Hantering av bluffaktura i Reg-
ion Västerbotten
Fördjupad granskning nr 2/2020
September 2020
Eva Moe
Revisionskontoret
Diarienummer: REV 33-2020
1 (5)
Kontaktperson
Eva Röste Moe
Regionens revisionskontor Västerbotten
090-785 73 55
Eva.Moe@regionvasterbotten.se
2020-09-15
REV 33-2020
Region Västerbotten
Regionens hus, Köksvägen 11, 901 89 Umeå
Telefon: 090-785 00 00, telefax: 090-13 68 82
E-post: regionen@regionvasterbotten.se Org.nr: 232100-0222
VAT-nr: SE232100022201 Bankgiro 5728-3061
Promemoria om hantering av bluffaktura i Region Västerbotten
Bakgrund
Region Västerbotten utsattes i början av år 2020 för ett bedrägeri. Någon
uppgav sig representera en leverantör och meddelade regionen om att
pengarna för en faktura skulle betalas till ett okänt kontonummer i utlandet.
I januari 2020 betalades drygt 1 miljon kronor till det okända kontonumret.
Bedrägeriet upptäcktes först i slutet av februari år 2020 när den riktiga leve-
rantören hörde av sig och frågade efter betalningen. Se mer om händelseut-
vecklingen i bilaga 1.
När regionens redovisningschef i februari 2020 fick information om bedräge-
riet gjorde hon en polisanmälan. Redovisningschefen lämnade också en
muntlig rapport till ekonomidirektören. Ekonomidirektören informerade åt-
minstone regionstyrelsens ordförande och regiondirektören om bedrägeriet.
En genomgång av styrelsens protokoll visar att regionstyrelsen inte fått in-
formation om bedrägeriet. Redovisningschefen uppger i september 2020 att
hon inte fått återkoppling från polisen på den anmälan hon lämnade. Revis-
ionskontoret kontaktade polismyndigheten den 15 september 2020. Enligt
uppgift från polisens handläggare ligger ärendet hos åklagaren i väntan på
beslut.
En annan iakttagelse är att det inte finns någon diarieförd avvikelserapport
eller dokumenterad händelseanalys över regionens hantering av bedrägeriet.
Inom ekonomifunktionen togs det fram en rutin i syfte att säkerställa korrekt
hantering av utbetalningar till utländska bankkonton.
Vår kommentar:
krav på att få information om bedrägerierna och vilka åtgärder regiondi-
rektören vidtar för att minimera risken för nya bedrägerier. Regionstyrel-
sen bör bland annat ställa krav på att det vid bedrägerier eller risk för
bedrägerier upprättas avvikelserapporter och händelseanalyser. Ur ett
internkontrollperspektiv är det viktigt att analysera vad som gått fel och
hur fel kan förebyggas.
2 (5)
2020-09-11
Brister i rutiner och kontroller
Medarbetare vid regionens fakturaenhet har behörighet att ändra konto-
nummer i Agresso. En medarbetare kan ensam utföra ändringen i systemet.
Agresso skapar en loggfil över genomförda ändringar som systemet en gång
per dag skickar till processledaren för fakturaenheten. Processledaren kon-
trollerar ändringen genom att jämföra uppgifterna på fakturan med uppgif-
terna registrerade i Agresso och genom att ta del av kommentarer i Agresso
från den på fakturaenheten som gjort ändringen av kontonumret.
Kontouppgifter på fakturor som kommer från svenska leverantörer kan fak-
turaenheten kontrollera via webbsökning hos exempelvis bankgirocentralen.
Denna möjlighet finns inte när det gäller utländska kontonummer. Kontroll
av utländska kontonummer kräver att regionen tar kontakt med det företag
som skickat fakturan. Någon sådan kontroll gjordes inte vid detta bedrägeri.
Vid tiden för bedrägeriet saknades i regionen en rutin för vilka kontroller som
skulle göras vid ändring i Agresso av ett utländskt kontonummer.
Efter bedrägeriet har medarbetare på regionens fakturaenhet tagit fram en
kontrollrutin som gäller vid byte av utländska kontonummer Agresso. Den
person som är ansvarig hos verksamheterna för inköpet ska ta kontakt med
den utländske leverantören och kontrollera om eventuella uppgifter om byte
av konto stämmer. Enligt rutinen ska medarbetare vid fakturaenheten ta bort
fakturan från Agresso tills kontonumret är verifierat av beställaren. Beställa-
ren ska meddela fakturaenheten via e-brev när kontrollen är genomförd.
Medarbetare vid fakturaenheten ska notera i Agresso vem som gjort kontrol-
len mot leverantören och när kontrollen genomförts. E-brev från beställaren
ska sparas lokalt i datorerna hos medarbetarna vid fakturaenheten.
Vår kommentar:
kontroll av utländska fakturor blir beslutad på behörig nivå i regionen och
registrerad i ledningssystemet.
Brister vid attestering
Enligt fullmäktiges attestreglemente med tillämpningsanvisningar ska faktu-
ror attesteras enligt en tvåhandsprincip. Normalt mottagnings- och beslutsat-
testeras en faktura för ett inköp av den enhet som gjort inköpet. Chefer utser
mottagningsattestanter inom sina enheter. Beloppsnivåer för olika chefers
rätt att beslutsattestera framgår av tillämpningsanvisningarna. Exempelvis
har en verksamhetschef normalt attesträtt för fakturor upp till 1 miljon kro-
nor.
Fakturor som bokförs som investering attesteras däremot på ett annat sätt.
Beställaren på enheten som gjort inköpet mottagningsattesterar fakturan
3 (5)
2020-09-11
medan en investeringscontroller vid regionens ekonomistab beslutsatteste-
rar. Varken i attestreglemente eller tillämpningsanvisning finns någon doku-
mentation om detta upplägg. Det finns inte heller några dokumenterade be-
slut om vem som utsett investeringscontroller till beslutsattestant för dessa
fakturor.
Revisionskontoret har efterforskat men ekonomifunktionen har
inget svar på frågan om vem som utsett investeringscontrollern till beslutsat-
testant.
Rätten att utse eller återkalla attestanter ska enligt reglementet framgå av
delegationsordningarna. Det saknas delegation om rätt att utse beslutsattes-
tanter för investeringar.
Vilka kontroller som mottagnings- och beslutsattestanter ska göra av fakturor
framgår av attestreglementet med tillämpningsanvisningar.
Enligt tillämpningsanvisningarna ska attestanterna bland annat kontrollera
om kontonumret i systemet stämmer med kontonumret på den inskannade
fakturan. Av anvisningarna framgår inte på vilket sätt attestanterna ska veri-
fiera att de kontrollerat kontonumret innan betalning.
Det finns ingen dokumentation på vilka kontroller som mottagnings- eller
beslutsattestant gjorde innan fakturaenheten verkställde utbetalningen till
bedragaren.
När beslutsattestant godkände fakturan för utbetalning hade denne ingen
uppgift om att en person på fakturaenheten hade ändrat kontonumret ett
flertal gånger sedan den ursprungliga fakturan registrerades i Agresso. Kon-
tonumret till leverantörer är inte synligt för mottagnings- och beslutsattes-
tant i attestvyn i Agresso. För att kontrollera ett kontonummer behöver atte-
stanten klicka sig fram till uppgifterna på ett annat ställe i Agresso. Det finns
varken rutiner eller systemstöd som säkerställer att mottagnings- och beslut-
sattestant får information när fakturaenheten ändrat kontonumret på en
leverantör i Agresso.
Vår kommentar:
troller till beslutsattestant för investeringar.
beslutsattestant för investeringar. Beslut saknas.
fakturor som gäller investeringar ska hanteras.
ningssystem.
4 (5)
2020-09-11
vilka kontroller som mottagnings- och beslutsattestanter genomförde in-
nan de godkände utbetalningen.
Vi rekommenderar att regionstyrelsen:
visning om hur investeringsfakturor ska hanteras och kontrolleras i reg-
ionen innan utbetalningar.
investeringsfakturor. Se till att beslutet om att utse beslutsattestant för
investeringsfakturor blir dokumenterat och återanmält till styrelsen.
ionens ledningssystem.
nings- och beslutsattestant får kännedom om när fakturaenheten ändrar
kontonummer på leverantörer i Agresso.
Brister i registervården
I slutet av september 2020 fanns leverantören till den investerade utrust-
ningen registrerad under två olika leverantörsnummer i Agresso. Ett leveran-
törsnummer med det riktiga kontonumret och ett leverantörsnummer med
bedragarens kontonummer. Leverantörsnumret med bedragarens konto-
nummer var fortfarande i september 2020 aktivt i systemet.
Vår kommentar
Vi rekommenderar att regionstyrelsen:
nummer i systemet.
Agresso.
Förslag till fortsatt granskning eller beaktande i riskanalys år 2021
Revisionskontoret föreslår att revisorerna beslutar om att hösten 2020 på-
börja en granskning av registervården i regionens leverantörsregister. I sam-
band med detta bör även efterlevnaden av den nya rutinen för kontroll vid
byte av utländska kontonummer i Agresso följas upp.
Revisionskontoret föreslår vidare att revisorerna i sin riskanalys inför år 2021
beaktar:
Regionstyrelsens förebyggande arbete mot oegentligheter.
Den interna kontrollen över regionens investeringsfakturor.
5 (5)
2020-09-11
Bilaga 1: Sammanfattning av händelseförloppet
År 2013 äskade bild- och funktionsmedicin i Västerbotten om medel för att
investera i utrustning till Nuclearmedicin på NUS. Dåvarande landstingsdirek-
tör beviljade investeringen år 2014.
Hösten 2018 skrev en av regionens inköpare under avtalet med leverantören
LabLogic Systems Limited i Storbritannien. Ett år senare hösten 2019 levere-
rade leverantören den medicintekniska utrustningen till Nuclearmedicin på
NUS.
Enheten för Nuclearmedicin testade utrustningen med hjälp av representan-
ter från leverantören för att se att allt fungerade. I slutet av oktober 2019
kom fakturan avseende den köpta utrustningen från LabLogic till Region Väs-
terbotten. Eftersom testerna inte var färdiga hann fakturan förfalla till betal-
ning.
Några dagar efter förfallodatum kom det första e-brevet från den nu miss-
tänkta bedragaren. E-brevet var skickat till regionens officiella e-postadress.
E-brevet innehöll en kopia av originalfakturan och en fråga om när regionen
skulle betala den förfallna fakturan. Medarbetare vid regionens diarium
skickade vidare e-brevet till regionens enhet för leverantörsfakturor och den
beställare vid enheten för Nuclearmedicin som framgick av fakturan.
Beställaren vid enheten för Nuclearmedicin svarade på e-brevet med kopia
till en medarbetare på leverantörsfakturaenheten att regionen skulle betala
fakturan när alla testerna var färdiga. När den misstänkta bedragaren sva-
rade att det var ok passade hen på att meddela att man hade ett nytt konto-
nummer.
Under perioden från den 28 november 2019 till den 27 januari 2020 skickade
bedragaren sex e-brev till Region Västerbotten. Vid fyra tillfällen innehöll e-
breven information om nya kontonummer dit bedragaren ville att regionen
skulle överföra pengarna. Medarbetare vid leverantörsfakturaenheten änd-
rade löpande kontonumren i leverantörsfakturasystemet Agresso utifrån
informationen i e-breven. Vid ett tillfälle kontrollerade medarbetaren på le-
verantörsfakturaenheten att namnet som stod som avsändare i e-breven
fanns på leverantörens webbsida. Medarbetaren kontaktade aldrig leveran-
tören för att verifiera om informationen i e-breven var korrekta.
Pengarna betalades ut till bedragaren i slutet av januari år 2020. I slutet av
februari år 2020 kontaktade ”den riktiga” leverantören beställaren vid Nu-
clearmedicin eftersom de inte mottagit några pengar för utrustningen. I sam-
band med detta uppdagades bedrägeriet.
Revisionskontoret
Bilaga 2
Inköp och leverans av
utrustning till
Nuklearmedicin oktober
2019
2019-10-31
Faktura från leverantören
2019-11-20
Fakturan förföll till betalning
2019-11-28
E-brev till diariet från
invoice@financialoffice.co.u
k
med fråga om när
regionen avsåg att betala
fakturan
E-brev vidaresändes från
diariet till ekonomistaben
och till beställaren på
Nuklearmedicin.
Beställaren på
Nuklearmedicin svarade till
invoice@financialoffice.co.u
k
att utrustningen skulle
testas och att fakturan
skulle betalas efter detta.
Testerna beräknades ta ca 2
veckor.
2019-11-29 Information från
invoice@financialoffice.co.u
k
om nytt
bankkontonummer
2019-12-02 information från
invoice@financialoffice.co.u
k
om att ändra till ett konto
för internationella
betalningar
2019-12-06 information från
invoice@financialoffice.co.u
k
att ändra till ett spanskt
kontonummer
2019-12-13
Fakturan
mottagningsattesteras av
medarbetare på
Nuklearmedicin och
beslutsattesterades av
investeringscontroller
Första kontakt
med bedragaren
Andra kontakt
med bedragaren
1:a bytet av
kontonr i
Agresso
Tredje kontakt
med bedragaren
2:a bytet av
kontonr i
Agresso
Fjärde kontakt
med bedragaren
3:e bytet av
kontonr i
Agresso
1:a kontrollen:
Handläggare
googlar på mail-
avsändarens namn
1,1 miljoner kronor
betalades ut.
Start
Revisionskontoret
Bilaga 2
2020-01-07
E-brev från
invoice@financialoffice.co.u
k
om att det spanska kontot
inte kunde ta emot SEK
Betalning behövde göras i
Euro.
2020-01-22
Den spanska banken skickar
tillbaka pengarna till Region
Västerbotten
2020-01-27
E-brev från
invoice@financialoffice.co.u
k
med ny faktura med nya
kontouppgifter till ett konto
i Storbritannien
2020-01-31
Pengarna betalades ut på
nytt.
2020-02-18
Leverantören Lablogic
kontaktade beställaren på
Nuklearmedicin om att
fakturan inte var betald.
Lablogic bekräftar att
betalningen inte hade gjorts
till deras kontonummer
2020-02-21
Handläggare på
leverantörsfakturor
kontaktar Swedbank.
2020-02-25
Redovisningschef gör
polisanmälan.
Redovisningschef
informerar
ekonomidirektören
Ekonomidirektören
informerar regiondirektören
och åtminstone
regionstyrelsens ordförande
2020-06-10
Region Västerbotten betalar
originalfakturan till
leverantören.
Femte kontakt
med bedragaren
Sjätte kontakt
med bedragaren
1,1 miljoner
kronor
kommer
tillbaka till RV.
4:e bytet av
kontonr i
Agresso
Utbetalning
med attester
från 13/12
som bilaga.
Information
till RD och
åtminstone
RS
ordförande
Förlusten
belastar RS
resultat
Dölj infoSparad kopia
Detta är sökmotorns sparade kopia av https://www.regionvasterbotten.se/VLL/Filer/Promemoria%20inkl%20f%C3%B6rs%C3%A4ttsblad.pdf
Inga som matchar logg in markerades.
Gå till [ nästa | föregående ] förekomst.
Sidan kan ha uppdaterats sedan sökmotorn indexerade den. Du kan alltid gå till den senaste versionen.