1. Beretning om revisjonen av statsregnskapet og regnskapet for administrasjonen av Svalbard
- 1.1 Sammendrag
- 1.1.1 Riksrevisjonens merknader
- Varierende kvalitet på presentasjonen av regnskapstall etter nye standarder
- Manglende styring og oppfølging av regnskapsrapporteringen fra virksomheter under Helse- og omsorgsdepartementet
- Svakheter ved sikkerheten i informasjonssystemer
- Risiko for misligheter og feil knyttet til midler som forvaltes av Nav
- For dårlig oppfølging av personer med behov for arbeidsrettet bistand
- Alvorlige svakheter ved utstedelse av pass
- Mangelfull oppfølging av sikkerhetstilrådninger fra Statens havarikommisjon for transport
- Alvorlige mangler innenfor Forsvaret
- Bedre tilskuddsforvaltning, men fortsatt rom for forbedringer
- Krav om permanent sikring av departementsbygningene er ikke oppfylt
- 1.1.1 Riksrevisjonens merknader
- 1.2 Komiteens generelle merknader
De siste årene er det gjort endringer for å oppnå mer åpenhet om økonomistyringen i staten. I 2014 ble det innført en ny, felles kontoplan og standarder for oppstilling av årsregnskap for statlige virksomheter og fond på bakgrunn av tall som blir rapportert til statsregnskapet. Kravene gjelder uavhengig av hvilket regnskapsprinsipp virksomheten i samråd med sitt fagdepartement har valgt for regnskapet, og framgår av Finansdepartementets rundskriv R-115.
De nye kravene til årsregnskap er innført blant annet for å gi allmennheten bedre innsyn i offentlig pengebruk. Regnskapene inneholder mer informasjon enn tidligere, og brukerne får en samlet framstilling av økonomiske disposisjoner og virksomhetenes bruk av fullmakter. Aktiviteter og ressursbruk kan nå i større grad sees i sammenheng og sammenlignes over tid på tvers av virksomheter og departementer.
For mange virksomheter har det vært krevende å få på plass et årsregnskap med noter innen de fastsatte fristene. Tidligere gjaldt slike krav til årsregnskap bare virksomheter som leverte regnskap i samsvar med statlige regnskapsstandarder (SRS), mens de nye reglene gjelder alle statlige virksomheter. Dette stiller større krav til regnskapskompetansen i forvaltningen. Veiledningsmateriellet til Direktoratet for økonomistyring (DFØ) beskriver hovedprinsipper for presentasjon av regnskap og noter.
Etter dette første året er det imidlertid identifisert områder som krever noe mer utdyping og beskrivelser som ikke inngår i dagens veiledning. Riksrevisjonen anbefaler at veiledningsmateriellet oppdateres, basert på årets erfaringer. Samtidig er det Riksrevisjonens vurdering at statlige virksomheter bør gjennomgå prosessen rundt rapporteringen, slik at kvaliteten på rapporteringen for 2015 blir best mulig.
Departementene har ansvar for at alle statlige virksomheter rapporterer relevant og pålitelig regnskapsinformasjon for å sikre at underliggende virksomheter gjennomfører aktiviteter i tråd med Stortingets vedtak og forutsetninger og at departementets mål og prioriteringer nås. Riksrevisjonen mener det er sterkt kritikkverdig at Helse- og omsorgsdepartementet ikke har fulgt opp regnskapsrapporteringen for underliggende virksomheter godt nok i 2014. Riksrevisjonen har blant annet ikke kunnet uttale seg om avlagte årsregnskap for Helsedirektoratet og Nasjonalt folkehelseinstitutt. Regnskapet til Helsedirektoratet alene omfatter om lag 40 mrd. kroner.
Ufullstendig og manglende regnskapsføring og rapportering innebærer at en sentral forutsetning for departementets styring og oppfølging av vesentlige deler av helseområdet ikke er oppfylt. At det mangler pålitelig regnskapsinformasjon medfører samtidig at Riksrevisjonen ikke kan utføre sine lovpålagte oppgaver som Stortingets kontrollorgan på en tilfredsstillende måte.
Revisjonen for 2014 viser at det er alvorlige svakheter ved informasjonssikkerheten i en rekke statlige virksomheter. Flere av virksomhetene forvalter store, komplekse IKT-systemer og betydelige informasjonsverdier som understøtter viktige tjenester for samfunnet. Svakheter ved informasjonssikkerheten i arbeids- og velferdsetaten (Nav), Brønnøysundregistrene, Statistisk sentralbyrå (SSB), Husbanken, DFØ, Norges forskningsråd og politi- og lensmannsetaten er presentert i Dokument 1 (2015–2016). I tillegg er det avdekket svakheter ved informasjonssikkerheten i enkelte andre virksomheter.
I flere av virksomhetene er det svakheter ved tilgangskontroll til sensitiv informasjon, sentral IKT-infrastruktur og informasjonsbehandlingsutstyr. Dette kan få store konsekvenser for både virksomhetene og den enkelte borger gjennom at sensitiv informasjon kan bli manipulert eller stjålet. Det er videre observert mangelfull logging for grunnleggende IKT-infrastruktur, noe som medfører at virksomhetene har dårlige forutsetninger for å avdekke uønskede hendelser. Mangelfull logging gjør det også enklere å skjule manipulasjon av informasjon og IKT-systemer, og øker dermed sannsynligheten for misligheter.
Flere av virksomhetene har også tidligere fått merknader fra Riksrevisjonen om mangler ved informasjonssikkerheten, uten at forbedringstiltak som er gjennomført har gitt nødvendige resultater. Vesentlige forbedringer i informasjonssikkerheten krever kompetanse og systematisk arbeid. Prioritering av tiltak som gir mest effekt kan imidlertid gi bedre sikkerhet uten at det krever store ressurser. Ulike aktører tar i bruk stadig mer avanserte metoder ved dataangrep på statlige virksomheter. Med tanke på den stadig økende trusselen er det ifølge Riksrevisjonen foruroligende at mange virksomheter ikke har en mer moden og bevisst holdning til informasjonssikkerhet. Riksrevisjonen ser alvorlig på de manglene som er avdekket.
Nav forvalter en betydelig andel av statsbudsjettet, og har ansvar for å sikre borgerne grunnleggende velferdstilbud. Det er av avgjørende betydning at både økonomiforvaltningen og saksbehandlingen i etaten er tilstrekkelig sikret mot misligheter og feil.
Revisjonen for 2014 viser at det er vesentlige svakheter ved Navs økonomisystem og den infrastrukturen det bygger på. Det er avdekket risiko for uautorisert tilgang til økonomisystemet, for vide tilgangsfullmakter og manglende arbeidsdeling mellom ansatte med tilgang til systemet. Dette innebærer at det er risiko for manipulasjon og tyveri av data, som ledd i misligheter eller skadeverk. Svak kontroll med ansattes tilgang til systemet utgjør også en risiko for utilsiktede feil, som kan innebære både uhjemlede utbetalinger og stans av berettigede utbetalinger. Riksrevisjonen finner det sterkt kritikkverdig at departementet ikke har fulgt opp etatens arbeid med informasjonssikkerhet og internkontroll i samsvar med kravene i reglement for økonomistyring i staten § 15.
Nav har dessuten ikke et tilfredsstillende system for å forebygge og avdekke svindel med sykepenger. Ifølge Økokrim er trygdesvindel en av de største truslene innen økonomisk kriminalitet. Likevel har Nav ikke tilstrekkelig målrettet arbeid med å forebygge og avdekke trygdesvindel i alle ledd i behandlingen av sykepengesaker, og etatens informasjonssystemer begrenser muligheten for god internkontroll på området. Riksrevisjonen finner det kritikkverdig at departementet ikke har hatt en tilstrekkelig oppfølging av dette viktige området.
Det er et sentralt mål å få flere personer i arbeid og færre på stønad. Å gå sykemeldt er en belastning for den enkelte. Det store antallet personer på syke- eller arbeidsavklaringspenger utgjør dessuten både betydelige økonomiske kostnader og uutnyttede ressurser for samfunnet. Det er derfor iverksatt tiltak for å hjelpe personer på stønad over i arbeid og aktivitet.
Revisjonen for 2014 viser at virkemidlene ikke benyttes som forutsatt. Det er vesentlige mangler i deler av Navs oppfølging av sykemeldte og mottakere av arbeidsavklaringspenger. Kontakten med mottakere av arbeidsavklaringspenger er for sporadisk, og gjeldende krav til arbeidsevnevurderinger og aktivitetsplaner er ikke overholdt. Sykemeldte får for sen oppfølging til at ordningen «Raskere tilbake» kan utnyttes fullt ut. Det er dessuten manglende kapasitet hos flere av tiltaksarrangørene innen denne ordningen. Riksrevisjonen finner det kritikkverdig at Arbeids- og sosialdepartementet ikke i tilstrekkelig grad har fulgt opp at formålet med ordningen, å få sykemeldte raskere tilbake i arbeid, er oppfylt.
Riksrevisjonen har avdekket vesentlige mangler i prosessen for saksbehandling og utstedelse av biometriske pass. Det er gjennomført tilsvarende revisjoner i Belgia, Latvia, Litauen, Portugal og Sveits. Sammenlignet med disse landene kommer Norge dårligst ut når det gjelder sikkerhet og kontroll.
Kontrollen av dokumentasjon for pass-søkernes identitet er for dårlig. Det foretas i for liten grad kontroll av at identitetsdokumenter er ekte og gyldige. Viktige vurderinger og kontroller som gjennomføres i passutstedelsen er lite sporbare. Dette gir få muligheter for etterkontroll av vurderinger og vedtak som gjøres. Én saksbehandler kan alene utstede et pass uten noen form for etterkontroll eller arbeidsdeling. Det er vesentlige mangler ved sikringen av informasjonen i saksbehandlingssystemet og passregisteret.
Falske pass og misbruk av ekte pass utgjør et alvorlig problem, både internasjonalt og nasjonalt. I takt med at reise- og identitetsdokumenter er blitt stadig sikrere gjennom ny teknologi og sikkerhetsmekanismer, gjennomføres svindel i økende grad ved å utnytte svakheter i utstedelsesprosessen. For dårlig sikkerhet og kontroll ved utstedelse av pass øker risikoen for at pass utstedes til personer med falsk identitet. Falske pass og misbruk av pass er også et sentralt verktøy ved menneskesmugling, menneskehandel, terrorisme og annen alvorlig kriminalitet.
Riksrevisjonen ser alvorlig på at det ikke er etablert tilfredsstillende sikkerhet og kontroll med prosessen for saksbehandling og utstedelse av biometriske pass, og at det er vesentlige mangler i etterlevelsen av relevante lover og regler.
Statens havarikommisjon for transport undersøker hendelsesforløp og årsaksfaktorer for ulykker og alvorlige hendelser i transportsektoren. På grunnlag av dette gir kommisjonen råd om forbedringer av sikkerheten.
Riksrevisjonen ser alvorlig på at oppfølgingen av sikkerhetstilrådningene på vegsektoren er for dårlig. Samferdselsdepartementet har ifølge Riksrevisjonen ikke etablert et godt nok system for å følge opp at sikkerhetstiltakene blir gjennomført. Dette gjelder særlig forbedringstiltak som andre enn Statens vegvesen er ansvarlig for å iverksette, dvs. der tilrådningene retter seg mot andre offentlige etater eller private aktører. Statens vegvesen har ikke samme myndighet til å pålegge private aktører å gjennomføre tiltak som det tilsynsvirksomhetene innenfor luftfart og jernbane har. Dette innebærer en risiko for at organiseringen og tildelingen av offentlig myndighet på vegsektoren påvirker sikkerhetsnivået.
Riksrevisjonen finner det kritikkverdig at Samferdselsdepartementet både innen veg-, jernbane- og luftfartssektoren ikke evaluerer de tiltakene som iverksettes med bakgrunn i sikkerhetstilrådningene. Dersom sikkerheten skal kunne bedres, er det nødvendig å ha kunnskap om hvilke sikkerhetstiltak som påvirker risikoen for ulykker og alvorlige hendelser. Årsakssammenhengene kan være komplekse, og det kan være vanskelig å måle effekter av tiltak isolert sett. Kunnskap om hvilken faktisk effekt de ulike tiltakene har på sikkerheten, er imidlertid helt grunnleggende for verdien av tilrådningene fra Statens havarikommisjon for transport.
Riksrevisjonen har i en årrekke avdekket svakheter, feil og mangler innenfor Forsvaret. Også i 2014 er det avdekket alvorlige mangler, denne gangen i Heimevernet. Resultatene fra revisjonen er gradert informasjon og ble rapportert særskilt til Stortinget som eget tillegg til Dokument 1 (2015–2016).
Riksrevisjonen har i en årrekke påvist svakheter og mangler ved departementenes tilskuddsforvaltning. Dette gjelder både tilfeller der departementene selv er tilskuddsforvaltere og der forvaltningen er delegert til underliggende forvaltningsorgan. Riksrevisjonen finner det derfor positivt at det gjennom årets revisjon synes å være gjennomgående bedre etterlevelse av gjeldende regelverk for tilskuddsforvaltning. Blant annet har Barne-, likestillings- og inkluderingsdepartementet iverksatt en rekke rutiner og tiltak for å etterleve økonomiregelverkets krav til departementets tilskuddsforvaltning og forvaltningslovens krav til habilitet.
På enkelte områder er det likevel fortsatt behov for forbedringer etter Riksrevisjonens vurdering. Blant annet viser revisjonen at Klima- og miljødepartementet ikke har utarbeidet rutiner og retningslinjer for å følge opp tilskuddsordningene som det forvalter gjennom underliggende virksomhet, til tross for at Riksrevisjonen tidligere har tatt opp behovet for dette. Det er også påvist mangler ved departementets kontroll av tilskuddsforvaltningen.
Tilskudd er finansielle overføringer fra staten til andre, for å sette disse i stand til å gjennomføre aktiviteter og tiltak i tråd med vedtatte mål. Manglende forvaltning og kontroll av tilskudd kan således innebære en risiko for at fastsatte mål ikke nås.
Revisjonen i 2014 har avdekket at kravene om permanente sikkerhetstiltak rundt departementsbygningene ennå ikke er oppfylt i samsvar med kravene i forskrift om objektsikkerhet. Revisjonen viser også at andre sikkerhetsoppgraderinger er sterkt forsinket eller satt på vent.
Kommunal- og moderniseringsdepartementet er objekteier og har ansvar for forebyggende objektsikkerhet for alle departementsbygninger (med unntak av Forsvarsdepartementet). Av hensyn til rikets sikkerhet og for at vitale nasjonale interesser blir beskyttet mot terror, sabotasje og spionasje, er det viktig at nødvendige sikkerhetskrav blir fulgt, og at oppgraderinger blir gjennomført.
Riksrevisjonen mener det er alvorlig at kravene i objektsikkerhetsforskriften til permanent grunnsikring ennå ikke er oppfylt, og at andre sikkerhetsoppgraderinger er sterkt forsinket eller satt på vent.
Komiteen, medlemmene fra Arbeiderpartiet, Jette F. Christensen, Gunvor Eldegard og lederen Martin Kolberg, fra Høyre, Erik Skutle og Michael Tetzschner, fra Fremskrittspartiet, Tom E. B. Holthe og Helge Thorheim, fra Kristelig Folkeparti, Hans Fredrik Grøvan, fra Senterpartiet, Per Olaf Lundteigen, fra Venstre, Siri Engesæth, fra Sosialistisk Venstreparti, Bård Vegar Solhjell, og fra Miljøpartiet De Grønne, Une Aina Bastholm, viser til at Riksrevisjonen har revidert statsregnskapet og regnskapet for administrasjonen av Svalbard. Riksrevisjonens gjennomgang og kontroll er en del av det grunnlovfestede kontrollsystemet i norsk forfatning. Likeledes er det tillagt Stortinget å foreta kontroll med den utøvende makt, blant annet gjennom behandlingen av den årlige revisjon av statens regnskaper.
Årets revisjon viser at det gjennomgående er god kvalitet på statens avlagte regnskaper og den gjennomførte budsjettdisponeringen. Av til sammen 227 statlige virksomheter som har fått revisjonsberetning, er det 30 virksomheter som har fått vesentlige merknader. 21 virksomheter har fått vesentlige merknader til budsjettgjennomføringen. Kun 9 virksomheter har fått revisjonsberetning med forbehold (modifisert beretning) grunnet feil i regnskapene eller at revisor ikke er i stand til å innhente tilstrekkelig og hensiktsmessig revisjonsbevis til å kunne konkludere med at regnskapet totalt sett ikke inneholder vesentlig feilinformasjon. Dette viser etter komiteens syn at det generelt er en tilfredsstillende styring med statens økonomiske midler. Komiteen har imidlertid merket seg at Riksrevisjonen fortsatt rapporterer om alvorlige svakheter og mangler på flere samfunnskritiske områder. Komiteen ser det som særlig alvorlig at mangler blir påpekt gjentatte ganger uten at de blir rettet opp.
Komiteen viser til at det de siste årene er gjort endringer for å oppnå mer åpenhet om økonomistyringen i staten. I 2014 ble det innført en ny, felles kontoplan og standarder for oppstilling av årsregnskap for statlige virksomheter og fond på bakgrunn av tall som blir rapportert til statsregnskapet. De nye kravene til årsregnskap er innført blant annet for å gi allmennheten bedre innsyn i offentlig pengebruk. Komiteen har merket seg at det har vært krevende for mange virksomheter å få på plass et årsregnskap med noter innen de fastsatte fristene og slutter seg til Riksrevisjonens anbefaling om at veiledningsmaterialet oppdateres på bakgrunn av årets erfaringer.
Komiteen ser svært alvorlig på at årets revisjon har avdekket at Helse- og omsorgsdepartementet ikke har fulgt opp regnskapsrapporteringen for underliggende virksomheter godt nok i 2014. Komiteen har merket seg at Riksrevisjonen betegner dette som sterkt kritikkverdig og viser til at mangel på pålitelig regnskapsinformasjon medfører at Riksrevisjonen ikke kan utføre sine lovpålagte oppgaver som Stortingets kontrollorgan på en tilfredsstillende måte. Komiteen slutter seg til Riksrevisjonens kritikk. Komiteen mener derfor dette bør få en nøye oppfølging fra departementets side for å sikre at underliggende virksomheter gjennomfører aktiviteter i tråd med Stortingets vedtak og forutsetninger.
Revisjonen viser at det er alvorlige svakheter ved informasjonssikkerheten i en rekke statlige virksomheter. Komiteen har merket seg at flere av virksomhetene også tidligere har fått merknader fra Riksrevisjonen om mangler ved informasjonssikkerheten uten at forbedringstiltak som er gjennomført, har gitt nødvendige resultater. I likhet med Riksrevisjonen ser komiteen alvorlig på de manglene som er avdekket.
Revisjonen for 2014 viser at det er vesentlige svakheter ved Navs økonomisystem og den infrastrukturen det bygger på. Komiteen har merket seg at Nav ifølge revisjonen dessuten ikke har et tilfredsstillende system for å forebygge og avdekke svindel med sykepenger. Komiteen ser alvorlig på det og ber om at Riksrevisjonen følger opp dette i den kommende revisjonen.
Riksrevisjonen har avdekket vesentlige mangler i prosessen for saksbehandling og utstedelse av biometriske pass. Komiteen har merket seg at det er gjennomført tilsvarende revisjoner i Belgia, Latvia, Litauen, Portugal og Sveits, og at Norge sammenlignet med disse landene kommer dårligst ut. Komiteen ser det som svært alvorlig at det ikke er etablert tilfredsstillende sikkerhet og kontroll med prosessen for saksbehandling og utstedelse av biometriske pass. Komiteen ber derfor også om at Riksrevisjonen følger opp dette i den kommende revisjonen.
Statens havarikommisjon for transport undersøker hendelsesforløp og årsaksfaktorer for ulykker og alvorlige hendelser i transportsektoren. Årets revisjon viser at oppfølgingen av sikkerhetstilrådningene på vegsektoren er for dårlig. Komiteen har merket seg at Samferdselsdepartementet ikke har etablert et godt nok system for å følge opp at sikkerhetstiltakene blir gjennomført. Komiteen mener at departementet bør følge opp dette slik at nødvendige tiltak blir gjennomført og iverksatte tiltak med bakgrunn i sikkerhetstilrådningene blir evaluert.
Komiteen ser svært alvorlig på at Riksrevisjonen i en årrekke har avdekket svakheter, feil og mangler innen Forsvaret. Årets revisjon har avdekket alvorlige mangler i Heimevernet som er rapportert særskilt til Stortinget i en gradert rapport. Komiteen slutter seg til Riksrevisjonens anbefalinger i den graderte rapporten og vil uttrykke at regjeringen straks må legge en plan for hvordan de aktuelle manglene i Heimevernets operative evne kan bedres.
Etter at departementenes tilskuddsforvaltning ble utførlig gjennomgått etter avsløringer om til dels store mislighold, ble forvaltningen av tilskudd betraktelig bedre. Komiteen er derfor tilfreds med at Riksrevisjonen rapporterer at det gjennom årets revisjon synes å være gjennomgående bedre etterlevelse av regelverk for tilskuddsforvaltning. Komiteen har merket seg at Barne-, likestillings- og inkluderingsdepartementet har iverksatt en rekke rutiner og tiltak for å etterleve økonomiregelverkets krav til departementets tilskuddsforvaltning og forvaltningslovens krav til habilitet. Komiteen viser imidlertid til at det igjen er behov for forbedringer og ber om at Riksrevisjonen følger opp dette overfor de departementene det gjelder.
Komiteen ser svært alvorlig på at revisjonen i 2014 har avdekket at kravene om permanente sikkerhetstiltak rundt departementsbygningene ennå ikke er oppfylt i samsvar med kravene i forskrift om objektsikkerhet. Komiteen har merket seg at også andre sikkerhetsoppgraderinger er sterkt forsinket eller satt på vent. Etter komiteens oppfatning er det svært alvorlig at kravene i objektsikkerhetsforskriften til permanent grunnsikring ennå ikke er oppfylt, og at andre sikkerhetsoppgraderinger er sterkt forsinket eller satt på vent. Dette viser etter komiteens syn at oppfølgingen på dette området på tross av 22. juli-rapportens konklusjoner om blant annet manglende bevissthet og gjennomføring av sikringstiltak, ikke tas tilstrekkelig alvorlig. Komiteen mener at dette er kritikkverdig og ber regjeringen umiddelbart forsterke oppfølgingen av permanente sikkerhetstiltak.