intern styrning och kontroll i landstingets gemensamma kund
intern styrning och kontroll i landstingets gemensamma kund
intern styrning och kontroll i landstingets gemensamma kund
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Revisionen<br />
För kännedom<br />
Landstingsstyrelsen<br />
Ekonomidirektör<br />
Nicholas Prigorowsky<br />
IT-chef Ante Grubbström<br />
Sektionschef Samlad<br />
Redovisning Maria Hultman<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
T.f. Landstingsdirektör Helena Söderquist<br />
INTERN STYRNING OCH KONTROLL I<br />
LANDSTINGETS GEMENSAMMA KUND- OCH<br />
LEVERANTÖRSPROCESSER<br />
SAMMANFATTNING<br />
Landstinget Sörmlands revisionskontor har, på uppdrag av <strong>landstingets</strong><br />
revisorer, genomfört en granskning av rutiner kring de<br />
koncern<strong>gemensamma</strong> <strong>kund</strong>- <strong>och</strong> leverantörsprocesserna utifrån <strong>intern</strong><br />
<strong>kontroll</strong>synpunkt.<br />
Följande brister har noterats vilka behöver åtgärdas för en god <strong>intern</strong><br />
<strong>styrning</strong> <strong>och</strong> <strong>kontroll</strong>:<br />
Dokumenterade riskbedömningar för <strong>kund</strong>- <strong>och</strong> leverantörsprocesser<br />
saknas. Arbetet med dokumenterade riskbedömningar behöver<br />
prioriteras <strong>och</strong> riskhantering bör kopplas till ledningssystemet.<br />
För att uppfylla lagens 1 krav på dokumentation behövs det upprättas<br />
beskrivningar över bokföringssystemets organisation <strong>och</strong><br />
uppbyggnad för att ge överblick över systemet.<br />
Det saknas rutiner för att säkerställa att befintliga regelverk följs <strong>och</strong><br />
rutiner för att på ett effektivt sätt annonsera förändringar i<br />
regelverket.<br />
Några systematiska <strong>kontroll</strong>er görs inte avseende<br />
ändringar/uppdateringar av uppgifter i leverantörsregister i<br />
ekonomisystemet. Rutiner för <strong>kontroll</strong>er behöver upprättas.<br />
Dokumenterade rutiner saknas för behörighetshantering i<br />
ekonomisystemet. För att stärka den <strong>intern</strong>a <strong>styrning</strong>en <strong>och</strong><br />
<strong>kontroll</strong>en behövs det skriftliga regelverk för behörighetshanteringen<br />
samt rutiner för att underhålla användarbehörigheter i systemet.<br />
Rutiner för systemadministration av e-fakturasystemet behöver<br />
säkerställas <strong>och</strong> kommuniceras till berörda parter.<br />
Anvisningar för fakturering <strong>och</strong> kreditering saknas. Arbetet med att<br />
dokumentera rutinbeskrivningar <strong>och</strong> anvisningar behöver prioriteras<br />
för att stärka den <strong>intern</strong>a <strong>kontroll</strong>en.<br />
1 Kommunal redovisning, lag (1997:614), 2 kap. 7 §<br />
Landstinget Sörmland Repslagaregatan 19 611 88 Nyköping<br />
Fax 0155-24 59 32 Tel 0155-24 50 00 E-mail landstinget.sormland@dll.se<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 1(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
Det saknas rutin för att säkerställa att alla inkomna fakturaunderlag<br />
faktureras hos Samlad Redovisning (SR) 2 .<br />
Det saknas också rutin för att säkerställa att alla filer avseende<br />
<strong>kund</strong>fakturor från verksamheterna kommer till SR men enligt<br />
uppgift pågår ett arbete med att upprätta sådan checklista.<br />
Det saknas underhållsrutiner för <strong>kund</strong>registret <strong>och</strong> dokumenterade<br />
rutiner för avstämningen av <strong>landstingets</strong> <strong>gemensamma</strong> bankkonto.<br />
SYFTE, METOD OCH AVGRÄNSNING<br />
I enlighet med revisionsplanen för 2012/2013 innebär uppdraget i huvudsak<br />
att granska rutiner kring de koncern<strong>gemensamma</strong> ekonomiadministrativa<br />
processer som har IT-stöd utifrån <strong>intern</strong> <strong>kontroll</strong>synpunkt. Granskningen<br />
avser <strong>kund</strong>- <strong>och</strong> leverantörsprocesser. Vi har följt <strong>kund</strong>fakturan väg till<br />
inbetalning <strong>och</strong> leverantörsfakturans väg till utbetalning. Syftet med<br />
granskningen är att bedöma hur den <strong>intern</strong>a <strong>kontroll</strong>en fungerar genom att<br />
svara på följande frågor;<br />
Är ansvarsfördelning <strong>och</strong> befogenheter klart uppdelat mellan aktörer?<br />
Finns det dokumenterade rutiner för processer <strong>och</strong> följs dessa?<br />
Hur bedöms <strong>och</strong> förebyggs möjliga risker i processerna?<br />
Svaren på revisionsfrågorna återfinns under respektive rubrik <strong>och</strong> de<br />
viktigaste iakttagelser redovisas i sammanfattningen.<br />
Granskningen har genomförts genom dokumentstudier <strong>och</strong> intervjuer med<br />
personer från Samlad redovisning, Centrala ekonomi <strong>och</strong> D-data.<br />
Granskningen har skett under perioden oktober-december 2012.<br />
Granskningsanteckningar har överlämnats till de intervjuade för avstämning<br />
<strong>och</strong> <strong>kontroll</strong>. Synpunkter på anteckningarna har beaktats i denna rapport.<br />
Landstingets helägda bolag ingår inte i granskningen. Granskningens<br />
utgångspunkt är processflödenas <strong>intern</strong> <strong>kontroll</strong> vilken innebär att vi inte har<br />
granskat IT-stödens systemmässiga delar. Avgränsningen sker mot<br />
<strong>landstingets</strong> inkassoverksamhet <strong>och</strong> de delar i flöden som sköts av externa<br />
leverantörer (skanningstjänsten <strong>och</strong> fakturautskick). Granskningen avser<br />
inte försystem, inköpsprocessen <strong>och</strong> <strong>intern</strong>a faktureringsflöden.<br />
2 Redovisningsenhet som hanterar bland annat <strong>kund</strong>- <strong>och</strong> leverantörsprocesserna för<br />
<strong>landstingets</strong> förvaltningar <strong>och</strong> bolag.<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 2(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
BEHÖRIGHETSHANTERING I EKONOMISYSTEMET<br />
En bra behörighetshantering förutsätter en lämplig ansvars- <strong>och</strong><br />
arbetsfördelning <strong>och</strong> en fungerande behörighetsadministration där<br />
medarbetare tilldelas åtkomst till resurser <strong>och</strong> information beroende på vilka<br />
arbetsuppgifter de har i organisationen. Styrning genom<br />
behörighetshanteringen är en del av riskhantering.<br />
Landstinget har ett gemensamt IT-stöd för ekonomi, IFS, där <strong>landstingets</strong><br />
<strong>kund</strong>- <strong>och</strong> leverantörsprocesser hanteras. En av systemförvaltarens<br />
arbetsuppgift är att hantera <strong>och</strong> uppdatera behörigheter i ekonomisystemet<br />
förutom behörigheter avseende inköp <strong>och</strong> e-faktura. Ersättare för<br />
arbetsuppgiften finns. Behörigheter till inköpsmodulen <strong>och</strong> efakturaportalen<br />
där behörigheter till att godkänna <strong>och</strong> attestera<br />
leverantörsfakturor elektroniskt, hanteras inom Leverantörsgruppen hos SR.<br />
Denna rutin beskrivs under rubriken Leverantörsprocessen, sid 5.<br />
Enligt en lista ur ekonomisystemet finns det tre kategorier av behörigheter:<br />
Behörighetskategorier Antal personer med behörighet<br />
Användare med behörighet<br />
Superuser (admin ingår)<br />
Användare med behörighet<br />
SR_Superuser<br />
Användare med behörighet Inköp 7<br />
De två första kategorierna av behörigheter, Superuser, innebär att personen<br />
har möjlighet att ändra/lägga till/ta bort alla uppgifter för alla<br />
redovisningsenheter inom hela ekonomisystemet oavsett vilka<br />
arbetsuppgifter personen har. Några systematiska <strong>kontroll</strong>er inte görs<br />
avseende ändringar av uppgifter i register/databaser exempelvis ändringar i<br />
leverantörsregisters uppgifter. I listan avseende användarbehörigheter finns<br />
det en person som har behörighet till ekonomisystemet även om denne inte<br />
arbetar längre i landstinget. Vi har inte kunnat finna rutiner för att<br />
underhålla användarbehörigheter i ekonomisystemet. Enligt<br />
systemförvaltningsspecifikationen 3 är det systemförvaltaren som ansvarar<br />
10<br />
139<br />
3 Systemförvaltningsspecifikation för förvaltningsobjektet Ekonomi, 2012-10-11<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 3(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
för regelverk för behörigheter <strong>och</strong> roller i systemen. Vi har inte kunnat finna<br />
ett sådant dokumenterat regelverk.<br />
Begäran om behörighet till ekonomisystemet kommer till systemförvaltaren<br />
via telefon eller e-post. Begäran görs av en chef eller någon annan på<br />
enheten. Personen som begär behörigheten till ekonomisystemet är alltid<br />
känd av systemförvaltaren. Personen som ska tilldelas behörighet till<br />
ekonomisystemet <strong>kontroll</strong>eras genom att personen finns i<br />
landstingskatalogen eKs, har landstingse-postadress, vilken enhet personen<br />
tillhör <strong>och</strong> vilken befattning personen har. Vid granskningsstillfället fanns<br />
inte skriftligt rutinbeskrivning.<br />
Kommentarer<br />
Är ansvarsfördelning <strong>och</strong> befogenheter klart uppdelat mellan aktörer?<br />
Ansvarsfördelning <strong>och</strong> befogenheter bedöms att vara klart uppdelat. Att<br />
behörighetshantering är styrd genom ett fåtal personer är bra.<br />
Finns det dokumenterade rutiner för processer <strong>och</strong> följs dessa?<br />
Vid granskningstillfället fanns det inte dokumenterade rutiner för<br />
behörighetshantering. För att stärka den <strong>intern</strong>a <strong>styrning</strong>en <strong>och</strong> <strong>kontroll</strong>en<br />
behövs det skriftliga regelverk för behörighetshanteringen samt rutiner för<br />
att underhålla användarbehörigheterna. Behörigheterna till systemet bör<br />
uppdateras <strong>och</strong> rutiner för <strong>kontroll</strong>er upprättas. Möjligheten att upprätta<br />
flera olika behörighetskategorier bör utredas för att kunna tilldela åtkomst<br />
till systemet beroende på vilka arbetsuppgifter man har. Riktlinjer för<br />
behörighetshanteringen bör beslutas på högre nivå än den som registrerar<br />
behörigheterna. Begäran om behörighet till ekonomisystemet behöver göras<br />
skriftligt.<br />
Hur bedöms <strong>och</strong> förebyggs möjliga risker i processerna?<br />
Det finns inget strukturerat system för att bedöma <strong>och</strong> förebygga möjliga<br />
risker i behörighetshanteringen.<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 4(11)
LA<br />
Revisionen<br />
LEVERANTÖRSPROCESSEN<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
Under 2010 hanterade SR ca 150 000 leverantörsfakturor från ca 7 000<br />
leverantörer. 4 Landstinget har fakturaadress dit alla pappersfakturor ska<br />
sändas. Ett externt företag har hand om fakturaskanningen åt landstinget. En<br />
del av fakturorna sänds elektroniskt (e-faktura) till SR. Elektroniska<br />
leverantörsfakturornas andel är ca 16 %. Det förekommer också att<br />
fakturorna sänds direkt till verksamheterna vilka i sin tur sänder dessa till<br />
SR där de skannas in i e-fakturaportalen.<br />
Landstinget har ett gemensamt leverantörsregister för alla förvaltningar <strong>och</strong><br />
bolag. SR <strong>och</strong> inköpare uppdaterar leverantörer i leverantörsregistret. I<br />
leverantörsregistret finns 48 490 leverantörer i november 2012.<br />
Leverantörerna registreras med bank- eller postgironummer som IDnummer<br />
i leverantörsregistret. När leverantören byter bank- eller<br />
postgironummer upprättas en ny leverantör <strong>och</strong> därför förekommer det att<br />
en leverantör återfinns i registret med flera ID-nummer. Det saknas<br />
underhållsrutiner <strong>och</strong> ansvar för leverantörsregistret.<br />
Externt företag sänder inskannade fakturor med en fil till SR för<br />
vidarehantering. SR förslagskonterar fakturorna <strong>och</strong> därefter skickas de för<br />
godkännandet <strong>och</strong> beslutsattestering via s.k. webbportal. Detta innebär att<br />
fakturorna godkänns <strong>och</strong> attesteras elektroniskt. Fakturorna styrs till rätt<br />
godkännare <strong>och</strong> beslutsattestant via referensnummer.<br />
För att styra fakturor mot rätt godkännare <strong>och</strong> beslutsattestant finns det ett<br />
register med ca 1 700 användare 5 som administreras av SR. Det finns<br />
skriftliga anvisningar <strong>och</strong> regelverk 6 för hantering av<br />
behörighetsadministration. Vi har konstaterat brister i manuella <strong>kontroll</strong>er<br />
vid nyupplägg <strong>och</strong> förändringar av grunddata samt uppföljning av<br />
användare i systemet. Rutinen för systemadministration av efakturasystemet<br />
behöver säkerställas <strong>och</strong> kommuniceras till berörda parter.<br />
I leverantörsprocessen behandlar SR också utbetalningsorder. Med<br />
utbetalningsorder betalar landstinget bland annat återbetalningar till <strong>kund</strong>er,<br />
4 Slutrapport Förstudie inför projekt om effektivisering av <strong>landstingets</strong> inköp med hjälp av<br />
bland annat elektronisk handel, 2011-05-09<br />
5 Slutrapport Förstudie inför projekt om effektivisering av <strong>landstingets</strong> inköp med hjälp av<br />
bland annat elektronisk handel, 2011-05-09<br />
6 Ekonomihandboken, http://insidan.dll.se/sv/Stod-for-ledning/Ekonomi-nysida/Ekonomihandboken/Genomfora/Underhall-av-kodplan1/<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 5(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
utbetalningar av olika slag <strong>och</strong> patientbidrag. Enligt rutinbeskrivningar<br />
fyller verksamheten i en blankett <strong>och</strong> SR skannar in denna.<br />
Utbetalningsordern hanteras på samma sätt som en leverantörsfaktura.<br />
Utbetalningsordrar som saknar attester sänds genom webbportalen för<br />
godkännande <strong>och</strong> attestering. Om nödvändiga attester finns i<br />
utbetalningsordern, attesteras den hos SR handläggare <strong>och</strong> utbetalning sker.<br />
Av anvisningarna framgår inte vilka typer av utbetalningar som ska hanteras<br />
genom denna rutin.<br />
Efter att fakturorna/utbetalningsorderna är godkända <strong>och</strong> attesterade hos<br />
verksamheterna, betalar <strong>och</strong> bokför SR dessa efter olika arbetsmoment. I<br />
stort finns det rutinbeskrivningar för det praktiska arbetet för olika<br />
arbetsmoment samt avvikelsehantering. SR:s medarbetare som arbetar med<br />
<strong>kund</strong>processen gör avstämningen av utbetalningarna.<br />
Eventuella felaktiga fakturor ska fångas upp när fakturan godkänns <strong>och</strong><br />
attesteras hos verksamheterna. Säkerhetsenheten har lämnat information om<br />
bluffaktura 7 i form av råd vilket finns på <strong>landstingets</strong> intranät, Insidan,<br />
under säkerhetsenheten. Upphandlingsenheten <strong>kontroll</strong>erar årligen ett urval<br />
från <strong>landstingets</strong> leverantörsreskontras innehåll i syfte att <strong>kontroll</strong>era inköp<br />
som sker utanför upphandlade leverantörer. Resultatet av denna <strong>kontroll</strong><br />
föranleder inte vidarebehandling av informationen förutom om eventuella<br />
bluffakturor har konstaterats. Information om bluffakturorna har betalats<br />
förs vidare till Säkerhetsenheten.<br />
Revisionens kommentarer<br />
Är ansvarsfördelning <strong>och</strong> befogenheter klart uppdelat mellan aktörer?<br />
Vi bedömer att ansvarfördelningen <strong>och</strong> befogenheterna är klart uppdelat<br />
mellan aktörerna förutom ansvar för leverantörsregistret.<br />
Finns det dokumenterade rutiner för processer <strong>och</strong> följs dessa?<br />
För SR:s del av processen finns i stort rutinbeskrivningar över de olika<br />
arbetsmomenten <strong>och</strong> bedömningen är att dessa följs. Vi har noterat att<br />
landstinget inte har <strong>gemensamma</strong> konteringsinstruktioner. Dessa bör<br />
övervägas för att få mer enhetligt kontering. Rutinen för<br />
systemadministration av e-fakturasystemet behöver säkerställas <strong>och</strong><br />
kommuniceras till berörda parter. Anvisningarna för utbetalningsorderna<br />
7 kan definieras att någon försöker ta betalt för en tjänst som inte är beställd <strong>och</strong> inte heller<br />
utförd, http://insidan.dll.se/sv/Stod-for-ledning/Sakerhet2/<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 6(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
bör kompletteras med vilka typer av utbetalningar som ska hanteras via<br />
rutinen.<br />
Anvisningen gällande hantering av bluffakturor bör finnas samlade i<br />
Ekonomihandboken. Resultatet av <strong>kontroll</strong>en avseende avtalsenligt inköp<br />
bör kommuniceras med verksamheter <strong>och</strong> informationen användas vidare.<br />
KUNDPROCESSEN<br />
SR:s uppskattning är att ca 480 000 <strong>kund</strong>fakturor behandlas eller passerar<br />
SR på olika sätt <strong>och</strong> ca 90 % av dessa avser fakturering av patientavgifter.<br />
Det finns två hanteringsalternativ för <strong>kund</strong>fakturaunderlag eller<br />
<strong>kund</strong>faktura. Antigen verksamheter sänder underlag per <strong>intern</strong> post <strong>och</strong> epost<br />
för fakturering till SR eller verksamheterna skapar <strong>kund</strong>fakturorna i<br />
försystem vilka sänds till SR.<br />
SR fakturerar enligt underlag <strong>och</strong> sänder fakturorna med en fil till en extern<br />
leverantör för utskrift. Leverantören framställer <strong>kund</strong>fakturorna <strong>och</strong> lämnar<br />
dem på posten. I vissa fall sänds <strong>kund</strong>fakturorna direkt från SR till<br />
<strong>kund</strong>er/patienter. Det finns inte rutin för att säkerställa att underlagen<br />
faktureras.<br />
SR utför inte lika omfattning tjänster åt verksamheterna. I vissa fall passerar<br />
filer SR till externa leverantören för fakturautskrift. I andra fall krävs flera<br />
arbetsmoment hos SR, exempelvis att filerna <strong>kontroll</strong>eras <strong>och</strong> korrigeras för<br />
att slutligen sändas till leverantören för utskick eller manuellt via SR:s<br />
skrivare för utskick. Avvikelser hanteras manuellt. Avvikelserna är<br />
exempelvis att uppgifter saknas i fakturan eller att underlaget makuleras för<br />
att avgiften ingår i en annan vårdavgift. Det saknas skriftliga rutiner för<br />
hantering av de olika avvikelserna.<br />
Vid granskningstillfället saknades det rutin att säkerställa att alla filer från<br />
verksamheterna kommer till SR. Enligt uppgift pågår ett arbete att upprätta<br />
en checklista för de inkommande filerna.<br />
Landstinget har ett gemensamt <strong>kund</strong>register för alla förvaltningar <strong>och</strong> bolag.<br />
I <strong>kund</strong>register finns 282 842 <strong>kund</strong>er i november 2012 <strong>och</strong> det kan finnas<br />
samma <strong>kund</strong>er med olika ID-nummer. Flera personer registrerar uppgifter i<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 7(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
<strong>kund</strong>registret där uppdatering sker även via försystemet. Det saknas<br />
underhållsrutiner <strong>och</strong> ansvar för <strong>kund</strong>registret.<br />
SR har en rutinbeskrivning för hur en faktura skapas <strong>och</strong> krediteras i<br />
ekonomisystemet men det framgår inte attestrutiner 8 vid kreditering av<br />
<strong>kund</strong>faktura. Enligt tillämpningsanvisningarna ska kreditering av<br />
<strong>kund</strong>fakturorna godkännas av beslutsattestant (huvudregeln). Kreditering av<br />
<strong>kund</strong>faktura sker både hos förvaltningarna <strong>och</strong> SR. Det saknas anvisningar<br />
för fakturering <strong>och</strong> kreditering.<br />
Utbetalningar, t.ex. återbetalning av patientavgifter, sker via<br />
leverantörsprocessen enligt underlag som upprättas av medarbetare från<br />
<strong>kund</strong>processen.<br />
Kundprocessen omfattar också avstämningar av <strong>landstingets</strong> bankkonton<br />
vilket innebär avstämningar av in- <strong>och</strong> utbetalningar. SR använder sig av<br />
olika typer av automatiska matchningssystem för avstämningen, s.k. OCR-<br />
<strong>och</strong> Adramatchning. Filer från banken stäms av mot bokföringen. SR<br />
stämmer av <strong>landstingets</strong> <strong>gemensamma</strong> bankkonto en gång per månad. Enligt<br />
uppgift kommer avstämningens att ske en gång per vecka från <strong>och</strong> med<br />
december 2012. Det finns inte dokumenterade rutiner för avstämningen.<br />
Revisionens kommentarer<br />
Är ansvarsfördelning <strong>och</strong> befogenheter klart uppdelat mellan aktörer?<br />
Vi bedömer att ansvarsfördelning <strong>och</strong> befogenheter inte är helt klart<br />
uppdelat avseende kreditering av <strong>kund</strong>fakturor <strong>och</strong> tydligt ansvar för<br />
<strong>kund</strong>registret saknas. SR bör också överväga att tydliggöra ansvar för<br />
arbetsuppgifter gentemot verksamheterna med exempelvis ett skriftligt<br />
avtal.<br />
Finns det dokumenterade rutiner för processer <strong>och</strong> följs dessa?<br />
I stort saknas det dokumenterade rutiner <strong>och</strong> anvisningar för fakturering/<br />
kreditering/makulering av fakturaunderlag där attestrutiner framgår. Arbetet<br />
med att dokumentera rutinbeskrivningar <strong>och</strong> anvisningar behöver prioriteras<br />
för att stärka den <strong>intern</strong>a <strong>kontroll</strong>en. Det är viktigt att regelverket finns<br />
tillgängligt <strong>och</strong> samlat i Ekonomihandboken.<br />
8 Landstingsstyrelsen § 134/2007, Tillämpningsanvisningar till attestreglemente<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 8(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
Det saknas rutin för att säkerställa att alla inkomna fakturaunderlag<br />
faktureras. Det saknas också rutin för att säkerställa att alla filer från<br />
verksamheterna kommer till SR men enligt uppgift pågår ett arbete med att<br />
upprätta sådan checklista. Det saknas underhållsrutiner för <strong>kund</strong>registret <strong>och</strong><br />
dokumenterade rutiner för avstämningen av <strong>landstingets</strong> <strong>gemensamma</strong><br />
bankkonto.<br />
ANSVAR FÖR BALANSPOSTER<br />
Kund- <strong>och</strong> leverantörsreskontror är <strong>gemensamma</strong> för alla <strong>landstingets</strong><br />
förvaltningar. Enligt redovisningstekniska anvisningar har SR<br />
avstämningsansvar för dessa <strong>gemensamma</strong> tillgångs- <strong>och</strong> skuldkonton.<br />
Avstämningsansvar innebär att säkerställa respektive tillgång/skuld är<br />
avstämd mot reskontror, kassarapport, etc. <strong>och</strong> att differenser utreds <strong>och</strong><br />
rättas. Varje förvaltning ansvarar för att samtliga kostnader <strong>och</strong> intäkter för<br />
förvaltningen bokförs enligt god redovisningssed. Enligt uppgift innebär<br />
detta att det är förvaltningen som ansvar för att säkerställa att deras del av<br />
reskontrans innehåll är korrekt. Förvaltningarna är insatta i<br />
ansvarsfördelningen. Vi bedömer att ansvarsfördelningen är klart uppdelad.<br />
En avveckling av förvaltningarnas <strong>intern</strong>a balansräkningar har skett under<br />
2012. Enligt uppgift innebär förändringen ingen större skillnad jämfört med<br />
tidigare vad det gäller ansvarsfördelningen <strong>och</strong> det är fortsatt möjligt att<br />
följa merparten av balansposterna på förvaltningsnivå. Förändringen<br />
påverkar inte hantering av <strong>kund</strong>fordringar <strong>och</strong> leverantörsskulder.<br />
SYSTEMFÖRVALTNING<br />
Roller <strong>och</strong> ansvar beskrivs i systemförvaltningsspecifikation för<br />
förvaltningsobjektet Ekonomi. Redovisningschef hos Centrala ekonomi<br />
ansvarar för att ekonomisystemens funktioner <strong>och</strong> tillämpning följer lagar,<br />
förordningar <strong>och</strong> <strong>landstingets</strong> regelverk. Ekonomisystemcontroller hos<br />
Centrala ekonomi är systemägarens <strong>och</strong> systemförvaltningens stöd vad<br />
gäller den långsiktiga utvecklingen inom förvaltningsobjektet. Vidare ingår i<br />
uppgifterna att arbeta för att utvecklingsinsatser prioriteras utifrån en större<br />
helhet <strong>och</strong> att initiera utvecklingsaktiviteter <strong>och</strong> i förekommande fall leda<br />
eller delta i projekt. Enligt systemförvaltningsorganisationen för<br />
förvaltningsobjektet Ekonomi finns ingen direkt formaliserad<br />
kommunikation mellan Centrala ekonomi <strong>och</strong> IT.<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 9(11)
LA<br />
Revisionen<br />
GRANSKNINGSRAPPORT<br />
DATUM DIARIENR<br />
2013-01-11 RE-REV13-003<br />
Enligt <strong>landstingets</strong> systemförvaltningsmodell 9 ska varje IT-system ha<br />
systemägare. Systemägaren har det ekonomiska, funktionella <strong>och</strong><br />
förvaltningsmässiga ansvaret för systemet samt beslutar om nyutveckling,<br />
vidareutveckling <strong>och</strong> avveckling av systemet. Landstingsdirektören beslutar<br />
om vilka IT-system som är strategiska <strong>och</strong> <strong>gemensamma</strong> för landstinget <strong>och</strong><br />
utser systemägare för dessa. Ekonomisystemet, IFS, ingår i<br />
förvaltningsobjektet Ekonomi. Vi har inte kunnat finna att<br />
landstingsdirektören har fattat ett beslut om att ekonomisystemet IFS är<br />
strategiskt viktigt <strong>och</strong> gemensamt system 10 .<br />
Kommentarer<br />
Förvaltningarna, SR <strong>och</strong> IT-enheten arbetar i samma flöden <strong>och</strong> därför är<br />
det viktigt att landstinget har en tydlig ansvarsfördelning <strong>och</strong> att någon har<br />
det övergripande ansvaret att övervaka <strong>och</strong> utvärdera hur <strong>kund</strong>- <strong>och</strong><br />
leverantörsprocesserna fungerar. Det är naturligt att alla led säkerställer<br />
sina rutiner men trots det bör de landstings<strong>gemensamma</strong> processerna<br />
övervakas ur landstings- <strong>och</strong> helhetsperspektiv.<br />
Det saknas rutiner för att säkerställa att befintliga regelverk följs <strong>och</strong> tydligt<br />
ansvar för uppgifter som övervakning <strong>och</strong> utvärdering av dessa processer ur<br />
landstingsperspektiv. Det saknas också rutiner för att på ett effektivt sätt<br />
annonsera <strong>och</strong> uppdatera förändringar i regelverk <strong>och</strong> principer.<br />
RISKBEDÖMNING ÖVER LEVERANTÖRS- OCH<br />
KUNDPROCESSERNA<br />
Risk kan definieras som att möjligheten eller sannolikheten för att en<br />
oönskad händelse leder till en oönskad konsekvens, en skada, för<br />
organisationen. För att kunna motverka att oönskad händelse förverkligas<br />
behövs säkerhets- <strong>och</strong> <strong>kontroll</strong>funktioner.<br />
Dokumenterade riskbedömningar för <strong>kund</strong>- <strong>och</strong> leverantörsprocesserna<br />
saknas.<br />
9<br />
Landstingsstyrelsen § 14/2006, Bilaga 2, IT-policy för samtliga verksamheter i<br />
Landstinget Sörmland<br />
10<br />
Granskningsrapport avseende D-datas uppdrag, mål <strong>och</strong> förutsättningar RE-REV11-051,<br />
rekommenderades att lyfta upp till beslut alla strategiskt viktiga <strong>och</strong> <strong>gemensamma</strong> system.<br />
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncern<strong>gemensamma</strong> processer\Granskningsrapport 4.doc ·<br />
Utskriftsdatum: 2013-01-16 13:51<br />
SID 10(11)