3. Antegnelser desidert "Til observasjon" som anses for avsluttet - Statsregnskapet 2002
I antegnelsene til statsregnskapet for 2002 tok Riksrevisjonen opp flere mangler ved Forsvarets regnskap for 2002. Blant annet fant Riksrevisjonen det kritikkverdig at Forsvarets regnskap tredje året på rad hadde betydelige mangler innenfor områdene lønn, lager og anskaffelser, jf. Dokument nr. 1 (2003-2004), Innst. S. nr. 143 (2003-2004) og Stortingets behandling 11. mars 2004.
Av innstillingen fra kontroll- og konstitusjonskomiteen fremgår det at komiteen ser alvorlig på de forholdene revisjonen har avdekket. Komiteen finner det også uheldig at Riksrevisjonens påpekninger fra tidligere år ikke er fulgt opp i regnskapet for 2002.
Forsvarsdepartementet har i brev av 2. august 2004 redegjort for en rekke tiltak som er satt i verk innenfor de enkelte områdene. Det er de siste årene også blitt gjennomført betydelige organisasjonsendringer som sammen med innføring av nytt regnskapssystem og ny rammekontoplan har stor innvirkning innenfor de områdene Riksrevisjonen påpekte for 2002-regnskapet. Departementet presiserer at i de siste to årene er oppfølging av antegnelser fra Riksrevisjonen i økende grad satt i fokus, jf. etableringen av en egen handlingsplan for oppfølging av Riksrevisjonens saker som har blitt en integrert del av Forsvarsdepartementets styringsdialog med underlagte etater. Departementet har videre besluttet å styrke sin kapasitet knyttet til oppfølging av Riksrevisjonens saker fra høsten 2004.
Riksrevisjonen har ikke godkjent Forsvarets regnskap for 2003. Blant annet har revisjonen av regnskapet avdekket at Forsvaret fortsatt ikke har kontroll med lønnsutbetalinger, rutiner på plass ved anskaffelser og tilstrekkelig egenkontroller med lagrene. Forholdene er omtalt i antegnelsene til statsregnskapet for 2003.
Saken vedrørende regnskapet for 2002 anses for avsluttet.
I antegnelsene til statsregnskapet for 2002 tok Riksrevisjonen opp at Forsvarsbygg foretar anskaffelser for betydelige beløp i strid med gjeldende lover og regler for offentlige anskaffelser, jf. Dokument nr. 1 (2003-2004), Innst. S. nr. 143 (2003-2004) og Stortingets behandling 11. mars 2004.
Kontroll- og konstitusjonskomiteen fant det kritikkverdig at Forsvarsbygg ikke følger regelverket for offentlige anskaffelser, og understreket viktigheten av at Forsvarsbygg som en stor aktør i markedet, opptrer på en korrekt måte.
Forsvarsdepartementet har i brev av 2. august 2004 opplyst at de har iverksatt tiltak og har gitt forholdene økt oppmerksomhet gjennom en egen handlingsplan og i styringsdialogen med Forsvarsbygg.
Riksrevisjonen har merket seg departementets oppfølging av de anmerkede forholdene og vil følge opp saken i den løpende revisjonen.
Saken anses for avsluttet.
Komiteen viser til de alvorlige mangler som ble avdekket i Forsvarsdepartementets regnskap for 2002, herunder kritikkverdige forhold i tilknytning til lønn, lager og anskaffelser. Stortinget er ved flere anledninger blitt orientert om tiltak for å bedre forholdene og det er gitt uttrykk for at alt er under kontroll.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Sosialistisk Venstreparti,konstaterer at iverksatte tiltak ikke har hatt forutsatt effekt og at Stortinget på forsvarsområdet ikke har fått dekkende informasjon om den økonomiske styringen.
Komiteen tar imidlertid til etterretning at Riksrevisjonen anser antegnelsen for statsregnskapet for 2002 som avsluttet og viser til merknader under Forsvarsdepartementet i Dokument nr. 1 (2004-2005).
I antegnelse til statsregnskapet for 2002 tok Riksrevisjonen opp mangler ved den generelle IKT-sikkerheten ved Brønnøysundregistrene, jf. Dokument nr. 1 (2003-2004), Innst. S. nr. 143 (2003-2004) og Stortingets behandling 11. mars 2004. Riksrevisjonen konstaterte at en rekke svakheter vedrørende den generelle IKT-sikkerheten som ble avdekket i 2001, ennå ikke var tilfredsstillende rettet opp.
I innstillingen viste kontroll- og konstitusjonskomiteen til at Brønnøysundregistrene forvalter enorme mengder informasjon om norske borgere og foretak. Komiteen fant det derfor kritikkverdig at den interne datasikkerheten ved registrene ikke hadde hatt høyeste prioritet. Komiteen viste til at registrene har vært i virksomhet i mange år, og fant grunn til å kritisere at det først var kommet fortgang i arbeidet for å bedre datasikkerheten etter påtrykk fra Riksrevisjonen. Komiteen forutsatte at den skisserte tidsplanen for arbeidet ble overholdt.
I brev av 28. juli 2004 til Riksrevisjonen opplyser Nærings- og handelsdepartementet at det sommeren 2003 ble igangsatt et prosjekt for utarbeidelse av en sikkerhets- og beredskapsplan for Brønnøysundregistrene. Risiko- og sårbarhetsanalyse knyttet til Brønnøysundregistrenes operative drift og samfunnsbetydning avdekket at brudd på integritet og tilgjengelighet er de faktorene som anses som mest sentrale og gir størst konsekvenser for Brønnøysundregistrene i form av tap av tillit og omdømme i markedet, direkte økonomisk tap og juridiske konsekvenser. I tillegg har man vurdert de samfunnsmessige konsekvensene ved bortfall av registrenes tjenester. På denne bakgrunn er det etablert et klart ambisjonsnivå for sikkerhets- og beredskapsarbeidet ved Brønnøysundregistrene. Prosjektet ble ferdigstilt av styringsgruppen i juni 2004. Nærings- og handelsdepartementet opplyser videre at det av prosjektets sluttdokumenter fremgår hvilke tiltak som må gjennomføres for å nå det anbefalte ambisjonsnivået for sikkerhets- og beredskapsarbeidet.
Riksrevisjonen har mottatt sluttdokumentene for de gjennomførte prosjektene og fått ytterligere informasjon i møter med Brønnøysundregistrene.
Riksrevisjonen konstaterer at Brønnøysundregistrene gjennom prosjekt "Sikkerhet- og beredskapsplan" har utarbeidet en beredskapsorganisasjon, etablert en krise- og beredskapsplan og håndbok for informasjonssikkerhet. Brønnøysundregistrene har opplyst at deres anbefalinger på tiltaksplan, beredskapsnivå og risikonivå sammen med budsjettkonsekvenser er planlagt oversendt til Nærings- og handelsdepartementet i løpet av høsten 2004. Riksrevisjonen har merket seg at det fortsatt gjenstår en del tiltak og investeringer for å etablere et akseptabelt risiko- og beredskapsnivå.
Gjennom prosjekt "Sikkert DBMS" har Brønnøysundregistrene nedlagt et betydelig arbeid med å etablere et rammeverk for regulering av tilgangen til databasestyringssystemet (DBMS). I tillegg har Brønnøysundregistrene etablert et faglag med ansvar for utarbeidelse og oppfølging av IT-sikkerhet, herunder "Sikkert DMBS". De etablerte tiltakene har bidratt til økt IT-sikkerhet ved Brønnøysundregistrene. Riksrevisjonen har merket seg at Brønnøysundregistrene ser behov for fortsatt videreutvikling og oppfølging av "sikkert DBMS", herunder viktigheten av at det avsettes tilstrekkelige ressurser til å ivareta og overvåke IT-sikkerheten.
Riksrevisjonen er så langt tilfreds med de tiltakene som er iverksatt, og vil følge opp forholdene i den løpende revisjonen.
Saken anses for avsluttet.
Komiteen viser til tidligere bekymringer med hensyn til rutiner for datasikkerhet og vil uttrykke tilfredshet med at det er nedlagt et betydelig arbeid for å bedre situasjonen.
Komiteen vil understreke viktigheten av at behandling av personopplysninger blir underlagt strenge sikkerhetskrav og antar at Riksrevisjonen vil gi en særlig tilbakemelding om arbeidet for å optimalisere sikkerheten i forbindelse med statsregnskapet for 2004.