Fotomontage: Jenny Petersson
Enligt utredningen, som snart är klar, har de medarbetare som var inblandade i händelsen ”allvarligt brustit genom att inte följa rutiner och har med anledning av detta delgetts varsel om arbetsgivarens avsikt att vidta arbetsrättsliga åtgärder”.
– Jag vill inte uttala mig om vad, det känns inte rätt. Det har varslats om åtgärder, men om det verkligen blir av och vad de består av bestäms i en förhandling med deras fackliga representanter, säger Samuel Lundqvist, ekonomichef vid Skellefteå kommun.
Tre inblandade
I ett utkast till rapporten om bedrägeriet så konstaterar EY, det företag som kommunen anlitat, att ”kommunens rutiner och processer kring attester är bra och tydliga och följer praxis”.
– När det kommer till betalningar är det alltid många personer som är inblandade. I det här fallet har man trott att kommunchefen var inblandad, men så var inte fallet. Här var tre personer inblandade, säger Samuel Lundqvist och fortsätter:
– När det gäller den här typen av betalningar är det i normalfallet först två personer inblandade, den som har beställt betalningen och sedan en chef som har gjort en beslutsattest. Sen går den iväg till själva betalningen, där den utförs av en person och signeras av en annan. Det ska alltså vara minst fyra personer inblandade enligt tidigare riktlinjer.
Extra kontroller
Nu ska ytterligare kontrollmoment att läggas in i betalningsprocessen för att säkerställa att samma sak inte händer igen.
– Vi införde extra kontroller direkt för att säkerställa att det inte händer igen. Sedan har granskningen visat att vi, även om vi har ett system som är praxis runtom i Sverige, kan behöva extra kontrollmoment för vissa typer av betalningar. Exempelvis utlandsbetalningar.
Det var vid lunch den 22 maj som mejlet kom med en enkel uppmaning: ”Hej, kan du göra en bankbetalning till Storbritannien i dag?” Tjänstepersonen på kommunen svarade att de kunde skicka en betalning under dagen, men att det kunde ta ett par bankdagar innan pengarna kom fram.
Har polisanmälts
När det uppdagades att det var en bluff så polisanmälde kommunen händelsen och tillsatte även en utredning.
– Generellt sett är jag fortfarande otroligt förvånad över att det här kan hända över huvud taget. Det måste jag säga. Vi har gjort allt i vår makt för att det inte ska kunna hända igen. Men vi är inte ensamma om att drabbas av det här i Sverige, säger Samuel Lundqvist.
Norran har tidigare berättat att bedragarens mejladress såg exakt likadan ut som kommunchefens, men inte var det. Svarar du på bedragaren mejl, kommer det bara till bedragaren. Skriver du själv ut mejladressen, kommer mejlet till den rätta personen. I detta fall svarade tjänstepersonen först på bedragarens mejl.
Senare skrev samma person ytterligare ett mejl, men till den riktiga kommunchefen. Det var då brottet uppdagades.