Komiteen viser til Riksrevisjonens revisjon og kontroll av Fornyings-, administrasjons- og kirkedepartementet og dets underliggende virksomheter. Komiteen har merket seg at det er avgitt 42 avsluttende revisjonsbrev uten merknad og to avsluttende revisjonsbrev med merknad til Departementenes servicesenter og Opplysningsvesenets fond.

Risikostyring ved fylkesmannsembetene

Komiteen viser til at statlige virksomheter ble pålagt å innføre risikostyring i 2003. Revisjonen av fylkesmannsembetenes regnskaper for 2010 viser at flere embeter ikke har etablert risikostyring som en integrert del av mål- og resultatstyringen. Konsekvensen av manglende risikostyring kan være økt fare for redusert måloppnåelse i forhold til Stortingets forutsetninger og lite effektiv bruk av statlige midler, samt brudd på lover og regler.

Komiteen påpeker at Fornyings-, administrasjons- og kirkedepartementet har et særlig ansvar for blant annet å påse at fylkesmannsembetene etablerer et system for risikostyring, og for at bestemmelsene i økonomireglementet blir fulgt. Departementet har videre ansvar for å følge opp risikostyring av felles virksomhetskritiske faktorer, men det er fagdepartementenes ansvar å følge opp innenfor sine respektive fagområder. I tildelingsbrevet for 2011 har departementet stilt krav om at fylkesmannsembetene jevnlig foretar risiko- og sårbarhetsanalyser, og at de avgir konkret rapportering av risikostyringen. Departementet opplyser at risikostyring er tatt opp i ledersamtaler i 2011. Hvis dette ikke følges opp på en tilfredsstillende måte vil departementet iverksette ytterligere tiltak. Hvert år siden 2005 har Riksrevisjonen i den årlige rapporteringen til Stortinget påpekt svakheter ved styringen av fylkesmannsembetene. Kontroll- og konstitusjonskomiteen har uttalt at den har merket seg svakhetene som Riksrevisjonen har påpekt.

Riksrevisjonen finner det kritikkverdig at For-nyings-, administrasjons- og kirkedepartementet ennå ikke har sikret at alle fylkesmannsembetene har etablert risikostyring som en integrert del av mål- og resultatstyringen. Komiteen deler dette syn og forutsetter at departementet følger opp de tiltak som er skissert, og at det sikrer at innføring av risikostyring blir prioritert ved alle fylkesmannsembeter.

Departementenes servicesenter

Komiteen har merket seg at det i Dokument 1 rapporteres at Departementenes servicesenter (DSS) har foretatt innkjøp av varer og tjenester som overstiger kr 500 000 per leverandør uten at det er gjennomført konkurranse, og at det for flere av disse anskaffelsene heller ikke foreligger skriftlig avtale. Riksrevisjonen har merket seg at DSS har iverksatt tiltak for å få bedre kontroll med anskaffelsene og sikre bedre kontraktsforvaltning. Riksrevisjonen har videre merket seg at Fornyings-, administrasjons- og kirkedepartementet påpeker viktigheten av god intern kontroll, og at organisatoriske tiltak for å styrke den interne kontrollfunksjon vil bli vurdert i samråd med DSS. Komiteen ber om at det påses at etablerte tiltak får ønsket effekt.

Komiteen viser til at DSS er et administrativt serviceorgan som leverer tjenester til departementene og til Statsministerens kontor, blant annet all ikt-drift i 13 departementer. DSS har for 2010 fortsatt vesentlige mangler på informasjonssikkerhetsområdet, til tross for påpekninger fra Riksrevisjonen i Dokument 1 (2010–2011). Fornyings-, administrasjons- og kirkedepartementet har også konkludert med at det i 2010 ikke er skjedd vesentlige forbedringer av informasjonssikkerheten i DSS.

Kontroll- og konstitusjonskomiteen har i brev av 20. desember 2011 tatt denne problemstillingen opp med statsråden og stilt følgende spørsmål:

«Riksrevisjonen er sterkt kritisk til at DSS fortsatt har vesentlige mangler på informasjonssikkerhetsområdet, og ser alvorlig på at Fornyings-, administrasjons- og kirkedepartementet ikke har sikret at infrastrukturen som departementene benytter har tilfredsstillende sikkerhet. Hva vil statsråden gjøre for å sikre at dette kommer på plass?»

I sitt svar sier statsråden:

«Med bakgrunn i Riksrevisjonens sterke kritikk engasjerte Fornyings-, administrasjons og kirkedepartementet (FAD) høsten 2010 Nasjonal Sikkerhetsmyndighet (NSM) til å foreta omfattende tester av datasikkerheten i DSS. NSM avga sin rapport til FAD i desember 2010. Rapporten avdekket i likhet med rapporten fra Riksrevisjonen betydelige mangler og svakheter. Som en følge av dette ble det fra januar 2011 igangsatt et omfattende arbeid med utbedring av datasikkerheten i DSS.

Arbeidet er delt i to deler, et eget program som gjelder «Forbedring av teknisk IKTsikkerhet i DSS» (FIKS), og etablering av et nytt Styringssystem for informasjonssikkerhet (SSIS).

I arbeidet med FIKS har FAD også engasjert en ekstern konsulent (Ernst & Young) for å bistå med kvalitetssikringen av arbeidet. Som en del av dette arbeidet har DSS utarbeidet en liste over de avdekkede svakhetene, med tidsplan og konkrete utbedringstiltak. Kvalitetssikrer rapporterte løpende gjennom 2011 til FAD om framdriften i utbedringsarbeidet. FIKS er nå på det nærmeste ferdigstilt.

Jeg vil motta sluttrapporter om resultatet av FIKS både fra DSS og Ernst & Young i første halvår 2012.

Arbeidet med SSIS har dessverre blitt noe forsinket som følge av hendelsene 22. juli 2011, da DSS har vært nødt til å prioritere oppgaver knyttet til etablering av IKT- tjenester for de departementene som ikke lenger har lokaler i Regjeringskvartalet.

Arbeidet med SSIS vil derfor pågå i hele 2012.

Regjeringen vedtok for øvrig den 6. juni 2011 å utrede en ny IKT-løsning for departementsfellesskapet som kan håndtere ugradert og gradert informasjon opp til BEGRENSET. Løsningen skal kunne tilbys alle departementer og SMK i samsvar med deres individuelle behov. Utredningsarbeidet ble ledet av FAD gjennom en egen arbeidsgruppe, og med en styringsgruppe på høyt nivå hvor JD, FD, FIN, UD, AD og OED deltok.

Jeg fikk arbeidsgruppens rapport overlevert i desember 2011, og denne saken vil bli fulgt opp i 2012 basert bl.a. på de råd og anbefalinger som ligger i rapporten.»

Komiteen ber om at Stortinget blir orientert om fremdriften i dette arbeidet på egnet måte.

Opplysningsvesenets fond

Komiteen viser til at Opplysningsvesenets fond (Ovf) forvalter fast eiendom og finanskapital som skal komme Den norske kirke til gode. Eiendomsforvaltning skjer blant annet gjennom datterselskaper.

Riksrevisjonen har påpekt en rekke forhold av betydning når det gjelder Ovf. Dette ble også tatt opp i komiteens brev til statsråden. Komiteen satte særlig fokus på at et helhetlig system for risikostyring ikke er etablert og at nødvendige retningslinjer for aktiviteten i datterselskapene ikke foreligger. Riksrevisjonen finner det videre kritikkverdig at departementets varslede gjennomgang av rammeverket ikke er ferdigstilt.

I statsrådens svar fremkommer det at det vesentligste av fondets aktiviteter vil være omfattet av et helhetlig system for risikostyring i 2012, og departementet stiller krav til Ovf om dette i tildelingsbrevet for 2012. Når det gjelder forhold som angår fondets rammeverk og retningslinjer for styring og oppfølging av datterselskaper, opplyses det at departementet arbeider med en revisjon av hovedinstruksen for Ovf. Hovedinstruksen, som fastsettes av departementet, trekker opp overordnede retningslinjer og rammer for forvaltningen av fondet. Med bakgrunn i hovedinstruksen fastsetter fondets styre underliggende instrukser og retningslinjer. Formålet med den pågående revisjonen av instruksverket er bl.a. å presisere rolle- og ansvarsfordelingen mellom departementet og styret bedre. Også forhold som gjelder risikostyring og styring og kontroll av datterselskaper inngår i instruksarbeidet.

Komiteen imøteser at revidert hovedinstruks for Ovf blir ferdigstilt i løpet av våren 2012.

Komiteen har også tatt opp etterlevelse av anskaffelsesregelverket ved kjøp av konsulenttjenester. Komiteen er tilfreds med at Ovf fra høsten 2011 har tatt initiativ til å konkurranseutsette de ak-tuelle IKT-tjenestene i tråd med kravene i anskaffelsesregelverket.

Komiteen vil bemerke at mangler ved internkontrollen i Ovf er en gjenganger i Dokument 1. Det er alvorlig at Ovf fortsatt har svakheter knyttet til internkontroll og dokumentasjon av regnskapsopplysninger, til tross for at tiltak er iverksatt. Riksrevisjonen har merket seg at Fornyings-, administrasjons- og kirkedepartementet nå vil påse at tiltak for å bedre internkontrollen får nødvendig prioritet. Komiteen er tilfreds med dette.

Komiteen er tilfreds med at Riksrevisjonen melder at det gjennomføres en forvaltningsrevisjon om forvaltning av eiendomsmassen i universitets- og høgskolesektoren.