid utbetalningar av reseersättningar och återbetalning av patientavgifter, hur säkerställer landstinget en korrekt och säker hantering?
► Kontrollen av betalning av stora belopp kompletteras med fråga kring
kontroller av övriga betalningar, såsom manuella betalningar och mindre belopp.
► Har landstinget ändamålsenliga rutiner som säkerställer en god säkerhet och kontroll
vid hantering av landstingets fullmakter och teckningsrätter hos banker?
2.2. Revisionskriterier
Med revisionskriterier avses de bedömningsgrunder som används i granskningen för analyser, slutsatser och bedömningar. Revisionskriterierna kan hämtas från lagar och förarbeten
eller interna regelverk, policyer och fullmäktigebeslut. Kriterier kan också ha sin grund i jämförbar praxis eller erkänd teoribildning. I denna granskning utgörs de huvudsakliga revisionskriterierna av:
„
„
„
Kommunallagen
Lagen om kommunal redovisning
Landstingets beslutade policys och riktlinjer
3
2.3. Ansvarsprövningens grunder
Revisorerna gör sin ansvarsprövning utifrån ett antal bedömningsgrunder. Dessa grunder har
utarbetats i praxis och utgör enligt den goda revisionsseden, såsom den är definierad av
SKL.
„
„
„
„
„
„
„
„
Bristande måluppfyllelse, ohörsamhet till mål och riktlinjer fastlagda av fullmäktige eller i
föreskrifter
Bristande styrning, ledning, uppföljning och kontroll
Förtroendeskada eller annan immateriell skada
Ekonomisk skada
Obehörigt beslutsfattande
Icke lagenlig verksamhet, brottslig gärning
Otillräcklig beredning av ärenden
Ej rättvisande redovisning
Denna granskning omfattar ett område som till sin natur har en påverkan på stora delar av
landstingets redovisning och medelshantering och ligger därför till grund för flertalet av
ovanstående bedömningsgrunder.
2.4. Granskningens avgränsning och genomförande
Granskningen har utförts genom intervjuer, genomgång av interna riktlinjer/policys och kontroll av landstingets egna utförda kontroller av efterlevnad.
Granskningen omfattar utbetalningar till leverantörer samt inbetalningar, avgränsat till statsbidrag, projektbidrag, EU-medel, kommunala medel, återbetalningar från leverantörer.
Granskningen omfattar inte lönerutinen och inte heller inbetalningar från patienter, elever,
resenärer.
Under granskningens genomförande har vi fått information från landstingets ITsäkerhetsansvarig att ett arbete för en förbättrad informationssäkerhet pågår och kommer att
intensifieras under hösten och att en stor del av arbetet beräknas vara klart i början av 2015.
Planerade förbättringar kan direkt, eller indirekt, få effekter på granskningsområdet och i väntan på detta arbete bedömer vi det därför inte effektivt att i denna granskning hantera dessa
frågeställningar. Därtill har de förtroendevalda revisorerna beslutat att genomföra en fördjupad granskning av informationssäkerhet under våren 2015. Till den del förändringsarbetet
inte hanterat frågeställningar med påverkan på betalningsprocessen rekommenderar vi att
dessa hanteras i den av revisorerna beslutade IT-granskningen.
Samtliga intervjuade, med undantag av kortare intervjuer, har beretts tillfälle att faktagranska
rapporten. De kortare intervjuerna har endast genomförts i verifierande syfte för att kontrollerar regler och riktlinjer är kända i verksamheten.
3. Övergripande organisation och regelverk
Det övergripande ansvaret för en god intern kontroll åvilar enligt kommunallagen landstingsstyreslen. De skall se till att den interna kontrollen är tillräcklig och att medel förvaltas på ett
betryggande sätt. I styrelsens ansvar ingår således inte enbart att utforma organisationen så
att den är rationell och effektiv – den ska också vara trygg.
Landstinget i Kalmar län har organiserat hantering av leverantörsfakturor och betalningar på
följande sätt.
4
Landstingsdirektörens stab är ansvarig för att ta fram och uppdatera övergripande riktlinjer.
Staben är också systemförvaltare för landstingets redovisningssystem Raindance och
systemägare och administrativ systemförvaltare är således knutna till staben. Rollen som
administrativ systemförvaltare innebär bland annat ansvar för att systemet fungerar i den
dagliga driften, att vara en länk mellan leverantören och landstinget samt budgetansvar för
det som rör driften av systemet.
Inom Landstingsservice hanteras leverantörsfakturor och betalningar. Under basenhet Administration finns enheten journalarkivet som utför ankomstregistrering och scanning av fakturor och utanordningar, samt enheten ekonomiservice där personalen tolkar och verifierar
underlagen. Ekonomiservice hanterar även utbetalningar.
Enligt rutiner och riktlinjer ska inga fakturor eller övriga underlag för utbetalningar hanteras
på respektive förvaltning. Funktionen att verifiera fakturor och utanordningar, vilket är en förutsättning för att skapa betalningar, finns hos sex personer inom ekonomiservice. Möjligheten att hantera underlag utanför scanningsystemet, och därmed möjligheten att kringgå gällande regler, är begränsad.
IT-förvaltningen har det övergripande ansvaret för IT-system. Förvaltningen stödjer landstingets verksamheter, underhåller och driftar landstingets gemensamma applikationer, nätverk och system. Ansvar för behörigheter, kort, koder och access till applikationer ligger hos
respektive förvaltning inom landstinget. Teknisk systemförvaltare för redovisningssystemet
Raindance är organiserad under IT-förvaltningen.
3.1. Riktlinje för attest
Landstingsfullmäktige har 2013-11-27 antagit en riktlinje för attest. Syftet är att säkerställa att
de av landstingsfullmäktige fastställda målen uppfylls, att transaktioner som bokförs är korrekta och att därigenom undvika oavsiktliga eller avsiktliga fel.
Riktlinjen omfattar ansvarsfördelning, definitioner av attestbehörigheter och kontrollernas
innebörd. Huvudregeln är att ingen person ensam skall hantera en transaktion. Dokumentet
innehåller en struktur för beslutsattester och någon delegering från detta får inte ske.
Enligt riktlinjen ska det finnas en fastställd rutin för tilldelning av behörigheter. Detta tillägg
”Rutin för attesträttigheter” omfattar en beskrivning av ekonomens och ekonomiservice roll
och ansvar. Landstinget har också upprättat en manual för hur behörigheter ska läggas upp.
På ekonomiservice hanteras behörigheter som ger lägsta behörighetsnivån, mottagningsattestant och beslutsattestant. Systembehörigheter hanteras av systemförvaltare på landstingsstaben.
Några särskilda riktlinjer för betalningar har inte upprättats. Detta berörs i ett stycke i riktlinjen
för attest. Fakturor över ett visst belopp skall betalningsgodkännas av annan än beslutsattestant innan de skickas till betalning. Denna kontroll är både maskinell och manuell (se nedan).
Hur mindre belopp ska kontrolleras framgår inte.
3.2. Riktlinje för intern kontroll
Landstingsfullmäktige har 2008-11-26 fastställt en riktlinje för internkontroll med syfte att säkerställa att de av landstingsfullmäktige fastställda målen uppfylls. Målen är en ändamålsenlig och kostnadseffektiv verksamhet, tillförlitlig, finansiell rapportering och information om
verksamheten och efterlevnad av tillämpliga lagar, föreskrifter, riktlinjer mm.
Dokumentet är övergripande och innehåller en beskrivning av organisation av intern kontroll,
ansvarsfördelning, samt styrning och uppföljning av intern kontroll. I bilaga till riktlinjen finns
5
även tillämpningsanvisningar. Internkontrollplanen innehåller två landstingsgemensamma
områden samt minst två förvaltningsspecifika områden. Varje förvaltning ska enligt riktlinjen
utforma och utföra den egna interna kontrollen utifrån sina förutsättningar.
3.3. Förvaltningsspecifika riktlinjer
Vid intervjuer med ansvariga på landstingsdirektörens stab och på Landstingsservice uppges
att inga särskilda regler eller riktlinjer har upprättats för förvaltningarna. De följer centrala
direktiv och riktlinjer och ger en samstämmig bild av hur leverantörsfakturor och betalningar
hanteras.
Som en del av landstingets fastställda interna kontrollplan har landstingsservice beslutat om
ett flertal processer/rutiner/system för uppföljning. Rapportering ska i enlighet med riktlinjen
ske i anslutning till årsredovisningen.
Ekonomienheten vid landstingsdirektörens stab har utarbetat ett dokument som berör rutiner
för intern kontroll i Raindance. Denna är en del av ekonomiservices verksamhetshandbok.
Dokumentet behandlar ekonomiadministrativa rutiner såsom bankkvitton, in- och utbetalningar, felhantering av leverantörsdata, behörigeter i ekonomisystemet samt betalningskontroller. I dokumentet redogörs för eventuella åtgärder, i vissa fall syftet, hur ofta kontrollen
ska göras och vem som är ansvarig. Dokumentet är således en beskrivning av enhetens
löpande kontroller och uppdateras vid behov.
3.4. Bedömning
Organisationen, med ett övergripande ansvar på landstingsdirektörens stab och en centraliserad hantering av leverantörsfakturor och betalningar, bedöms vara ändamålsenlig och möjliggör en god intern kontroll inom området.
Riktlinjer finns upprättade och bedöms mot bakgrund av våra intervjuer i stort vara kända i
organisationen. I våra intervjuer uppges att landstingsdirektörens stab har ett stort fokus på
att göra riktlinjer och dess innebörd kända i organisationen. Som exempel kan nämnas att
regler och riktlinjer ofta tas upp i chefsbrev och nyhetsbrev, de läggs ut på landstingets intranät, är en naturlig del av chefsutbildningar inom landstinget samt diskuteras kontinuerligt i
samband med arbetsplatsträffar.
I riktlinje för internkontroll anges att landstingsdirektören årligen ska redovisa en landstingsövergripande intern kontroll plan för landstingsstyrelsens godkännande. En internkontrollplan
har upprättats för landstingservice. Attest- och betalningskontroller är mot bakgrund av den
höga risk som är förknippade med processerna väsentliga kontroller som vi anser årligen bör
återkomma i planen. En kontroll av att fullmakter beslutade av landstingsstyrelsen överensstämmer med banken, samt att inga förändringar har skett under året, bör även inkluderas i
denna uppföljning. På detta sätt säkerställs en korrekt hantering och ger också en preventiv
effekt för hantering av fakturor och betalningar.
Landstinget har upprättat ett övergripande dokument med tillämpningsanvisningar för uppföljning av den interna kontrollen. Vi gör bedömningen att riktlinjer och internkontroll plan kan
förtydligas och förstärkas avseende hur landstingets egna kontroller av efterlevnad av riktlinjer och regler, exempelvis attestrutin, ska utformas.
6
4. Rutiner för hantering av fakturor och betalningar
4.1. Rutiner för attest
Attesträtten är kopplad till varje persons befattning, och är även kopplad med en beloppsbegränsning. Personal på ekonomiservice registrerar attesträtter i ekonomisystemet Raindance. Registrering omfattar; aktuell person, kostnadsställe och beloppsbegränsning. Det vill
säga attestbehörighet registreras helt manuellt efter gällande riktlinjer. Systemet tillåter inte
att en person attesterar på annan bas/delenhet än där vederbörande är registrerad. Transaktioner kräver alltid minst två olika attestanter.
Ett tiotal personer inom landstinget har behörighet att lägga upp nya behörigheter och även
justera i befintliga behörigheter. Det är endast två personer på ekonomiservice har som arbetsuppgift att utföra tillägg och ändringar av attestanter i Raindance. Orsaken till att fler personer inom landstinget har samma behörighet uppges vara av systemkaraktär då denna behörighet med automatik tillfaller dem i samband med en annan behörighet som krävs för deras arbete. Ingen av nämnda personer/funktioner har beslutsattest och kan således inte
godkänna några fakturor eller övriga underlag.
En särskild blankett har tagits fram för att inhämta en bekräftelse av att man tagit del av attestregler och förstår innebörden av dessa. Denna ska undertecknas av den person som ska
inneha beslutsattesten. Blanketten sänds till ekonomiservice och fungerar som ett underlag
till upplägg av, eller ändring i, attestbehörigheter. Beslutsattest ska endast innehas av chefer
och det åligger enligt rutinerna personal på ekonomiservice att kontrollera att vederbörande
är chef.
Landstingsdirektören är ansvarig för att upprätta och hålla aktuella förteckningar över attestanter. Attestförteckningar förvaras digitalt i systemet och genom riktlinjer för attest samt
rutinbeskrivningar i ekonomihandboken framgår hur attesträtter ska hanteras. Landstinget i
Kalmar Län har inte några rutiner för kontroll av att de i systemet registrerade attestanterna
överensstämmer med beslutade och aktuella attestförteckningar.
4.2. Scanning
Landstinget i Kalmar Län använder ett system för scanning av leverantörsfakturor. Information från detta system förs över till redovisningssystemet Raindance via automatisk filöverföring. Nedan följer en översiktlig genomgång över hur system och rutiner fungerar.
Leverantörsfakturor ankommer med posten och scannas in av personal på journalarkivet i
systemet Readsoft. Programmet tolkar information på fakturan. Alla scannade fakturor styrs
med automatik till ekonomiservice datorer för att verifieras och transfereras. Fakturan kontrolleras och ges ett referensnummer som kopplar fakturan till rätt bas/delenhet. Därefter
sker en förslagskontering och när fakturan är godkänd skickas den till mottagningsattestant
hos respektive bas/delenhet. Fakturan skickas därefter till beslutsattestant.
Samtliga inkommande leverantörsfakturor hanteras idag genom systemet för scanning. Förekomsten av undantag, det vill säga möjlighet att hantera fakturor och utanordningar utanför
systemet direkt via huvudboken, är starkt begränsade. Begränsningen ligger i att det endast
finns ett fåtal ekonomiassistenter på landstingets olika enheter då merparten av ekonomiassistenterna är kopplade till ekonomiservice. Dessutom har endast ett fåtal personer systembehörighet att registrera direkt i huvudboken. Rutinen förstärks av att även bokföringsordrar
beslutsattesteras maskinellt i systemet.
7
Elektroniska fakturor hanteras efter samma rutiner med undantag av att de inte scannas och
verifieras.
Inom systemet Raindance finns även möjlighet att hantera beställningar. Beställare registreras då i systemet och dessa följer sedan de ordinarie attestreglerna. Beställningen beslutsattesteras och tilldelas ett IN-nummer. När inleverans sker i systemet matchas fakturan mot
beställningen via IN-numret och då beställningen redan i ett tidigare skede är beslutsattesterad skickas fakturan direkt för betalning.
4.3. Nya leverantörer
Uppläggning av nya leverantörer initieras då en faktura eller utanordning kommer in i systemet via scanningen. Leverantören registreras av ekonomiservice och betalningsspärras samtidigt. Fakturan cirkuleras därefter manuellt till en inköpscontroller som kontrollerar leverantören med avseende på F-skatt, betalningsanmärkningar mm. Inköpscontrollern ska även kontakta inköpande enhet för att efterhöra anledningen till att befintliga leverantörer inte används.
De personer på ekonomiservice som har rätt att registrera nya leverantörer har inte rätt att
kontrollera dem. Kontrollen är inte möjlig att genomföra maskinellt utan utförs manuellt varje
vecka genom listor som signeras. Vi har stickprovsvis kontrollerat att denna kontroll har genomförts.
4.4. Betalningar
Leverantörsfakturor och övriga utbetalningar betalas tre gånger per vecka. Betalningen initieras genom beslutsattest av underlagen.
Landstingsstyrelsen har beslutat om gällande teckningsrätter för betalningar. Förändringar i
teckningsrätter registreras av redovisningschef och kontrasigneras av annan person på
landstingsdirektörens stab. Bankens fullmakter har verifierats mot detta beslut. Någon formell
och dokumenterad egenkontroll från landstingslednings sida har inte skett.
Betalning sker genom att personal på ekonomiservice skapar ett betalningsförslag ur redovisningssystemet. Förslaget visar leverantör/person, bankgiro och belopp. Skulle förslaget
innehålla betalningsspärrade fakturor kontrolleras dessa mot eventuella sekretessfakturor
eller av annan anledning spärrat underlag. Finns godkänt underlag släpps spärren av annan
person än den som tagit fram betalningsförslaget. Därefter kontrolleras och godkänns betalningsförslaget, som sedan kontrasigneras av ytterligare en person. De kontroller som ska
genomföras vid betalningar återges i ekonomiservices ”Rutiner för intern kontroll i Raindance”. Enligt dokumentet ska en rapport med betalningar överstigande ett visst belopp kontrolleras. Kontroller för leverantörer över ett visst belopp kontrolleras särskilt (se nedan) och
övriga ska kontrolleras stickprovsvis. Hur detta ska genomföras eller dokumenteras framgår
inte. Personer som hanterar betalningar uppges kontrollera alla utbetalningar till privatpersoner överstigande ett visst belopp, ”udda” leverantörer, samt eventuellt avvikande betalningar.
Utförda kontroller är därmed inte helt i överensstämmelse med rutinbeskrivningen. Kontrasignering av betalningsfilen innebär ingen egentlig kontroll av underlagen till betalningen.
För enskilda betalningar överstigande visst belopp finns ytterligare kontroller. Dessa fakturor
måste ha tre attester och måste cirkuleras till en särskild grupp, gruppen ”Stora belopp”, på
ekonomiservice. Betalningar kontrolleras särskilt med avseende på leverantör, bank/plusgiro
och belopp. Därefter läggs de till ordinarie betalningsförslag.
Vi kan konstatera att dispositionsrätten till landstingets konton alltid kräver två personer i förening. Dualitet krävs för alla åtgärder på bankkonton, med undantag av hantering av bank8
kort och överföring mellan landstingets egna konton. Ingen person kan ensam ta ut pengar
från konton eller betala löner eller leverantörsfakturor. Detsamma gäller för bankgiro och
plusgiro.
4.5. Uppföljning internkontroll
Landstingsfullmäktige har fastställt en övergripande rutin för internkontroll. Enligt riktlinjen
ska varje förvaltning utforma och utföra den egna interna kontrollen utifrån sina förutsättningar.
Landstingsservice är ansvarig för hantering av leverantörsfakturor och betalningar. Förvaltningen har för 2014 beslutat om uppföljning av följande:
· Inköp över 20 000 kronor på vissa resultatkonton för att kontrollera att investeringar
inte kostnadsförs.
· Poster som bokförs på konto 7599, Övriga främmande tjänster
· Fakturor som förfallit till betalning
· Dröjsmålsräntor
4.6. Bedömning
System för scanning ger per automatik en förstärkt intern kontroll, under förutsättning att attestregler efterlevs och kontrolleras. Inget system är dock säkrare än dess möjlighet att göra
undantag. Möjligheten till undantag är starkt begränsade inom landstinget. Vi uppmanar dock
att man är vaksam på eventuella undantag vad gäller rörelsetillhörighet (det vill säga verksamhetsfrämmande poster) och attester. Landstinget utför i dag ingen kontroll över huruvida
transaktioner har hanterats utanför scanningsystemet och vi anser därför att det finns ett behov av förstärkning av rutinerna för att säkerställa en god intern kontroll.
Som underlag vid tillägg och ändring av attestanter i Raindance skickas en särskild blankett
till ekonomiservice. Blanketten har undertecknats av den person som ska ha beslutsattesten
men undertecknas inte av dennes överordnade chef. Även om attesträtten är kopplad till
chefsansvaret och ekonomiservice kan kontrollera detta i andra system anser vi att landstinget måste tillse att underlagen till ekonomiservice undertecknas av behörig chef. Detta för
att på ett effektivt och säkert sätt säkerställa att rätt personer och behörigheter registereras.
Landstinget i Kalmar Län har inte några fastställda rutiner för kontroll, eller utför kontroll, av
registrerade attestanter. Det finns således en risk att obehöriga personer, exempelvis personer som slutat eller bytt tjänst, innehar en felaktig attesträtt i systemet. Landstinget bör därför
upprätta rutiner som löpande kontrollerar inregistrerade attester samt tillse att dessa efterlevs. Rutinen ska enligt vår uppfattning även innefatta tillfälliga förändringar i attester som
skett under året, samt kontroll av att personer med rätt att hantera atteständringar inte har
attesterat några transaktioner. Personer som har höga behörigheter i systemen bör även
vara föremål för förstärkta kontroller.
En beslutsattest initierar en betalning i redovisningssystemet. Personal med behörighet att
utföra betalningar skapar betalningsförslag och utför vissa kontroller. Dessa kontroller är inte
formaliserade. För att uppnå effektiv och ändamålsenlig kontroll är det av största vikt att
dessa kontroller är beslutade, förankrade och dokumenterade. Större betalningar är föremål
för en utökad kontroll av personal på ekonomiservice. För att öka effektiviteten och säkerheten i utbetalning av mycket höga belopp bedömer vi att denna kontroll bör förstärkas av personer i ledande ställning.
9
Vi har framfört vikten av sekretess gällande hantering av betalningar och teckningsrätt på
landstingets bankkonton. Vi noterar att det i princip vid samtliga åtgärder i banken krävs två
personer i föreningen, med vissa undantag såsom överföring mellan landstingets egna konton. För en helt säker hantering anser vi att samtliga åtgärder alltid ska hanteras av två personer.
10
5. Svar på revisionsfrågor
Revisionsfråga
Har landstinget ändamålsenlig organisation,
styrning och ansvarsfördelning på området?
Finns tydliga delegationsbeslut?
Är landstingets attestrutiner säkra och
ändamålsenliga med klar uppgiftsfördelning?
Är kontrollen tillräcklig vid utbetalning av
stora belopp? Är kontrollen tillräcklig vid
mindre belopp?
Svar
Ja. Organisationen bedöms vara ändamålsenlig och möjliggöra en god intern kontroll
inom området.
Delvis. Rutinerna bör förstärkas med tydligare riktlinjer kring återkommande egenkontroller från landstingets sida.
Delvis. Den löpande hanteringen av attesträtter bedöms fungera väl, men är beroende
av att underlag kommer till ekonomiservice.
Blanketten som utgör underlag för registrering av attesträtt undertecknas inte av ansvarig chef. Landstinget saknar kontroller
över attestförteckningars aktualitet. Mot bakgrund av detta krävs en förstärkning av kontrollrutinerna.
Ja. Enligt landstingets rutiner finns en uppdelning av ansvar för uppläggning och ändring av leverantörer som är frånskild kontrollen av nya leverantörer.
Delvis. Förstärkt kontroll sker av stora betalningar, men bör förstärkas. Kontrollen bör
även stickprovsvis omfatta mindre belopp.
Hur påverkar e-fakturor säkerheten i betalningsrutinerna?
E-fakturor hanteras efter samma rutiner som
övriga leverantörsfakturor.
Har landstinget bra rutiner mot bluffakturor?
Finns ändamålsenliga attestrutiner som säkerställer en korrekt hantering genom hela
kedjan, från beställning till betalning?
Ja. Så gott det går. Fakturor ska igenom ett
flertal steg i processen - kontroll av nya leverantörer, verifiering, förslagskontering, mottagningsattest och beslutsattest.
Ja. Attestrutiner vid tillämpning av beställning i systemet är detsamma som landstingets ordinarie rutiner.
Vilka undantag från scanning finns? Hur säkerställer landstinget att en god intern kontroll vidmakthålls vid hantering av undantag?
Undantagen är starkt begränsade. Viss förstärkning av kontrollerna rekommenderas
dock.
Vid utbetalningar för betalningar utanför
scanningssystemet, exempelvis vid utbetalningar av reseersättningar och återbetalning
av patientavgifter, hur säkerställer landstinget en korrekt och säker hantering?
Samtliga transaktioner i huvudboken kräver
beslutsattest, och blir därför föremål för kontroll i enlighet med gällande rutiner.
Har landstinget ändamålsenliga rutiner som
säkerställer en god säkerhet och kontroll vid
hantering av landstingets fullmakter och
Delvis. Beslut om fullmakter och teckningsrätter fattas av landstingsstyreslen och hanteras av ansvarig inom landstingets stab.
Finns rutiner för att löpande hålla attesträttigheter uppdaterade vid personalbyten osv?
Är kontrollen tillräcklig vid uppläggning av
nya leverantörer och vid förändring av leverantörers uppgifter (namn, konton osv)?
11
teckningsrätter hos banker?
Finns kontroll att inbetalningar till landstinget
(statsbidrag, projektbidrag, EU-medel, kommunala medel, återbetalningar från leverantörer osv) blir bokförda i landstingets räkenskaper?
Vår bedömning är att landstingets egen kontroll av överensstämmelse kan förstärkas.
Kontrollen ligger inom ramen för den ordinarie verksamhets- och ekonomiska uppföljningen och hanteras även inom ramen för
projektuppföljning. Ekonomiskt utfall och
avvikelser ska följas upp och kommenteras.
Fungerar den löpande uppföljningen enligt
fastställda rutiner ska eventuella avsaknade
medel upptäckas.
12