1.1 Innledning

Riksrevisjonen er Stortingets kontrollorgan og reviderer statlige virksomheter og departementer. Gjennom revisjonene undersøker Riksrevisjonen hvordan statlige midler anvendes, rapporterer om eventuelle brudd på Stortingets vedtak og forutsetninger for anvendelsen og anbefaler endringer som bør iverksettes.

Riksrevisjonens årlige rapport – Dokument 1 – oversendes Stortinget hver høst.

Dokument 1 presenterer både resultatet av regnskapsrevisjonen og av forvaltningsrevisjoner som ikke avleveres i Dokument 3-serien. Riksrevisjonen gjennomfører sine revisjoner i tråd med lov om Riksrevisjonen og tilhørende instruks og internasjonale revisjonsstandarder for riksrevisjoner (International Standards for Supreme Audit Institutions (ISSAIs)).

Riksrevisjonen har ikke ansvar for finansiell revisjon av Statens pensjonsfond utland (SPU) og Statens pensjonsfond Norge (SPN), men behandler disse i samsvar med Stortingets forutsetninger. Dette innebærer at Riksrevisjonen har kontrollert postene SPU og SPN i statsregnskapet. SPU og SPN revideres av Norges Banks og Folketrygdfondets eksterne revisorer.

1.1.1 Regnskapsrevisjon

Riksrevisjonen kontrollerer årlig at regnskapene for alle virksomheter og andre myndigheter som er regnskapspliktige til staten, ikke inneholder vesentlige feil eller mangler (finansiell revisjon).

Kontrollen av statsregnskapet bygger på den finansielle revisjonen av departementene og de underliggende virksomhetene. Revisjonen er innrettet etter departementenes ansvarsområder og vurderes opp mot bevilgningsreglement vedtatt av Stortinget (bevilgningsreglementet).

I den finansielle revisjonen kontrollerer Riksrevisjonen om årsregnskapet gir et dekkende bilde i tråd med det finansielle rammeverket for regnskapet. I stats- forvaltningen består rammeverket av bevilgningsreglementet, regelverk for økonomistyring i staten (økonomiregelverket) med tilhørende rundskriv og de statlige regnskapsstandardene (SRS) for de som har valgt å avlegge et periodisert regnskap.

Riksrevisjonen rapporterer om resultatet av den finansielle revisjonen i én revisjonsberetning per virksomhet. Denne gjøres tilgjengelig sammen med regnskapet på hjemmesidene til de enkelte departementene og virksomhetene. Revisjons-beretningen kan være i form av en umodifisert uttalelse når regnskapet ikke inneholder vesentlige feil eller mangler, eller i form av en modifisert uttalelse når regnskapet inneholder vesentlige feil (med forbehold, negativ eller ikke uttalelse).

Riksrevisjonen kontrollerer også om disposisjonene som ligger til grunn for regnskapet, er gjennomført i tråd med Stortingets vedtak og forutsetninger. Dette kan blant annet gjøres som en årlig kontroll av etterlevelsen av bevilgningsreglementet og økonomiregelverket med tilhørende rundskriv, samt gjennom prioriterte kontroller av etterlevelsen av andre lover og regler som regulerer virksomhetene og departementene.

1.1.2 Forvaltningsrevisjon

I forvaltningsrevisjoner gjør Riksrevisjonen systematiske undersøkelser av økonomi, produktivitet, måloppnåelse og virkninger ut fra Stortingets vedtak og forutsetninger.

Det gjøres en årlig prioritering av revisjoner som rapporteres til Stortinget, enten som en del av Dokument 1 eller som egne rapporter i Dokument 3-serien.

1.1.3 Riksrevisjonens kritikkformer

Riksrevisjonen benytter følgende begreper for kritikk i alle sine dokumenter til Stortinget, med denne rangeringen etter høyest alvorlighetsgrad:

• Svært alvorlig brukes ved forhold der konsekvensene for samfunnet eller berørte borgere er svært alvorlige, for eksempel risiko for liv eller helse.

• Alvorlig benyttes ved forhold som kan ha betydelige konsekvenser for samfunnet eller berørte borgere, eller der summen av feil og mangler er så stor at dette må anses som alvorlig i seg selv.

• Sterkt kritikkverdig angir forhold som har mindre alvorlige konsekvenser, men gjelder saker med prinsipiell eller stor betydning.

• Kritikkverdig brukes for å karakterisere mangelfull forvaltning der konsekvensene ikke nødvendigvis er alvorlige. Dette kan gjelde feil og mangler som har økonomiske konsekvenser, overtredelse av regelverk eller saker som er tatt opp tidligere og som fortsatt ikke er rettet opp.

1.2 Riksrevisjonens hovedfunn

1.2.1 Resultatet av den finansielle revisjonen

Riksrevisjonen reviderer statsregnskapet og alle regnskaper avlagt av statlige virksomheter og andre myndigheter som er regnskapspliktige til staten, jf. lov om Riksrevisjonen § 9 første ledd. Regnskapene er i hovedsak korrekt avlagt i tråd med de valgte regnskapsprinsippene. Riksrevisjonen har kun avdekket vesentlige feil i 5 av 217 regnskaper i 2017. Resultatet av den finansielle revisjonen er oppsummert i del III i Riksrevisjonens dokument.

1.2.2 Svakheter ved informasjonssikkerhet i statlige virksomheter

Det er i 2017 gjennomført flere revisjoner med fokus på informasjonssikkerhet. Riksrevisjonen finner det kritikkverdig at mange virksomheter har vesentlige mangler i styringen av informasjonssikkerhet og sikringen av IT-systemer. Ulike aktører tar i bruk stadig mer avanserte metoder ved dataangrep mot statlige virksomheter. Digitalisering øker i tillegg risikoen for vellykkede angrep når flere kritiske samfunnsfunksjoner gjøres tilgjengelig på internett. Et styringssystem for informasjonssikkerhet skal sikre at virksomhetene oppnår ønsket sikkerhetsnivå og er rustet til å tilpasse seg endringer i trusselbildet. Til tross for at mange virksomheter har dokumentasjon som viser velutviklede styringssystemer for informasjonssikkerhet, viser revisjonen at det er vesentlige utfordringer med å få styringssystemene til å fungere. Det er ofte vanskelig å se sammenheng mellom identifiserte risikoer og risikoreduserende tiltak. Videre gjennomføres det sjelden evalueringer av om sikkerhetstiltakene og styringen er god nok.

Mange statlige virksomheter har vesentlige svakheter i informasjonssikkerheten, ofte med mangler i grunnleggende sikkerhetstiltak som tilgangsstyring og overvåkning av egne systemer. Selv arbeids- og velferdsetaten, som har etablert flere sterke sikkerhetstiltak, har vesentlige svakheter i IKT-systemene. Revisjonen viser hvordan disse kan utnyttes av interne og eksterne aktører for å få tilgang til personopplysninger. Funn angående informasjonssikkerhet i arbeids- og velferdsetaten, Arbeidstilsynet, Direktoratet for økonomistyring, fylkesnemndene for barnevern og sosiale saker, Statens kartverk, samt innen universitets- og høyskolesektoren, er utdypet i Riksrevisjonens dokument under de aktuelle departementene.

Riksrevisjonen har i flere år foretatt undersøkelser av informasjonssikkerhet i statlige virksomheter, senest i 2016. I behandlingen av Riksrevisjonens rapport understreket kontroll- og konstitusjonskomiteen at mangelfull styring og oppfølging av informasjonssikkerhet er svært alvorlig, jf. Innst. 115 S (2017–2018).

Lov om behandling av personopplysninger (personopplysningsloven) trådte i kraft 20. juli 2018. Loven innlemmer personvernforordningen fra EU (GDPR). Regelverket medfører nye plikter for alle virksomheter som behandler personopplysninger. Det er høy risiko for at statlige virksomheter som har hatt vesentlige svakheter i informasjonssikkerheten, ikke vil etterleve kravene i den nye loven.

1.2.3 Sikring mot dataangrep i arbeids- og velferdsetaten (Arbeids- og sosialdepartementet)

Riksrevisjonen finner det sterkt kritikkverdig at IKT-systemene i arbeids- og velferdsetaten (Nav) har vesentlige svakheter som kan utnyttes i dataangrep. Nav har ikke dokumentert oversikt over risikobildet for dataangrep. Det er etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes av interne og eksterne aktører. Tester av IKT-systemene, blant annet bruk av hackerverktøy for å angripe databaser på en server, har påvist mangler og vist hvordan disse kan utnyttes i et dataangrep for å få tilgang til personopplysninger.

Statsråden ser alvorlig på de funn som er omtalt når det gjelder sikring mot dataangrep i Nav, og vil se hen til Riksrevisjonens funn i framtidig styring av etaten. Statsråden orienterer om at etaten allerede har lukket eller er i ferd med å lukke flere av avvikene som Riksrevisjonen har avdekket i revisjonen. Noen av avvikene kan imidlertid bare delvis lukkes, eller vil ta tid å lukke, på grunn av systemenes alder og beskaffenhet. På disse områdene vil departementet be Arbeids- og velferdsdirektoratet sørge for at det er nødvendige kompenserende tiltak inntil nye systemer er på plass.

1.2.4 Anskaffelser av hjelpemidler i arbeids- og velferdsetaten (Arbeids- og sosialdepartementet)

Riksrevisjonen finner det kritikkverdig at arbeids- og velferdsetaten (Nav) ikke har god nok oppfølging av grunnleggende prinsipper i anskaffelsesregelverket om blant annet konkurranse ved anskaffelse av hjelpemidler. Nav har gjennomført flere direkteanskaffelser av hjelpemidler for beløp vesentlig over terskelverdien uten at anskaffelsene er kunngjort eller konkurranseutsatt. Nav har i 2017 forlenget 7 av 13 rammeavtaler for anskaffelse av hjelpemidler ut over avtalt opsjonstid. Dette bryter med lov om offentlige anskaffelser (anskaffelseslovens) grunnleggende prinsipper om konkurranse, likebehandling og forutberegnelighet. Det er svakheter i IKT-støtten som skal sikre god internkontroll. Etaten har ikke egnede IKT-verktøy for å ta ut rapporter som gir en fullstendig oversikt over hvor mye som anskaffes gjennom rammeavtaler, og hva som anskaffes som direktekjøp.

Statsråden uttaler at det er viktig at anskaffelsesregelverket følges. Statsråden er derfor ikke tilfreds med at Riksrevisjonen finner at det i 2017 er anskaffet hjelpemidler for store summer uten konkurranse. Statsråden viser til at Arbeids- og velferdsdirektoratet har som mål at ny anskaffelse skal være gjennomført og kontrakt signert før utløpet av den gjeldende rammeavtalen. Statsråden opplyser videre at Arbeids- og velferdsdirektoratet på bakgrunn av revisjonen har forsterket den manuelle kontrollen av at leverandørene fakturerer i henhold til kontraktbetingelsene.

Statsråden opplyser for øvrig at direktoratet har startet et utviklingsarbeid for digitalisering av hjelpemiddelområdet.

1.2.5 Uførereformen 2015 (Arbeids- og sosialdepartementet)

Et sentralt mål i uførereformen er at flere uføre skal kombinere arbeidsinntekt med trygd. Videre er det et mål å øke bruken av gradert uføretrygd, slik at flest mulig kan opprettholde en tilknytning til arbeidslivet. Undersøkelsen viser at det ikke har blitt flere uføretrygdede i arbeid, og at arbeids- og velferdsetaten treffer færre vedtak om gradert uføretrygd etter innføringen av uførereformen 1. januar 2015.

I sin styring og oppfølging av etaten har Arbeids- og sosialdepartementet hatt lite oppmerksomhet på at målene i uførereformen nås, og departementet har i liten grad konkretisert eller videreformidlet målene for uførereformen i styringsdialogen med Arbeids- og velferdsdirektoratet. Nav-kontorene gir i varierende grad bistand til uføretrygdede som oppsøker etaten med ønske om å kombinere trygd med arbeid. Undersøkelsen viser videre at flertallet av de uføretrygdede får lav økonomisk uttelling ved å utnytte restarbeidsevnen sin, slik at de i praksis vil kunne komme dårligere ut økonomisk ved å øke arbeidsinnsatsen sin. Direktoratet har ikke konkretisert eller videreformidlet kravet om økt andel uføretrygdede i arbeid som Arbeids- og sosialdepartementet satte i tildelingsbrevet for 2016. Videre har direktoratet ikke etterspurt rapportering om måloppnåelse, og det har i liten grad innhentet informasjon om hvordan det arbeides i etaten for å nå målene med uførereformen. Riksrevisjonen mener det er alvorlig at arbeids- og velferdsetaten (Nav) ikke har lagt godt nok til rette for at flest mulig kan opprettholde en tilknytning til arbeidslivet ved overgang til uføretrygd, og dermed få utnyttet restarbeidsevnen sin.

Statsråden uttaler at Riksrevisjonens undersøkelse gir nyttig kunnskap i det videre arbeidet med arbeids- og velferdsforvaltningens gjennomføring av den arbeidsrettede bistanden. Samtidig mener statsråden at Riksrevisjonen bør være varsom med å tolke funnene dithen at uførereformen ikke har hatt noen effekt, og understreker at det vil kunne ta tid før de uføretrygdede tilpasser seg de nye reglene.

Statsråden er videre av den oppfatning at Riksrevisjonen har lagt til grunn en for bred fortolkning av målene med reformen, og mener at hovedhensikten med de sentrale føringene i uførereformen er endringer i regelverket. Riksrevisjonen deler ikke denne oppfatningen og fastholder at Stortingets mål i Innst. 80 L (2011–2012) om økt yrkesdeltakelse blant uføretrygdede ikke er nådd, og at Arbeids- og velferdsdirektoratet ikke har fulgt opp Stortingets mål godt nok.

1.2.6 Styringssystem for informasjonssikkerhet i Arbeidstilsynet (Arbeids- og sosialdepartementet)

Riksrevisjonen finner det kritikkverdig at Arbeidstilsynet ikke har et styringssystem for informasjonssikkerhet som fullt ut er i samsvar med forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) § 15 og lov om behandling av personopplysninger (personopplysningsloven). Arbeidstilsynet har ikke gjennomført risikovurderinger, og styringssystemet for informasjonssikkerhet definerer ikke hvordan arbeidet skal evalueres og forbedres. Arbeidstilsynet har ikke stilt krav om eller beskrevet hvordan viktige sikkerhetstiltak skal gjennomføres og følges opp, og har heller ikke gjennomført og fulgt opp tiltak i henhold til beste praksis. Manglende sikring av informasjon kan føre til uheldige konsekvenser for enkeltpersoner, samfunnet og/eller skade omdømmet til virksomheten.

Statsråden uttaler at departementet, i styringsdialogen med Arbeidstilsynet, vil legge forsterket vekt på å følge opp arbeidet med informasjonssikkerheten i etaten.

Oppfølging og utbedring av de svakhetene som er avdekket gjennom revisjonen, vil inngå som en del av dette.

1.2.7 Kvalitetssikring av omsorgssentre for enslige mindreårige asylsøkere under 15 år (Barne- og likestillingsdepartementet)

Riksrevisjonen ser alvorlig på at Barne-, ungdoms- og familiedirektoratet (Bufdir) og Helsetilsynet ikke har sikret at det gjennomføres kvalitetskontroller og tilsyn med omsorgssentrene for enslige mindreårige asylsøkere under 15 år i samsvar med kravene i lov og forskrifter. Det gjennomføres ikke et tilstrekkelig antall kvalitetskontroller og meldte og uanmeldte tilsyn med omsorgssentrene. Det gjennomføres ikke i tilstrekkelig grad enkeltsamtaler med barn for å ivareta deres interesser. Manglende metodikk, mangelfull dokumentasjon og manglende oppfølging av kvalitetskontroller og tilsyn sikrer ikke tilstrekkelig informasjon om kvaliteten i tilbudet til barn som bor på omsorgssentrene.

Statsråden uttaler at Riksrevisjonens konklusjoner er basert på en undersøkelse av Barne-, ungdoms- og familieetatens (Bufetat) etterfølgende kontroll. Statsråden påpeker at Bufetat ivaretar kvalitet i omsorgssentre på andre måter. Barne- og likestillingsdepartementet skisserer flere tiltak som vil bli iverksatt og fulgt opp i den videre styringsdialogen med Bufdir og Helsetilsynet.

Riksrevisjonen er kjent med at Bufetat har flere virkemidler for å ivareta kvaliteten i omsorgssentrene. Riksrevisjonen vil allikevel understreke viktigheten av at det gjennomføres en årlig etterfølgende kontroll for å sikre at disse virkemidlene virker etter hensikten, og at barn i en sårbar situasjon får den kvalitet i omsorgen som de har krav på.

1.2.8 Styringssystem for informasjonssikkerhet i fylkesnemndene for barnevern og sosiale saker (Barne- og likestillingsdepartementet)

Riksrevisjonen finner det kritikkverdig at fylkesnemndene ikke har et styringssystem for informasjonssikkerhet som oppfyller kravene i forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften), og som ivaretar kravene i lov om behandling av personopplysninger (personopplysningsloven). Fylkesnemndene har ikke stilt krav til, fulgt opp eller evaluert informasjonssikkerheten i tjenester som er satt ut til eksterne. Viktige sikkerhetstiltak som blant annet skal forhindre uautorisert bruk av informasjonssystemet, er ikke gjennomført av tjenesteleverandøren i henhold til beste praksis. Fylkesnemndene følger ikke opp at sikkerhetstiltak gir tilfredsstillende informasjonssikkerhet.

Statsråden opplyser at departementet vil sørge for at Riksrevisjonens funn blir fulgt opp i fylkesnemndenes videre arbeid, og vil sikre at rutiner og systemer er på plass slik at informasjonssikkerheten blir ivaretatt på en god måte.

1.2.9 Sikring av personopplysninger i Direktoratet for økonomistyring (Finansdepartementet)

Riksrevisjonen mener det er sterkt kritikkverdig at Direktoratet for økonomistyring (DFØ) på flere områder ikke etterlever sentrale krav i lov om behandling av personopplysninger (personopplysningsloven) og forskrift om behandling av personopplysninger om sikring av personopplysninger i lønns- og personalsystemet SAP, som brukes i tjenesteleveransene. DFØ utfører månedlige lønnsutbetalinger for 79 000 ansatte i 171 statlige virksomheter. Dette øker risikoen for at personopplysninger kan komme på avveie eller misbrukes.

DFØ har ikke dokumentert oversikt over det samlede risikobildet for behandlingen av personopplysninger, og har dermed ikke et nødvendig grunnlag for å prioritere og sette i verk tiltak for å oppnå akseptabel informasjonssikkerhet. DFØs sikkerhetstiltak gir ikke tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i lønnssystemet.

Flere av sikkerhetstiltakene som er etablert for å sikre konfidensialitet, integritet og tilgjengelighet, er ikke i tråd med kravene i lov, forskrift eller anbefalinger i anerkjente standarder.

DFØs oppfølging av iverksatte tiltak og oppfølgingen av ekstern leverandør er også mangelfull. Revisjonen viser at DFØ mellom 2012 og 2018 ikke har gjennomført sikkerhetsrevisjoner eller etablert formalisert og systematisk rapportering fra leverandør for å forsikre seg om at sikkerhetskravene i personopplysningsloven etterleves.

Statsråden uttaler at departementet ser alvorlig på de svakhetene både denne og tidligere revisjoner av samme område i DFØ viser. Statsråden forventer, og vil følge opp, at direktoratet utvikler og vedlikeholder styringssystemer som gir en god og riktig avveining mellom effektiv drift og personopplysningslovens bestemmelser om forvaltning av personopplysninger.

Riksrevisjonen merker seg at statsråden er uenig i Riksrevisjonens forståelse av prinsippet om å begrense tilganger til tjenstlig behov. DFØ har ifølge statsråden tatt bevisste valg om hvem og hvor mange som ved en effektiv prosessorganisering skal ha tilgang til alle kundedata på alle klienter i SAP. Riksrevisjonens vurdering bygger imidlertid også på at det er flere miljøer enn ansatte i lønnsavdelingen som har omfattende tilganger til lønnssystemet SAP. Mange og omfattende tilganger er ikke i samsvar med beste praksis om å begrense tilganger til tjenstlige behov. Dette øker risikoen for uautorisert spredning av personopplysninger om statens ansatte og svekker informasjonssikkerheten.

1.2.10 Om skatteoppkreverfunksjonen – Finansdepartementet og Skattedirektoratets faglige styring og oppfølging (Finansdepartementet)

Riksrevisjonen finner det kritikkverdig at Finansdepartementet ikke har avklart hva som ligger i hjemmelen i lov om betaling og innkreving av skatte- og avgiftskrav (skattebetalingsloven) § 2-3 andre ledd om instruksjonsmyndighet.

Skattedirektoratet rapporterer i kontrollrapportene til Finansdepartementet for 2015 og 2016 om gjentatte pålegg til skatteoppkrevere som ikke følger retningslinjene for innkrevingsarbeidet eller ikke gjennomfører arbeidsgiverkontroll. Denne rapporteringen viser også at det kan være aktuelt å vurdere bruk av instruksjonsmyndigheten i slike tilfeller. Selv om Finansdepartementet og Skatteetaten ikke har direkte sanksjonsmuligheter overfor kommunene, kan det vurderes om det bør rapporteres om manglende resultater i skatteoppkreverfunksjonen til Kommunal- og moderniseringsdepartementet. Departementet har ansvaret for økonomiske og juridiske rammebetingelser for kommunesektoren, og skal bidra til at statens styring av kommunesektoren er samordnet, helhetlig og konsistent. Kommunal- og moderniseringsdepartementet har mulighet til sanksjonering med hjemmel i lov om kommuner og fylkeskommuner (kommuneloven) ved manglende etterfølgelse av instruksen.

Statsråden uttaler at årsaken til avvik i resultatoppnåelsen er organiseringen av skatteoppkreverfunksjonen, med delt ansvar mellom stat og kommune.

Finansdepartementet har tidligere lagt fram forslag om å overføre den kommunale skatteoppkreverfunksjonen til Skatteetaten, senest i Meld. St. 2 (2014–2015) Revidert nasjonalbudsjett 2015 og Prop. 1 LS (2015–2016). Forslaget ble ikke vedtatt av Stortinget.

Statsråden vil sørge for at Finansdepartementet vurderer om instruksjonsmyndigheten kan ha blitt tolket for snevert, og ha dialog med Kommunal- og moderniseringsdepartementet om kommuner som unnlater å utføre sine oppgaver etter skattebetalingsloven. Statsråden vil også følge opp Riksrevisjonens merknader i styringsdialogen med Skattedirektoratet og i det løpende arbeidet med å vurdere styringsparameterne for etaten.

1.2.11 Helse- og omsorgsdepartementet og Helsedirektoratets tilskuddsforvaltning (Helse- og omsorgsdepartementet)

Riksrevisjonen mener det er kritikkverdig at Helsedirektoratet i om lag halvparten av de tilskuddstildelingene som er undersøkt, ikke har dokumentert en vurdering av om målet med det enkelte tilskuddet er nådd. Videre mener Riksrevisjonen det er kritikkverdig at Helsedirektoratet ikke har innhentet regnskapsutskrifter fra de fleste av de undersøkte tilskuddsmottakerne. Dette medfører at Helsedirektoratet ikke har hatt nødvendig dokumentasjon til å vurdere om tilskuddsmidlene er brukt i tråd med Stortingets vedtak og forutsetninger. Revisjonen viser at det er gjennomført flere evalueringer av helse- og omsorgssektoren på oppdrag fra Helse- og omsorgsdepartementet og Helsedirektoratet, men at disse sjelden undersøker om tilskudd bidrar til å nå målene. Etter Riksrevisjonens vurdering burde rapporteringen til Stortinget i større grad omtale oppnådde resultater, og departementet kunne ha fulgt bedre opp at direktoratet utfører tilskuddsforvaltningen i tråd med regelverket.

Statsråden uttaler at departementet deler Riksrevisjonens vurderinger, og at det i styringsdialogen med Helsedirektoratet vil presisere at etaten må forbedre sine kontrollrutiner.

1.2.12 Politiets behandling av våpensaker (Justis- og beredskapsdepartementet)

Riksrevisjonen ser alvorlig på at politiet ikke har oversikt over et stort antall våpen. Politidistriktene gjennomfører for få kontroller av sivil oppbevaring hos våpeninnehavere og forhandlere til å ha grunnlag for å vurdere tilbakekall av våpenkort og bevillinger. Det ble i 2013/2014 innført et system for å fange opp bekymringsmeldinger fra etatens ansatte som gir grunn til å tro at våpeneier/-forhandler ikke lenger er egnet til å inneha skytevåpen/bevilling. Dette systemet fungerer ikke godt nok. Politidistriktene har videre ikke arbeidet systematisk for å sikre personopplysninger i nasjonalt våpenregister, og registeret har ikke en kvalitet som sikrer oppdatert og korrekt informasjon. Politidirektoratets styring og kontroll av politidistriktenes arbeid med våpensaker er mangelfull, og Justis- og beredskapsdepartementet har i etatsstyringen ikke fulgt opp at direktoratet har tilstrekkelig styring og kontroll på dette området.

Statsråden uttaler at departementet ser alvorlig på det som framkommer i Riksrevisjonens rapport, og peker på at revisjonsfunnene gir et meget godt grunnlag for forbedring av politiets våpenforvaltning.

1.2.13 Styringssystem for informasjonssikkerhet i Statens kartverk (Kommunal- og moderniseringsdepartementet)

Riksrevisjonen finner det kritikkverdig at Statens kartverk (Kartverket) ikke har et styringssystem for informasjonssikkerhet som fullt ut er i samsvar med forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) § 15 og lov om behandling av personopplysninger (personopplysningsloven). Kartverket har utarbeidet mål og prinsipper som definerer prosessene for arbeidet med informasjonssikkerhet og planleggingen av sikkerhetstiltak. Det er imidlertid ikke utarbeidet retningslinjer eller rutiner for klassifisering av informasjon. Kartverket har klassifisert informasjonssystemene de vurderer som kritiske, men vurderingene som ligger til grunn for klassifiseringen, er ikke dokumentert. Risikoanalysene for de kritiske systemene er ikke oppdatert slik styringssystemet krever.

Revisjonen av et utvalg viktige sikkerhetstiltak viser at Kartverket i varierende grad dokumenterer rutiner, prosedyrer eller lignende som beskriver hvordan sikkerhetstiltakene skal gjennomføres. Videre er det ikke dokumentert når og hvordan etterkontroll og evaluering av de enkelte sikkerhetstiltakene skal gjennomføres. En del av de tekniske tiltakene som skal være innført, er ikke gjennomført, eller er svakere enn beste praksis. Svakheter i sikkerhetstiltakene indikerer at Kartverkets styring ikke er tilstrekkelig, enten ved at svakhetene ikke er identifisert, eller ved at det ikke er iverksatt korrigerende tiltak.

Statsråden uttaler at selv om mye av Kartverkets sikkerhetsarbeid holder en høy standard, vil det legges vekt på en mer helhetlig oppfølgning av at eksisterende styringssystemer er i tråd med god praksis. Dette vil bli gjort ved å følge opp at Kartverket foretar jevnlige evalueringer og oppdateringer av sikkerhetstiltak og styringssystemet for øvrig, slik at de fungerer som forutsatt og er i tråd med regelverket for informasjonssikkerhet.

Departementet vil i styringsdialogen med Kartverket i 2018 og 2019 ha et særskilt fokus på at Kartverket ikke bare videreutvikler sine sikkerhetssystemer, men også gjennomgående følger opp disse og dokumenterer sitt arbeid.

1.2.14 Etats- og virksomhetsstyringen av Norsk filminstitutt (Kulturdepartementet)

Riksrevisjonen mener det er kritikkverdig at Norsk filminstitutts (NFI) virksomhetsstyring fortsatt har store mangler. NFI mangler tydelige prioriteringer og mål for virksomheten, et system for å måle resultater og ressursbruk, et velfungerende risikostyringssystem, tilstrekkelig styringsinformasjon og god internkontroll. Tilskuddsforvaltningen i NFI er lite effektiv og har svakheter når det gjelder innretning, sporbarhet og habilitet. Kulturdepartementet legger i sin oppfølgning for lite vekt på at NFI skal ha god intern styring og effektiv ressursbruk.

Statsråden uttaler at departementet på bakgrunn av Riksrevisjonens foreløpige rapport straks tok kontakt med NFI og ba dem om å rette opp i de mangler og svakheter som Riksrevisjonen bemerket i rapporten. Svakhetene er rettet opp, og departementet skal følge opp virksomhetsstyringen ved NFI videre i styringsdialogen med særlig fokus på intern kontroll og effektiv ressursbruk. Statsråden vil foreta en gjennomgang av tilskuddsordningene på filmområdet for å se om departementet når de filmpolitiske målsettingene som Stortinget har satt.

Riksrevisjonen har merket seg at statsråden opplyser at departementet har iverksatt flere tiltak for å rette opp de svakhetene som Riksrevisjonen har påpekt. Riksrevisjonen understreker viktigheten av at Kulturdepartementet forsikrer seg om at de iverksatte tiltakene retter opp disse manglene, og at departementet sørger for at det får tilstrekkelig informasjon om NFIs måloppnåelse og ressursbruk.

Riksrevisjonen har videre merket seg at statsråden vil foreta en gjennomgang av tilskuddsordningene på dette området. Etter Riksrevisjonens vurdering må departementet påse at tilskuddene bidrar til å nå målet om å styrke talentutviklingen, og sørge for at tilskuddsmidlene ikke lenger bindes opp i særordninger knyttet til de ulike formatene.

1.2.15 Kulturdepartementets oppfølging av Norges idrettsforbunds bruk av spillemidler (Kulturdepartementet)

Riksrevisjonen mener det er kritikkverdig at departementet ikke har sørget for at det i større grad får relevant informasjon fra Norges idrettsforbund (NIF), slik at de kan vurdere om viktige idrettspolitiske mål nås. NIFs styring og forvaltning har ikke lagt godt nok til rette for målrettet og effektiv bruk av spillemidlene, og en større andel av spillemidlene kunne ha blitt brukt til idrettslig aktivitet og til å ivareta medlemsorganisasjonene. Det er uklart om NIF når målene for prioriterte grupper.

Statsråden uttaler at Kulturdepartementet er godt i gang med oppfølgingen av NIF og har ingen merknader til Riksrevisjonens anbefalinger for det videre arbeidet.

Riksrevisjonen har merket seg at statsråden opplyser at departementet er godt i gang med oppfølgingen av NIF når det gjelder ressursutnyttelse, effektivisering og informasjon om måloppnåelse. Riksrevisjonen vil likevel understreke viktigheten av at Kulturdepartementet sørger for å få et bedre grunnlag for å vurdere hvordan tilskudd til NIF bidrar til å nå vesentlige idrettspolitiske mål.

1.2.16 Driftsleveranser av økonomisystemer til universitets- og høyskolesektoren (Kunnskapsdepartementet)

Riksrevisjonen finner det sterkt kritikkverdig at Kunnskapsdepartementet ikke har ivaretatt sitt overordnede ansvar for å sikre at økonomisystemene i universitets- og høyskolesektoren tilfredsstiller kravene til informasjonssikkerhet i gjeldende regelverk og anbefalte standarder – til tross for at flere av forholdene også ble påpekt i Dokument 1 (2016–2017).

Kunnskapsdepartementets heleide aksjeselskap Uninett AS og Universitetets senter for informasjonsteknologi (USIT), som er en sentral IT-enhet direkte underlagt Universitetet i Oslo (UiO), driftet i 2017 økonomisystemer for statlige universiteter og høyskoler. Departementet har ikke sikret oppdaterte driftsavtaler der oppgave- og ansvarsforhold, avtalt tjenestekvalitet og datasikkerhet er tilstrekkelig definert.

Leverandørene har i varierende grad gjennomført risiko- og sårbarhetsanalyser, og departementet har ikke gjennomført tilsyn for å sikre at leveransene er i henhold til behov og gjeldende regelverk. Departementet har videre ikke sikret at Uninett AS og USIT har tilfredsstillende sikkerhet i økonomisystemene.

Statsråden ser alvorlig på påpekte svakheter og mangler ved det generelle sikkerhetsnivået i universitets- og høyskolesektorens økonomisystemer. Statsråden forventer at tiltak med å fornye og videreutvikle avtaleverket mellom kunnskapssektoren og det nyopprettede Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning – skal løse de utfordringer Riksrevisjonen har tatt opp.

Riksrevisjonen understreker viktigheten av at påpekte mangler hos USIT også blir korrigert.

1.2.17 Utdanningsdirektoratets forvaltning av tilskudd til friskoler (Kunnskapsdepartementet)

Riksrevisjonen finner det kritikkverdig at nær 80 pst. av alle skoler der Utdanningsdirektoratet har identifisert høy risiko for at statstilskudd og skolepenger disponeres i strid med lov om frittståande skolar (friskoleloven), ikke har blitt fulgt opp av Utdanningsdirektoratet verken gjennom den etablerte tilsynsordningen eller på annen måte. Dette øker risikoen for at statstilskudd og skolepenger nyttes til andre formål enn skoledrift, og at elevene dermed ikke sikres et skoletilbud i henhold til friskoleloven.

Statsråden uttaler at Riksrevisjonen i sine vurderinger ikke har tatt hensyn til viktige forutsetninger i Utdanningsdirektoratets risikomodell. Statsråden mener derfor at Riksrevisjonen har lagt til grunn en for høy prosentandel av skoler med høy risiko som ikke følges opp. Statsråden mener at den løsningen som Riksrevisjonen anbefaler, vil kunne innebære en uhensiktsmessig bruk av tilsynsressursene og gå på bekostning av mer omfattende og detaljerte tilsyn med de aktørene som i årsregnskapskontrollen har høyest total risiko. Riksrevisjonen påpeker at selv om presiseringen av Utdanningsdirektoratets risikomodell legges til grunn for beregning av skoler med høy risiko, er det fortsatt nær 80 pst. av skolene som ikke følges opp.

1.2.18 Informasjonssikkerhet i forskningssystemer (Kunnskapsdepartementet)

Riksrevisjonen finner det kritikkverdig at det i tre kontrollerte universiteter/høyskoler er mangler ved dokumentasjonen av sentrale elementer i styringssystemet for informasjonssikkerhet. Manglene viser at de tre virksomhetene ikke etterlever flere av kravene som følger av lov om behandling av personopplysninger (personopplysningsloven) § 13 og forskrift om behandling av personopplysninger (personopplysningsforskriften). Revisjonen viser at virksomhetene følger lite opp at styringssystemene gir tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i forskningsprosjekter.

Statsråden uttaler at departementet er oppmerksom på at universitets- og høyskolesektoren fremdeles har utfordringer med å ferdigstille fyllestgjørende internkontroll og styring av informasjonssikkerhet. Departementet har iverksatt tiltak for å styrke kontrollen og styringen av informasjonssikkerhetsarbeidet i universitets- og høyskolesektoren. Dette vil gi departementet bedre grunnlag for å etatsstyre den enkelte virksomheten innen informasjonssikkerhet og personvern.

1.2.19 Etats- og virksomhetsstyringen av Kystverket (Samferdselsdepartementet)

Riksrevisjonen mener det er kritikkverdig at Samferdselsdepartementet ikke har fulgt opp at Kystverket har etablert et godt nok system for å måle og følge opp resultater av virksomheten. Kystverket har, med unntak for lostjenesten, i liten grad utviklet styringsinformasjon som kan belyse om driften er effektiv. Etaten har heller ikke etablert en samordnet og effektiv styring på områder der flere enheter deler ansvaret.

Statsråden uttaler at det er flere momenter i Riksrevisjonens rapport som Samferdselsdepartementet vil dra nytte av i arbeidet med å videreutvikle etats- og virksomhetsstyringen av Kystverket. Samferdselsdepartementet vil i tråd med Riksrevisjonens anbefalinger følge opp at Kystverket retter opp påviste feil og mangler, og at etaten har et oppdatert og velfungerende styringssystem. Videre vil departementet følge opp at styringsinformasjonen om Kystverkets resultater, måloppnåelse og effektivitet forbedres. Når det gjelder gjennomføringen av utbyggingsprosjektene, mener statsråden at Kystverkets vektlegging av pris og kvalitet i konkurranseutsettingen sikrer effektivitet.

Riksrevisjonen påpeker at undersøkelsen viser at det ikke er en systematisk oppfølging av effektiviteten i utbyggingsprosjektene, og at planunderlaget er svakt. Riksrevisjonen mener at et godt planunderlag er en forutsetning for at utbyggingsprosjektene kan gjennomføres effektivt og med god kvalitet. Etter Riksrevisjonens oppfatning er det behov for å bedre kvaliteten på planunderlagene, utvikle systematikken i oppfølgingen av utbyggingsprosjektene og utarbeide god styringsinformasjon.

1.3 Orientering om Riksrevisjonens revisjon av Sametingets tilskuddsforvaltning

Riksrevisjonen har revidert Sametingsrådets tilskuddsforvaltning for budsjettåret 2017. Revisjonen var en videreføring av en tilskuddsrevisjon i 2016 og omfattet alle Sametingets tilskuddsordninger. Målet med revisjonen var å kontrollere om Sametingsrådet etterlever kravene i økonomiregelverket i staten for å sikre at forvaltning og rapportering av tilskuddsmidler er i tråd med Sametingets vedtak og forutsetninger.

Revisjonens funn er rapportert til Sametingsrådet og presentert for Sametingets kontrollkomité. Riksrevisjonen finner det hensiktsmessig at også Stortinget orienteres om revisjonen og Riksrevisjonens funn.

Sametinget er ikke et underordnet organ av departementene, og er ikke underlagt instruksjons- og kontrollmyndighet fra regjeringen. Sametinget er delegert myndighet til å forvalte midlene som stilles til disposisjon for Sametinget over det årlige statsbudsjettet, jf. lov om Sametinget og andre samiske rettsforhold (sameloven) § 2-1 tredje ledd.

Sametinget mottar bevilgninger over ti ulike departementers budsjetter, og midlene fordeles av Sametinget i plenum og forvaltes ut fra Sametingets vedtak og forutsetninger. Sametingsrådet forvalter Sametingets budsjett og har blant annet ansvar for å fastsette regelverk og forvalte tilskudd i henhold til reglene i kapittel 6 i bestemmelser om økonomistyring i staten. Bevilgningene til Sametinget utgjorde i 2017 litt over 458 mill. kroner, hvorav bevilgede tilskuddsmidler utgjorde ca. 304 mill. kroner. Tilskuddsmidlene er viktige for at den samiske folkegruppen i Norge kan sikre og utvikle sitt språk, sin kultur og sitt samfunnsliv, slik formålet er etter sameloven § 1-1.

Riksrevisjonens kontroll viser at det er svakheter ved Sametingsrådets utforming og forvaltning av tilskuddsordningene. Utformingen av regelverkene gjør at de fleste tilskuddsordningene ikke sikrer at resultatene er forankret i Sametingets mål med bevilgningene. Det er i få tilfeller en tydelig sammenheng mellom mål, kriterier for måloppnåelse og rapporteringskrav i regelverkene for ordningene. Det stilles i liten grad rapporteringskrav til tilskuddsmottaker som gir relevant resultatinformasjon.

Svakhetene i utformingen av tilskuddsregelverkene fører til at Sametingsrådet i mange tilfeller ikke etterspør informasjon om oppfyllelse av Sametingets mål med ordningen. For en del av ordningene blir det hentet inn resultatinformasjon gjennom rapporteringsskjemaer og/eller andre kilder. Informasjonen blir i liten grad sammenstilt som grunnlag for rapportering til Sametinget for å belyse måloppnåelsen for den enkelte tilskuddsordningen. Det blir rapportert til Sametinget om måloppnåelse og resultater for kun en tredjedel av ordningene.

Riksrevisjonens konklusjon er at ordningene ikke er innrettet på en slik måte at Sametingets mål tas hensyn til gjennom hele tilskuddsforvaltningen.

1.4 Komiteens generelle merknader

Komiteen, medlemmene fra Arbeiderpartiet, lederen Dag Terje Andersen, Eva Kristin Hansen og Magne Rommetveit, fra Høyre, Svein Harberg og Bente Stein Mathisen, fra Fremskrittspartiet, Mazyar Keshvari og Ulf Leirstein, fra Senterpartiet, Nils T. Bjørke, fra Sosialistisk Venstreparti, Torgeir Knag Fylkesnes, og fra Kristelig Folkeparti, Hans Fredrik Grøvan, viser til at Riksrevisjonen har revidert statsregnskap, herunder regnskapet for administrasjonen av Svalbard, alle regnskaper avlagt av statlige virksomheter og andre myndigheter som er regnskapspliktige til staten, samt gitt en orientering om revisjon av Sametingets tilskuddsforvaltning for regnskapsåret 2017.

Komiteen registrerer at resultatet av den finansielle revisjonen viser at regnskapene i hovedsak er korrekt avlagt, og er tilfreds med at Riksrevisjonen kun har avdekket vesentlige feil i 5 av 217 regnskaper i 2017.

Komiteen viser til sine merknader under de enkelte kapitler, men vil innledningsvis fremheve noen forhold som krever særlig oppmerksomhet.

Komiteen har merket seg at Riksrevisjonen også under revisjonen, jf. Dokument 1 (2018–2019), har avdekket en rekke svakheter ved informasjonssikkerheten. Dette er påtalt gjennom flere år, og revisjonen for 2017 viser at dette fortsatt er et område med utfordringer, selv for store og dataintensive statlige virksomheter. Det pekes spesielt på svakheter ved informasjonssikkerheten i Arbeids- og velferdsetaten, Arbeidstilsynet, i fylkesnemndene for barnevern og sosiale saker, ved sikringen av personopplysninger i Direktoratet for økonomistyring, i Statens kartverk og i forskningssystemene. Komiteen vil understreke at mangelfull styring og oppfølging av informasjonssikkerhet er sterkt kritikkverdig. Sensitiv informasjon, også personopplysninger, kan komme på avveie. Viktige tjenester for samfunnet kan settes ut av funksjon. Komiteen viser til at forholdet også ble kommentert under behandlingen av Dokument 1 for regnskapsåret 2016 og forutsetter at regjeringen nå får fortgang i arbeidet for å sikre informasjons- og datasikkerheten. Komiteen ber om å bli holdt orientert om fremdriften gjennom Dokument 1 for regnskapsåret 2018.

Komiteen har merket seg at Riksrevisjonen finner grunn til å kritisere Navs oppfølging av prinsippene i anskaffelsesregelverket ved anskaffelse av hjelpemidler, og at målet i uførereformen om at flere uføre skal kunne kombinere arbeidsinntekt og trygd, ikke nås. Komiteen har også merket seg Riksrevisjonens påpeking av manglende kvalitetssikring av omsorgssentrene for mindreårige asylsøkere. Dette er en særlig sårbar gruppe. Komiteen deler Riksrevisjonens bekymring og vil understreke viktigheten av jevnlige kontroller med tilbudet. Komiteen ber om å bli holdt orientert om oppfølgingen.

Komiteen finner det alvorlig at politiet ikke har oversikt over et stort antall våpen, og at kvaliteten på det nasjonale våpenregisteret er beheftet med betydelige svakheter. Komiteen forventer at Justis- og beredskapsdepartementet iverksetter nødvendige tiltak og ber om å bli holdt orientert om utviklingen.

Komiteen viser til at Riksrevisjonen i revisjonen for budsjettåret 2016 påpekte vesentlige svakheter i politiets behandling og oppfølging av beslag i straffesaker. Komiteen imøteser Riksrevisjonens vurdering av status for arbeidet med å sikre gode rutiner for registrering, behandling og oppfølging.

Komiteen viser også til at Riksrevisjonen under behandlingen av den årlige revisjon og kontroll for budsjettåret 2016 ikke kunne uttale seg om regnskapene til Forsvaret og Forsvarsmateriell. Komiteen har merket seg at Riksrevisjonen for 2017 har gitt modifiserte beretninger for Forsvaret og Forsvarsmateriell. Komiteen konstaterer at opprettelsen av Forsvarsmateriell fremstår som svært dårlig forberedt, og forutsetter å bli holdt orientert om utviklingen.

Komiteen noterer at det er avdekket betydelige feil og mangler i økonomisystemene i universitets- og høyskolesektoren, og forutsetter at departementet umiddelbart setter i verk tiltak for å bøte på dette. Videre viser komiteen til at Riksrevisjonens undersøkelse av Utdanningsdirektoratets forvaltning av tilskuddsordningen til friskoler har avdekket at statstilskudd og skolepenger disponeres i strid med friskoleloven. Komiteen registrerer at statsråden ikke finner det hensiktsmessig å endre rutinene for kontroll- og tilsynsvirksomhet, men komiteen forutsetter imidlertid at departementet vil følge opp Riksrevisjonens kritikk og imøteser tilbakemelding både fra statsråden til Stortinget og fra Riksrevisjonen i Dokument 1.

Komiteen registrerer at Riksrevisjonen har kritiske merknader til forhold under Samferdselsdepartementet. Departementet har blant annet mottatt revisjonsberetning med forbehold, relatert til kapitalforhøyelse med en milliard kroner i Nye Veier AS. Videre er det påpekt at Kystverket ikke har et godt nok system til å måle og følge resultatene av virksomheten.

Komiteen viser til at Riksrevisjonen har revidert Sametingsrådets tilskuddsforvaltning for 2017, i tråd med Sametingets vedtak og avtalt prosedyre. Revisjonen er rapportert til Sametinget, og Riksrevisjonen har funnet det hensiktsmessig at også Stortinget orienteres om revisjonen og funn. Sametingsrådet forvalter Sametingets budsjett og har blant annet ansvar for å fastsette regelverk og tilskudd i henhold til reglene i kapittel 6 i bestemmelser om økonomistyring i staten.

Komiteen har merket seg at revisjonen viser at det er svakheter ved Sametingsrådets utforming og forvaltning av tilskuddsordningene.

Utformingen av regelverkene gjør at de fleste tilskuddsordningene ikke er forankret i Sametingets mål med bevilgningene. Komiteen viser til at Riksrevisjonen påpekte samme svakheter ved tilskuddsordningene ved behandlingen av årsregnskapet for budsjettåret 2016, men uten at Sametingsrådet har truffet tiltak for å rette opp manglene. Komiteen forutsetter at Riksrevisjonen følger opp saken.