14_2020 Rapport granskning av löneutbetalningar

Granskning av Region Västerbottens lönesystem och process för lönehantering

Sammanfattning

EY har på uppdrag av de förtroendevalda revisorerna i Region Västerbotten genomfört en
granskning med syfte att bedöma om regionstyrelsen och nämnderna har säkerställt en
tillräcklig styrning och kontroll över löneutbetalningarna.

Vår sammanfattande bedömning efter genomförd granskning är att styrelsen och nämnderna
i allt väsentligt säkerställt en tillräcklig styrning och kontroll över löneutbetalningar. Vi baserar
bedömningen på att det i allt väsentligt finns:

Tillförlitliga rutiner för behörighet och attest

En tillräcklig intern kontroll i löneprocessen (manuella och automatiska kontroller)

Tillförlitliga rutiner för hantering av anställningsregister och löneutbetalningar som i
huvudsak följs.

En riskanalys avseende löneutbetalningsprocessen

Tillräckliga och dokumenterade kontroller av genomförda löneutbetalningar.

Vi har i samband med granskningen genomfört en analys av samtliga lönetransaktioner
under 2020. Syftet med analysen av alla lönetransaktioner är att ur en mycket stor mängd
data fånga upp enskilda transaktioner som avviker från det förväntade mönstret för att sedan
via stickprov följa upp de avvikande transaktionerna. Utfallet från vår granskning och
uppföljning av stickprov har inte påvisat några okända fel. Vi har inte funnit några avvikelser

vad gäller själva löneadministrationens rutiner. I samtliga våra stickprov på ”avvikande” löner

har det funnits förklaringar och korrekta beslut.

Efter genomförd granskning rekommenderar vi att:

rutinen med behörighetsavsluten i samband med att personer avslutar sin anställning
automatiseras.

det införs ett systemstöd för attesterande chefer så att de kan kontrollera underlagen
samt rapportera in eventuella avvikelser innan lönekörning och sedan attestera
lönekostnaderna.

ett systemstöd införs för att följa upp att attest av lönelistor sker i rätt tid.

en rutin, baserat på en övergripande riskanalys, för att kontrollera händelseloggar
införs inklusive en rutin för hur de kontrollen skall dokumenterats.

det tas fram ett regelverk som reglerar när anställd har rätt till lönekorrigering via den
manuella extrakörningen.

möjligheterna till att kunna använda skrivskyddade filer vid överföring av filer till
huvudboken undersöks.

en systematisk uppföljning utförs på hur många korrigeringar av löner som görs samt

att detta kopplas till vem som ”borde” ha upptäckt felet. Vår bedömning är att en

sådan uppföljning, när den fungerar, förstärker uppföljningen avsevärt.

Granskning av Region Västerbottens lönesystem och process för lönehantering

Inledning

1.1

Bakgrund

Löner är den största posten i regionens resultaträkning och är således en väsentlig del av
regionens kostnader. Lönekostnader, inkl sociala avgifter, uppgick till ca 7,1 miljarder kronor
för år 2020. Det motsvarade cirka 60 procent av verksamheternas totala kostnader. Totalt
hanterades ca 147 000 unika löneutbetalningar under 2020. Då lönekostnaderna uppgår till
väsentliga belopp ställer det stora krav på att löneprocessen säkerställer att rätt lön betalas
ut. Eventuella brister kan medföra både ekonomiska konsekvenser och förtroendeskada.

Revisorerna har i sina tidigare granskningar (år 2011 och 2013) bla konstaterat att det fanns
förklaringar till samtliga avvikelser i genomförda löneutbetalningar. Revisorerna
uppmärksammade dock att det inte fanns några dokumenterade regler eller riktlinjer för
kontroller av löner i ledningssystemet. Däremot fanns det riktlinjer på landstingets intranät,
men dessa hade inte reviderade på flera år. Det fanns även brister i hur attestanter
kontrollerade, signerade och sparade lönelistorna.

Revisorerna i Region Västerbotten har mot bakgrund av ovanstående bedömning av risk och
väsentlighet beslutat att granska styrningen och kontrollen över löneutbetalningar.

1.2

Syfte, revisionsfrågor och avgränsning

Syftet med granskningen är att bedöma om regionstyrelsen och nämnderna har säkerställt
en tillräcklig styrning och kontroll över löneutbetalningar. Nedanstående revisionsfrågor ska
besvaras.

Har styrelse och nämnder säkerställt att:

Det finns tillförlitliga rutiner för behörighet och attest?

Det finns en tillräcklig intern kontroll i löneprocessen (manuella och automatiska
kontroller)? Tex kontroller som;

Förhindrar att felaktig ersättning utbetalas?

Upptäcker felaktiga ersättningar?

Rapporterar upptäckta fel?

Det finns tillförlitliga rutiner för hantering av anställningsregister och
löneutbetalningar? Följs i så fall rutinerna?

Det finns en riskanalys avseende löneutbetalningsprocessen?

Det finns tillräckliga och dokumenterade kontroller av genomförda löneutbetalningar.

Granskningen är avgränsad till de rutiner och system som hanteras centralt av löneavdel-
ningen/ HR-staben samt ekonomiavdelningen vad avser bokföring och avstämning
löneutbetalningar.

Granskning av Region Västerbottens lönesystem och process för lönehantering

1.3

Revisionskriterier

Med revisionskriterier avses bedömningsgrunder som används i granskningen för analyser,
slutsatser och bedömningar. Revisionskriterierna kan hämtas från lagar och förarbeten eller
interna regelverk, policyer beslutade av fullmäktige. Kriterier kan också ha sin grund i jämför-
bar praxis eller erkänd teoribildning. I denna granskning utgörs de huvudsakliga
revisionskriterierna av:

Kommunallagen 6 kap § 6 och § 13

Fullmäktiges reglemente till regionstyrelsen

Attestreglemente och tillämpningsanvisningar till attestreglemente

Revisionskriterierna utgår från begreppet god intern kontroll.

Ett bra system för intern kontroll ska minska risken för att fel i det dagliga arbetet, såväl
avsiktliga som oavsiktliga, leder till fel i redovisningen. Den interna kontrollen kan dock inte
fånga upp alla fel, och dessutom är intern kontroll kostsamt. Kostnaden för kontrollen måste
alltid vägas mot den fördel i form av minskad risk som den genererar. Till intern kontroll hör
att ansvars- och arbetsfördelningen är genomtänkt och fungerar. Attest- och
rapportsystemen måste vara ändamålsenliga. En bra ansvars- och arbetsfördelning innebär
bland annat att ingen person ensam ska kunna hantera en transaktion i alla led.

1.4

Ansvarig nämnd

Regionstyrelsen har ansvaret för HR-staben och ekonomistaben. Styrelsen har också hand
om regionens personaladministrativa system. Inom sina ansvarsområden har regionstyrelsen
och övriga nämnder ansvar för att styrningen och kontrollen är tillräcklig.

1.5

Metod och genomförande

Granskningen har genomförts genom:

Dokumentanalys

Registeranalys

Intervjuer

Dokumentanalys

Vi har att granskat styr- och uppföljningsdokument, rutinbeskrivningar och
internkontrollplaner. Detta i syfte att kartlägga kontrollmoment.

Intervjuer/avstämningar

Intervjuer/avstämning har genomförts med ett urval av företrädare för HR-staben,
ekonomiavdelningen och systemförvaltningen för lönesystemet.

Registeranalys och stickprov

Stickprov utförs för att i erforderlig omfattning verifiera gjorda utsagor samt för att kontrollera
att system och rutiner fungerar på avsett vis.

Granskning av Region Västerbottens lönesystem och process för lönehantering

Vidare har en databaserad registeranalys genomförts av regionens samtliga
lönetransaktioner för perioden 1 januari till och med 31 december 2020. Registeranalysen
omfattar ca 5 miljoner rader med lönetransaktioner. Denna registeranalys har även legat till
grund för vårt urval av stickprov vid granskning av enskilda lönetransaktioner. Syftet med en
registeranalys av alla lönetransaktioner är att ur en mycket stor mängd data fånga upp
enskilda transaktioner som avviker från det förväntade mönstret, tex att en enskild individ
har en ovanligt stor utbetalning en enskild månad i jämförelse med övriga månader.

Utifrån det material som framkommit från registeranalysen har stickprov tagits för att
verifiera och förstå orsaken till den i registeranalysen avvikande transaktionen.

Antalet stickprov är beroende på avvikelsernas omfattning och orsak. Vi bedömer att vi gjort
tillräckligt många stickprov för att en säker revisionell bedömning ska kunna lämnas.

Granskning av Region Västerbottens lönesystem och process för lönehantering

Granskningens resultat

2.1

Organisation och roller

Lönehanteringen i region Västerbotten är i stort sett en centraliserad rutin. De stora
grundtjänsterna såsom upplägg av nyanställda, lönekörningar, rapporter mm utförs av
löneadministrationen (HR-staben). Vissa kontrollmoment ligger ute på enheterna men
instruktionerna för hur kontrollerna ska utföras är gemensamma och det är
löneadministrationen som utformat riktlinjerna för hur kontrollerna ska utföras.

Det finns en rad olika roller som är involverade i kedjan från upplägg av nyanställning till en
faktisk löneutbetalning. För att bilda oss en uppfattning om hur den interna kontrollen
fungerar har en genomgång gjorts av vilka roller som finns och vad dessa olika roller kan
göra. Syftet är att analysera om systemåtkomst, antal användare och arbetsrutiner har en
bra mix för att säkerställa god intern kontroll. Huvudsyftet är att säkerställa att det inte finns
roller som på egen hand kan genomföra och dölja en otillåten löneutbetalning.

Nedan följer en kort beskrivning av de olika rollerna.

HR Partner
HR Partner stöttar i huvudsak chefer i HR-arbetet, men registrerar även i vissa fall
fortfarande in anställningar i systemet. HR Partner anger grundlön mm som den anställda
har. HR Partner ansvarar även för utskrift av anställningsavtal som sedan skickas till
anställande chef och medarbetare för kontroll och påskrift.

Lönepartner
Lönepartner arbetar på lönenheten och är centralt placerad i organisationen. De fungerar likt
HR partner som verksamhetsstöd till enheterna. Lönepartner verifierar och färdigställer
anställningar som chefer initierat. Lönepartners främsta syssla är att genomföra rättningar
och ombokningar samt att utföra kontroller.

Maskinister
Även de tillhör löneenheten och kan till viss del sägas vara lönepartners. Skillnaden är att det
är maskinisterna som initierar lönekörningen samt verkställer löneutbetalningen, skapar
ekonomifilen

och SPADAB-filen

. Maskinisterna har högre behörighet i applikationen än

lönepartner.

Tekniker
Tekniker är de som arbetar med underhåll/drift av databas och teknisk support. Tidigare
arbetade samtliga tekniker inom regionen i beredskapsstyrkan vilket innebar att samtliga
tekniker hade tillgång till alla system. Nu är det sex beredskapstekniker som ingår i
beredskapslinjen för hela regionen och dessa sex har också tillgång till alla system.

Ekonomifilen är den information som lönesystemet genererar vad gäller konteringar på olika kostnadsställen och

som sedan ska läsas in i Unit4.

SPADAB-fil är den fil som skickas till banken och det som ligger till grund för utbetalningen. Den innehåller bl.a.

personnummer och belopp. Kopplingen mellan personnummer och kontonummer sköts av banken

Granskning av Region Västerbottens lönesystem och process för lönehantering

Digitaliseringsspecialister
Det finns två digitaliseringsspecialister, vilka ansvarar för den dagliga driften, uppdateringar
av programmet, felsökning mm. De har den högsta behörigheten som finns i systemet.
Digitaliseringsspecialister sköter uppdateringar och andra ändringar i lönesystemet utifrån
anvisning från systemleverantören.

Handledare (personalsystemet)
Handledare ansvarar bland annat för handledning/utbildning gällande anställningsregistre-
ringar, hantering av frånvaro, schema, flex mm i personalsystemet. Handledaren registrerar
rollbehörighet för tillgång till personalsystemet i programmet Neptune.

Systemägare
Den som har totalansvaret för personalsystemet. Utgörs av en person som har behörighet
utifrån sitt uppdrag som chef respektive medarbetare.

Förvaltningsledare och Förvaltningsledare teknik
De som har delegerats att genomföra uppgifterna inom fastställd förvaltningsplan, organisera
och fördela arbetet inom förvaltningen samt fatta inriktningsbeslut som faller inom
förvaltningsplanen.

Redovisningsfunktionen
Ekonomiavdelningen omfattar bland annat funktionen för redovisning. Redovisningsenhetens
huvuduppgift är att svara för Regionens redovisningsinriktade verksamhet och för central
rapportering.

Arbetsrotation

Ur ett internkontrollperspektiv är det viktigt att samma enskilda individ inte alltid utför en viss
kontroll eller att det finns arbetsmoment som bara en person bemästrar. Arbetsrotation
bedöms också positivt ur ett internkontrollperspektiv då det minskar sårbarheten vid t.ex.
frånvaro. Det är därför viktigt att det förekommer arbetsrotationer.

Enligt våra intervjuer finns det ingen som ensam besitter någon unik kunskap och inte heller
någon arbetsuppgift som bara en person kan utföra. Däremot förekommer det
arbetsuppgifter som enbart ett fåtal personer kan utföra. Det är en svår avvägning mellan att
ha tillräckligt många som kan utföra en uppgift och samtidigt säkerställa att det inte finns allt
för vida accesser. Löneadministrationen har identifierat en rad olika kritiska moment inom
lönekörningen där arbetsrotation därför tillämpas.

2.2

Dokument och rutinbeskrivningar

I revisorernas granskning av lönerutinen som genomfördes 2013 uppmärksammades att det i
ledningssystemet inte fanns någon dokumentation kring hur granskningen och kontroll av
löner skulle ske. Däremot fanns riktlinjer på landstingets intranät, men dessa riktlinjer hade
inte reviderats på flera år.

Vi har vid denna granskning kontrollerat om det finns styrdokument och rutinbeskrivningar för
hantering och kontroll av löneprocessen.

Granskning av Region Västerbottens lönesystem och process för lönehantering

2.2.1 Iakttagelser

Idag finns rutinen för kontroller av löner främst i ledningssystemet LITA. Det finns flera rutiner
som chefer har fått utbildning i och manualer för att utföra. Manualer och instruktioner finns
också tillgängligt via intranätet vid behov. Detsamma gäller för verksamhetsstöd HR och lön,
vilka har gemensamma riktlinjer i LITA. Utöver de kontroller som chefer förväntas göra utifrån
instruktionerna i LITA finns även kontrollmoment i själva lönekörningen. En mer detaljerad
beskrivning av dessa kontroller finns under stycket 2.6

2.2.2 Bedömning

Vår bedömning är att det finns tillförlitliga (dokumenterade, aktuella, kända) rutiner för
hantering av anställningsregister och löneutbetalningar (löneprocessen som helhet).

2.3

Systemdefinitioner och behörigheter

2.3.5 Iakttagelser

Region Västerbotten använder lönesystemet Visma Personec P vilket är ett stordatorsystem
för personal- och löneadministration som används av flera andra kommuner och regioner.

Själva systemet Personec bör ses som en bottenplatta, inom systemet finns t.ex. Personec P
(löner), Personec F (förhandling), Personec U (utdata). Självservice är också en del av
Personec och kan ses som ett

webbparaply för samtliga delar, ”en webbspegling”.

Lönerapporteringen sker elektroniskt via Självservice. Huvuddelen av regionens arbetstagare
har flex vilket innebär att avvikelser från grundschemat i Personec självservice uppdateras
per automatik utifrån in-/utpasseringar som inte stämmer med inlagt schema. Även många
administratörer använder in-/utpasseringsklockan i normala fall, under pandemin blir det
dock dator eller mobilvalet pga hemmajobb.

Ovanstående innebär att medarbetaren aktivt måste logga in respektive ut för dagen. Detta
innebär att närvarorapporteringen blir mer pålitlig då tidsrapporteringen inte bygger på att
den enskilde kommer ihåg att rapportera en avvikelse. Cheferna har genom PS Självservice
tillgång till statistik och uppföljning för respektive avdelning.

Förutom ovan nämnda system finns även behörighetsmodulen Neptun samt styrregistret.
I behörighetsmodulen Neptun läggs behörigheterna i Personec P,F,U upp.
I styrregistret anges bl.a. hur olika lönearter ska konteras, vilket konto i huvudboken som
aktuell löneart ska kopplas till m.m.

Systemen är fullt ut integrerade med varandra och står därmed i förbindelse med varandra
genom filöverföringar. Personalkostnaderna från Personec integreras efter lönekörning i
Regionens ekonomisystem Unit4 (fd Agresso) där den ekonomiska styrningen för budget,
prognos och uppföljning sker. Ärenden registreras i Regionens ärendehanteringssystem
vilket är en webbaserad portal.

Alla system hanteras via en databas på en server som finns hos Region Västerbotten.
Endast personal vid IT inom Regionen samt systemleverantören Visma har åtkomst till
databasen. Visma får endast tillträde till servern efter förfrågan till Regionens IT avdelning.

Granskning av Region Västerbottens lönesystem och process för lönehantering

Den normala användaren av Personec P arbetar i själva applikationen. Applikationen gör
gränssnittet ut mot användaren mer lättarbetat. Ett fåtal personer har dock access till själva
databasen. Åtgärder som utförs direkt mot PA-systemet via SQL-verktyget loggas på
individnivå.

Behörigheterna i Personec P är för alla anställda kopplade till anställningsavtal. Efter att
anställning registrerats får den anställde behörigheter tilldelat sig utifrån dennes roll. I
Personec P får den nyanställde per automatik medarbetarbehörighet. Behörighet till
lönesystemet och därmed en roll i organisationen kräver godkännande av medarbetarens
enhetschef då upplägg av nyanställd alltid föregås av att chef lägger ett ärende i
ärendehanteringssystemet. För att få behörighet till lönesystemet krävs också genomgången
utbildning med Handledare. Handledaren lägger upp behörigheten i samband med
utbildningens slut.

Alla beställningar av behörigheter ska ske skriftligt. Det finns ett särskilt ärendesystem på
regionen där detta hanteras. Årligen kontrolleras befintliga behörigheter med hjälp av
verksamhetschef och HR Partner. Detta för att fånga upp förändringar som gjorts och för att
minimera risken att något ärende fallit mellan stolarna. Kontrollen är manuell.

Alla roller kommer genomlysas i den behörighetsöversyn som löneadministrationen har
planerad för 2021. Avseende behörigheter har löneadministrationen också ett
utvecklingsprojekt som syftar till att ta bort behörigheter automatiskt vartefter personer
avslutar sina anställningar.

2.3.6 Bedömning

Vår bedömning är att det finns tillförlitliga rutiner för behörighet. Rutinen för
behörighetstilldelning fungerar bra men att det vore önskvärt med ett bättre systemstöd som
låser ute inaktiva användare.

2.4

Kartläggning och riskbedömning av lönehanteringen

Vi har kontrollerat om det finns en riskanalys avseende löneutbetalningsprocessen. Dvs om
det h

ar gjorts någon kartläggning och riskbedömning av ”hela” lönehanteringen, manuella

rutiner, datasystem och dess samband mot ekonomi.

2.4.1 Iakttagelser

Processkartläggning och riskanalyser har genomförts. Löneprocessen har nyligen gåtts
igenom och uppdaterats avseende roller, ansvarsfördelning, kontroller, risker och relation till
ekonomi. Analysen belyste ett antal punkter för åtgärd, vilket påbörjats.

2.4.2 Bedömning

Vår bedömning är att det finns en tillräcklig riskanalys avseende löneutbetalningsprocessen
utifrån den dokumentation som löneadministrationen uppvisat.

Granskning av Region Västerbottens lönesystem och process för lönehantering

2.5

Hantering av anställningsregister

Vi har kontrollerat att det finns tillförlitliga rutiner för hantering av anställningsregistret, dvs att
rätt uppgifter ligger inne i lönesystemet, om anställningar registreras och avslutas av annan
än den/de som verkställer löneutbetalning och om det finns spärrar och/eller kontroller av att

”tvåhandsprincipen” följs

2.5.1 Iakttagelser

Nyanställningar och avslut

Idag registreras anställningar via anställningsguiden/självservice. Chef (eller av denne
delegerad via systemet) kan initiera en anställning. Den person som initierar anställningen
fyller i de grundläggande uppgifterna för anställningen så som personnummer, befattning, lön
mm. Folkbokföringsuppgifter hämtas idag automatiskt från befolkningsregistret redan vid
initiering av anställning.

Anställningen går sedan vidare till lönepartner som kontrollerar innehållet och tillför
ytterligare uppgifter innan anställningen är verifierad och klar. Anställande chef får sedan
anställningsavtal utskrivet som chef och medarbetare tillsammans undertecknar.

Regionen hanterar inga kontouppgifter. Grunden för att en anställd ska få lön utbetald till sitt
bankkonto är upplagt personnummer.

All nyregistrering av anställda ska som regel alltid involvera två personer. Det finns dock
några undantag från denna rutin. I teorin kan även ett fåtal personer på egen hand lägga upp
en nyanställning, dock är man alltid tvingad att koppla en anställning till ett kostnadsställe
och därmed i förlängningen till en chef. Alla måste tillhöra en gren inom det organisatoriska
trädet, och alla grenar har en chef kopplad till sig. Därmed hamnar alla anställda på någons
lönelista. Lönelistan är central vad gäller uppföljning av hur anställda har jobbat och att lönen
är rätt.

Varje ansvarig chef ska kontrollera och signera att kostnaderna stämmer. Detta är dock en
uppföljande kontroll och ingen kontroll som förhindrar fel. Någon uppföljning av attesten sker
inte. Arkivering av manuellt attesterade listor sker hos respektive enhet. Löneadministra-
tionen är medveten om att den manuella hanteringen inte är optimal och de arbetar nu med
att ta fram en digital lösning. Den digitala lösningen kommer även möjliggöra uppföljning av
att kontrollen efterlevs.

Som beskrivet ovan är normalrutinen att chef alltid ska initiera anställning. Förfarandet är
detsamma när en anställning avslutas. Information om att någon slutar ska hanteras genom
ärendehanteringssystemet. Ingen på löneenheten har möjlighet/behörighet att ta bort en
anställning som varit aktiverad, den registreringen finns alltså alltid kvar. Alla avslut
kontrolleras av löneenheten enligt en av de kontrollrutiner som Lönepartner utför varje
månad.

Förändringar av uppgifter i lönesystemet

Vi har kontrollerat om dokumentation sker av förändringar och uppdateringar av
registeruppgifter i lönesystemet och om det är säkerställt att dessa förändringar alltid
attesteras/kontrolleras av någon annan än den som har registrerat/infört uppgifterna.

Granskning av Region Västerbottens lönesystem och process för lönehantering

Den vanligaste typen av uppdateringar är förändring av lön. Lönerevision sker på årsbasis.
Vid den stora löneöversynen skapas förhandlingsunderlag i personalsystemet av en
personalkonsult vid förhandlingsenheten. Respektive chef har ansvaret att sätta löner för
sina anställda inom bestämt löneutrymme. Detta görs inom en modul inom Personec F som

heter ”Förhandlingsmodulen” och registreras via filöverföring.

Vid andra typer av förändringar av lön (mellan lönerevisionsförhandlingarna) lägger ansvarig
chef in det via anställningsguiden i lönesystemet, som lönepartner sedan kontrollerar, skriver
en anteckning om orsak till ny lön och godkänner. Nytt anställningsavtal skrivs ut och skickas
för påskrift av chef och medarbetare, vilket sedan returneras och arkiveras enligt rutin.

Alla beslut ska vara skriftliga och det görs en anteckning i systemet avseende datum och
orsaken till den nya lönen. Samtliga ingrepp eller förändringar i systemet loggas och kan
därigenom kontrolleras genom loggar i personalsystemet.

Samtliga förändringar i fasta lönedata registreras automatiskt av systemet i så kallade
loggar. Dock utförs inga rutinmässiga kontroller av loggarna med avsikt att kontrollera om
något otillbörligt gjorts.

2.5.2 Bedömning

Vår bedömning är att det finns tillförlitliga rutiner för hantering av anställningsregister och att
tillräcklig ansvarsfördelning finns.

Den tillämpade rutinen uppfyller kravet på god intern kontroll. Även om ett fåtal personer med

”rätt” behörighet i teorin kan på egen hand lägga upp personer i lönesystemet är det

ofrånkomligt att ytterligare en person kommer se upplägget på sin lönelista. Vad gäller
rutinen och eventuella risker för omedvetna fel i samband med nyregistrering bedömer vi den
som liten. I och med att allt från anställningsavtal till utbetalning av lön sköts i samma
system, Personec kommer avtalet initialt alltid återspegla den lön som registrerats.

2.6

Rutiner och kontroller i löneprocessen

2.6.1 Iakttagelser

Kontrollerna i löneprocessen är uppdelade enligt följande

2.6.1.1 Registrering och kontroll av avvikelser

Kontroll av korrekt närvaro

Vi har granskat ifall kontroller av närvaro är organiserade på ett ändamålsenligt sätt.

Registrering och

kontroll av

avvikelser

Kontroller innan

löneutbetalning

Löneutbetalning

Kontroller efter

löneutbetalning

Granskning av Region Västerbottens lönesystem och process för lönehantering

Det vanligaste systemstödet som chefer har för att följa upp närvaro på sina anställda är
systemet Flex. Huvuddelen av regionens arbetstagare har använder Flex vilket innebär att
avvikelser från grundschemat i Personec självservice uppdateras per automatik utifrån in-
/utpasseringar som inte stämmer med inlagt schema. Alla anställda syns på ansvarig chefs
bemanningsblad så fort en anställd lagts upp.

Chefens bemanningsblad visar ordinarie schema, frånvaro m.m. på individnivå. Chefens
bemanningsblad kan ses som ett stödverktyg som påkallar chefens uppmärksamhet. På
chefsvyns startsida syns oattesterade poster som ska attesteras före lönekörningen.

I självservice rapporterar anställd in sina avvikelser (som både kan vara frånvaro eller
övertid) vilket sedan dyker upp i lista till chef för attest. Attesterande chef måste attestera
avvikelserapporteringen i tid, innan lönekörningen, för att eventuella justeringar ska komma
med då lön verkställs. Om den attesterande chefen inte gör något går vanlig lön ut till den
anställde. Det finns ingen aktiv uppföljning för att följa upp chefer som har många
oattesterade poster. Lönepartners gör dock ibland riktade insatser för att manuellt följa upp
tex ej beviljad frånvaro.

Vad gäller den anställdes roll när det gäller att redovisa extraarbete i form av jour mm har
denne enligt regionen i teorin tio år på sig att komma in med sina uppgifter. I vår
registeranalys påträffade vi exempel på jour som redovisats upp till ett år efter utförande.

Andra stöd som finns för cheferna är en meddelanderuta för saker som är på väg att
aktualiseras och därmed behöver följas upp, t.ex. anställningar som tar slut, frånvaro som
bör förlängas eller inte. Attesterande chef kan även se oattesterade poster på sin startsida.

2.6.1.2 Automatiska kontroller/begränsningar innan löneutbetalning

Möjlighet till styrning av kontering

Vi har kontrollerat om det i löneprogrammet går att styra om mot vilka konton konteringen ska
ske för att se om det exempelvis går att styra en löneart till vilket konto som helst i huvudboken.

Det finns ett styrregister där all uppsättning sker. Utifrån styrregistret går det att ändra hur
olika lönearter ska konteras. Vidare går det att ändra kostnadsställen. Två digitaliserings-
specialister har access till detta styrregister och vid tabelluppdatering, när nya
orsaker/lönearter levereras läggs konteringen in i samråd med ekonomicontroller. En
eventuell ändring av registret syns dock i loggen. En eventuell ändring av en lönearts
styrning kan ej ske för en specifik transaktion utan påverkar samtliga transaktioner på den
lönearten. Detta går sedan över till ekonomi, och eftersom de förväntar sig vissa siffror på
respektive löneart (utifrån förändringar som överenskommits) bör eventuella avvikelser
snabbt uppmärksammas.

Vår kommentar: Möjligheten för digitaliseringsspecialister att ändra kostnadsställen ses inte
som någon egentlig risk då eventuella fel snabbt kommer uppdagas när filen läses in i Unit4.

Begränsningar av åtkomst till egen lön

Vi har kontrollerat om behörigheter begränsas i lönesystemet så att löneadministratörer inte
kan behandla och/eller manipulera sin egen lön

Granskning av Region Västerbottens lönesystem och process för lönehantering

Vid granskningen har vi noterat att Personec P har en inbyggd spärr, en så kallad
applikationskontroll, som hindrar användaren från att kunna göra förändringar i sin egen lön.
Detta styrs genom accesstilldelningen i systemet Neptune. Alla som ska ha någon form av
access in i personalsystemet måste läggas upp i Neptune. I Neptune väljs vilken typ av roll
som den nya användaren ska ha i personalsystemet. Dessa roller är fördefinierade utifrån
färdiga rollbeskrivningar. De som har administratörsbehörighet i Neptune kan dock inte
komma åt sin egen användare i Neptune. Därmed kan de inte heller ändra så att de får
åtkomst till sin egen lön. I teorin skulle en tekniker möjligen kunna via andra ingångar ta sig
in bakom kontrollen och ändra sina egna uppgifter direkt i databasen. Access till databasen
är dock inte tillräckligt för att genomföra en fullständig lönekörning med tillhörande
utbetalning.

Vår kommentar: Enligt våra observationer av den inbyggda applikationskontrollen i Personec
P bedöms kontrollen vara effektiv. Den säkerställer att administratörerna inte har möjlighet
att hantera sina egna löner. Vad gäller teknikernas eventuella möjlighet att kringgå
applikationskontrollerna och arbeta direkt mot databasen bör det påpekas att access till
databasen inte är tillräckligt för att genomföra en fullständig lönekörning med tillhörande
utbetalning. Det krävs synnerligen god applikationskunskap och kunnande om regionens
specifika systemuppsättning för att klara av att genomföra en hel lönekörning. Därtill skall
sägas att alla körningar registreras i logg och syns tydligt i driftkalendariet, både planerade
och genomförda körningar, vilket innebär att övriga personer snabbt skulle upptäcka om
någon systemkörning genomförts utan deras vetskap.

2.6.1.3 Lönekörning

Avstämning av överförda uppgifter till ekonomisystem

Vi har kontrollerat om det görs en ändamålsenlig avstämning av överförda uppgifter mellan
lönesystem och ekonomisystem.

Lönemaskinisten i personalsystemet generar en ekonomifil. Denna fil läggs i en EDI-mapp
som därefter töms och läses in i Agresso av ekonomiavdelningen. Uppgifterna i ekonomifilen
är viktiga eftersom de ligger till grund för den kontroll som ansvarig för kostnadsstället
genomför. Det är informationen i ekonomifilen som följer med in i rapporteringsverktyget
Diver och det är i Diver som ansvarig för kostnadsstället gör sin granskning av
lönekostnaden. Avstämning görs automatiskt men fel kan ändå uppstå. Exempel på fel är att
lön bokas på ett stängt kostnadsställe, eller ej korrekta kostnadsställen. I dessa fall hamnar
dessa fel i ekonomis felhanteringslista, som måste gås igenom och rättas innan det är möjligt
att bokföra i huvudboken. Ekonomifunktionen skickar varje månad en fil med dessa fel som
maskinister får i uppdrag att boka om på ett korrekt sätt. Ekonomifilen som maskinister
skapar med en ekonomikörning är öppen för redigering. Orsaken är att maskinisten ibland är
tvungna att justera datum i filen. Löneadministrationen är medvetna om att hanteringen inte
är optimal ur säkerhetssynpunkt och utreder vilka möjligheter som finns för att kunna
generera datum i filen utan att lämna öppet för editering av användare.

Vår kommentar: Eftersom kontrollen av lönelistan bygger på informationen som kommit in via
ekonomi-filen är det viktigt att informationen i ekonomi-filen är korrekt. Går filen att ändra
innebär det teoretisk full tillgång till huvudboken. Det är dock väldigt få personer som kan
ändra i ekonomifilen och för att ändringar ska läsas in i huvudboken måste existerande

Granskning av Region Västerbottens lönesystem och process för lönehantering

konton och kostnadsställen användas vilket innebär att den faktiska risken för fel bedöms
vara liten.

Löneadministrationens kontroller av lönebelopp

Vi har kontrollerat om det finns tillräckliga kontroller för onormala belopp för nettolön per
anställd och onormala belopp på enskilda lönearter/ersättningar samt om det utförs specifika
kontroller på personer med höga behörigheter.

I personalsystemet finns en rad automatiska kontroller som används. Exempel på detta är
höga belopp och andra orimliga avvikelser mot schema mm. Avvikelserna kommer upp som
stjärnor på löneadministratörens skärm. Rutinen är att dessa varningar ska granskas post för
post för att se om det finns en rimlig orsak till att lönesystemet påkallat uppmärksamhet. En
annan kontroll som genomförs vid behov är granskning Swedbanks lönespecifikation i
förhållande till utbetalningar. Tjänsten är webbaserad och sköts av Swedbank och visar
lönespecifikation per anställd. Regionen har idag en automatisk kontrollfunktion från bank
som stoppar utbetalningar över 300 000 kr netto om den kommer med i bankfilen. På dessa
måste ansvarig på löneadministrationen manuellt gå in och skicka in bekräftelse på att det är
korrekt för att de skall utbetala beloppet till anställd. När lön skickar in en sådan bekräftelse

är rutinen så att Swedbank alltid ringer upp för att få även en muntlig bekräftelse på att
summan stämmer.

Det utförs idag inga särskilda och individuella kontroller på enskilda personer med hög
behörighet/tekniker.

Vår kommentar: Vi har sett exempel på de beskrivna kontrollerna och bedömer dem som bra
och relevanta. Löner som i samband med en lönekörning dykt upp på signallistan ska
granskas men det är inte tvingande. Vissa signaler är varningar som ska kontrolleras och
behöver inte innebära att något är fel. Signallistan ligger kvar efter verkställd lön

så de går

att följa upp vid senare tillfälle.

2.6.1.4 Rutiner och kontroller av genomförda utbetalningar

Kontroll av korrekta lönekostnader

Vi har granskat att kontroll av lönekostnader är organiserad på ett ändamålsenligt sätt.

Den kontroll och uppföljning som görs idag avser de uppgifter om lönekostnader per
kostnadsställe som månatligen läggs in i Diver. Det åligger den som ansvarar för
kostnadsstället att granska denna information och följa upp om något verkar fel. Enligt
attestreglementet ska beslutsattestanten (chef) kontrollera följande:

•

Att den anställde lämnat korrekta uppgifter.

•

Att gällande beloppsgräns för utlägg inte överskrids (5 000 kronor per tillfälle).

•

Att enheten ska betala.

•

Att beslut, budget eller andra beslutade planer följs.

•

Godkänna att utbetalningen får ske.

Beslutsattestanten ska även kontrollera den lönelista som skapas i samband med
lönebearbetningen:

Granskning av Region Västerbottens lönesystem och process för lönehantering

•

Arbetar personen vid enheten.

•

Är beloppen rimliga, exempelvis grundlön och övertid.

•

Är kostnadsstället korrekt.

•

Är alla anställda med.

De uppgifter som den ansvarige kan utläsa i rapporteringssystemet är bl.a. utbetalda löner,
frånvaro, anställda mm. För att lönelistan inte ska bli orimligt lång har regionen ett mål om att
ha max 35 medarbetare per chef med ambitionen att nå 25 eller färre.

Vid utbildning av nya chefer får de information och instruktioner kring hur de skall kontrollera
och hantera lönelistorna som ansvariga chefer. Idag är varje kostnadsställe kopplat till en
basenhet, vilket gör att samtliga kostnadsställen ska stämmas av enligt gällande rutin. Varje
ansvarig bör då ganska snabbt kunna identifiera ifall kostnaderna avvikande från det
normala. Vidare ska ansvarig kontrollera om det finns med personer på kostnadsstället som
inte hör hemma där.

Enligt regionens dokumenthanteringsplan ska attestansvarig underteckna lönelistor och
därefter spara dessa i två års tid. Det finns idag ingen uppföljning att denna rutin efterlevs.
Vid granskningen 2013 fann man att ca 50% av de utvalda lönelistorna inte var utskrivna och
attesterade i rätt tid. I samband med denna uppföljande granskning har vi noterat att av
kontrollerade lönelistor var 30% inte utskrivna och attesterade i rätt tid.

Utveckling pågår dock enligt uppgift för att inkludera kontroll och uppföljning av
lönekostnader i personalsystemet, så att chef redan där kan kontrollera underlaget samt
rapportera in eventuella avvikelser innan lönekörning. Målsättningen är enligt uppgift att
också bygga in en kontroll på att lönelistan faktiskt signeras av chef i rätt tid.

Våra kommentarer: Att avvikelserapporteringen är korrekt är en grundförutsättning för ej
felaktiga löneutbetalningar på individnivå. Grundstenen i avvikelserapportering bygger i sin
tur på att den enskilde medarbeten själv rapporterar sina avvikelser och att avvikelse-
rapportering görs i tid. I många verksamheter finns dock chefsstöd eller annan administrativ
personal som håller reda på och kontrollerar att de anställdas avvikelser kommer in i
lönesystemet. Detta är dels en hjälp för chefen men också för medarbetare som ibland
glömmer eller inte kan registrera informationen i närtid (exempelvis vid ea-dagar, akut
sjukdom etc).

För många verksamheter innebär också frånvaro/mertid en direkt påverkan på utförandet
(tex möjlighet att ta emot patient, inställd eller omplanerad operation etc), vilket innebär att
frånvaro/mertid inte kan gå obemärkt förbi. Dessa avvikelser följs alltså av flera andra
moment, exempelvis ombokning av patienter, ta in vikarie eller be någon att arbeta mertid.
Dessa åtgärder signalerar således också att en avvikelse behöver registreras (en person
begär övertid pga en annan persons frånvaro).

Den kontroll som idag finns för att förhindra felaktiga löneutbetalningar utgörs i huvudsak av
den avvikelseattest där chef för sina anställda attesterar den anställdes rapporterade
avvikelser.

Det är också upp till varje chef att följa upp kostnaden för de utbetalda lönerna som belastat
deras respektive kostnadsställe utifrån den månatliga lönelistan. Denna kontroll är inte en

Granskning av Region Västerbottens lönesystem och process för lönehantering

förhindrande kontroll eftersom den visar vad som betalats ut. Kontrollens syfte är att
upptäcka fel och sedan får korrigeras i nästa lönekörning.

Slarvar chefen i sin uppföljning eller har bristande kontroll över vilka anställda denne har och
i vilken omfattning de anställda under en månad av olika anledningar varit frånvarande från
arbetet uppstår risk för felaktiga utbetalningar. Chefens kontroller är enligt vår bedömning
den viktigaste när det kommer till att förhindra felaktiga utbetalning på individnivå. De
kontroller som görs på förvaltningsnivå har svårt att identifiera mindre avvikelser på enskilda
personer.

Vid vår granskning av huruvida lönelistan skrivits ut och attesterats i tid kunde vi konstatera
att 30% inte var attesterade i tid. Det bör dock påpekas att kontrollen ändå kan vara utförd
och att det är utskriften och attesteringen som inte gjorts enligt gällande rutin. Det finns ingen
rutinmässig uppföljning avseende detta kontrollmoment.

2.6.1.5 Avstämningar

Vi har kontrollerat om utbetalningar avstäms mellan lönekontoret och banken på ett
tillfredsställande sätt och om avstämningarna dokumenteras.

En bekräftelse i form av en skärmutskrift utifrån vad personalsystemet skickar iväg som
betalning skapas. Detta stäms sedan av mot det banken dragit från kontot. Lönecontroller
erhåller även kvittens från banken på vad som kommer dras från kontot. Idag utförs det
momentet av lönecontroller, en person, som skickar det vidare till Ekonomi. Däremot görs
den andra avstämningen av konton inom lön av andra personer. Personalsystemet skickas
därefter till ekonomiavdelningen där bokning i huvudboken sker samt att kontroll sker av vad
som faktiskt dragits från kontot.

Vår kommentar: Avstämning av utbetalda löner mot ekonomifil har förbättrats jämfört med
tidigare granskningar. Avstämningsarbetet av inskickad fil och debiterat belopp är en mycket
kritisk punkt vad gäller internkontroll kring löneutbetalningen. Vår bedömning är att denna
avstämning fungerar.

Avstämning av personalrelaterade skuldkonton

Vi har kontrollerat ifall det görs en ändamålsenlig avstämning av skuldkonton i
ekonomisystemet utifrån de poster som genereras i lönesystemet.

Avstämningen av de lönerelaterade skulderna, semesterlöner och komptidsskulder sker
genom att tjänsteperson på Informatik tar fram aktuella rapporter ur Personec. Avstämningen
av de lönerelaterade skulderna, semesterlöner, jour- och övertidsskulder, sker varje tertial. I
samband med att underlaget för bokningen av skulderna görs rimlighetsbedömningar för att
identifiera fel. I samband med skuldavstämning mellan Personec och huvudboken uppstår
alltid en differens. Differensen beror på att det i de vanliga månadsöverföringarna från
Personec till huvudboken endast överförs uppgifter om intjänat och uttaget (tex semester,
övertid etc) aktuell månad till aktuell lön. Information som inte följer med är uppgifter om hur
förändrad lön och sysselsättningsgrad påverkar historiskt intjänade semesterdagar. Sparade
semesterdagar ökar i värde när lönen höjs men den typen av förändring följer inte med i
månadskörningen. Den informationen kan bara Personec räkna fram varför huvudboken
måste rättas så den stämmer med Personec. Skillnaden, vilket som regel blir en kostnad,

Granskning av Region Västerbottens lönesystem och process för lönehantering

läggs på ett för regionen gemensamt kostnadsställe. Orsaken är att arbetet med att fördela
ut mellanskillnaden på rätt kostnadsställe skulle bli alltför betungande. Kontroll görs av att det
inte förekommer andra typer av bokningar på dessa gemensamma kostnadskonton.

Vår kommentar: Avstämning av skuldkonton genomförs regelbundet och med en separation
av uppgifter mellan den som genererar skuldlistan och den som stämmer av, vilket är
positivt. Den risk som finns är kopplad till det huvudbokskonto som justeringen bokas mot.
Justeringens storlek, dvs för att huvudboken ska stämma med skuldlistan i Personec, är svår
att bedöma rimligheten på. Vidare finns inget riktigt kostnadsställesansvar till förändrings-
posten. Det skulle kunna innebära en brist i den interna kontrollen eftersom det teoretiskt
innebär att det skulle gå att styra om konteringar mot dessa konton i huvudboken med liten
risk för att fel skulle uppmärksammas. Det ska dock understrykas att det idag finns en rutin
för att gå igenom dessa konton och identifiera transaktionstyper som inte borde vara där. Det
är förhållandevis lätt att identifiera fel från manuella transaktioner och transaktioner från
andra system

Händelseloggar och kontroller av loggar

Vi har kontrollerat om de händelseloggar som finns är tillräckliga, om tillräckliga kontroller av
loggarna görs samt om de går att radera.

Vissa uppgifter från personalsystemet samlas i en händelselogg och samtliga uppgifter finns
i SQL-databasen. Uppgifterna som loggas i händelseloggen är allt som rör förändring av
exempelvis fast lönedata, lönesumma, adressuppgifter mm. I princip loggas allt som sker i
systemet. Denna händelselogg sparas i en skrivskyddad fil. Ingen på löneadministrationen
har möjlighet att förändra något i filen. Behörighet till loggarna har teknikerna och

digitaliseringsspecialister. Loggarna används främst när ”något blivit fel” för att dels se vad

som gjorts, dels tillrättavisa om någon gjort handhavandefel. I loggen syns vem som gjort
vad och i vilken tid det gjordes. Det som kopplar ihop loggen med en specifik användare är
ett användar-ID. En saknad logg går att identifiera i och med att det då blir ett glapp i
nummerserien i loggen

Enligt genomförda intervjuer har Regionens medarbetare inte möjlighet att radera eller
förändra loggarna. Syftet med loggarna är att med hjälp av dessa kunna identifiera
eventuella fel som måste utredas. Regelbunden kontroll av loggarna utförs enligt uppgift inte.

Avvikelser från den normala rutinen

Vi har kontrollerat om det förekommer extra löneutbetalningar vid sidan av de månadsvisa
utbetalningarna och om rutinerna i så fall uppfyller kraven på god intern kontroll.

Det förekommer mer än en löneutbetalning varje månad då det förutom den stora månatliga
utbetalningen även görs en extra lönekörning under månaden. Denna extrakörning görs i
samma system och följer samma rutiner som en den vanliga lönekörningen.
Utöver dessa två lönekörningar finns även en manuell rutin. Den manuella rutinen används
för en handfull utbetalningar varje månad och det är lönepartner som registrerar in dessa
regleringar av lön i Lönesystemet. Ofta handlar det om utbetalningar som måste göras
snabbt. Namn, belopp och personnummer fylls i på en lista som scannas in och mailas till
ansvarig på Swedbank av lönecontroller. Listan attesteras sedan av någon av fyra godkända
attestanter (dock aldrig med lönecontroller som huvudattestant). Samtidiga tomma fält på

Granskning av Region Västerbottens lönesystem och process för lönehantering

listan stryks för att ingen ska kunna ändra listan efter attesteringen. Bekräftelse kommer från
banken på utbetalat belopp. Detta belopp kontrolleras och avstäms sedan av lönecontroller
tillsammans med en lönepartner. Utbetalningarna syns även i webbtjänsten från Swedbank.

Vår kommentar: Rutinen för extra lönekörningar följer samma rutiner som den ordinarie
lönekörningen. Därmed täcks den in av de kontroller vi redan nämnt och de bedömningar vi
redan gjort. Den manuella rutinen är något som vi helst önskar inte fanns. Den manuella rutin
som tillämpas idag är dock bra.

2.6.1.6 Uppföljning av lönekostnader

Uppföljning av lönekostnader, likt andra kostnader, sker genom månadsuppföljning. Dels på
aggregerad nivå för regionen som helhet, samt att respektive förvaltning/område/basenhet
har sin uppföljning. Analys görs normalt mot budget. Uppföljning är samtliga månader per år
utom januari (mht årsbokslut) och juni (sommar). Analys görs dels av ekonomistaben på
aggregerad nivå som skickar frågor via controllers till verksamheten om det är någon större
avvikelse. Controller tillsammans med ansvarig chef för basenheten gör uppföljningar
månadsvis.

2.6.2 Bedömning

Vår bedömning är att det i huvudsak finns en god intern kontroll i löneprocessen då det finns
både förhindrande och upptäckande kontroller för att förhindra och upptäcka både oavsiktliga
och avsiktliga fel i löneprocessen. Vi bedömer även att det i huvudsak finns tillräckliga och
dokumenterade kontroller av genomförda löneutbetalningar.

2.7

Resultat från registeranalys (löneutbetalningarnas korrekthet)

Vi har genomfört en databaserad registeranalys av regionens samtliga lönetransaktioner för
perioden 1 januari till och med 31 december 2020. Antal rader med information om
lönetransaktioner är ca 5 miljoner. Totalt rör det sig om ca 147 000 utbetalda löner om totalt
3,3 miljarder kronor efter skatt. Denna registeranalys har även legat till grund för vårt
stickprovsurval av granskning av enskilda lönetransaktioner. Syftet med en registeranalys
av alla lönetransaktioner är att ur en mycket stor mängd data fånga upp enskilda
transaktioner som avviker från det förväntade mönstret, tex att en enskild individ har en
ovanligt stor utbetalning en enskild månad i jämförelse med övriga månader.

Fokuspunkter har vid registeranalysen varit:

Utbetalningar av stora belopp

Utbetalningar av höga arvoden

Utbetalningar av avvikande nettoutbetalningar

Uppföljning avseende stora tillägg (ej ordinarie lön)

Återtag av felaktigt utbetalda löner

Utbetalningar av avgångsvederlag

Utbetalningar av avvikande månadslöner (retroaktiva lönejusteringar etc.)

Utifrån det material som framkommit från registeranalysen har stickprov tagits för att
verifiera och förstå orsaken till den i registeranalysen avvikande transaktionen.

Granskning av Region Västerbottens lönesystem och process för lönehantering

Utfallet från vår granskning har inte påvisat några okända fel. Vi har inte funnit några
avvikelser vad gäller själva löneadministrationens rutiner. I samtliga våra stickprov på

”avvikande” löner har det funnits förklaringar och korrekta beslut.

Det vi kan konstatera från registeranalysen är att retroaktiva justeringar och i vissa fall
återtag av felaktig utbetalda löner förekommer. Retroaktiva ändringar har olika orsaker. En
typ som redan nämnts är lång handläggningstid vid tjänsteförändringar bland läkare. Detta är
dock inget som lönerutinen kan påverka.

En mer vanlig typ är sena justeringar av frånvaro, sent inkomna uppgifter om jourtjänstgöring
eller andra justeringar från ordinarie schema. Grundorsaken här är att den anställde inte
inkommit i tid med de avvikelser denne har alternativt att chefen inte attesterat i tid. I vår
analys kan vi inte se vilken av dessa brister är den vanligaste orsaken, vi ser bara att
justering gjort och justeringen i sig kan ha två orsaker.

När det gäller felaktiga löner som lett till ett återtag är den vanligaste orsaken sent inkommen
frånvaro. Återtag innebär att regionen genom fullmakt har rätt att ta tillbaka utbetalad lön.
Detta görs antingen genom faktura eller Swish. Eftersom regionen har en fullmakt att
inhämta löneskulder är den ekonomiska risken för regionen mycket liten när det kommer till
att få tillbaka felaktigt utbetalda belopp. Totalt under 2020 har återtag gjort på 164 personer.

I samband med vår registeranalys har vi följt upp personer där månadslönerna kraftigt
förändras under året. Syftet med analysen har varit att identifiera förändring som gått utanför
den årliga centrala förhandlingsrutinen. Från vårt urval av personer med stora förändringar
har vi i steg två verifierat att beslut om förändring gjorts enligt de fastlagda rutinerna.
Utfallet på stickproven indikerade inga avvikelser från gällande rutin.

Analysen visade även att förändringar av lön ibland sker med ganska lång retroaktivitet.
Orsaken till lång retroaktiv justering var uteslutande läkare som övergått från ST-läkare till
specialist. Dessa beslut har lång handläggningstid och när läkaren bedöms uppfylla kravet
på specialist har hen rätt till retroaktiv löneökning från tidpunkten när ansökan skickade in.
Därmed finns det teoretisk alltid en dold löneskuld som regionen har gällande denna typ av
tjänsteförändringar.

Granskning av Region Västerbottens lönesystem och process för lönehantering

Sammanfattande bedömning och rekommendationer

Vår sammanfattande bedömning är att styrelsen och nämnderna i allt väsentligt säkerställt
en tillräcklig styrning och kontroll över löneutbetalningar.

Det finns i allt väsentligt tillförlitliga rutiner för behörighet och attest samt en tillräcklig intern
kontroll i löneprocessen (manuella och automatiska kontroller). Vidare bedömer vi att det
finns tillräckliga och dokumenterade kontroller av genomförda löneutbetalningar.

Vi bedömer även att det finns tillförlitliga rutiner för hantering av anställningsregister och
löneutbetalningar och att dessa rutiner i huvudsak följs.

Vi konstaterar dessutom att det genomförts riskanalys avseende löneutbetalningsprocessen.

Efter genomförd granskning har vi dock följande rekommendationer:

att rutinen med behörighetsavsluten i samband med att personer avslutar sin
anställning automatiseras.

att det införs ett systemstöd för attesterande chefer så att de kan kontrollera
underlagen samt rapportera in eventuella avvikelser innan lönekörning och sedan
attestera lönekostnaderna.

att ett systemstöd införs för att följa upp att attest av lönelistor sker i rätt tid.

att en rutin, baserat på en övergripande riskanalys, för att kontrollera händelseloggar
införs inklusive en rutin för hur de kontrollen skall dokumenterats.

att det tas fram ett regelverk som reglerar när anställd har rätt till lönekorrigering via
den manuella extrakörningen.

att möjligheterna till att kunna använda skrivskyddade filer vid överföring filer till
huvudboken undersöks.

att en systematisk uppföljning utförs på hur många korrigeringar av löner som görs

samt att detta kopplas till vem som ”borde” ha upptäckt felet. Vår bedömning är att en

sådan uppföljning, när den fungerar, förstärker uppföljningen avsevärt.

Umeå 2021-03-14

Joakim Åström

Jonas Wiberg

Auktoriserad revisor, EY

Granskning av Region Västerbottens lönesystem och process för lönehantering

Bilaga 1: Begrepp som används i löneprocessen

Självservice
En webbaserad portal där den anställde eller chefen tar del av uppgifter gällande löner och
lönekörningar. Här samlas kontrollistor, lönebesked och underlag. Självserviceportalen
brukas av alla anställda som skall rapportera avvikelser från sin ordinarie arbetstid. Cheferna
har genom portalen tillgång till statistik och uppföljning för respektive avdelning.

Signallista

I Personec finns en rad automatiska kontroller. Exempel på dessa är hög bruttolön, nettolön
högre än bruttolön, ej godkända stämplingar m.m. Ett samlingsnamn för dessa inbyggda
kontroller är signallista. Signallistan kontrolleras månatligen av lönehandläggare, post för
post i syfte att hitta en rimlig orsak till att löneprogrammet påkallat uppmärksamhet.

Lönelista
När lönekörningen är färdig för utbetalning kan chef se månadens utbetalda löner via en
lönelista som finns i Diver. Varje ansvarig chef ska kontrollera och signera att kostnaderna
stämmer. Attesten är inte tvingande innan utbetalning och någon uppföljning av attesten sker
inte. Arkivering av manuellt attesterade listor sker hos respektive enhet.