Närmare 3,8 miljoner kronor - så mycket beräknas den bedrägerimisstänkta IT-administratören på SDN Centrum ha lurat till sig innan hon avslöjades i somras. Det framgår av förvaltningens internutredning, som även redovisar vilka förändringar som gjorts för att liknande brott inte ska upprepas.

Det är en bild av en mycket förslagen och tekniskt kompetent bedragare som tecknas i den utredning som SDN Centrum nu offentliggör. Kvinnan gjorde sin första felaktiga utbetalning av socialbidrag mindre än ett år efter det att hon anställts 1999.

Ett stort antal liknande utbetalningar följde, varje gång på summor under 10 000 kronor, för att undvika att fångas upp av kontrollrutinerna. Pengarna gick bland annat till kvinnans bror, som är bosatt i en annan stadsdel.

Kunde själv skriva in beslut om utbetalningar

Kvinnan var anställd som IT-administratör och rekryterades för sin specialistkunskap inom det system som användes. Så småningom fick hon ansvaret för att lägga till och ta bort behörigheter inom systemet. Det innebar att hon även själv blev behörig att skriva in beslut om utbetalning av ekonomiskt bistånd.

För att undvika upptäckt använde kvinnan andra handläggares inloggnings- och handläggarkoder, hon öppnade och avslutade de falska ärendena samma dag och hon bakdaterade dem så att de inte skulle komma med på de aktuella kontrollistorna.

När IT-systemet efter några år förändrades på ett sätt som skulle kunna ha lett till upptäckt, så var kvinnan en av de få på sin avdelning som fick veta om saken. Hon anpassade då sin metod.

Under denna period hade hon själv fått förtroendet att fungera som granskare av betalningsunderlaget och hon godkände själv över 60 procent av sina egna felaktiga utbetalningar.

Upptäktes när fel kod användes

När hon slutligen avslöjades var det för att hon hade råkat använda en handläggarkod som var inaktuell. En kollega reagerade i samband med en rutinkontroll och kvinnan polisanmäldes påföljande dag.

Förvaltningens omedelbara åtgärd blev att se till att det i fortsättningsvis blev omöjligt att byta ut utbetalningsunderlag på det sätt kvinnan gjort. Rutinerna för granskning av attestlistor skärptes också.

Nya rutiner har införts

– Sedan dess har vi genomfört ytterligare en rad förändringar som sammantaget kommer att försvåra att något liknande händer igen, säger stadsdelschef Thomas Segenstedt.

Exempelvis är den så kallade jourkoden, som kan användas av flera handläggare, borttagen. Man planerar också att införa spärrar i systemet som slår till om samma personnummer eller bankkonto fått onormalt stora eller många utbetalningar under en given period.

Ansvaret för behörighet till systemet har också flyttas från IT-administratörerna till en central enhet på förvaltningen. De har i fortsättningen inte heller rätt att hantera ärenden eller göra utbetalningar.

– Vi kommer även att införa nya rutiner för att kontrollera om anställda har betalningsanmärkningar och om de har beslut om utmätning på lönen, säger Thomas Segenstedt.

– Det hade den här kvinnan under hela tiden hon jobbade hos oss.

Kunskapen sprids till alla stadsdelar

På stadskansliet arbetar man nu med att sprida kunskapen om säkerhetsbristerna till övriga stadsdelar. Att det finns blottor i systemet framkommer även av en utredning som Stadsrevisionen presenterade tidigare i höst. Den gällde utbetalningen av socialbidrag i fem andra stadsdelar.

– Säkerhetsbristerna finns både i det tekniska systemet och i de manuella rutiner som tillämpas ute i förvaltningarna, säger Ingrid Larsson, direktör på Stadskansliet med ansvar för välfärd och utbildning.

Representanter för samtliga stadsdelar, ADB-kontoret och Stadskansliet träffades i mitten av förra månaden för att gå igenom vilka förändringar som måste göras för att höja säkerheten.

Enligt planerna ska en arbetsgrupp arbeta vidare med frågan och lägga ett förslag under januari.