intern styrning och kontroll i landstingets gemensamma kund

Revisionen
För kännedom
Landstingsstyrelsen
Ekonomidirektör
Nicholas Prigorowsky
IT-chef Ante Grubbström
Sektionschef Samlad
Redovisning Maria Hultman
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
T.f. Landstingsdirektör Helena Söderquist
INTERN STYRNING OCH KONTROLL I
LANDSTINGETS GEMENSAMMA KUND- OCH
LEVERANTÖRSPROCESSER
SAMMANFATTNING
Landstinget Sörmlands revisionskontor har, på uppdrag av landstingets
revisorer, genomfört en granskning av rutiner kring de
koncerngemensamma kund- och leverantörsprocesserna utifrån intern
kontrollsynpunkt.
Följande brister har noterats vilka behöver åtgärdas för en god intern
styrning och kontroll:
Dokumenterade riskbedömningar för kund- och leverantörsprocesser
saknas. Arbetet med dokumenterade riskbedömningar behöver
prioriteras och riskhantering bör kopplas till ledningssystemet.
För att uppfylla lagens 1 krav på dokumentation behövs det upprättas
beskrivningar över bokföringssystemets organisation och
uppbyggnad för att ge överblick över systemet.
Det saknas rutiner för att säkerställa att befintliga regelverk följs och
rutiner för att på ett effektivt sätt annonsera förändringar i
regelverket.
Några systematiska kontroller görs inte avseende
ändringar/uppdateringar av uppgifter i leverantörsregister i
ekonomisystemet. Rutiner för kontroller behöver upprättas.
Dokumenterade rutiner saknas för behörighetshantering i
ekonomisystemet. För att stärka den interna styrningen och
kontrollen behövs det skriftliga regelverk för behörighetshanteringen
samt rutiner för att underhålla användarbehörigheter i systemet.
Rutiner för systemadministration av e-fakturasystemet behöver
säkerställas och kommuniceras till berörda parter.
Anvisningar för fakturering och kreditering saknas. Arbetet med att
dokumentera rutinbeskrivningar och anvisningar behöver prioriteras
för att stärka den interna kontrollen.
1 Kommunal redovisning, lag (1997:614), 2 kap. 7 §
Landstinget Sörmland Repslagaregatan 19 611 88 Nyköping
Fax 0155-24 59 32 Tel 0155-24 50 00 E-mail landstinget.sormland@dll.se
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 1(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
Det saknas rutin för att säkerställa att alla inkomna fakturaunderlag
faktureras hos Samlad Redovisning (SR) 2 .
Det saknas också rutin för att säkerställa att alla filer avseende
kundfakturor från verksamheterna kommer till SR men enligt
uppgift pågår ett arbete med att upprätta sådan checklista.
Det saknas underhållsrutiner för kundregistret och dokumenterade
rutiner för avstämningen av landstingets gemensamma bankkonto.
SYFTE, METOD OCH AVGRÄNSNING
I enlighet med revisionsplanen för 2012/2013 innebär uppdraget i huvudsak
att granska rutiner kring de koncerngemensamma ekonomiadministrativa
processer som har IT-stöd utifrån intern kontrollsynpunkt. Granskningen
avser kund- och leverantörsprocesser. Vi har följt kundfakturan väg till
inbetalning och leverantörsfakturans väg till utbetalning. Syftet med
granskningen är att bedöma hur den interna kontrollen fungerar genom att
svara på följande frågor;
Är ansvarsfördelning och befogenheter klart uppdelat mellan aktörer?
Finns det dokumenterade rutiner för processer och följs dessa?
Hur bedöms och förebyggs möjliga risker i processerna?
Svaren på revisionsfrågorna återfinns under respektive rubrik och de
viktigaste iakttagelser redovisas i sammanfattningen.
Granskningen har genomförts genom dokumentstudier och intervjuer med
personer från Samlad redovisning, Centrala ekonomi och D-data.
Granskningen har skett under perioden oktober-december 2012.
Granskningsanteckningar har överlämnats till de intervjuade för avstämning
och kontroll. Synpunkter på anteckningarna har beaktats i denna rapport.
Landstingets helägda bolag ingår inte i granskningen. Granskningens
utgångspunkt är processflödenas intern kontroll vilken innebär att vi inte har
granskat IT-stödens systemmässiga delar. Avgränsningen sker mot
landstingets inkassoverksamhet och de delar i flöden som sköts av externa
leverantörer (skanningstjänsten och fakturautskick). Granskningen avser
inte försystem, inköpsprocessen och interna faktureringsflöden.
2 Redovisningsenhet som hanterar bland annat kund- och leverantörsprocesserna för
landstingets förvaltningar och bolag.
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 2(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
BEHÖRIGHETSHANTERING I EKONOMISYSTEMET
En bra behörighetshantering förutsätter en lämplig ansvars- och
arbetsfördelning och en fungerande behörighetsadministration där
medarbetare tilldelas åtkomst till resurser och information beroende på vilka
arbetsuppgifter de har i organisationen. Styrning genom
behörighetshanteringen är en del av riskhantering.
Landstinget har ett gemensamt IT-stöd för ekonomi, IFS, där landstingets
kund- och leverantörsprocesser hanteras. En av systemförvaltarens
arbetsuppgift är att hantera och uppdatera behörigheter i ekonomisystemet
förutom behörigheter avseende inköp och e-faktura. Ersättare för
arbetsuppgiften finns. Behörigheter till inköpsmodulen och efakturaportalen
där behörigheter till att godkänna och attestera
leverantörsfakturor elektroniskt, hanteras inom Leverantörsgruppen hos SR.
Denna rutin beskrivs under rubriken Leverantörsprocessen, sid 5.
Enligt en lista ur ekonomisystemet finns det tre kategorier av behörigheter:
Behörighetskategorier Antal personer med behörighet
Användare med behörighet
Superuser (admin ingår)
Användare med behörighet
SR_Superuser
Användare med behörighet Inköp 7
De två första kategorierna av behörigheter, Superuser, innebär att personen
har möjlighet att ändra/lägga till/ta bort alla uppgifter för alla
redovisningsenheter inom hela ekonomisystemet oavsett vilka
arbetsuppgifter personen har. Några systematiska kontroller inte görs
avseende ändringar av uppgifter i register/databaser exempelvis ändringar i
leverantörsregisters uppgifter. I listan avseende användarbehörigheter finns
det en person som har behörighet till ekonomisystemet även om denne inte
arbetar längre i landstinget. Vi har inte kunnat finna rutiner för att
underhålla användarbehörigheter i ekonomisystemet. Enligt
systemförvaltningsspecifikationen 3 är det systemförvaltaren som ansvarar
10
139
3 Systemförvaltningsspecifikation för förvaltningsobjektet Ekonomi, 2012-10-11
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 3(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
för regelverk för behörigheter och roller i systemen. Vi har inte kunnat finna
ett sådant dokumenterat regelverk.
Begäran om behörighet till ekonomisystemet kommer till systemförvaltaren
via telefon eller e-post. Begäran görs av en chef eller någon annan på
enheten. Personen som begär behörigheten till ekonomisystemet är alltid
känd av systemförvaltaren. Personen som ska tilldelas behörighet till
ekonomisystemet kontrolleras genom att personen finns i
landstingskatalogen eKs, har landstingse-postadress, vilken enhet personen
tillhör och vilken befattning personen har. Vid granskningsstillfället fanns
inte skriftligt rutinbeskrivning.
Kommentarer
Är ansvarsfördelning och befogenheter klart uppdelat mellan aktörer?
Ansvarsfördelning och befogenheter bedöms att vara klart uppdelat. Att
behörighetshantering är styrd genom ett fåtal personer är bra.
Finns det dokumenterade rutiner för processer och följs dessa?
Vid granskningstillfället fanns det inte dokumenterade rutiner för
behörighetshantering. För att stärka den interna styrningen och kontrollen
behövs det skriftliga regelverk för behörighetshanteringen samt rutiner för
att underhålla användarbehörigheterna. Behörigheterna till systemet bör
uppdateras och rutiner för kontroller upprättas. Möjligheten att upprätta
flera olika behörighetskategorier bör utredas för att kunna tilldela åtkomst
till systemet beroende på vilka arbetsuppgifter man har. Riktlinjer för
behörighetshanteringen bör beslutas på högre nivå än den som registrerar
behörigheterna. Begäran om behörighet till ekonomisystemet behöver göras
skriftligt.
Hur bedöms och förebyggs möjliga risker i processerna?
Det finns inget strukturerat system för att bedöma och förebygga möjliga
risker i behörighetshanteringen.
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 4(11)

LA
Revisionen
LEVERANTÖRSPROCESSEN
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
Under 2010 hanterade SR ca 150 000 leverantörsfakturor från ca 7 000
leverantörer. 4 Landstinget har fakturaadress dit alla pappersfakturor ska
sändas. Ett externt företag har hand om fakturaskanningen åt landstinget. En
del av fakturorna sänds elektroniskt (e-faktura) till SR. Elektroniska
leverantörsfakturornas andel är ca 16 %. Det förekommer också att
fakturorna sänds direkt till verksamheterna vilka i sin tur sänder dessa till
SR där de skannas in i e-fakturaportalen.
Landstinget har ett gemensamt leverantörsregister för alla förvaltningar och
bolag. SR och inköpare uppdaterar leverantörer i leverantörsregistret. I
leverantörsregistret finns 48 490 leverantörer i november 2012.
Leverantörerna registreras med bank- eller postgironummer som IDnummer
i leverantörsregistret. När leverantören byter bank- eller
postgironummer upprättas en ny leverantör och därför förekommer det att
en leverantör återfinns i registret med flera ID-nummer. Det saknas
underhållsrutiner och ansvar för leverantörsregistret.
Externt företag sänder inskannade fakturor med en fil till SR för
vidarehantering. SR förslagskonterar fakturorna och därefter skickas de för
godkännandet och beslutsattestering via s.k. webbportal. Detta innebär att
fakturorna godkänns och attesteras elektroniskt. Fakturorna styrs till rätt
godkännare och beslutsattestant via referensnummer.
För att styra fakturor mot rätt godkännare och beslutsattestant finns det ett
register med ca 1 700 användare 5 som administreras av SR. Det finns
skriftliga anvisningar och regelverk 6 för hantering av
behörighetsadministration. Vi har konstaterat brister i manuella kontroller
vid nyupplägg och förändringar av grunddata samt uppföljning av
användare i systemet. Rutinen för systemadministration av efakturasystemet
behöver säkerställas och kommuniceras till berörda parter.
I leverantörsprocessen behandlar SR också utbetalningsorder. Med
utbetalningsorder betalar landstinget bland annat återbetalningar till kunder,
4 Slutrapport Förstudie inför projekt om effektivisering av landstingets inköp med hjälp av
bland annat elektronisk handel, 2011-05-09
5 Slutrapport Förstudie inför projekt om effektivisering av landstingets inköp med hjälp av
bland annat elektronisk handel, 2011-05-09
6 Ekonomihandboken, http://insidan.dll.se/sv/Stod-for-ledning/Ekonomi-nysida/Ekonomihandboken/Genomfora/Underhall-av-kodplan1/
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 5(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
utbetalningar av olika slag och patientbidrag. Enligt rutinbeskrivningar
fyller verksamheten i en blankett och SR skannar in denna.
Utbetalningsordern hanteras på samma sätt som en leverantörsfaktura.
Utbetalningsordrar som saknar attester sänds genom webbportalen för
godkännande och attestering. Om nödvändiga attester finns i
utbetalningsordern, attesteras den hos SR handläggare och utbetalning sker.
Av anvisningarna framgår inte vilka typer av utbetalningar som ska hanteras
genom denna rutin.
Efter att fakturorna/utbetalningsorderna är godkända och attesterade hos
verksamheterna, betalar och bokför SR dessa efter olika arbetsmoment. I
stort finns det rutinbeskrivningar för det praktiska arbetet för olika
arbetsmoment samt avvikelsehantering. SR:s medarbetare som arbetar med
kundprocessen gör avstämningen av utbetalningarna.
Eventuella felaktiga fakturor ska fångas upp när fakturan godkänns och
attesteras hos verksamheterna. Säkerhetsenheten har lämnat information om
bluffaktura 7 i form av råd vilket finns på landstingets intranät, Insidan,
under säkerhetsenheten. Upphandlingsenheten kontrollerar årligen ett urval
från landstingets leverantörsreskontras innehåll i syfte att kontrollera inköp
som sker utanför upphandlade leverantörer. Resultatet av denna kontroll
föranleder inte vidarebehandling av informationen förutom om eventuella
bluffakturor har konstaterats. Information om bluffakturorna har betalats
förs vidare till Säkerhetsenheten.
Revisionens kommentarer
Är ansvarsfördelning och befogenheter klart uppdelat mellan aktörer?
Vi bedömer att ansvarfördelningen och befogenheterna är klart uppdelat
mellan aktörerna förutom ansvar för leverantörsregistret.
Finns det dokumenterade rutiner för processer och följs dessa?
För SR:s del av processen finns i stort rutinbeskrivningar över de olika
arbetsmomenten och bedömningen är att dessa följs. Vi har noterat att
landstinget inte har gemensamma konteringsinstruktioner. Dessa bör
övervägas för att få mer enhetligt kontering. Rutinen för
systemadministration av e-fakturasystemet behöver säkerställas och
kommuniceras till berörda parter. Anvisningarna för utbetalningsorderna
7 kan definieras att någon försöker ta betalt för en tjänst som inte är beställd och inte heller
utförd, http://insidan.dll.se/sv/Stod-for-ledning/Sakerhet2/
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 6(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
bör kompletteras med vilka typer av utbetalningar som ska hanteras via
rutinen.
Anvisningen gällande hantering av bluffakturor bör finnas samlade i
Ekonomihandboken. Resultatet av kontrollen avseende avtalsenligt inköp
bör kommuniceras med verksamheter och informationen användas vidare.
KUNDPROCESSEN
SR:s uppskattning är att ca 480 000 kundfakturor behandlas eller passerar
SR på olika sätt och ca 90 % av dessa avser fakturering av patientavgifter.
Det finns två hanteringsalternativ för kundfakturaunderlag eller
kundfaktura. Antigen verksamheter sänder underlag per intern post och epost
för fakturering till SR eller verksamheterna skapar kundfakturorna i
försystem vilka sänds till SR.
SR fakturerar enligt underlag och sänder fakturorna med en fil till en extern
leverantör för utskrift. Leverantören framställer kundfakturorna och lämnar
dem på posten. I vissa fall sänds kundfakturorna direkt från SR till
kunder/patienter. Det finns inte rutin för att säkerställa att underlagen
faktureras.
SR utför inte lika omfattning tjänster åt verksamheterna. I vissa fall passerar
filer SR till externa leverantören för fakturautskrift. I andra fall krävs flera
arbetsmoment hos SR, exempelvis att filerna kontrolleras och korrigeras för
att slutligen sändas till leverantören för utskick eller manuellt via SR:s
skrivare för utskick. Avvikelser hanteras manuellt. Avvikelserna är
exempelvis att uppgifter saknas i fakturan eller att underlaget makuleras för
att avgiften ingår i en annan vårdavgift. Det saknas skriftliga rutiner för
hantering av de olika avvikelserna.
Vid granskningstillfället saknades det rutin att säkerställa att alla filer från
verksamheterna kommer till SR. Enligt uppgift pågår ett arbete att upprätta
en checklista för de inkommande filerna.
Landstinget har ett gemensamt kundregister för alla förvaltningar och bolag.
I kundregister finns 282 842 kunder i november 2012 och det kan finnas
samma kunder med olika ID-nummer. Flera personer registrerar uppgifter i
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 7(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
kundregistret där uppdatering sker även via försystemet. Det saknas
underhållsrutiner och ansvar för kundregistret.
SR har en rutinbeskrivning för hur en faktura skapas och krediteras i
ekonomisystemet men det framgår inte attestrutiner 8 vid kreditering av
kundfaktura. Enligt tillämpningsanvisningarna ska kreditering av
kundfakturorna godkännas av beslutsattestant (huvudregeln). Kreditering av
kundfaktura sker både hos förvaltningarna och SR. Det saknas anvisningar
för fakturering och kreditering.
Utbetalningar, t.ex. återbetalning av patientavgifter, sker via
leverantörsprocessen enligt underlag som upprättas av medarbetare från
kundprocessen.
Kundprocessen omfattar också avstämningar av landstingets bankkonton
vilket innebär avstämningar av in- och utbetalningar. SR använder sig av
olika typer av automatiska matchningssystem för avstämningen, s.k. OCR-
och Adramatchning. Filer från banken stäms av mot bokföringen. SR
stämmer av landstingets gemensamma bankkonto en gång per månad. Enligt
uppgift kommer avstämningens att ske en gång per vecka från och med
december 2012. Det finns inte dokumenterade rutiner för avstämningen.
Revisionens kommentarer
Är ansvarsfördelning och befogenheter klart uppdelat mellan aktörer?
Vi bedömer att ansvarsfördelning och befogenheter inte är helt klart
uppdelat avseende kreditering av kundfakturor och tydligt ansvar för
kundregistret saknas. SR bör också överväga att tydliggöra ansvar för
arbetsuppgifter gentemot verksamheterna med exempelvis ett skriftligt
avtal.
Finns det dokumenterade rutiner för processer och följs dessa?
I stort saknas det dokumenterade rutiner och anvisningar för fakturering/
kreditering/makulering av fakturaunderlag där attestrutiner framgår. Arbetet
med att dokumentera rutinbeskrivningar och anvisningar behöver prioriteras
för att stärka den interna kontrollen. Det är viktigt att regelverket finns
tillgängligt och samlat i Ekonomihandboken.
8 Landstingsstyrelsen § 134/2007, Tillämpningsanvisningar till attestreglemente
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 8(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
Det saknas rutin för att säkerställa att alla inkomna fakturaunderlag
faktureras. Det saknas också rutin för att säkerställa att alla filer från
verksamheterna kommer till SR men enligt uppgift pågår ett arbete med att
upprätta sådan checklista. Det saknas underhållsrutiner för kundregistret och
dokumenterade rutiner för avstämningen av landstingets gemensamma
bankkonto.
ANSVAR FÖR BALANSPOSTER
Kund- och leverantörsreskontror är gemensamma för alla landstingets
förvaltningar. Enligt redovisningstekniska anvisningar har SR
avstämningsansvar för dessa gemensamma tillgångs- och skuldkonton.
Avstämningsansvar innebär att säkerställa respektive tillgång/skuld är
avstämd mot reskontror, kassarapport, etc. och att differenser utreds och
rättas. Varje förvaltning ansvarar för att samtliga kostnader och intäkter för
förvaltningen bokförs enligt god redovisningssed. Enligt uppgift innebär
detta att det är förvaltningen som ansvar för att säkerställa att deras del av
reskontrans innehåll är korrekt. Förvaltningarna är insatta i
ansvarsfördelningen. Vi bedömer att ansvarsfördelningen är klart uppdelad.
En avveckling av förvaltningarnas interna balansräkningar har skett under
2012. Enligt uppgift innebär förändringen ingen större skillnad jämfört med
tidigare vad det gäller ansvarsfördelningen och det är fortsatt möjligt att
följa merparten av balansposterna på förvaltningsnivå. Förändringen
påverkar inte hantering av kundfordringar och leverantörsskulder.
SYSTEMFÖRVALTNING
Roller och ansvar beskrivs i systemförvaltningsspecifikation för
förvaltningsobjektet Ekonomi. Redovisningschef hos Centrala ekonomi
ansvarar för att ekonomisystemens funktioner och tillämpning följer lagar,
förordningar och landstingets regelverk. Ekonomisystemcontroller hos
Centrala ekonomi är systemägarens och systemförvaltningens stöd vad
gäller den långsiktiga utvecklingen inom förvaltningsobjektet. Vidare ingår i
uppgifterna att arbeta för att utvecklingsinsatser prioriteras utifrån en större
helhet och att initiera utvecklingsaktiviteter och i förekommande fall leda
eller delta i projekt. Enligt systemförvaltningsorganisationen för
förvaltningsobjektet Ekonomi finns ingen direkt formaliserad
kommunikation mellan Centrala ekonomi och IT.
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 9(11)

LA
Revisionen
GRANSKNINGSRAPPORT
DATUM DIARIENR
2013-01-11 RE-REV13-003
Enligt landstingets systemförvaltningsmodell 9 ska varje IT-system ha
systemägare. Systemägaren har det ekonomiska, funktionella och
förvaltningsmässiga ansvaret för systemet samt beslutar om nyutveckling,
vidareutveckling och avveckling av systemet. Landstingsdirektören beslutar
om vilka IT-system som är strategiska och gemensamma för landstinget och
utser systemägare för dessa. Ekonomisystemet, IFS, ingår i
förvaltningsobjektet Ekonomi. Vi har inte kunnat finna att
landstingsdirektören har fattat ett beslut om att ekonomisystemet IFS är
strategiskt viktigt och gemensamt system 10 .
Kommentarer
Förvaltningarna, SR och IT-enheten arbetar i samma flöden och därför är
det viktigt att landstinget har en tydlig ansvarsfördelning och att någon har
det övergripande ansvaret att övervaka och utvärdera hur kund- och
leverantörsprocesserna fungerar. Det är naturligt att alla led säkerställer
sina rutiner men trots det bör de landstingsgemensamma processerna
övervakas ur landstings- och helhetsperspektiv.
Det saknas rutiner för att säkerställa att befintliga regelverk följs och tydligt
ansvar för uppgifter som övervakning och utvärdering av dessa processer ur
landstingsperspektiv. Det saknas också rutiner för att på ett effektivt sätt
annonsera och uppdatera förändringar i regelverk och principer.
RISKBEDÖMNING ÖVER LEVERANTÖRS- OCH
KUNDPROCESSERNA
Risk kan definieras som att möjligheten eller sannolikheten för att en
oönskad händelse leder till en oönskad konsekvens, en skada, för
organisationen. För att kunna motverka att oönskad händelse förverkligas
behövs säkerhets- och kontrollfunktioner.
Dokumenterade riskbedömningar för kund- och leverantörsprocesserna
saknas.
9
Landstingsstyrelsen § 14/2006, Bilaga 2, IT-policy för samtliga verksamheter i
Landstinget Sörmland
10
Granskningsrapport avseende D-datas uppdrag, mål och förutsättningar RE-REV11-051,
rekommenderades att lyfta upp till beslut alla strategiskt viktiga och gemensamma system.
ORG NR 232100-0032 · H:\Revisionskontoret\GEMENSAM\GRANSKNING\Pågående granskningar\Koncerngemensamma processer\Granskningsrapport 4.doc ·
Utskriftsdatum: 2013-01-16 13:51
SID 10(11)