1. No category

www.pwc.se
Granskningsrapport
Hanteringen kring verksamhetssystemet
Treserva och avgiftshandläggningen
Omvårdnadsnämnden
Gävle kommun
Göran Persson Lingman
Dennis Hedberg
Hanna Franck Larsson
Niklas Eriksson
December 2014
Innehållsförteckning
1.
Sammanfattande bedömning ...................................................... 2
Det finns tillfredställande rutiner avseende avskrivning av kundfordringar? ............. 5
Support och stöd avseende frågor som inkommer kring fakturor? ............................. 5
Det finns en tillfredställande hantering av backuper ................................................... 5
2.
Inledning .................................................................................... 6
2.1.
Bakgrund ........................................................................................................6
2.2.
Syfte och revisionsfrågor ................................................................................6
2.3.
Revisionskriterier ...........................................................................................6
2.4.
Metod.............................................................................................................. 7
2.5.
Avgränsning.................................................................................................... 7
3.
Granskningsresultat ................................................................... 8
3.1.
Tillfredsställande styrande och stödjande dokument finns och är tillräckligt
kommunicerade ............................................................................................................8
3.2.
Regelbundna utbildningar genomförs för att stödja olika roller tillräcklig
kunskap 11
3.3.
Risker analyseras systematiskt och det sker uppföljning ............................ 13
3.4.
Det finns en tillfredställande hantering av behörigheter ............................. 17
3.5.
Den löpande hanteringen av taxor och avgifter är tillförlitlig...................... 19
3.6.
Tillfredställande kontroll avseende den årliga revideringen av taxor ......... 23
3.7.
Finns tillfredställande rutiner för kvalitetssäkring och överföring av
underlag för fakturering från verksamhetssystem Treserva och till
ekonomisystemet? ......................................................................................................24
3.8.
Det finns tillfredställande rutiner avseende avskrivning av kundfordringar?27
3.9.
Support och stöd avseende frågor som inkommer kring fakturor? .............28
3.10.
Det finns en tillfredställande hantering av backuper ...................................28
3.11.
Tester av den interna kontrollen ................................................................. 30
Bilaga 1 Kontroller via registeranalys ................................................... 31
December 2014
Gävle kommun
PwC
1 av 36
1.
Sammanfattande bedömning
PwC har på uppdrag av de förtroendevalda revisorerna i Gävle kommun genomfört
en granskning avseende avgiftshanteringen och omvårdnadsförvaltningens
informationssäkerhet i anslutning till Treserva. Informationssäkerhet berör dels
användningen av Treserva-systemet generellt men även avgiftshandläggningen
specifikt (t ex kring behörighetshanteringen).
Granskningen har syftat till att besvara om den interna kontrollen inom
ovanstående området är tillfredställande. Som underlag har vi genomfört kontroller
inom olika kontrollområden (se rapportens avsnitt).
Vår sammanfattande bedömning inom de kontroller vi utfört är att resultatet delvis
är tillfredställande. Det som varit positivt är t ex att
•
•
•
Det finns många bra dokument som stöd för en god informationssäkerhet.
De kontroller vi gjort avseende behörighetshanteringen visar till stor del på
ett gott resultat.
Det finns medvetenhet kring olika risker och det sker förbättringsarbeten på
olika sätt, t ex en förbättrad kontroll av loggar.
Inom områden där vi uppmärksammat behov pågår förbättringar och/eller är
ett förbättringsarbete initerat.
Det har initierats ett arbete med att förbättra kommunens övergripande
ledningssystem för informationssäkerhet. Arbetet kommer sannolikt att
tydliggöra krav, arbetssätt, ansvar och roller för ett kontinuerligt
informationssäkerhetsarbete inom hela kommunen.
Inom förvaltningen pågår ett arbete med ett ledningssystem (kvalitétsystem).
Detta arbete kommer sannolikt att bidra till ett tydliggörande av verksamhetens
krav på IT-avdelningen, andra IT-resurser, IT-infrastrukturen och det ovan
omnämnda informationssäkerhetsarbetet.
Brister/förbättringsbehov vi uppmärksammat är t ex
•
•
•
•
•
Dokumenten som berör informationssäkerhet behöver implementeras bättre
till olika roller.
Det finns behov av en mer regelbunden utbildning för en säker användning
av treserva och hur information ska hanteras.
Uppföljning avseende tillämpningen av de styrande dokument inom IThanteringen bör förbättras.
Risker som berör informationssäkerhet och avgiftshandläggningen bör
analyseras mer systematiskt.
Resultatet från vårt frågeformulär till användare indikerar att det finns Itstörningar som inte är acceptabla. Dock har vi konstaterat att det pågår ett
förbättringsarbete.
December 2014
Gävle kommun
PwC
2 av 36
Nedan sammanfattas mer av de kommentarer och de rekommendationer som finns
intagna i rapporten.
Styrande och stödjande dokument och är dessa kommunicerade
•
Vi rekommenderar att användare i förvaltningens system (treserva m.fl.) ska
bekräfta att de tagit del av viktiga informationssäkerhetsinstruktioner.
•
Vi har haft svårt att överskåda olika dokument och hur de hänger samman, t ex
vilken beslutsnivå som fastställt olika dokument och/eller om de är fastställda på
politiskt nivå. Vi kan dock konstatera att det pågår förbättringsarbeten 1.
•
Eftersom några2 av de svarande angett att de inte skrivit på något sekretessavtal
rekommenderar vi att detta ses över.
Regelbunden utbildning inom informationssäkerhet
•
Enligt vår bedömning finns det ett behov av mer utbildning till olika roller (dvs
att kontinuerlig utbilda olika roller i användning av treserva och vad som är
viktig för en säker användning). Vi rekommenderar att behovet kartläggs inom
förvaltningen.
•
Vi har noterat att det finns planer att använda intranätet som medel för att
effektivt kunna genomföra utbildningar med regelbundenhet. I vår mening
synes detta vara en god idé att arbeta vidare med. Vi rekommenderar att det
förtecknas vilka som gått utbildningar och inte. Information om detta bör
lämnas regelbundet till nämnden.
Risker analyseras systematiskt och det sker uppföljning
•
Vi bedömer att det finns behov att regelbundet analysera risker inom
information/It-hanteringen och inom avgifts och fakturahanteringen. Vi
rekommenderar därför att avgiftshandläggare och systemförvaltare
medverkar mer systematiskt.
•
Avseende risker inom avgiftshandläggningen har vi noterat att det bör finnas
möjlighet att reducera risker effektivare genom mer stöd från systemet. (Det
kan handla om maskinella förebyggande och upptäckande kontroller
avseende antal, belopp och ologiska samband).
•
Vi kan se behov av översyn avseende ansvar och rutiner för uppföljning av de
aktiviteter som utförs i systemet av systemförvaltare och avgiftshandläggare 3
(loggar).
•
Vi rekommenderar att det sker en regelbunden test av det skydd som ska
säkerställa att inte externa tar del av information och/eller gör andra
oönskade aktiviteter som påverkar kommunens system (Treserva m.fl.).
Det arbete som sker inom förvaltningen med ledningssystemet. Det pågående arbetet med ITsäkerhetshandboken. Förbättringar av kommunens ledningssystem för informationssäkerhet.
2 Fem verksamhetschefer/områdeschefer anger att de inte skrivit på. Två vid privata utförare
3 Systemförvaltare har rättigheter att utföra allt i systemet. Uppföljning hindrar t ex från oberättigade misstankar.
1
December 2014
Gävle kommun
PwC
3 av 36
Kommunledningen bör kommunicera detta krav/behov med ITavdelningen. (d.v.s. testa att skyddet för att reducera olika risker är
tillförlitligt t ex skydd för externa intrång via s.k. penetrationstest 4)
•
Avseende avgiftshandläggningen rekommenderar vi att förvaltningen gör en
översyn av hur uppföljningen 5 med syftet att fånga onormala avvikelser
kring inkomster, avlidna personer, och bostadskostnader m.m. kan
förenklas. (t ex göra detta årsvis).
Det finns en tillfredställande behörighetshantering
•
Utifrån vad vi kontrollerat synes behörighetshantering utföras på ett i
huvudsak tillfredställande sätt (detta innefattar även den teknik som
används). Vi rekommenderar att hanteringen dokumenteras bättre.
•
Det är viktigt att det säkerställs att chefer meddelar när anställda
avslutar/erhåller tjänstledig/omflyttas enligt de fastställda arbetssätten.
•
I vårt frågeformulär till användare har flera angett att det finns risker att
utskrifter når obehöriga. Vi har dock konstaterat att det pågår förbättringar.
•
En tillfredställande behörighetshantering är relaterad till andra avsnitt i
rapporten. Se 3.1 avseende styrande dokument, 3.2 avseende utbildning 3. 3
avseende uppföljning och en regelbunden analys av risker 6
Den löpande hanteringen av taxor och avgifter är tillförlitlig
4
•
Avgiftshandläggaren kan få uppgift från RSV om kapitalintäkt som summa. I
det beloppet är det bara ränteintäkter och utdelningar som påverkar
avgiftsutrymmet. Det skulle kunna ligga med en kapitalvinst som inte ska
räknas med. Om avgiftshandläggaren inte får in inkomstdeklarationen från
brukaren kan denne inte justera kapitalintäktsbeloppet med kapitalvinsten.
Det måste i så fall kunden upptäcka och påpeka. Om kraven att få in
inkomstdeklarationen görs starkare skulle denna risk reduceras. Vi
rekommenderar därför att det ställs högre krav på att få in
inkomstdeklarationen.
•
Vi rekommenderar att det fastställs via en riktlinje för hur jävssituationer
ska hanteras då avgiftshandläggare ska administrera avgifter till närstående
eller bekanta.
•
Avseende den manuella hantering som sker mellan TES (systemet som
registrerar utförd tid hos kund) och Treserva ser vi att det finns risker för
felaktigheter. Vi rekommenderar att möjligheten till maskinell integration
ses över.
•
Det går att tillfälligt ändra avgiften i samband med fakturering och ändra
tillbaka. Ändringen ska dock framgå av loggen. Vi rekommenderar att det
Bör inte göras av IT-avdelningen själva (oberoende penetrationstest)
5 Vi
menar att transaktioner skrivs ut ur systemet som underlag för uppföljande aktiviteter med hjälp av IT.
D.v.s. området bör analyseras och följas upp med regelbundenhet, t ex vilka risker finns, bör dessa reduceras och
kan t ex en förbättrad behörighetshantering medverka till att reducera risken
6
December 2014
Gävle kommun
PwC
4 av 36
sker en regelbunden uppföljning/kontroll av loggarna för att minska risken
för detta. Genomgången av loggarna ska inte göras av avgiftshandläggarna.
•
För att underlätta spårbarheten rekommenderar vi att avgiftshandläggare
alltid dokumenterar i Treserva om uppgifter, t ex
inkomster/kapitalinkomster har inkommit på annat sätt än per brev/mail.
Tillfredställande kontroll avseende den årliga revideringen av taxor
•
Vi rekommenderar att de nya omräknade beloppen/ändrade
taxtillämpningar för året även kvalitetssäkras av en annan person/roll inom
förvaltningen. (En roll som finns vid sidan av avgifthandläggarfunktionen).
Finns tillfredställande rutiner för kvalitetssäkring och överföring av
underlag för fakturering från verksamhetssystem Treserva och till
ekonomisystemet?
•
Vi har konstaterat att det sker kontroller på olika sätt. Vi rekommenderar
dock att hanteringen ses över och att det därefter tas fram riktlinje kring hur
aktiviteter ska utföras, t ex bör den innefatta de kontroller/avstämningar
som ska utföras inom omvårdnadsförvaltningen och vad som krävs av KLKekonomi. Efter att KLK ekonomi genomfört sina avstämningar ska KLK
informera att avstämningen är utförd. (den information som ges om att
avstämning är utförd bör sparas och gallras utifrån fastställda regler).
Det finns tillfredställande rutiner avseende avskrivning av
kundfordringar?
•
Det pågår ett arbete med att förändra hanteringen. När detta genomförts är
vår bedömning att detta görs på ett tillfredställande sätt.
Support och stöd avseende frågor som inkommer kring fakturor?
•
Vi uppfattar att kommunen har ett tillfredsställande system att fånga
oklarheter och ge support till både interna och externa kunder.
Det finns en tillfredställande hantering av backuper
•
Utifrån de krav som ställts idag av omvårdnadsförvaltningen synes
backuptagning i allt väsentligt ske på tillfredställande sätt.
•
Då Treserva är ett verksamhetskritiskt system, finns enligt vår uppfattning
skäl att se över kraven. Vad som skulle kunna inträffa (risker) och utifrån
detta göra en bedömning av när backuper är det skydd som reducerar risker
(konsekvensen). Detta innefattar att värdera den tid som det får ta innan
systemet är tillgängligt på nytt och eller att information finns på nytt.
•
Vi föreslår även att det sker tester med regelbundenhet att skyddet fungerar
på ett tillräckligt bra sätt utifrån de ställda kraven. (återställningstester, t ex
från återläsning till att systemet fungerar på nytt).
•
Det är även viktigt att det säkerställs att den hyrda lokalen för backuptagning
är tillräcklig utifrån ställda krav.
December 2014
Gävle kommun
PwC
5 av 36
2.
Inledning
2.1.
Bakgrund
Omvårdnadsnämnden är systemägare och systemförvaltare för verksamhetssystemet Treserva.
Systemet hanterar biståndsbeslut och underlag för fakturering av avgifter i ordinärt
boende (hemtjänst) och särskilt boende. Systemet används dels av kommunens
egna anställda, men även av de externa entreprenörerna inom särskilda boenden
och hemtjänst.
I systemet hanteras sekretess enligt Hälso- och sjukvårdslagen samt Lag om stöd
och service till vissa funktionshindrade. För system som hanterar patientuppgifter
ställs också uttryckliga krav på regelbundna återläsningstester i Socialstyrelsens
föreskrifter (SOSFS 2008:14).
Fakturering och betalningsbevakning ligger i kommunens ekonomisystem som
hanteras av Kommunledningskontorets ekonomiavdelning (KLK ekonomi). ITavdelningen ansvarar för kommunens övergripande IT-hanteringen. De sköter även
driften, backuphanteringen m.m., avseende Treserva. Den servicedesk som finns
inom IT-avdelningen tar emot ärenden från användare som finns inom Omvårdnad
Gävle. KLK-ekonomi och IT-avdelningen finns inom Kommunstyrelsen. Inom
kommunstyrelsens ansvar finns även säkerhetsenheten som arbetar med ett
övergripande informationssäkerhetsarbete inom hela kommunen.
PwC har fått i uppdrag från de förtroendevalda revisorerna i Gävle kommun att
genomföra denna granskning.
2.2.
Syfte och revisionsfrågor
Ett av granskningens syften är att bedöma den interna kontrollen avseende
taxdebiteringen och hanteringen av IT/information. I första hand avseende
hantering av sekretess, men även skyddet för tillgänglighet.
Frågeställningar är bl.a. om rutiner och system för hantering av taxor och avgifter är
tillförlitliga. Om lagkrav avseende sekretess och återskapande av information följs?
Om behörighetshanteringen stödjer fastställda delegationsbeslut?
2.3.
Revisionskriterier
Revisionskriterier utgörs av flera olika lagar t.ex. offentlighet och sekretesslagen,
patientdatalagen, personuppgiftslagen, hälso- och sjukvårdslagen och lag om stöd
och service till vissa funktionshindrade. Socialstyrelsens föreskrifter (SOSFS
2008:14). Delegations-/attestregler, internt kontrollreglemente och
kommunkoncernens IT-säkerhetshandbok.
December 2014
Gävle kommun
PwC
6 av 36
2.4. Metod
Vi har studerat dokumentation som berör området, t ex policys och riktlinjer.
Vi har intervjuat ansvariga vid IT-avdelningen (avseende behörigheter, backuper)
avgiftshandläggare, systemförvaltare för Treserva, avdelningschefer, ansvarig
sjuksköterska MAS, kvalitetscontroller, ansvarig vid kommunens övergripande
informationssäkerhetsfunktion.
Anställda som arbetar med Treserva systemet har erbjudits att besvara ett
webbaserat frågeformulär med frågor som är viktiga för en säker/effektiv IT
hantering. Frågeformuläret skickades till anställda som gör aktiviteter i Treserva. Av
dessa valde 226 att besvara formuläret (från de privata utförarna besvarande 16
formuläret)
Nedan visas en fördelning av svarsgruppen utifrån verksamhetsområde
Nedan visas en fördelning av svarsgruppen utifrån roll/befattning
I rapporten finns grafik införd från formuläret. Färgerna i grafiken ska tolkas enligt
följande. Värden till vänster innebär att användare besvarat frågan med instämmer
inte alls
eller till viss del . Värden till höger innebär att användare besvarat med
i huvudsak
eller helt . Siffror i liggande staplar visar antalet svarande. Gråvit
färg innebär att användare besvarat med vet ej.
2.5.
Avgränsning
Granskningen avser Omvårdnadsnämnden, men berör även Kommunstyrelsen.
Granskningen är även avgränsat till de ställda kontrollfrågorna. Till stor del har
granskningen genomförts översiktligt.
December 2014
Gävle kommun
PwC
7 av 36
3.
Granskningsresultat
3.1.
Tillfredsställande styrande och stödjande dokument finns
och är tillräckligt kommunicerade
Detta avsnitt syftar i huvudsak till att ge en övergripande bild över vilka riktlinjer,
överenskommelser samt dokumenterade process- och/eller rutinbeskrivningar
som finns fastställda för att bidra till en god intern styrning och kontroll inom IThanteringen (Dokument som styrning och stöd för en god informationssäkerhet).
Med dokument menar vi här även sidor med instruktioner och anvisningar som
återfinns på kommunens intranät.
Iakttagelser
I granskningen har vi har tagit del av ett flertal styrande och stödjande dokument.
Exempel på dokument som vi tagit del av omnämns nedan:
•
Kommunens IT-säkerhetshandbok (som upprättats utifrån standarden
ISO/IEC 27001). Dokumentet är fastställt av kommunstyrelsen.
Dokumentet innefattar roller och ansvar och hur kommunens ska arbeta
med sitt informationssäkerhetsarbete.
•
Informationshantering och journalföring i kommunal hälso- och sjukvård.
Dokumentet är upprättat inom omvårdnadsförvaltningen och tydliggör
ansvaret och vad som är viktigt att säkerställa utifrån bl.a. patientdatalagen
och socialstyrelsens föreskrifter. (t ex kring krav på säker åtkomst till
uppgifter i IT-systemen, kontroll av loggar för att reducera risk för att
oönskade aktiviteter sker. I dokumentet hänvisas till kommunens
säkerhetshandbok. Dokumentet har nyligen reviderats och enligt uppgift
kommer det att fastställas av förvaltningsledningen.
•
Dokument avseende Sekretess och tystnadsplikt. Dokumentet berör vad som
ska gälla avseende handlingar som omfattas av sekretess och förbud att
muntligen lämna ut vissa uppgifter (tystnadsplikt). De anställda som tagit
del av dokumentet ska bekräfta detta via namnteckning på en speciell
blankett (förbindelse).
•
Checklista vid avslut av anställning. I denna formaliseras chefens ansvar för
bl.a. hanteringen kring behörigheter och återlämnande av datorer och
säkerhetsutrustning.
•
Personuppgiftsbiträdesavtal. Det tecknas ett avtal mellan Gävle kommun
och de privata vårdgivarna, vilket är ett krav enligt personuppgiftslagen. Ett
syfte med avtalet är att säkerställa att de privata vårdgivarna tillämpar lagar
och regler.
•
En överenskommelse med IT-avdelningen, (s.k. SLA Service Level
Agreement). Dokumentet behandlar vad som IT-avdelningen utfäster sig att
leverera till omvårdnadsförvaltningen (tjänster och servicenivå).
Dokumentet innehåller t ex hur förvaltningens backuper hanteras. Se
backuper i avsnitt 3.10.
December 2014
Gävle kommun
PwC
8 av 36
•
Välkomstbrev till nya användare. Alla nyanställda inom kommunen
informeras kring om behörighet till kommunens nät, viktigt att tänka på
samt hur de kan erhålla nytt lösenord om det tappas bort. Hänvisning till ITsäkerhetshandboken finns.
•
Sidor på intranätet som beskriver omvårdnadsförvaltningens
behörighetshantering.
Det pågår ett arbete7 med framtagande av en riktlinje för loggkontroll vid
informationshantering och journalföring i omvårdnads dokumentations- och
verksamhetssystem. Det kommer att kommuniceras inom förvaltningsledningen för
att slutligen fastställas. I dokumentet tydliggörs syftet med riktlinjen och ansvaret
kring tillämpningen av denna (verksamhetschefer, systemförvaltaren och
användarens ansvar). Ett syfte med riktlinjen är att reducera risker för att oönskade
aktiviteter genomförs (förebyggande kontrollaktivitet).
Ett arbete är initierat med att ytterligare förbättra verksamhetens processer
(Ledningssystem för omvårdnad). Vi har tagit del av en beskrivning (dokument)
som visar en övergripande struktur avseende genomförande. I beskrivningen finns
bl.a. intaget att dokumentstrukturen ska ses över (t ex vem har fattat beslut och hur
kan dokumenten relateras till olika processer). Dokumentet anger även att risker
ska analyseras mer systematiskt.
Avseende den omnämnda IT-säkerhetshandboken (från 2007) är ett
förbättringsarbete initierat. Innehållet i nuvarande säkerhetshandbok ska revideras
och i samband med detta kommer ansvar, roller och processer att ses över. Syftet
med förbättringsarbetet är att på ett förnya (etablera bättre) kommunens
ledningssystem för informationssäkerhet. Detta för att tillgodose olika
förvaltningars/verksamheters krav på informationssäkerheten. 8
Enligt uppgifter kommer samtliga förvaltningar engageras i arbetet med det nya
regelverket och den förbättrade processen. Arbetet drivs av kommunens
informationssäkerhetssamordnare som finns inom säkerhetsfunktionen.
Vid intervjuer har det framkommit att det finns behov av att i ökad grad
kommunicera ut de idag gällande stödjande dokumenten till olika roller som berörs
inom förvaltningen. Se avsnitt utbildning 3.2.
Anställda bekräftar inte att de tagit del av dokument/information som rör
informationssäkerhet. Det har funnits en rutin att nyanställda ska skriva på en
blankett kring vad de ska tänka på i samband med att de mottog sitt lösenord.
Iakttagelser - webenkät till olika roller
I granskningen ställdes frågor till olika roller kring om vad de känner till avseende
de stödjande dokumenten. Bilden varierar där många anger att de är tillräckligt
kända, andra anger att det finns behov att tydliggöra vilka dokument som de bör ta
del av, innehåll och var dokumenten återfinns. I vårt frågeformulär ställdes en fråga
om man har skrivit på en sekretessförbindelse. Några av de svarande angav att de
inte skrivit på någon förbindelse.
7
8
Arbetet är till stor del utfört. Vi har tagit del av ett utkast som kommer att fastställas av förvaltningsledningen,
LIS (ledningssystem för informationssäkerhet)
December 2014
Gävle kommun
PwC
9 av 36
Grafiken visar frågor informationssäkerhetsrelaterade dokument
Våra kommentarer
•
Vi har noterat att det finns många bra dokument som stödjer
informationssäkerheten och IT-hanteringen inom kommunen och
förvaltningen. Det finns förbättringsbehov men vi kan samtidigt konstatera att
det pågår olika förbättringsarbeten.
•
Enligt vår bedömning är de befintliga dokumenten inte tillräckligt
kommunicerade till de roller som berörs av dem. (En utgångspunkt är givetvis
att rätt information når rätt målgrupp, att den är aktuell och förstås). Vi
rekommenderar att det genomförs ytterligare aktiviteter för att nå ut med
dokument till olika roller. Se även avsnitt 3.2 avseende utbildning.
•
Vi rekommenderar att användare i förvaltningens system (treserva m.fl.) ska
bekräfta att det tagit del av viktiga informationssäkerhetsinstruktioner.
•
Vi har haft svårt att överskåda olika dokument och hur de hänger samman, t ex
vilken beslutsnivå som fastställd för olika dokument, till exempel om de är
fastställda på politiskt nivå. Vi kan dock konstater att det pågår
förbättringsarbeten9.
•
Eftersom några10 av de svarande angett att de inte skrivit på något sekretessavtal
föreslår vi att detta ses över.
•
Avseende det påbörjade arbetet med kommunens övergripande informationssäkerhetsarbete11 ser vi det som viktigt att detta genomförs som planerat.
Arbetetet kommer sannolikt att tydliggöra ansvar, roller, arbetssätt och krav på
olika sätt för ett kontinuerligt informationssäkerhetsarbete inom hela
kommunen.
Det arbete som sker inom förvaltningen med ledningssystemet. Det pågående arbetet med ITsäkerhetshandboken. Förbättringar av kommunens ledningssystem för informationssäkerhet.
10
Fem verksamhetschefer/områdeschefer anger att de inte skrivit på. Två vid privata utförare
11 Kommunen ledningssystem för informationssäkerhet
9
December 2014
Gävle kommun
PwC
10 av 36
3.2. Regelbundna utbildningar genomförs för att
stödja olika roller tillräcklig kunskap
Avsnittet syftar till att bedöma om olika roller har tillräcklig kunskap för att
utföra uppgifter med stöd av Treserva. Vidare syftar avsnittet till att kontrollera
att det sker en regelbunden utbildning som stöd för en säker
användning/hantering av IT.
Iakttagelser
Utbildningar som berör informationssäkerhet inom omvårdnadsförvaltningen ges
på olika sätt och med olika utbildningsansvariga. T ex utbildar omvårdnadsförvaltningens medicinsk ansvariga sjuksköterskor, verksamhetschefer i
informationshantering och journalföring i kommunal hälso- och sjukvård. (Detta
omfattar även de privata vårdgivarna). Varje verksamhetschef har sedan ett ansvar
att genomföra utbildningsaktiviteter till sina underställda.
I samband med sin lokala introduktion utbildas nyanställda i informationssäkerhet.
Vid större förändringar utbildar förvaltningens systemansvariga först chefer på
olika nivåer för att de i sin tur ska utbilda och informera vidare till sin personal.
Avseende de privata vårdgivarna så utbildar förvaltningen systemansvariga
vårdgivares verksamhetsansvariga. Därefter har de själva ett ansvar att genomföra
utbildningar.
När hemsjukvården togs över av kommunen genomförde förvaltningens
systemförvaltare en utbildning till alla medarbetare i användningen av Treserva. I
samband med detta fick medarbetarna information om riktlinjen för journalföring
inom kommunal hälso- och sjukvård.
Några regelbundna utbildningar i informationssäkerhet sker inte övergripande
inom Gävle kommun.
De intervjuade ser behov av mer utbildning kring användningen av Treserva samt
inom informationssäkerhet. Det förs diskussioner inom ledningen kring att
utarbeta en utbildning som kan nås via intranätet. 12 Detta skulle underlätta att
kontinuerligt genomföra utbildningsaktiviteter på effektivt och enhetligt sätt.
Iakttagelser - webenkät till olika roller
Frågor ställdes till olika roller kring om de anser att de har tillräckligt kunskap att
använda Treserva säkert. En fråga ställdes även om det är känt vad man ska tänka
på avseende sitt lösenord. En övervägande del anger att de har tillräckligt kunskap,
Flera har dock uttryckt behov av mer kunskap.
12 Det förs resonemang kring att även kunna ställa frågor för att får feedback kring om man förstått. Även hur man
kan beakta att det finns användare som kan behöva stöd att förstå svenska språket. Systemförvaltare har lämnat för
slag om detta.
December 2014
Gävle kommun
PwC
11 av 36
Grafiken nedan visar svar på fråga om de har tillräcklig kunskap
Våra kommentarer
•
Enligt vår bedömning finns det ett behov av mer utbildning till olika roller (dvs
att kontinuerlig utbilda olika roller). Vi föreslår att behovet kartläggs inom
förvaltningen. 13 Se även styrande och stödjande dokument 14.
•
De planer som finns kring att använda intranätet som medel för att effektivt
kunna genomföra utbildningar med regelbundenhet verkar vara en god idé att
arbetat vidare med. Vi rekommenderar att det förtecknas vilka som gått
utbildningar och inte. Information om detta bör lämnas regelbundet till
nämnden.
Systemförvaltare, tillsammans med ex MAS, kvalitetsutvecklar, chefer och användare. Rådgörande
med IT-avdelningen och informationssäkerhetsfunktionen.
14 Avsnittet är starkt relaterat till området kring behov att implementera olika dokument. Se 3.1
styrande och stödjande dokument.
13
December 2014
Gävle kommun
PwC
12 av 36
3.3. Risker analyseras systematiskt och det sker
uppföljning
Avsnittet syftar till att svara på om risker analyseras systematiskt och om det sker
uppföljning. Dels inom IT-hanteringen (informationssäkerhet) generellt vid
förvaltningen (kommunen) och dels inom avgiftshanteringen. Med uppföljning
menar vi t ex att uppföljning av de aktiviter som ska reducera risker fungerar som
tänkt, t ex att ett styrande dokument tillämpas/är känt. Att omvårdnadsnämnden
ska arbeta med värdering av risker anges i kommunens internkontrollreglemente
som är fastställt av kommunfullmäktige år 1999. Alla kommunens nämnder ska
enligt kommunledningens anvisningar stödja sig på ett ramverk för intern
kontroll (COSO). Detta innefattar vikten av att kontinuerligt arbeta med att
identifiera och värdera risker.
Iakttagelser
Det sker årligen en övergripande riskanalys inom förvaltningen som baseras på de
övergripande riktlinjerna och anvisningarna som finns inom kommunen 15. Detta
arbete resulterar bl.a. i en intern kontrollplan som exempelvis innehåller
prioriterade uppföljande aktiviteteter. Vi har noterat att planen innehåller
aktiviteter avseende tillämpning av förvaltningens styrande dokument. Det finns
inte något specifikt som beskriver uppföljning mot de i avsnitt 3.1 angivna
dokumenten avseende informationssäkerhet. Det finns uppföljningsaktiviteter som
berör avgiftshandläggningen intagna i planen.
Avgiftshandläggare eller systemförvaltare deltar inte med regelbundenhet i arbetet
med planen.
Det finns en medvetenhet hos både avgiftshandläggare och systemförvaltare
avseende risker. Vi har även noterat att de kommunicerat olika risker uppåt i
organisationen för beslut om åtgärder.
Olika förbättringar har skett och/eller pågår utifrån att risker identifierats inom
förvaltningen 16 t ex den nedan nämnda förbättringen avseende chefers uppföljande
kontroller.
I den ovan omnämnda 17 utkast till riktlinje för loggkontroller vid
informationshantering och journalföring beskrivs hur en systematisk
stickprovskontroll ska genomföras via loggar 18, samt vad som gäller när begäran
görs av brukare om loggutdrag.
Det pågår ett arbete med en förbättring i Treservasystemet som innebär att chefer
på ett lätthanterligt sätt ska kunna göra uppföljande kontroller som syftar till att
säkerställa att användare har rätt behörighet för sina arbetsuppgifter. Om något
avvikande upptäcks, t ex att någon slutat ska systemförvaltaren meddelas. Enligt
uppgift kommer det att genomföras uppföljningar för att säkerställa att alla chefer
tillämpar det nya arbetssättet.
15 Ramverket
COSO och reglemente.
granskning gjord av kommunens revisorer avseende behörighetshanteringen har bidragit till
förbättringsarbetet.
17 Se 3.1 styrande dokument
18 Loggkontroller ska göras enligt lag
16 En
December 2014
Gävle kommun
PwC
13 av 36
Det har i granskningen framkommit att det finns ett behov av att förbättra
uppföljningen på de styrande dokumenten avseende informationssäkerheten (är de
kända, tillämpas dessa). Förbättringsarbete pågår inom det specifika området. Se
exempelvis det pågående arbetet kring IT-säkerhetshandboken avsnitt 3.1.
Det sker dock en regelbunden uppföljning av de privata vårdgivarna att de följer det
avtal som tecknats med kommunen.
Det har initierats ett arbete med att revidera förvaltningens ledningssystem. Detta
omfattar att i ökad grad identifiera processer, olika krav och målsättningar samt
beroenden av information och IT-stöd. Detta arbete ska även stödja att risker
analyseras utifrån krav och mål på olika processer. I utkast till det dokument vi
tagit del av finns omnämnt att riskanalyser 19 kommer att ske. Arbetet omfattar även
att förbättra avvikelsehanteringen generellt inom förvaltningen, t ex att avvikelser
mot fastställda arbetssätt når rätt nivå inom organisationen.
Vid problem ska användare vända sig till IT-avdelningen. Många användare vänder
sig dock direkt till systemförvaltare vid (IT-omvårdnad). IT-avdelningen loggar alla
ärenden i system som ger möjlighet till proaktivt arbete. Ärenden som inte kan
åtgärdas av IT-avdelningen vidarebefordras till IT-omvårdnad (via kommunens
helpdesksystem). Systemförvaltare dokumenterar även driftsproblem som
inkommer till dem. Olika fel och problem kommuniceras mellan systemförvaltare
och IT-avdelningen t ex vad är problemets grundorsak och hur kan det åtgärdas.
Förvaltningsledningen och systemförvaltarna har tillsammans regelbundna
avstämningsmöten med IT-avdelningen). Det pågår en översyn kring hur
kommunikationen kan förbättras ytterligare (t.ex. avstämning mot
överenskommelser, problem, risker, förbättringar som krävs och hur de ska
genomföras).
Förvaltningsledningen har uppmärksammat att det finns många IT-relaterade
störningar. Av den anledningen har det påbörjats ett förbättringsarbete med att ta
fram en bättre dokumenterad bild av problemen tillsammans med IT-avdelningen
(t ex konsekvenser, orsaker om och hur det kan åtgärdas).
I granskningen har det framkommit att inga systematiska tester genomförs
avseende tillförlitlighet för extern åtkomst till kommunens system.
Det pågår ett arbete kring kommunens kontinuitetsplanering. Det innebär en
översyn/inventering av vilka behov hos förvaltningarna som finns angående
katastrofsäkring runt IT-driften inom kommunen.
19 Riskanalyser
ska genomföras fortlöpande inom Omvårdnad Gävles verksamheter. En riskanalys är proaktiv; vilket
innebär att den utförs i förebyggande syfte för att identifiera svagheter och brister som skulle kunna bidra till att
uppställda krav och målsättningar inte uppfylls. Riskanalyser genomförs både på verksamhetsnivå och på
förvaltningsnivå, vilket beskrivs nedan. Risker som identifieras inom ramen för riskanalys kan leda till direkta
förbättringsåtgärder.
December 2014
Gävle kommun
PwC
14 av 36
Iakttagelser - webenkät till olika roller
Frågor ställdes till olika roller kring om det är tydligt vart man vänder sig avseende
störningar och problem samt rapportering avseende brister/risker. En övervägande
del av de svarande anger att det är tydlig, medan ca 10 % av respondenterna anger
det inte är tillräckligt tydligt.
Fig. Svar på fråga avseende tydlighet i processer kring rapportering av fel, problem brister m.m.
I webformuläret ställdes även frågor om förekomst av IT-relaterade störningar.
Många av de svarande angav att det förekommer störningar i hög utsträckning.
Våra kommentarer
•
Vi har noterat att risker analyseras på olika sätt. Olika förbättringar har skett
utifrån olika ansvarigas riskmedvetenhet vilket är positivt.
•
Vi bedömer dock att det finns behov att regelbundet analysera risker 20inom
information/It-hanteringen och inom avgifts och fakturahanteringen. Vi
rekommenderar därför att avgiftshandläggare och systemförvaltare
medverkar mer systematiskt. Resultatet av analyser bör dokumenteras och
kommuniceras uppåt i organisationen 21. Detta är extra viktigt då de själva
inte har möjlighet att genomföra åtgärder för att reducera eventuella
risker 22. Arbetet bör relateras till arbetet med interna kontrollplanen, t ex
avseende skydd där det är extra viktigt att det bevakas/följas upp och/eller
att aktiviter för att reducera risken beaktas.
•
Avseende avgiftshandläggningen har vi noterat att det bör finnas möjlighet
att reducera risker effektivare genom mer stöd från systemet Det kan handla
om maskinella kontroller avseende antal, belopp och ologiska samband.
•
Enligt vår bedömning sker inte en tillräcklig uppföljning avseende
tillämpning av de styrande dokumenten kring informationssäkerheten idag.
Vi konstaterar att det pågår förbättringar. (Det i avsnitt 3.1 omnämna arbetet
Avseende systemförvaltare bör samarbete ske med IT-avdelningen. (se även avsnitt avseende backuper).
Avseende avgiftshandläggare bör samarbetet ske med systemförvaltare.
21 För att exempelsvis ta ställning om risken ska accepteras
22 T ex då det kostar pengar att åtgärda.
20
December 2014
Gävle kommun
PwC
15 av 36
med att förbättra kommunens informationssäkerhetsarbete berör givetvis
omvårdnadsförvaltningens arbete med risker och uppföljning inom
IT/informationshanteringen. Se avsnitt 3.1. avseende de styrande
dokumenten).
•
Vi har noterat att arbetet med förvaltningens ledningssystem innefattar även
analyser av risker för att inte olika krav uppnås 23. Utifrån hur vi tolkat
arbetet kommer arbetet även att medverka till att ytterligare tydliggöra
verksamhetens krav på informationssäkerheten (t ex infrastrukturen, ITavdelningen) 24.
•
Efter att riktlinjen kring loggar implementerats är det givetvis viktigt att det
sker en regelbunden uppföljning att kontrollaktiviteter utförs enligt
riktlinjen samt att dessa dokumenteras.
•
Vi har noterat att det kommer att införas en ny rutin där chefer ska följa upp
att endast de som arbetar inom enheten är behöriga vilket är positivt. Vi ser
även behov att det sker en regelbunden uppföljning att
behörighetsstrukturen i systemet överensstämmer mot fastställt ansvar (t ex
enligt delegationsförteckningen)
•
Vi kan se behov av översyn avseende ansvar och rutiner för uppföljning av de
aktiviteter som utförs i systemet av systemförvaltare och
avgiftshandläggare 25 (loggar).
•
Vi rekommenderar att det sker en regelbunden test av det skydd som ska
säkerställa att inte externa tar del av information och eller gör andra
oönskade aktiviteter som berör förvaltningens system (Treserva m.fl.).
Kommunledningen bör kommunicera detta krav/behov med ITavdelningen. (testa att skyddet är tillförlitligt t ex skyddet för externa intrång
via s.k. penetrationstest)
•
Vi har noterat att det pågår en uppföljning avseende uppmärksammade ITrelaterade störningar då Treserva systemet används 26 . Även vi ser ett
väsentligt behov av att genomföra uppföljningen. (Underlag från vårt
frågeformulär indikerar ett stort behov). Vi rekommenderar nämnden att
följa hur detta arbete bedrivs.
•
Avseende avgiftshandläggningen rekommenderar vi att förvaltningen gör en
översyn avseende möjligheten att effektivt genomföra en årlig uppföljning 27
med syftet att fånga onormala avvikelser kring inkomster, avlidna personer,
bostadskostnader etc.
23 Ledningssystem
inom förvaltningen. Arbetet med informationssäkerhet inom hela kommunen
T ex hur kritisk är informationen för verksamhetens olika processer, värdera och prioritera information och dess
tillgångar efter verksamhetens krav på sekretess, riktighet och tillgänglighet. Utifrån kraven kan informationen
hanteras på ett effektivt sätt med rätt avvägda skyddsnivå
25 Systemförvaltare har rättigheter att utföra allt i systemet. Uppföljning hindrar t ex från oberättigade misstankar.
26 Förekomst av problem, de konsekvenser de ger, vilka risker som finns. Vad kan felen bero på (grundorsaksanalys)
och om och hur ska det åtgärdas. Vad kan accepteras. Till vem adresseras ansvaret att åtgärda. När ska det vara
klart?
24
Vi menar att transaktioner skrivs ut ur systemet som underlag för uppföljande aktiviteter med hjälp
av IT.
27
December 2014
Gävle kommun
PwC
16 av 36
3.4. Det finns en tillfredställande hantering av
behörigheter
Vi har översikligt gått igenom tekniker och arbetsätt som ska säkerställa att
endast behöriga gör aktiviteter i Treserva systemet. Frågor har även ställts kring
utkrifter.
Iakttagelser
Vi har genomfört övergripande kontroller inom nedanstående områden.
•
•
•
•
•
•
•
Behörigheter tilldelas vid nyanställning
Användare tappar/förlorar sitt lösenord
Hur det går till då anställning upphör
Uppföljande aktiviteter
Skärmsläckare28
Tekniker för kryptering
Tekniker/processer vid hemarbete
Intervju har t ex skett med systemförvaltare och ansvarig vid IT-avdelningen kring
vad som gäller när privata vårdgivare tilldelas behörighet till Treserva samt i övrigt
vad som gäller för åtkomst inom och utanför kommunens nätverk. Vid intervjuerna
framkom även att det saknas rutiner kring lösenordetsuppbyggnad samt hur
tilldelning av behörigheter för hemarbete genomförs.
Vid intervjuerna framkom att en del av personalen tycker det tar för lång tid innan
skärmsläckare aktiveras och därmed låser användningen av datorn.
Det har även framkommit vid intervjuerna att systemet (Treserva) möjliggör att
följa de aktiviteter som skett av olika roller i systemet.
Det har framkommit att processen kring att meddela då anställda slutar inte
fungerar tillfredställande. Om personalen är tillsvidareanställd inom kommunen så
avslutas det gemensamma nätverkskontot automatiskt när ett slutdatum lagts in i
personalsystemet (PA-system). I Treserva finns behörigheten kvar men användaren
kan inte logga in eftersom den saknar ett aktivt konto i kommunens nätverket. När
en anställd byter arbetsuppgifter internt inom Gävle kommun så sätts inget
slutdatum.
För Omvårdnad Gävles externa utförarverksamheter måste en beställning på ett
avslut skickas in till förvaltningen (hanteringen finns beskriven ”Checklista vid
avslut av anställning”).
28 Alla
datorer har enligt uppgift skärmsläckare finns som aktiviteras efter 10 min.
December 2014
Gävle kommun
PwC
17 av 36
Behörighetssystemet i Treserva stöjder att beslut kan fattats av de som har
befogenheter enligt delegationsreglemente, t ex fatta beslut avseende särskilt
boende för äldre enligt SoL
Iakttagelser - webenkät till olika roller
Frågor ställdes till olika roller om det är känt vad man ska tänka på avseende sitt
lösenord, åtkomst till datorn och utskrifter. Den markant övervägande delen anger
positiva svar. Dock utrycker några att det finns brister. Avseende skrivare finns
förbättringsbehov men enligt uppgifter pågår redan förbättringar.
Fig. visar svar på frågor som är relaterade till behörighet.
Fig. Svar på fråga avseende tydlighet kring vart brister/risker rapporteras.
Våra kommentarer
•
Utifrån vad vi kontrollerat synes behörighetshantering avseende flera av våra
granskade processer utföras på ett i huvudsak tillfredställande sätt (detta
innefattar även den teknik som används). Vi rekommenderar att hanteringen
dokumenteras bättre. 29
T ex aktiviteter som ska utföras från nyanställning till att rätt person tilldelats behörighet. Aktiviteter avseende
förändra behörigheter. Utdela behörighet för arbete utanför kommunens nätverk. Följa upp att utdelade
behörigheter är överensstämmande med regelverk. Avluta behörigheter. Olika roller som utför aktiviter bör
framgå. Hur olika aktiviter ska utföras bör framgå. Hur IT-systemen är inblandade bör framgå. Förväntat resultat
(krav på respektive process bör framgå), Förslagsvis kan detta arbete utföras inom det pågående arbetet med
förvaltningens kvalitetsdokument. Se även avsnitt 3.2 avseende uppföljning och risker.
29
December 2014
Gävle kommun
PwC
18 av 36
•
Det är viktigt att det säkerställs att chefer meddelar när anställda slutar/är
tjänstlediga/omflyttas enligt de fastställda arbetssätten.
•
Avseende utskrifter är det viktigt att det pågående arbetet genomförs som
planerat. Flera av de svarande har utryckt att det finns risker i samband med att
dokument skrivs ut.
•
En tillfredställande behörighetshantering är relaterad till andra avsnitt i
rapporten. Se 3.1 avseende styrande dokument, 3.2 avseende utbildning 3. 3
avseende uppföljning och en regelbunden analys av risker 30
3.5. Den löpande hanteringen av taxor och avgifter
är tillförlitlig
Även vår registeranalys har legat som grund för bedömningar inom detta
områden. Se bilaga 1
Iakttagelser
Inom omvårdnadsförvaltningen arbetar tre avgiftshandläggare.
Avgiftshandläggarna tar vid när en person har fått ett beslut om beviljad insats och
biståndshandläggaren har registrerat personen i Treserva.
Hantering av ny kund
Avgiftshandläggarna får informationen om en ny kund via Treserva bl. a genom en
genomgång av en händelselogg i systemet. Ibland händer det att kunden eller
kundens anhöriga kontaktar avgiftshandläggarna innan månadens slut eftersom de
har frågor gällande erhållen inkomstförfrågan som har överlämnats av
biståndshandläggare. Om kunden väljer att inte lämna in en inkomstförfrågan,
innebär det automatiskt att personen debiteras maxtaxa om vårdbehovet uppgår till
denna nivå, d v s ingen hänsyn tas till det verkliga inkomstutrymmet hos brukaren.
På inkomstförfrågan kan också kunden i en kryssruta ange att maxtaxa accepteras
och behöver då inte lämna inkomstuppgifter. Om inkomstuppgifter ej erhållits inom
den föreskrivna tiden, skickas en påminnelse ut och personen debiteras maxtaxa så
länge. Avgiftshandläggarna kan kontakta Riksskatteverket (RSV) och
Försäkringskassan för att få information om inkomster.
Information om maxtaxa och inkomstförfrågan står i ett brev som skickas ut till nya
kunder tillsammans med inkomstförfrågan och mer information finns i två
broschyrer som också bifogas. Ytterligare information finns även i kommunens
dokument ”Avgiftssystem och tillämpningssystem 2014”.
30 D.v.s. området bör analyseras och följas upp med regelbundenhet, t ex vilka risker finns, bör dessa reduceras och kan t ex en
förbättrad behörighetshantering medverka till att reducera risken
December 2014
Gävle kommun
PwC
19 av 36
Beräkning av avgifter
Avgiften beräknas utifrån kundens nettoinkomster, ränteinkomster och utdelningar,
bostadstillägg, bostadskostnader, individuella tillägg och ett fastställt minimibelopp.
I Treserva kan uppgifter hämtas automatiskt från Försäkringskassan och RSV. Att
få uppgift med automatik i Treserva kan ta tid och då händer det att
avgiftshandläggare ringer RSV för att erhålla uppgifter. Felaktig debitering mot
kund går att rätta sex månader tillbaka.
När avgiftshandläggarna erhållit uppgifter från en kund registreras dessa manuellt i
Treserva. Treserva räknar sedan automatiskt ut kundens avgiftsutrymme och
avgiften som skall debiteras utifrån inlagd formel. Formeln och avgiftsbelopp
uppdateras årligen av avgiftshandläggare baserat på förändringar i t ex basbelopp
eller politiska beslut i nämnd. Vid genomförda intervjuer framkommer att det
överlag fungerar väl med den automatiska beräkningen men att det bland annat
skett att hyra debiterats dubbelt för personer på boenden. Dessa felaktigheter har
inneburit att de manuella kontrollerna tvingats utföras vid fakturering för att
minska risken för fel.
När avgiften beräknats erhåller kunden ett avgiftsbeslut och en specifikation över
vad avgifterna grundar sig på. Om något inte stämmer har kunderna möjlighet att
återkomma och lämna in nya underlag för att få ett nytt beslut. Överklagande av
avgiftsbeslut hanteras av avgiftshandläggarna. Avgiftsbeslut skall finnas för samtliga
kända kunder enligt avgiftshandläggarna.
Bostadstillägg
Vid intervjuerna framkommer att det är upp till respektive kund att söka
bostadstillägg. Kommunen har ingen resurs eller rutin för att informera kunderna
om att ansöka bostadstillägg och hur detta skulle kunna gynna både kunderna och
kommunen ekonomiskt.
Förekomst av skriftliga rutiner
I dagsläget saknas dokumenterade rutiner för hantering av inkomstförfrågan och
registrering av avgifter. Enligt uppgift pågår ett arbete med att ta fram en lathund
som stöd till arbetet.
Det finns ingen dokumenterad/fastställd rutin avseende dokumentation av
kontakten med Skatteverket via telefon.
Vid intervjuerna framkommer att det finns ett antal gamla rutiner som skall ses över
i framtiden. (det pågår ett förbättringsarbete med ett ledningssystem inom
förvaltningen se avsnitt 3.1)
Majoriteten av de befintliga rutinerna finns i omvårdnadshandboken. Dokument
som uppges beskriva kommunens avgiftsmodell är ”Maxtaxa 2014” och
”Avgiftssystem och tillämpningssystem 2014” som revideras och beslutas av nämnd.
December 2014
Gävle kommun
PwC
20 av 36
Inkomstförfrågan och avgiftsbeslut förvaras i aktskåp. Alla dokument gällande
makulering inklusive kopia på makuleringen, mail från anhörig osv. förvaras i
pappersform i respektive kunds akt. Avgiftsbeslut sparas även i Treserva.
Kontroller som utförs
Avgiftshandläggarna gör en rimlighetsbedömning av angivna uppgifter från
kunderna. Det händer att personer anger årsinkomst istället för månadsinkomst
eller använder brutto istället för netto. Vid en orimlig/avvikande bostadskostnad
begär avgiftshandläggarna en specifikation från kunden. Avgiftshandläggarna utför
en egen rimlighetskontroll av inlagda uppgifter. Treserva signalerar inte vid
orimliga avvikelser.
Inom enheten har avgiftshandläggarna beslutat att de inte ska hantera sina egna
anhöriga. Vid fall där detta aktualiseras byter avgiftshandläggarna områden med
varandra. Handläggaren har dock fortfarande tillgång till personen i Treserva men
fattar inga beslut eller fakturerar. Det saknas dock skriftliga rutiner för detta.
I granskningen har framkommit att det förekommer att kunder får fler timmar än
insatsbeslutet utifrån att det faktiska behovet inte stämmer överens med beslutat
antal timmar.
Stöd i Treserva
I systemet kan inte avgiftshandläggare utläsa om kunder har pågående insatser men
saknar ett avgiftsbeslut. Dessa kunder kan dock upptäckas vid den årliga
revideringen. Det finns ingen spärr i Treserva som meddelar om felaktiga uppgifter
rapporteras. Vid intervjuerna framhålls att de fel som uppstår oftast inte drabbar
kunden utan snarare innebär merarbete för kommunen.
Våra kommentarer och bedömningar
•
Avgiftshandläggaren kan få uppgift från RSV om kapitalintäkt som summa. I
det beloppet är det bara ränteintäkter och utdelningar som påverkar
avgiftsutrymmet. Det skulle kunna ligga med en kapitalvinst som inte ska
räknas med. Om avgiftshandläggaren inte får in inkomstdeklarationen från
brukaren kan denne inte justera kapitalintäktsbeloppet med kapitalvinsten.
Det måste i så fall kunden upptäcka och påpeka. Om kraven att få in
inkomstdeklarationen görs starkare skulle denna risk reduceras. Vi
rekommenderar därför att det ställs högre krav på att få in
inkomstdeklarationen.
•
Vi rekommenderar att det fastställs via en riktlinje för hur jävssituationer
ska hanteras då avgiftshandläggare ska administrera avgifter till närstående
eller bekanta.
•
Avseende den manuella hantering som sker mellan TES (systemet som
registrerar utförd tid hos kund) och Treserva ser vi att det finns risker för
felaktigheter. Vi rekommenderar att möjligheten till maskinell integration
ses över.
•
Det går att tillfälligt ändra avgiften i samband med fakturering och ändra
tillbaka. Ändringen ska dock framgå av loggen. Vi rekommenderar att det
sker en regelbunden uppföljning/kontroll av loggarna för att minska risken
för detta. Genomgången av loggarna ska inte göras av avgiftshandläggarna.
December 2014
Gävle kommun
PwC
21 av 36
•
För att underlätta spårbarheten rekommenderar vi att avgiftshandläggare
alltid dokumenterar i Treserva om uppgifter, t ex
inkomster/kapitalinkomster har inkommit på annat sätt än per brev/mail.
•
Rutinen gentemot utförarna kring hanteringen av kunder som fått fler
timmar än insatsbeslutet bör ses över.
December 2014
Gävle kommun
PwC
22 av 36
3.6. Tillfredställande kontroll avseende den årliga
revideringen av taxor
Även vår registeranalys har legat som grund för bedömningar inom detta
område. Se bilaga 1
Iakttagelser
Revidering av avgifterna sker årligen. Revideringen sker genom att
inkomstförfrågan skickas ut till samtliga kunder. Viss information är förtryckt på
inkomstförfrågan, exempelvis inkomstuppgifter från Försäkringskassan. Kunderna
får sedan själva fylla i bostadskostnader etc. Inkomstförfrågan skall sedan
returneras till kommunen i erhållet svarskuvert. I granskningen har framkommit
att inkomstförfrågan inte alltid returneras vilket (om ingen annan kontakt sker) ska
generera maxtaxa men det har inte hanterats konsekvent.
Kunderna kan även välja att ringa till kommunen och meddela ändringar och då
noterar avgiftshandläggarna förändringarna på en inkomstförfrågan och skriver på
en inkomstförfrågan som förvaras i personens akt att informationen lämnats via
telefonen.
Omräkningen av belopp hänförliga till uppdaterat basbelopp mm sker från 1 mars,
beräkningen utförs av avgiftshandläggarna. De överlämnar uppgift om de
omräknade avgifterna till en annan person som registrerar dessa grunduppgifter i
Treserva. Det finns inga rutiner för kontroller av att ändrade belopp omräknats rätt.
När ändringar gjorts skapas det ett nytt avgiftsbeslut i Treserva som ersätter det
gamla. Vid intervjuerna framkommer att det inte är tvingande att fatta ett nytt
avgiftsbeslut för att kunna ändra avgiften i systemet, dock loggas alla förändringar i
Treserva och kan följas upp i efterhand.
Det pågår diskussioner inom förvaltningen om att vara mer noggrann att begära in
inkomstdeklarationen i samband med den årliga revideringen för att säkerställa att
rätt inkomstuppgifter har erhållits från kunden.
Våra kommentarer
• Vi rekommenderar att de nya omräknade beloppen/ändrade taxtillämpningar för
året även kvalitetssäkras av en annan/roll inom förvaltningen. Förslagsvis en roll
som finns vid sidan av avgifthandläggarfunktionen.
December 2014
Gävle kommun
PwC
23 av 36
3.7. Finns tillfredställande rutiner för
kvalitetssäkring och överföring av underlag för
fakturering från verksamhetssystem Treserva och
till ekonomisystemet?
Även vår registeranalys har legat som grund för bedömningar inom detta
område. Se bilaga 1
Iakttagelser
Avgiftshandläggarna ansvarar för faktureringen av avgifter inom ramen för SoL och
LSS.
Faktureringsrutinen, roller och ansvar
I Treserva har avgiftshandläggarna geografiskt delat upp ett antal områden mellan
sig som de ansvarar för, bland annat upplägg av nya kunder, hantering av avgifter
samt att utföra kontroller inför fakturering. Områdena är inte spärrade i systemet
utan alla handläggare kan komma åt samtliga.
Varje månad analyserar avgiftshandläggarna sina områden och inför fakturering
skall samtliga områden godkännas av respektive avgiftshandläggare. Om något
område eller enskild kund inte skulle vara godkänd så kommer det ej med i
integrationsfilen 31 till Agresso. Avgiftshandläggarna kan välja att godkänna
områden men att inte godkänna enstaka fakturor vilket innebär att dessa ej går ut
för fakturering. Om en faktura inte gått ut kommer denna inte med per automatik
vid nästa fakturering. Det saknas rutiner för att säkerställa att samtliga fakturor går
ut och enligt intervjuerna går det inte att utläsa på ett överskådligt sätt i Treserva.
Fakturering sker den sista onsdagen i månaden utifrån en integrationsfil från
Treserva. Dagen innan faktureringsdagen hos KLK måste avgiftshandläggare (de
brukar turas om) skapa en integrationsfil som läggs på ett specifikt
avhämtningsställe. Sedan sköter KLK överföringen från Treserva till Agresso. KLKekonomerna hämtar filen från avhämtningsstället och stämmer av denna mot en
kvittens från avgiftshandläggarna gällande summa och antalet poster. Det finns
inga skriftliga rutiner kring faktureringsprocessen avseende kontroller,
genomgångar och godkännande eller skapande av integrationsfil.
Ansvarsfördelningen gentemot KLK är inte dokumenterad.
Vid intervjuerna framkommer att tillvägagångssättet inför fakturering och
kunskapen om kontrollerna endast finns hos avgiftshandläggarna inom
förvaltningen. Hittills har det inte varit något problem kring faktureringen, men vid
semestertider uppstår vissa problem och processen med omräkning av avgifter tar
längre tid med färre avgiftshandläggare i tjänst.
31
Konsekvensen av att filen inte skapats eller att alla områden inte har klarmarkerade är att fakturering ej sker vid
denna fakturering.
December 2014
Gävle kommun
PwC
24 av 36
Fakturaunderlag
Fakturaunderlaget varierar beroende på typen av insats.
Insatsen service i ordinärt boende baseras på data från planering/tidrapporteringssystem (TES). I TES registreras insatsbeslut och tid som utförts
hos kunden. Systemet används hos såväl kommunala som privata utförare. Inom
hemtjänsten faktureras brukarna utförd tid till timtaxan 353 kr/h. Detta innebär att
personer som har mer än fem timmar per månad automatiskt faktureras maxtaxa
eller maximalt avgiftsutrymme. Enligt intervjuer framkommer att det är en risk att
personer som inte har maxtaxa kan faktureras fel. Manuella kontroller sker för att
säkerställa personerna debiteras korrekt. Arbetet kräver mycket manuellt arbete
med justeringar vilket av personalen uppfattas som riskfyllt och tidskrävande.
Överföringen från TES till Treserva sker inte automatiskt.
Dagverksamheten (närvaro) rapporteras in manuellt av avgiftshandläggarna utifrån
underlaget i form av ett Excelblad. Underlaget sammanställs av dagverksamheten
och hämtas månatligen av avgiftshandläggarna från intranätet.
Faktureringen av korttidsboende och särskilt boende utgår ifrån en särskild
boendemodul i Treserva. Verksamhetschefen gör en beläggning i ett rum direkt i
Treserva och då generar systemet en hyra. Inläggning och förändring av hyra i
bomodulen i Treserva utförs av IT-Omvårdnad. Debiteringen från
avgiftshandläggarna avser hyra, omvårdnad och mat. I intervjuerna framkommer
det att det är viktigt att boendena är noggranna med att ändra beläggningen om en
person exempelvis blir inlagd på sjukhus så att faktureringen blir rätt. Vid
sjukhusvistelse längre än tre dagar ska omvårdnadsbeloppet reduceras från fjärde
dagen och matkostnaden reduceras från dag ett.
Gällande maten levereras denna från Sodexho gällande kunder i ordinärt boende.
Avgiftshandläggarna erhåller sammanställningar från Sodexho om antalet portioner
som levererats under månaden specificerat på personnummer. Vid intervjuerna
framkommer att det varit problem med underlaget och säkerställandet av att rätt
person har noterats för leverans. Exempelvis framkom att mat leverats till en person
som varit avliden sedan två år. Listan från Sodexho förs in i Treserva manuellt av
avgiftshandläggare.
Trygghetslarm registreras direkt i Treserva efter beslut från biståndshandläggaren.
Avgiftshandläggarna lägger in installationsavgiften vid första faktureringen
manuellt och sedan löper avgiften månadsvis så länge kunden har larmet.
Inom LSS faktureras hyror och eventuell mat. Faktureringen av LSS skiljer sig från
övriga då det inte handlar om något taxesystem, utan beror på faktiskt kostnad. Det
pågår i dagsläget en översyn kring vem som fortsättningsvis skall hantera denna
fakturering.
När en kund avlidit skall insatserna avslutas i Treserva av ansvarig
biståndshandläggare och först då kan avgiftshandläggarna se att en person avlidit.
December 2014
Gävle kommun
PwC
25 av 36
Förvaltningens systemförvaltare gör regelbundna kontroller gentemot
befolkningsregistret kring upplagda kunder i Treserva. (varje vecka kontrollerar de
kunders uppgifter gentemot befolkningsregistret så att uppgifterna uppdateras.)
I vissa fall tar även anhöriga kontakt med avgiftshandläggarna och meddelar att
faktureringen skall upphöra.
Vid intervjuerna har det framkommit att utförda insatser inte alla gånger kommer
med vid fakturering och kunden debiteras mindre. Vissa kontroller görs för att
säkerställa detta, exempelvis en rimlighetsbedömning i samband med fakturering.
Hantering av felaktiga fakturor
I intervjuerna framkommer att fel i utskickade fakturor oftast upptäcks av en slump
eller att kunderna ringer till avgiftshandläggarna. Avgiftshandläggarna gör en
översiktlig kontroll av fakturaunderlaget innan godkännande/klarmarkering, men
ingen detaljkontroll. Ibland har större fel upptäckts. Vid intervjuerna framkommer
att avgiftshandläggarna upplever att det har blivit mer fel i systemet och att fler
kontroller krävs för att säkerställa att systemet fungerar. Uppskattningsvis uppger
avgiftshandläggarna att det är ca 0-5 felaktiga fakturor per
månad/avgiftshandläggare. Felaktiga faktureringar handlar oftast om att kunden
får betala för mycket eller inte erhåller en faktura. Vid frågor rörande den utförda
insatsen i tidshänseende hänvisas till utföraren. De flesta felen som upptäcks beror
på felaktiga registrerade hemtjänsttimmar eller att kunden inte lämnat
inkomstförfrågan.
Om en person betalat för mycket eller för lite har avgiftshandläggarna som rutin att
de kan reglerera sex månader retroaktivt. Justering av felaktig faktura sker via
makulering och en ny faktura. Dock kan det vid direktkontakt med kund ställas
frågan om det är en liten justering och om de kan acceptera att man justerar
beloppet på nästa månads faktura.
I Treserva ser avgiftshandläggarna om det har gått ut en ersättningsfaktura till kund
och den läggs på visst ställe. Rättelser kan utföras varje onsdag. Vid makulering
skrivs makuleringsblankett som myndighetschef undertecknar och som sedan
skickas till KLK för reglering.
Kontroller
Treserva systemet signalerar inte om en person har missat att faktureras för
perioden, avgiftshandläggarna bevakar manuellt att allt är fakturerat inom deras
område. Deras metodik är en form av rimlighetsbedömning av underlaget. Var och
en ansvarar för sina områden och det sker inga kontroller över områdesgränserna.
Det finns ingen dokumentation kring avgiftshandläggarnas manuella kontroller.
Våra kommentarer
•
Vi kan konstatera att det sker kontroller på olika sätt. Vi rekommenderar
dock att hanteringen ses över och att det tas fram riktlinje kring hur
aktiviteter ska utföras, t ex bör den innefatta de kontroller/avstämningar
December 2014
Gävle kommun
PwC
26 av 36
som ska utföras inom omvårdnadsförvaltningen och vad som krävs av KLKekonomi. Efter att KLK ekonomi genomfört sina avstämningar ska KLK
informera att avstämningen är utförd. (den information som ges om att
avstämning är utförd bör sparas 32).
3.8. Det finns tillfredställande rutiner avseende
avskrivning av kundfordringar?
Iakttagelser
Rutinen vid ej betalade fakturor är att KLK skickar ut påminnelse 8 dagar efter
förfallodagen, ingen extra avgift påförs den aktuella fakturan. Om
påminnelsefakturan inte betalas övergår fordran till inkassobolaget och om kunden
vill ha anstånd ansvarar kunden själv för diskussion med inkassobolaget.
I omvårdnads förvaltningshandbok finns regler för anstånd. Dessa rutiner ska dock
ses över inom kort. Vid särskilda fall kan anståndsbeslut fattas och ibland sker detta
efter överenskommelse med överordnad chef enligt delegationsförteckningen.
Fakturor fortsätter skickas även om gamla fordringar ligger hos inkassoföretaget
och man ej kan få in betalning. Det finns inga rutiner för hur växande
fordringsbelopp ska hanteras utan inkassoföretaget sköter bevakningen. Det finns
heller ingen riktlinje för hur stora fordringarna kan bli. Avskrivning görs först när
det inkommer dödsboanmälan eller bouppteckning med brist i boet.
Speciell blankett ska användas för avskrivning av kundfordringar. Underskrift av
handläggare och chef och lämnas till KLK Ekonomi.
Enligt uppgift pågår ett arbete med att se över rutinen för hantering av avskrivning
av kundfordringar. När en kundfordring hos inkassobolaget överförs på
långtidsbevakning kommer en koppling att ske mellan inkassobolaget och Agresso.
Överföringen till långtidsbevakning ska leda till att fordran skrivs av i bokföringen.
Fordran ligger kvar för bevakning hos inkassobolaget och om betalnings förmåga
uppstår och pengar hämtas in så redovisas det som återvunnen kundförlust i
ekonomisystemet.
Våra kommentarer
•
32
Kommunens arbetssätt och rutiner kring avskrivning av kundfordringar
uppfattas som tillfredställande utifrån att rutinen uppdateras enligt den
ovan beskrivna översynen.
Gallras utifrån fastställda regler
December 2014
Gävle kommun
PwC
27 av 36
3.9. Support och stöd avseende frågor som
inkommer kring fakturor?
Iakttagelser
Ansvarig avgiftshandläggare står med namn och telefonnummer på fakturan ut till
kund för att underlätta vid behov av kontakt för kunderna och deras anhöriga. Varje
handläggare hanterar och godkänner underlaget till fakturan som skickas till
respektive kund. Det är främst när fakturorna ska betalas som frågor är som mest
frekventa. Om det är specifika frågor som rör t.ex. boende eller insatser
vidarebefordras frågorna till ansvarig verksamhet.
När avgiftshandläggare får uppenbara fel som beror på systemet, kontaktas
systemansvarig på omvårdnad som i sin tur har kontakt med leverantören av
systemet.
Våra kommentarer
• Vi uppfattar att kommunen har ett tillfredsställande system att fånga
oklarheter och ge support till både interna och externa kunder.
• Vi rekommenderar att behov att dokumentera inkomna ärenden se över. (som
underlag för uppföljning och proaktivt arbete).
3.10.
Det finns en tillfredställande hantering av
backuper
Iakttagelser
Kommunens backuphantering 33bygger på en teknik som innebär att backuper tas
automatisk till lagring på disk (s.k. diskskåp), vilket sker automatiskt. Vid problem
erhåller driftspersonalen ett larm att något inte genomförts korrekt. Loggar för att
se att backuper utförts korrekt erhålls kontinuerligt. Enligt uppgifter finns
tillfredsställande rutiner för uppföljning av att den automatiskta hanteringen utförts
korrekt.
Backuputrusningen finns i två lokaler (datorhall för drift, backup m.m.) som är väl
avskilda till varandra. Den andra datorhallen hyrs av ett kommunalt bolag. 34Data
replikeras mellan två datahallar (en backup-kopia i varje datorhall). Säkerheten till
lokaler regleras med lås och in-/utpassage loggas.
33
34
EMC Networker backup-system
Någon dokumenterad överenskommelse avseende datorhallens utformning för ändamålet finns inte.
December 2014
Gävle kommun
PwC
28 av 36
Från IT-avdelningen uppges att det finns tekniker för att snabbare komma igång
efter allvarliga incidenter (t ex då en server är obrukbar tar en annan server över
hanteringen), Detta är dock ingen tjänst som nyttjas av Omvårdnad Gävle.
Inom kommunen använder man sig av dokumenterade överenskommelser avseende
ansvarsfrågor (mellan IT-avdelningen och nämnderna/förvaltningarna).
Ansvariga vid IT-avdelningen har informerat kommunens systemansvariga kring
vad som är möjligt att göra avseende den överenskommelse som finns, t ex att det
inte är möjligt att återskapa information efter en viss tid.
Ur databasen i Treserva tas backuper var tredje timme. Vi har tagit del av den
fastställda tiden kring hur länge IT-avdelningen kan återskapa information från
backuper. Avtal finns även med extern leverantör vid behov av hjälp.
Det sker inga regelbundna tester att systemet kan fungerar på ett önskvärt sätt efter
att information återskapats.
Då otjänlig backuputrustning behöver kasseras finns avtal med extern leverantör.
Avtalet reglerar att informationen ska raderas på ett korrekt sätt.
Se även avsnitt 3.3 angående arbete kring kommunens kontinuitetsplanering.
Våra kommentarer
• Utifrån de krav som ställts idag av omvårdnadsförvaltningen synes
backuptagning i allt väsentligt ske på tillfredställande sätt.
• Då Treserva är ett verksamhetskritiskt system, finns enligt vår uppfattning skäl
att se över kraven. Vad som skulle kunna inträffa (risker) och utifrån detta göra
en bedömning av när backuper är det skydd som reducerar risker
(konsekvensen). Detta innefattar att värdera den tid som det får ta innan
systemet är tillgängligt på nytt och eller att information finns på nytt.
• Vi föreslår även att det sker tester med regelbundenhet att skyddet fungerar på
ett tillräckligt bra sätt utifrån de ställda kraven. (återställningstester, t ex från
återläsning till att systemet fungerar på nytt).
• Förslagsvis bör ovanstående två punkter genomföras tillsammans med
kommunens IT-avdelning. Sannolikt krävs ett deltagande av och/eller
rådgörande av Treservaleverantörer.
• Det är även viktigt att det säkerställs att den hyrda lokalen för backuptagning är
tillräcklig utifrån ställda krav.
December 2014
Gävle kommun
PwC
29 av 36
3.11. Tester av den interna kontrollen
Syftet med detta är att testa den interna kontrollen inom hantering av avgifter och
fakturering och redovisning av avgifterna. Via först registeranalys och därefter
via manuella kontroller identifiera eventuella felaktigheter och brister. Det kan
gälla både tester av både manuella och maskinella kontroller
En registeranalys har, inom ramen för granskningen, genomförts av avgifter för
januari, april och augusti 2014. Registeranalysen har baserats på en fil med samtliga
personer som ingått i debiteringsunderlag under utvalda månader. Transaktioner
där är vi av någon anledning funnit skäl att kontrollera vidare har därefter
kontrollerats (t ex via stickprov). Resultatet har införts i bilaga 1.
December 2014
Gävle kommun
PwC
30 av 36
Bilaga 1 Kontroller via registeranalys
I syfte att testa den interna kontrollen inom avgifts och redovisningshanteringen
genomfördes en s.k. registeranalys. Underlag som vi funnit anledning att kontrollera
har kontrollerats via stickprov.
Statistik om antalet i registeranalysen (jan,april och aug)
Månad
Januari
April
Augusti
Antal
Säbo
917
907
930
Antal LSS
139
141
138
Antal övr
4309
4351
4431
Summa
5365
5399
5499
varav nollor
1875
1932
1997
Med nollor avses personer som enligt debiteringsfilen har noll i debitering avseende
insatser. Orsakerna till en nolldebitering kan exempelvis vara försörjningsstöd.
Test av förändrad taxerad inkomst jan vs april
Syftet med registeranalysen är att kontrollera om eventuella avvikande inkomster
har registrerats i Treserva. En avvikande inkomst kan t.ex. vara en högre eller lägre
inkomst en månad. Om det förekommer flera avvikande inkomster kan det vara ett
tecken på felaktigheter i systemet eller att kontroller inte utförs i tillräcklig
omfattning.
Iakttagelser
Av antalet unika personnummer i debiteringsfilen (5 961 st januari, april), var 4 334
st över 65 år. Av dessa 4 334 personer äldre än 65 år var det 196 äldre som hade
samma/eller lägre förvärvsinkomst i april jämfört med januari.
Vid kompletterande intervjuer med avgiftshandläggarna framkom att ett antal
personer fick sänkt inkomst pga sänkt pension inför 2014.
Resultat
I stickprovet har inga större avvikelser noterats. Förklaringen kring lägre inkomster
ifrån avgiftshandläggarna bedöms som rimlig.
Kontroll avseende bostadstillägg
Syftet med kontroller är att se hur många personer som har ett avgiftsutrymme som
understiger maxtaxan och därmed borde ingå i målgruppen för personer som skall
söka bostadstillägg. Om en person söker bostadstillägg kan detta innebära en
förbättrad ekonomisk situationen för individen men även att kommunen har
möjlighet att ta ut en högre avgift och därmed få in mer pengar. Att informera om
bostadstillägg och uppmuntra personer att söka kan därmed innebära fördelar för
såväl kommunen som den enskilde individen.
December 2014
Gävle kommun
PwC
31 av 36
Iakttagelser
Månad
Januari
April
Augusti
Antal Säbo
917 st
907 st
930 st
Med bostadstillägg
294 st (32,1 %)
293 st (32,3%
313 st (33,7%)
Under augusti var det enligt debiteringsfilen 428 personer som bodde på SÄBO som
hade ett avgiftsutrymme som understeg nivån för maxtaxan för 2014 på 1 776 kr.
I augusti var det enligt debiteringsfilen 1 260 personer (exl SÄBO o LSS) som hade
ett avgiftsutrymme som understeg nivån för maxtaxan för 2014 på 1 776 kr, varav
701 inte har sökt bostadstillägg varav 488 personer inte betalade någon
omvårdnadsavgift.
Resultat
Vi har konstaterat att det finns en relativt stor andel personer vars situation skulle
kunna förändras genom att ansöka om bostadstillägg. Om dessa personer skulle
ansöka om bostadstillägg skulle dels kommunens intäkter öka, dels skulle deras
personliga ekonomiska situation kunna förbättras.
Resultat stickprov:
Urvalet har skett slumpmässigt utifrån ålder och insats.
Särskilt boende
LSS
Övrigt
Totalt
Stickprov
25
25
50
100
Kontroll av existens och slutfakturering
Syftet med stickprovet är att kontrollera om personerna som debiterats lever och om
slutfakturering har skett inom 3 månader. Avstämning har gjorts mot
folkbokföringen samt intervjuer med avgiftshandläggarna. Om slutfakturering inte
sker i tid finns det en risk att kommunen fakturerar personer som avlidit.
Kontrollen visar på om kommunen har tillräckliga rutiner för slutfakturering.
Iakttagelser
Av totalt 100 kontrollerade har 13 personer avlidit men finns kvar i Treserva.
Samtliga under perioden januari – augusti 2014.
Av de 13 avlidna personerna ingår 9 personer i samtliga filer men utifrån erhållen
information ifrån debiteringsunderlagen. Vid kontroll mot Treserva har
slutfakturering skett för samtliga inom tre månader.
December 2014
Gävle kommun
PwC
32 av 36
Resultat
Utifrån samtal med avgiftshandläggarna bedömer vi att slutfakturering har skett
inom ramenför tre månader för samtliga personer som kontrollerats i stickprovet
och avlidit under januari, april eller augusti.
Kontroll folkbokföringsadress
Syftet med stickprovet är att säkerställa att personerna som debiteras är
folkbokförda inom Gävle kommun och att postadressen som angivits i Treserva är
aktuell. Kontroll har gjorts mot folkbokföringsregistret.
Iakttagelser
Vid kontrollen av folkbokföringsadress konstaterades att 22 personer har ändrat
folkbokföringsadress men att samtliga har flyttat inom kommunen. Ingen person
har konstaterats tillhöra en annan kommun.
Resultat
Inga större avvikelser har noterats. Vi bedömer utifrån genomförd kontroll att
personerna som ingår i stickprovet är folkbokförda inom Gävle kommun.
Kontroll taxerad förvärvsinkomst
Syftet med granskningen är att kontrollera om den till kommunen angivna
förvärvsinkomsten är i enlighet med en uppgift om taxerad förvärvsinkomst som
finns hos Skatteverket. Kontroll har gjorts mot Skatteverket. Kontrollen visar på om
kommunen har tillräckliga rutiner kring inkomstkontroller eller om dessa behöver
utvecklas. En felaktig inkomst kan innebära att en person betalar en för hög eller låg
avgift utifrån faktiska inkomster.
Iakttagelser
Avseende taxerad förvärvsinkomst konstateras att avvikelser mellan taxerad
förvärvsinkomst i Treserva och och förvärvsinkomsten från Skatteverket, SKV, har
noteras för 20 personer.
Vid en genomgång av avvikelserna kan vi konstatera att kommunen saknar
information om taxerad förvärvsinkomst för 17 personer varav 10 personer även
saknar information om inkomst av kapital. Av de tio personerna där uppgift helt
saknas betalar två maxtaxa och avgift för särskilt boende. En person betalar avgift
för trygghetslarm. Orsaken till avsaknaden av information har ej granskats närmare.
7 personer har högre inkomst enligt SKV än inlämnad information till kommunen.
Samtliga ingår i debiteringsfilen för januari.
Resultat
I granskningen har framkommit att personer som inte lämnar information om
inkomst skall debiteras maxtaxa. Utifrån genomfört stickprov kan vi konstatera att
så inte är fallet men ingen närmare granskning har gjorts varför dessa personer inte
debiteras maxtaxa. Vi bedömer därmed att rutinen inte följs. Vi rekommenderar att
det görs en översyn över rutinen och debiteringen av individer som inte debiteras
maxtaxa för att säkerställa att följsamheten till rutinen ökar.
December 2014
Gävle kommun
PwC
33 av 36
Kontroll inkomst av kapital
Syftet med stickprovet är att kontrollera om den till kommunen angivna inkomsten
av kapital är i enlighet med den uppgift om inkomst av kapital som finns hos
Skatteverket. Kontroll har gjorts mot Skatteverket. Kontrollen visar på om
kommunen har tillräckliga rutiner kring inkomstinformation och kontroll av dessa
eller om rutinerna behöver utvecklas. En felaktig inkomst kan innebära att en
person betalar en för hög eller låg avgift utifrån faktiska inkomster.
Iakttagelser
Avseende inkomst av kapital har vi noterat att inlämnade uppgifter jämfört med
uppgifter från SKV skiljer sig för 53 personer. 16 personer har särskilt boende, 21
personer har LSS och 16 personer har andra insatser. 45 personer överstiger 65 års
ålder. Samtliga är över 18 år.
I 2 fall saknade SKV uppgifter då personen avlidit varför inlämnad inkomst ej har
kunnats stämma av.
19 personer har högre inkomst av kapital enligt SKV än inlämnad information till
kommunen. Samtliga ingår i debiteringsfilen för januari. 16 personer har lägre
inkomst av kapital enligt SKV än inlämnad information till kommunen.
Vid en genomgång av avvikelserna kan vi konstatera att kommunen saknar
information om inkomst av kapital för 31 personer. Dessa har vid stickprovet
noterats som en avvikelse i de fall då det uppdagats att personen har en sådan
inkomst. Orsaken till avsaknaden av information har ej granskats närmare men 11
av personerna har enligt SKV ett underskott av kapital. Av de kvarstående hade 10
personer en inkomst av kapital som ej angivits till kommunen.
Resultat
Vi har i stickprovet noterat att angivna uppgifter till kommunen skiljer sig mot
Skatteverkets uppgifter för mer än hälften samt att det finns ett antal personer som
inte har lämnat information om inkomst av kapital. Vi bedömer därmed att det
behöver tydliggöras vad som menas med inkomst av kapital och vilka av dessa
inkomster som påverkar avgiftsutrymmet. Vi rekommenderar en närmare
granskning kring vilka uppgifter om inkomst av kapital som lämnas till kommunen
utifrån att dessa kan påverka avgiftsutrymmet och personens ekonomiska situation.
Beräkning av förbehållsbelopp
Syftet med kontrollen är att kontrollera om personerna har rätt beräknat
förbehållsbelopp utifrån angivna uppgifter i systemet.
Kontrollberäkningar har gjorts av det i debiteringsfilen angivna avgiftsutrymmet
utifrån formeln:
+ Nettoinkomster (inkomster efter att du har betalat skatt)
+ Ränteinkomster och utdelningar
+ Bostadstillägg
December 2014
Gävle kommun
PwC
34 av 36
- Minimibelopp
- Individuellt tillägg
- Faktisk bostadskostnad
= Avgiftsutrymme
Avgiftsutrymmet beräknas automatiskt i Treserva.
Iakttagelser
Utifrån stickprovet kan vi konstatera att en sådan kontrollberäkning innefattar en
del svårigheter kring beräkningen. Utifrån erhållen fil kan en kontrollberäkning inte
utföras som planerat.
Genomförda kontroller visar att kontrollberäkningen för ett flertal personer är
detsamma som avgiftsutrymmet i Treserva men för ett antal personer noteras en
differens. Differensen har konstaterats bero på huruvida personen har tillägg eller
inte.
Resultat
Stickprovet har inte kunnat genomföras som planerat. Utifrån genomförda
kontroller kan vi göra någon bedömning om förbehållsutrymmet är korrekt
beräknat i Treserva.
Kontroll av poster som ej fakturerats
Syftet med kontrollen var att kontrollera om det finns personer som inte fakturerats
trots att de existerar i kundregistret. Vårt tillvägagångssätt i kontrollen var att
utifrån ett urval med nollposter göra manuella kontroller av de som var noll.
Urvalet för de tre månaderna gav följande resultat:
Månad
Antal nollor
Totalt
Januari
1 875 st
5 366
April
1 932 st
5 399
Augusti
1 997 st
5 500
Det stora antalet personer/poster indikerade dock att det bör finnas rimliga
förklaringar till varför så många poster var noll.
Genomgång med förvaltningen.
Eftersom det var svårt för oss att via det erhålla materialet förstå varför så många
poster hade noll kommunicerade vi underlaget med två ansvariga inom
omvårdnadsförvaltningen. Efter att vi kontrollerat materialet tillsammans har vi
fått förklaringen att personen avlidit eller ej haft någon insats under perioden.
För att verifiera de förklaringar vi fått har vi därefter stickprovsmässigt kontrollerat
60 av posterna.
December 2014
Gävle kommun
PwC
35 av 36
Resultat
Vi har inte funnit något som varit felaktigt avseende de poster vi kontrollerat. De
förklaringar som finns till det stora antalet synes rimliga, dvs personen har avlidit,
flyttat från kommunen, ej haft någon insats under perioden.
Kontroll av avgiftsbeslut och rätt betald avgift
Syftet med kontrollen är att säkerställa att personerna har ett avgiftsbeslut och
betalar en avgift som är i enlighet med detta. Kontrollen visar på om fakturor
skickas till personer som inte har ett avgiftsbeslut. Avsaknad av avgiftsbeslut kan
innebära att personen får betala en felaktig avgift utifrån insatserna som utförts
samt personens inkomst. Att det finns ett avgiftsbeslut är även väsentligt bl.a. för att
kommunen skall kunna säkerställa att personen har en avgift utifrån sin
ekonomiska situation.
Resultat
Stickprovet har inte kunnat genomföras på ett sätt som vi bedömt rimligt varför vi
valt att inte genomföra testet utan istället fokuserat på rutinerna.
Kontroll av bokfört belopp
Syftet med kontrollen är att säkerställa att beloppet som har bokförts i Agresso per
januari, april och augusti överensstämmer med fakturaunderlaget från Treserva för
respektive månad.
Kontroll har gjorts mellan bokfört belopp i Agresso och kvittensen över
fakturaunderlaget från Treserva. Eftersom uttaget ur Treserva och körningen i
Agresso hanteras av olika personer är det väsentligt att kontroller utförs så att
samma belopp fakturereas respektive bokförs. En risk i detta moment är att filen
från Treserva och bokföringen inte stämmer överens.
Iakttagelser
Vid kontrollen noteras att fakturorna som avser januari är bokfört i period februari,
fakturorna som avser april är bokfört i maj och fakturorna som avser augusti är
bokfört i september.
Våra kommentarer
Analysen har visade att rätt belopp är bokförts i Agresso men att det bokförts
månaden efter. Det är viktigt att det säkerställs att redovisning sker på rätt period
enligt kommunens principer.
December 2014
Gävle kommun
PwC
36 av 36
Sid 1 (1)
2015-03-02
Dnr 14REK32,
15ON41
Missiv
Omvårdnadsnämnden
Handläggare :
Ewa Molarin, Patrik Bergman,
Lena Isokivelä
Svar på begäran om yttrande från kommunrevisionen gällande granskning av verksamhetssystemet
Treserva
Förslag till beslut
Att
anta yttrandet som sitt eget, samt
Att
paragrafen förklaras omedelbart justerad.
Ärendebeskrivning
Under sista delen av 2014 genomförde PwC på uppdrag av kommunrevisionen
en granskning av hanteringen kring verksamhetssystemet Treserva och avgiftshandläggningen. Syftet med granskningen var att bedöma den interna
kontrollen för fakturering av taxan samt att titta på rutiner för externa entreprenörers användning av systemet. Ett annat syfte var att bedöma skyddet för
sekretess och riktighet i informationen i systemet.
Den granskningsrapport som PwC levererade till kommunrevisionen i december 2014 är omfattande och detaljrik med förslag på åtgärder. Utifrån den genomförda granskningen har kommunrevisionen prioriterat och lyft områden
där man nu begär svar från nämnden. Förvaltningens förslag till Omvårdnadsnämndens åtgärder finns i bifogat yttrande.
Annmarie Sandberg
Förvaltningschef
Omvårdnad Gävle
Gävle kommun Omvårdnad Gävle Box 825, 801 84 Gävle Besök
Växel 026- 17 80 00 Fax 026- 17 88 16 [email protected] www.gavle.se
Sid 1 (5)
Dnr 15ON41
2015-03-09
Omvårdnadsnämndens yttrande om ”Revision av
verksamhetssystemet Treserva”
Övergripande
Riskanalyser
Revisorerna har uppmärksammat avsaknaden av regelbundna riskanalyser
gällande information/IT-hantering samt avgifts- och fakturahantering.
Förvaltningen kommer i arbetet med internkontrollplanen för 2016 att bredda
arbetet med riskinventering och riskvärdering. Detta innebär att fler funktioner, exempelvis avgiftshandläggare och systemförvaltare, kommer att involveras
tidigt i processen i identifieringen av bruttorisker. Bland de bruttorisker som
riskvärderas kommer information/IT-hantering samt avgifts- och fakturahantering att inkluderas.
Sekretessavtal
Revisorerna rekommenderar, utifrån att medarbetare uppgett att de inte skrivit under sekretessavtal, att rutinerna kring sekretess och tystnadsplikt ses
över.
Förvaltningens rutin är samtliga skall skriva under ett sekretessavtal. För att
säkerställa att alla medarbetare förstår vad det innebär när de skriver under ett
sekretessavtal kommer förvaltningen att se över befintliga rutiner. Översynen
ska vara färdig senast den 31/5 2015.
Informationssäkerhet
Krav på tillgänglighet och säkerhet
Revisorerna har uppmärksammat att kraven på hur länge backuper sparas är
lågt ställda samt att återläsningstester inte genomförs.
Förvaltningen kommer under 2015 att genomföra en riskanalys över verksamhetssystemen. Detta i syfte att, i samverkan med kommunledningskontoret, ta
fram underlag för att kunna upprätta/revidera rutiner/instruktioner där det
framgår med vilken periodicitet säkerhetskopieringen ska göras, hur länge
Gävle kommun Omvårdnad Gävle Hamiltongatan 22, Box 825, 801 30 Gävle Besök Skolgången 18
Växel [email protected] www.gavle.se
Sid 2 (5)
säkerhetskopiorna ska sparas, och hur ofta återläsningstester ska göras. Målsättningen är att reglerna i de upprättade rutinerna/instruktionerna ska finnas
dokumenterade i Omvårdnad Gävles överenskommelser med IT-avdelningen
(SLA). Förvaltningen kommer därefter årligen kräva skriftlig återkoppling från
IT-avdelningen för att fastställa att krav på att backuper tas och att återläsning
fungerar och har genomförts i enlighet med upprättad överenskommelse.
Loggar
Revisorerna har uppmärksammat att en översyn av ansvaret och rutinerna för
uppföljning av aktiviteter som utförs av systemförvaltare och avgiftshandläggare behövs.
Förvaltningen kommer att ta fram en riktlinje för vilka funktioner som ska ha
behörighet att genomföra åtgärder i Treserva (såsom att ändra eller radera
felaktigt inregistrerad data). Av riktlinjen kommer även att framgå hur länge
loggar av genomförda åtgärder ska sparas. Denna riktlinje ska vara implementerad senast den 31/5 2015.
Förvaltningen kommer vidare under våren 2015 fastställa och implementera
en riktlinje för loggkontroll, vilken berör Treserva och andra system där personuppgifter och känslig information hanteras med ansvarsfördelning mellan
chefer, systemförvaltare, användare. Riktlinjen kommer att kompletteras med
skriftliga instruktioner vid Myndighetsenheten och Enheten för verksamhetsstöd där det ska framgå hur de respektive loggkontrollerna ska genomföras.
Dessa instruktioner ska vara implementerade senast den 30/6 2015.
Penetrationstest
Revisorerna rekommenderar att test genomförs av skydd mot att externa tar
del av information och/eller gör andra oönskade aktiviteter som påverkar
kommunens system.
Förvaltningen har gjort kommunledningskontoret uppmärksamma på frågan.
IT-avdelningen kommer att ta upp frågan om regelbundna penetrationstest
med säkerhetsavdelningen.
IT-störningar
Revisorerna påpekar att det finns IT-störningar i Omvårdnad Gävles verksamhetssystem som inte är acceptabla.
Under vintern 2014/2015 genomförs en driftsutredning av förvaltningen och
IT-avdelningen där driftsproblem analyseras och förslag till åtgärder tas fram
som förvaltningen och IT-avdelningen kommer ta ställning till för att eliminera de IT-störningar som finns.
En sårbarhetsanalys av verksamhetssystemen kommer att genomföras. Resultaten från sårbarhetsanalysen kommer att ligga till grund för en skriftlig instruktion vid Enheten för verksamhetsstöd för hur manuell hantering ska gå
till för att kunna hantera kortare driftstopp men också vid större stopp (till
exempel vid stora strömavbrott).
Sid 3 (5)
Förvaltningen har tillsammans med IT-avdelningen haft träffar med leverantörerna av Treserva (CGI) och TES (Tunstall) där identifierade driftsproblem
lyfts upp till diskussion. Förvaltningen har tillsammans med leverantörerna
tagit fram lösningar för att få integrationer att fungera som de ska. Träffarna
kommer att fortgå för att samverkan mellan alla parter ska fungera sömlöst.
Även regelbundna teknikermöten har påbörjats och kommer fortsätta mellan
IT-avdelningen och leverantörerna.
Utbildning i informationssäkerhet
Revisorerna påpekar att det finns ett behov av utbildning i informationssäkerhet. Man framhåller även vikten av att det dokumenteras vem som deltagit i
dessa utbildningar.
Förvaltningen kommer att kartlägga vilka behov av utbildning som finns och ta
fram en plan för att tillgodose behoven. Kartläggningen ska vara färdig senast
den 31/8 2015. Förvaltningen kommer också upprätta en riktlinje för informationssäkerhet med krav på utbildning i informationssäkerhet samt vem som
har ansvaret för sådan utbildning. Riktlinjen ska vara implementerad senast
den 31/10 2015.
Faktureringsrutinen
Jäv
Revisorerna noterar att det saknas riktlinjer för hantering av jävssituationer.
Förvaltningen kommer att ta fram en riktlinje för jävssituationer. Kopplat till
denna kommer Myndighetsenheten att ta fram en skriftlig instruktion som
beskriver hur avgiftshandläggarna ska hantera jävssituationer. Riktlinjen och
instruktionen ska vara implementerade senast den 31/5 2015.
Fasta data
Revisorerna konstaterar att det saknas en kvalitetssäkring av de årliga ändringarna av taxorna i Treserva.
Förvaltningen kommer att upprätta en rutin som innebär att ekonomichef
varje år ska kontrollera att de genomförda ändringarna av taxorna är korrekt
genomförda. Rutinen ska vara implementerad senast den 30/4 2015.
Treserva signalerar inte ofakturerade tjänster
Revisorerna påpekar att det saknas en signalfunktion i Treserva som uppmärksammar om någon person eller tjänst inte faktureras.
Förvaltningen konstaterar att Treserva är ett försystem till Agresso och därmed inte kan signalera ofakturerade tjänster. Förvaltningen kommer dock att
utreda möjligheten att med hjälp av andra system upprätta kontroller för att
undvika ofakturerade tjänster. Utredningen ska vara färdig senast den 31/8
2015.
Sid 4 (5)
Ändring av avgifter
Revisorerna konstaterar att det finns en möjlighet för avgiftshandläggare att
ändra avgifter i samband med fakturering. Revisorerna rekommenderar en
regelbunden loggkontroll.
Förvaltningens åtgärder beskrivs ovan under rubriken ”loggar”.
Uppföljning av onormala avvikelser
Revisorerna uppmanar Omvårdnad Gävle att göra en översyn av hur uppföljning av onormala avvikelser (inkomster, avlidna, bostadskostnader mm) kan
förenklas.
Förvaltningen kommer att utreda om och hur en förenklad uppföljning av
onormala avvikelser kan integreras i verksamhetssystemen. Utredningen ska
också belysa alternativ till en fullständig integration i verksamhetssystemen
som ändå innebär en minskad manuell hantering. Utredningen ska vara färdig
senast den 30/9 2015.
Riskhantering via maskinella kontroller
Revisorerna uppmanar Omvårdnad Gävle att bygga in fler kontroller i Treserva
i syfte att förebygga och upptäcka fel.
Förvaltningen kommer att utreda om och hur fler kontroller kan byggas upp i
Treserva. Utredningen ska också belysa alternativ till kontroller i Treserva som
ändå innebär en minskad manuell hantering. Utredningen ska vara färdig senast den 30/9 2015.
Manuell överföring av data från försystem
Revisorerna har uppmärksammat att den registrering av tid som utförts hos
kund i hemtjänsten i systemet TES överförs manuellt till Treserva. Revisorerna
rekommenderar en övergång till maskinell integration.
Det finns idag en lösning som möjliggör återläsning av inrapporterad tid från
TES till Treserva. Denna har hittills dock inte implementerats inom Omvårdnad Gävle. Denna lösning kräver ett förändrat arbetssätt med ökad administration för samtliga utförare inom hemtjänsten samtidigt som det underlättar
för avgiftshandläggarna. Förvaltningen kommer att genomföra en konsekvensanalys kring vad en övergång till detta arbetssätt skulle innebära. Konsekvensanalysen ska vara färdig senast den 31/5 2015. Utifrån konsekvensanalysen ska
förvaltningen därefter ta beslut om ett eventuellt förändrat arbetssätt.
Överföring till Agresso
Revisorerna konstaterar att det behöver fastställas vem som gör vad i överföring och kontroller av de filer som förs över från Treserva till Agresso.
Förvaltningen kommer att upprätta en rutin/instruktion för vem som gör vad i
överföring och kontroller av de filer som förs över från Treserva till Agresso. I
denna rutin/instruktion kommer det att ingå en beskrivning av hanteringen av
den återföring av information från Agresso som sker idag (som innebär att
Sid 5 (5)
förvaltningen kan kontrollera att den information som överförts från Treserva
till Agresso stämmer). Rutinen/instruktionen ska vara implementerad senast
den 31/5 2015.