Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene under Statsministerens kontor.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene under Statsministerens kontor.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Arbeids- og sosialdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Arbeids- og sosialdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere om arbeids- og velferdsetaten har etablert tiltak for å sikre sensitive opplysninger mot dataangrep i henhold til kravene i lov om behandling av personopplysninger (personopplysningsloven) og forskrift om behandling av personopplysninger (personopplysningsforskriften) og anbefalinger i anerkjente standarder. Revisjonen har undersøkt etatens sikkerhetstiltak som skal forebygge og oppdage dataangrep.

Hovedfunn

• Arbeids- og velferdsetaten har ikke dokumentert oversikt over risikobildet for dataangrep.

• Etaten har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes av interne og eksterne aktører.

• Kompleksiteten i etatens IKT-systemer gjør det vanskelig å etterleve personopplysningsloven.

Riksrevisjonens merknader

Riksrevisjonen finner det sterkt kritikkverdig at IKT-systemene i arbeids- og velferdsetaten har vesentlige svakheter som kan utnyttes i dataangrep.

Arbeids- og velferdsetaten har ikke dokumentert oversikt over risikobildet for dataangrep

Risikovurderinger danner grunnlaget for arbeidet med å beskytte personopplysninger og skal gjøre det mulig å ta informerte valg om hvilke sikkerhetstiltak som må etableres for å oppnå tilfredsstillende sikkerhet. Ved behandling av personopplysninger skal det ifølge personopplysningsforskriften gjennomføres risikovurderinger for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd.

Arbeids- og velferdsetaten har etablert retningslinjer, metoder og rutiner for risikostyring. Etatens risikovurderinger dokumenterer ikke hvilke vesentlige sårbarheter og trusler den står ovenfor. Etaten har heller ikke fastsatt kriterier for hva som er akseptabel risiko ved behandling av personopplysninger.

Riksrevisjonen konstaterer at etaten ikke har gjennomført gode nok risikovurderinger. Det kan føre til at etaten ikke prioriterer de tiltakene som er nødvendige for å sikre sensitive personopplysninger mot dataangrep.

Etaten har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes av interne og eksterne aktører

Av personopplysningsloven går det fram at det ved behandling av personopplysninger skal etableres tiltak for å sikre opplysningenes konfidensialitet.

Arbeids- og velferdsetaten har etablert sikkerhetstiltak mot dataangrep. Det er blant annet utarbeidet retningslinjer og rutiner for risikostyring, informasjonssikkerhet og sikker drift av IKT-systemer. Etaten har implementert flere forebyggende tiltak mot dataangrep, for eksempel segmentering av nettverk og beskyttelse mot skadelig programvare. Videre har etaten etablert forebyggende tiltak for å oppdage uønskede aktiviteter på PC-er og i deler av nettverket.

Flere viktige tiltak er likevel ikke implementert i tråd med anbefalingene i anerkjente standarder. Dette har ført til svakheter i IKT-systemene som det er mulig å utnytte for å gjennomføre dataangrep mot etaten.

Tester av IKT-systemene, blant annet bruk av hackerverktøy for å angripe databaser på en server, har påvist svakheter, og de har vist hvordan svakhetene kan utnyttes i et dataangrep av eksterne og interne aktører for å få tilgang til personopplysninger.

Politiets sikkerhetstjeneste har i sin sikkerhetsvurdering uttalt at interne aktører i mange tilfeller vil være den beste inngangen til sensitiv informasjon. Arbeids- og velferdsetaten har over 19 000 medarbeidere som har tilgang til IKT-systemene. Det er etablert flere sterke sikkerhetstiltak ytterst i IKT-miljøet, men manglende etterlevelse av anerkjente standarder ved implementeringen har ført til svakheter som kan utnyttes dersom en angriper bryter gjennom de ytterste sikkerhetslagene.

Et av de viktigste prinsippene innen informasjonssikkerhet er prinsippet om tjenstlig behov, det vil si at ansatte ikke skal ha tilgang til mer informasjon eller flere funksjoner enn det som er nødvendig for å kunne utføre oppgavene. Arbeids- og velferdsetaten bryter dette prinsippet på flere områder. Dette utgjør en stor sikkerhetsrisiko.

Revisjonen viser blant annet at alle medarbeidere hadde tilgang til sikkerhetskopier av servere som er kritiske for etatens sikkerhet. Tilgangen ble umiddelbart fjernet da forholdet ble påvist av revisjonen. Revisjonen viser videre at verktøy som burde vært forbeholdt IKT-personell, har vært tilgjengelig for alle ansatte. Denne tilgangen er det nå kun IKT-personell som har.

Et viktig tiltak for å sikre personopplysninger er å dele inn IKT-systemer i ulike soner med forskjellige sikkerhetsnivåer. Dette gjør det mulig å beskytte de forskjellige systemene ut fra hvilket sikkerhetsbehov det enkelte systemet har. Arbeids- og velferdsetaten har utarbeidet en plan for inndeling av IKT-systemer i soner, men etaten har ikke fulgt denne planen fullt ut. Dette har ført til svakheter i sikkerhetstiltakene som kan utnyttes i dataangrep. Blant annet har alle ansatte hatt tilgang til IKT-avdelingens nettverkssone som er dedikert til drift av IKT-systemene. Etaten har endret IKT- systemene slik at denne svakheten nå er lukket.

Et annet viktig sikkerhetstiltak er å beskytte brukerkontoer i IKT-systemene med sterke passord. Det er spesielt viktig å beskytte brukerkontoer med utvidede rettigheter.

Gjennomført testing viste at etaten ikke stilte krav om tilstrekkelig sterke passord for brukerkontoer med utvidede rettigheter. Det var mulig å få tilgang til passord og ta over slike brukerkontoer.

Det er viktig at eventuelle dataangrep oppdages gjennom logging og overvåkning. Arbeids- og velferdsetaten har fastsatt overordnede retningslinjer for logging og overvåkning, men det er opp til de enkelte systemansvarlige i etaten å tolke disse retningslinjene og etablere logging og overvåkning i deres systemer. Innsamling av loggdata og oppfølging blir dermed ulik og dekker ikke helheten av etatens komplekse IKT-miljø.

Det er etablert sterke tiltak for overvåkning av bærbare PC-er som benyttes av ansatte og i deler av nettverket. Det er imidlertid andre deler av etatens nettverk hvor det i liten grad er etablert overvåkning som kan oppdage sikkerhetsbrudd. Overvåkning av logger behandles i stor grad isolert, noe som gjør loggene vanskeligere å analysere og øker risikoen for at et angrep ikke blir oppdaget.

Kompleksiteten i etatens IKT-systemer gjør det vanskelig å etterleve personopplysningsloven

Arbeids- og velferdsetaten har et stort og komplekst IKT-miljø med over 300 ulike datasystemer. Det er stor variasjon i alder og type teknologier mellom de ulike systemene. Fra et sikkerhetsperspektiv gir denne kompleksiteten risiko for at utilsiktede svakheter ikke blir oppdaget og utbedret. I noen tilfeller kan det også være vanskelig å gjennomføre nødvendig vedlikehold og sikkerhetsoppdateringer. Det er utfordrende at kompleksiteten og alderen i etatens IKT-systemer gjør det vanskelig å etterleve regelverk og anerkjente standarder.

Revisjonen er basert på regelverk gjeldene i 2017. Ny personvernforordning i EU, som innføres i 2018, medfører nye plikter for alle virksomheter som behandler personopplysninger.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Arbeids- og sosialdepartementet

• påser at arbeids- og velferdsetaten iverksetter nødvendige tiltak for å etterleve kravene i personopplysningsloven og EUs personvernforordning (GDPR)

• følger opp at arbeids- og velferdsetaten utarbeider konkrete risikovurderinger som dekker sårbarheter og trusler for personopplysninger i etatens ulike systemer.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å undersøke om arbeids- og velferdsetaten anskaffer hjelpemidler i tråd med anskaffelsesregelverket og lov om folketrygd (folketrygdloven).

Hovedfunn

• Arbeids- og velferdsetaten har gjennomført flere direkte anskaffelser av hjelpemidler for beløp vesentlig over terskelverdien, uten at anskaffelsene er kunngjort eller konkurranseutsatt.

• Arbeids- og velferdsetaten har i 2017 forlenget 7 av 13 rammeavtaler på hjelpemiddelområdet ut over avtalt opsjonstid og bryter med anskaffelseslovens grunnleggende prinsipper om konkurranse, likebehandling og forutberegnelighet.

• Det er svakheter i IKT-støtten som skal sikre god internkontroll på hjelpemiddelområdet.

Riksrevisjonens merknader

Riksrevisjonen finner det kritikkverdig at arbeids- og velferdsetaten ikke i tilstrekkelig grad følger de grunnleggende prinsippene i anskaffelsesregelverket om blant annet konkurranse ved anskaffelser av hjelpemidler.

Revisjonen konstaterer at arbeids- og velferdsetaten har fulgt kravene i lov og forskrift om offentlige anskaffelser for rammeavtaler etaten har inngått på hjelpemiddelområdet i 2017. Det er imidlertid flere brudd på regelverket ved direkte kjøp av hjelpemidler.

Etaten har ikke rapporter som gir en fullstendig oversikt over hvor mye som anskaffes gjennom rammeavtaler, og hva som anskaffes som direkte kjøp.

Arbeids- og velferdsetaten har gjennomført flere direkte anskaffelser av hjelpemidler for beløp vesentlig over terskelverdien, uten at anskaffelsene er kunngjort eller konkurranseutsatt

Ifølge anskaffelsesloven skal oppdragsgiver opptre i samsvar med grunnleggende prinsipper om konkurranse, likebehandling, forutberegnelighet, etterprøvbarhet og forholdsmessighet. Dette innebærer blant annet at oppdragsgiver skal sikre at alle leverandører behandles likt gjennom hele anskaffelsesprosessen, og at anskaffelsen så langt som mulig er basert på konkurranse.

Anskaffelser som har en anslått verdi over den nasjonale terskelverdien, skal kunngjøres. I 2017 var terskelverdien 1,1 mill. kroner. Potensielle leverandører skal gjennom kunngjøringen få mulighet til å vurdere om de vil delta i konkurransen.

Arbeids- og velferdsetaten har gjennomført flere direkte anskaffelser av hjelpemidler for beløp som er vesentlig over terskelverdien, uten at anskaffelsene er kunngjort eller konkurranseutsatt. Etaten identifiserte i 2015 behov for rammeavtaler på flere hjelpemiddelområder, men mangler fortsatt avtaler på en rekke områder hvor verdien av innkjøpene overstiger terskelverdien i anskaffelsesregelverket.

Et eksempel på dette i 2017 er at etaten kjøpte kalendere og planleggingssystemer for 52,6 mill. kroner uten at anskaffelsen ble kunngjort. Dette er hjelpemidler som lagrer og organiserer data om planlagte aktiviteter, og omfatter for eksempel elektroniske kalendere, klokker og tidsmålere. Arbeids- og velferdsetaten har kjøpt inn kalendere og planleggingssystemer fra åtte ulike leverandører i 2017. Ca. 51 mill. kroner, 98 pst. av utbetalingene, har blitt utbetalt til én av disse leverandørene.

Rammeavtale skal etter planen være inngått i 2019. Et annet eksempel er kjøp av optikertjenester, briller og kontaktlinser. I to produktgrupper innenfor denne kategorien har etaten gjort direkte anskaffelser for henholdsvis 23,7 mill. kroner og 24,8 mill. kroner i 2017 uten at disse ble kunngjort.

Ifølge anskaffelsesforskriften skal vesentlige forhold for gjennomføringen av anskaffelser over 100 000 kroner nedtegnes eller samles i en protokoll. Dokumentasjonsplikten og plikten til å føre anskaffelsesprotokoll bidrar til at potensielle leverandører og offentligheten, kan føre kontroll med at oppdragsgivers beslutninger er fattet i samsvar med regelverket. Revisjonen viser at etaten i liten grad skriver protokoll ved kjøp av hjelpemidler over 100 000 kroner utenom rammeavtale. Manglende føring av anskaffelsesprotokoll er i strid med dokumentasjonsplikten i anskaffelsesregelverket og svekker etterprøvbarhet i anskaffelsesprosessen.

Arbeids- og velferdsetaten har i 2017 forlenget 7 av 13 rammeavtaler på hjelpemiddelområdet ut over avtalt opsjonstid og bryter med anskaffelseslovens grunnleggende prinsipper om konkurranse, likebehandling og forutberegnelighet

Hovedregelen i anskaffelsesforskriften er at rammeavtaler kan inngås for inntil fire år. De etatsdekkende rammeavtalene arbeids- og velferdsetaten har inngått på hjelpemiddelområdet, har en avtaletid på to år pluss opsjon på inntil to nye år. Dette innebærer at rammeavtalene må erstattes av nye hvert fjerde år. Av 13 rammeavtaler som utløp i 2017, har 7 blitt forlenget ut over avtalt opsjonstid. Per 31. desember 2017 varierte forlengelsene fra 76 til 214 dager.

Anskaffelsesloven skal fremme effektiv bruk av samfunnets ressurser. Dette innebærer at etaten gjennom sine anskaffelsesprosesser skal bidra til utviklingen av en sunn konkurranse for leverandører av hjelpemidler i Norge. Det er spesielt viktig at etaten overholder kunngjøringsplikten og inviterer markedet til konkurranse for å sikre en samfunnsøkonomisk god ressursutnyttelse og tilstrekkelig utvalg av kvalitativt gode produkter for brukerne.

Det er stor variasjon i antallet leverandører som deltar i konkurransene om rammeavtaler på hjelpemiddelområdet, og på mange områder er det få tilbydere. Av delkonkurransene etaten gjennomførte i 2017, har vel 18 pst. kun én tilbyder.

Rammeavtalene for anskaffelser av bil har en samlet verdi på 1,8 mrd. kroner. Det var henholdsvis bare to og én tilbyder(e) i disse to anskaffelsene.

Det er svakheter i IKT-støtten som skal sikre god internkontroll på hjelpemiddelområdet

En etablert internkontroll er en forutsetning for at en virksomhet skal kunne sikre at anskaffelser av varer og tjenester skjer på en effektiv og forsvarlig måte.

Hjelpemiddelområdets kompleksitet, både når det gjelder omfanget av hjelpemidler og med mange enheter i etaten som er involvert i arbeidet, tilsier at det er viktig med gode rutiner og hensiktsmessige IKT-systemer.

Arbeids- og velferdsetaten har svakheter i internkontrollen som skal sikre at etaten overholder anskaffelsesregelverket. Etaten har ikke egnede IKT-verktøy for å ta ut rapporter som viser hvor mye og hva som er kjøpt gjennom rammeavtale eller som direktekjøp. Hjelpemiddelsentralene utarbeider ikke oversikter over direktekjøp og får ikke tilsendt rapporter med denne styringsinformasjonen fra sentralt hold. En konsekvens av dette er at hjelpemidler til beløp over terskelverdien blir anskaffet uten konkurranseutsetting.

Som del av kontraktsoppfølgingen skal arbeids- og velferdsetaten sørge for at leverandørene oppfyller sine forpliktelser og blant annet leverer i samsvar med avtalen og til rett tid. Dagbøter er et virkemiddel som skal sikre at levering skjer i henhold til avtalen. De fleste rammeavtalene etaten har inngått på hjelpemiddelområdet, inneholder bestemmelser om at leverandøren på eget initiativ skal beregne og betale dagbøter ved forsinket levering.

I 2017 er det innbetalt dagbøter fra 12 leverandører. Etaten mener at omfanget av dagbøter ikke gjenspeiler antallet forsinkede leveranser. Den har imidlertid ikke rutiner som sikrer en systematisk oppfølging av at dagbøter blir betalt. Manglende oppfølging av kontraktsvilkårene øker risikoen for at varer og tjenester leveres etter avtalt leveringstid, og at leverandørene ikke betaler dagbøter.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Arbeids- og sosialdepartementet

• følger opp at arbeids- og velferdsetaten følger anskaffelsesregelverkets grunnleggende prinsipper for å bidra til utvikling av en sunn konkurranse for leverandører av hjelpemidler.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å vurdere om Stortingets mål for uførereformen om økt yrkesdeltakelse blant uføretrygdede er nådd, og i hvilken grad Arbeids- og sosialdepartementets og arbeids- og velferdsetatens oppfølging av reformen har bidratt til måloppnåelse.

Hovedfunn

• Andelen uføre som kombinerer trygd med arbeid har ikke økt etter innføringen av uførereformen 1. januar 2015.

• Målet om økt bruk av gradert uføretrygd er ikke nådd.

• Flertallet av de uføretrygde får lav økonomisk uttelling ved å utnytte restarbeidsevnen sin.

• Nav-kontor gir i varierende grad bistand til uføretrygdede som ønsker å kombinere trygd med arbeid.

• Arbeids- og sosialdepartementet har i sin styring og oppfølging av etaten hatt lite oppmerksomhet på at målene i uførereformen nås.

• Arbeids- og velferdsdirektoratet har ikke fulgt opp at målene i uførereformen nås.

Riksrevisjonens merknader

Andelen uføre som kombinerer trygd med arbeid har ikke økt etter innføringen av uførereformen 1. januar 2015

Et sentralt mål i uførereformen er at flere uføre skal kombinere arbeidsinntekt med trygd. Ny uføretrygd skal motivere uføre som har mulighet til å forsøke seg i arbeid eller øke stillingsandelene sine.

Undersøkelsen viser at andelen uføre som kombinerer trygd med arbeid, ikke har økt etter innføringen av reformen i januar 2015. Andelen uføre som er i et arbeidsforhold, ligger relativt stabilt på mellom 18 og 19 pst. i perioden januar 2015 til desember 2017. De uføre som er i arbeid, har imidlertid økt stillingsandelene sine noe etter at reformen ble innført. Ved inngangen av reformen var gjennomsnittlig arbeidstid for uføretrygdede i arbeid 21 timer i uken, mens den ved utgangen av 2017 var i overkant av 24 timer i uken.

Utgangspunktet for uførereformen var at flere uføre skulle forsøke seg i arbeid eller øke stillingsandelene sine. Riksrevisjonen mener det er positivt at de uføre som er i arbeid, har økt stillingsandelene sine noe etter innføringen av uførereformen. Det har imidlertid ikke blitt flere uføretrygdede i arbeid, og dette innebærer at et viktig mål med uførereformen ikke er nådd. Dette har uheldige konsekvenser både for samfunnet og for uføre som ikke får benyttet sin restarbeidsevne. Å forbli utenfor arbeidslivet kan ha store sosiale og økonomiske konsekvenser for den enkelte.

Målet om økt bruk av gradert uføretrygd er ikke nådd

Stortingets mål om økt bruk av gradert uføretrygd er ikke nådd. Svakheter i arbeids- og velferdsetatens saksbehandling og oppfølging viser at det er et potensial for at flere kan få innvilget gradert uføretrygd. Riksrevisjonen mener det er alvorlig at arbeids- og velferdsetaten ikke har lagt godt nok til rette for at flest mulig kan opprettholde en tilknytning til arbeidslivet og dermed utnytte restarbeidsevnen sin.

Da den nye uføretrygden ble innført, ble det i folketrygdloven presisert at det i alle saker skal vurderes om uføregraden skal settes lavere enn 100 pst. Personer som ikke har mistet hele inntektsevnen, skal få innvilget gradert uføretrygd tilsvarende den delen av inntektsevnen som er tapt. Undersøkelsen viser at arbeids- og velferdsetaten treffer færre vedtak om gradert uføretrygd etter innføringen av uførereformen enn før. I 2013 fikk 26 pst. av nye uføre innvilget gradert uføreytelse, mens andelen var på 24,5 pst. i 2017.

De lokale Nav-kontorene skal følge opp og påse at brukerens helsetilstand, arbeidsevne og arbeidsmuligheter blir avklart, og hente inn dokumentasjon før det settes fram krav om uføretrygd. Saksbehandlerne hos Nav Arbeid og ytelser skal deretter med utgangspunkt i dokumentasjonen i saken vurdere om vilkårene for uføretrygd er oppfylt, og fastsette uføregrad.

Undersøkelsen viser at det ofte foreligger mangelfull dokumentasjon og mangelfulle vurderinger av brukerens arbeidsevne og arbeidsmuligheter når vedtaket om uføretrygd skal treffes. Dette gjør det vanskelig for arbeids- og velferdsetaten å fastsette riktig uføregrad. Lignende funn er også vist tidligere, av Sintef i 2012 og i Dokument 3:10 (2013–2014) Riksrevisjonens undersøkelse av Navs arbeidsrettede oppfølging av personer med nedsatt arbeidsevne.

En viktig årsak til at dokumentasjonen er mangelfull er at etaten ikke har egnede tiltak for å utrede personer med lav restarbeidsevne. I tillegg har ikke etaten kapasitet til å gi tilstrekkelig oppfølging i avklaringsløpet før søknaden om uføretrygd settes fram.

73 pst. av saksbehandlerne i Nav Arbeid og ytelser som behandler krav om uføretrygd, mener at en bedre utredning av brukerens arbeidsevne og arbeidsmuligheter ville gitt flere vedtak om gradert uføretrygd. 68 pst. av saksbehandlerne mener videre at flere burde hatt gradert uføretrygd. Økt bruk av gradert uføretrygd kan bidra til en økt andel uføretrygdede i arbeid og at flere kan beholde en arbeidstilknytning.

Undersøkelsen viser videre at det er manglende kapasitet hos rådgivende overleger i Nav. Dette har ført til at saksbehandlere unnlater å be om medisinske uttalelser fra de rådgivende overlegene i saker der de er i tvil om dokumentasjonen er tilstrekkelig for å vise at brukeren oppfyller vilkårene i § 12-5 i folketrygdloven. At rådgivende overleger ikke trekkes inn ofte nok, har også blitt påpekt av Nav Klageinstans i både 2015, 2016 og 2017. Riksrevisjonen mener det er sterkt kritikkverdig at en slik praksis har vedvart over tid, fordi det gir risiko for at etaten fatter vedtak om uføretrygd uten at det er gjort nødvendige faglige medisinske vurderinger.

Flertallet av de uføretrygdede får lav økonomisk uttelling ved å utnytte restarbeidsevnen sin

Ny uføretrygd skal gi nye og mer forutsigbare muligheter for å kombinere uføretrygd og arbeid og motivere til arbeid for uføre som har mulighet til å forsøke seg i arbeid eller øke stillingsandelen sin. Regelverket skal gi bedre økonomiske insentiver for uføre til å utnytte restarbeidsevnen sin. Flertallet i arbeids- og sosialkomiteen har vist til at inntektssikringsordningene bør være innrettet slik at det alltid lønner seg å jobbe, eventuelt å øke arbeidsinnsatsen dersom man kombinerer arbeid og ytelser.

Det nye regelverket har gjort det enklere og mer oversiktlig for uføretrygdede å kombinere trygd med arbeidsinntekt. Blant annet risikerer uføretrygdede ikke lenger å få revurdert retten til ytelse dersom arbeidsinntekten overstiger en gitt inntektsgrense. Samtidig viser undersøkelsen at det nye regelverket gir få nye økonomiske insentiver for uføre til å tre inn i arbeid, og at flertallet av de uføretrygdede vil få en lav økonomisk uttelling ved å utnytte restarbeidsevnen med det nye regelverket.

Undersøkelsen viser at i overkant av 60 pst. av de uføretrygdede vil sitte igjen med 27 kroner eller mindre av en lønnsinntekt på 100 kroner i det nye regelverket, dersom arbeidsinntekten overstiger en fastsatt beløpsgrense. Uføretrygdede peker på at dette er et nivå som gjør at de i praksis kan komme dårligere økonomisk ut ved å øke arbeidsinnsatsen sin, dersom man tar høyde for jobbrelaterte kostnader til for eksempel transport.

Riksrevisjonen stiller spørsmål ved om de økonomiske insentivene i det nye regelverket er tilstrekkelige til å motivere flere uføretrygdede til å kombinere trygd med arbeid.

Nav-kontor gir i varierende grad bistand til uføretrygdede som ønsker å kombinere trygd med arbeid

Flertallet i arbeids- og sosialkomiteen har uttalt at arbeids- og velferdsetaten er en viktig deltaker i å hjelpe uføre med å benytte restarbeidsevnen sin. Arbeids- og velferdsetaten har ingen form for oppfølging av brukere som har fått innvilget uføretrygd. Dette gjelder uavhengig av brukerens alder, og heller ikke de som får innvilget uføretrygd i ung alder får oppfølging. Det er derfor opp til brukeren selv å oppsøke Nav dersom vedkommende mener å ha behov for bistand for å kombinere uføretrygd med arbeid.

Det følger av Nav-loven § 4 at arbeids- og velferdsetaten skal bistå arbeidssøkere med å få jobb og stimulere den enkelte stønadsmottaker til arbeidsaktivitet der dette er mulig. Nav-loven § 14 a gir videre alle som henvender seg til Nav-kontoret, og som ønsker eller trenger bistand for å komme i arbeid, rett til å få vurdert bistandsbehovet sitt. Verken Arbeids- og sosialdepartementet eller Arbeids- og velferdsdirektoratet har gitt noen særskilte føringer for hvordan uføretrygdede arbeidssøkere skal følges opp ved det lokale Nav-kontoret, ut over det som kommer fram i Nav-loven § 14 a.

Undersøkelsen viser at Nav-loven § 14 a tolkes ulikt av Nav-kontorene. En kartlegging av praksis ved tre Nav-kontor viser at det varierer om uføretrygdede arbeidssøkere får vurdert sitt behov for bistand. Videre varierte det mellom de tre Nav-kontorene hvilke tiltak som blir gjort tilgjengelig for uføretrygdede arbeidssøkere. Ved ett av Nav-kontorene gis uføretrygdede arbeidssøkere ikke tilgang på noen tiltak for å komme i arbeid, mens de ved et annet Nav-kontor har tilgang på hele Navs tiltaksportefølje.

Riksrevisjonen mener det er kritikkverdig at Nav-kontor tolker Nav-loven § 14 a ulikt, fordi dette fører til at uføretrygdede ikke er sikret lik behandling. Manglende bistand til å komme i arbeid vil også kunne føre til at uføre ikke får mulighet til å utnytte restarbeidsevnen sin.

Undersøkelsen viser også at informasjon om at uføre kan få bistand fra Nav til å komme i arbeid, ikke blir formidlet spesifikt på etatens nettsider eller i vedtaksbrev til nye uføre. Informasjon om retten til bistand blir dermed ikke formidlet systematisk, og den er heller ikke lett tilgjengelig for brukerne. Riksrevisjonen mener at manglende informasjon til uføre om muligheten for å få bistand fra Nav kan gjøre det vanskelig å oppnå Stortingets mål om å øke andelen uføretrygdede i arbeid.

Arbeids- og sosialdepartementet har i sin styring og oppfølging av etaten hatt lite oppmerksomhet på at målene i uførereformen nås

Arbeids- og sosialdepartementet har ansvaret for at arbeids- og velferdspolitikken er i samsvar med målene som går fram av Stortingets vedtak og forutsetninger.

Departementet har videre det overordnede ansvaret for at arbeids- og velferdsetaten følger opp Stortingets vedtak og forutsetninger og departementets mål og prioriteringer.

Undersøkelsen viser at Arbeids- og sosialdepartementet i liten grad har operasjonalisert eller videreformidlet målene for uførereformen i styringsdialogen med Arbeids- og velferdsdirektoratet. Departementet satte i tildelingsbrevet for 2016 et krav om at andelen uføretrygdede med lønnsinntekt skal øke. Ut over dette er målet om at flere uføre skal kombinere trygd med arbeid, ikke omtalt i den skriftlige styringsdialogen i perioden 2015–2017. Arbeids- og sosialdepartementet har imidlertid hentet inn kunnskap om virkningene av uførereformen gjennom en evaluering i 2016.

Departementet har også i 2017 gitt Arbeids- og velferdsdirektoratet i oppdrag å sette i gang et nytt evalueringsprosjekt om effekter av uførereformen.

Arbeids- og sosialdepartementet har videre ikke gitt noen føringer for arbeids- og velferdsetatens arbeid med innvilgelse av uføretrygd eller om uførereformens mål om at flere skal få innvilget gradert uføretrygd. Departementet påpeker at det er regelstyrt hvorvidt en person skal ha gradert uføretrygd. Departementet mener derfor at det ikke bør stilles konkrete krav til omfanget av graderinger. Departementet har imidlertid i tildelingsbrev gjort etaten oppmerksom på viktigheten av å fastsette riktig gradering når uføretrygden innvilges. Undersøkelsen viser at departementet har satt krav og etterspurt rapportering på ulike kvalitetsparametere på flere andre ytelsesområder.

Departementet har imidlertid ikke etterspurt eller mottatt rapportering om kvaliteten på Navs arbeid med uførevedtak.

Riksrevisjonen konstaterer at Arbeids- og sosialdepartementet i sin styring og oppfølging av arbeids- og velferdsetaten har hatt lite oppmerksomhet på at målene i uførereformen nås.

En viktig forutsetning for å nå målene i uførereformen er at det finnes arbeidsmuligheter for de uføretrygdede som ønsker arbeid, for eksempel ved at det finnes en deltidsjobb til personer som får fastsatt gradert uføretrygd. Undersøkelsen viser at veiledere ved Nav-kontor og saksbehandlere som fatter vedtak om uføretrygd, opplever at det ikke er tilstrekkelig tilgang på stillinger for personer med redusert arbeidsevne. Dette blir videre framhevet som en begrensende faktor for uføretrygdedes arbeidsdeltakelse og etatens muligheter til å innvilge gradert uføretrygd. Arbeids- og velferdsdirektoratet har, på bakgrunn av oppdrag fra Arbeids- og sosialdepartementet, satt i verk et arbeid for å styrke etatens innsats overfor arbeidsgivere. Dette omfatter en økt rekrutteringsinnsats overfor arbeidsgivere og en styrket formidling av arbeidskraft. For å sikre en effektiv utnyttelse av tilgjengelig arbeidskraft blant uføretrygdede vurderer Riksrevisjonen det som avgjørende at Arbeids- og sosialdepartementet følger opp arbeids- og velferdsetatens innsats overfor arbeidsgivere.

Arbeids- og velferdsdirektoratet har ikke fulgt opp at målene i uførereformen nås

Riksrevisjonen mener det er kritikkverdig at arbeids- og velferdsdirektoratet ikke har gitt styringssignaler eller hentet inn styringsinformasjon om målene i uførereformen. Direktoratet skal i henhold til bestemmelser om økonomistyring i staten fastsette mål for arbeids- og velferdsetaten og sikre at resultatkravene nås innenfor rammen av disponible ressurser og forutsetninger som den overordnede myndigheten har gitt.

Virksomhetens ledelse har videre ansvaret for å gjennomføre aktiviteter i tråd med Stortingets vedtak og forutsetninger og departementets fastsatte mål og prioriteringer.

Undersøkelsen viser at Arbeids- og velferdsdirektoratet ikke har operasjonalisert eller videreformidlet kravet om økt andel uføretrygdede i arbeid, som Arbeids- og sosialdepartementet satte i tildelingsbrevet for 2016. Direktoratet har heller ikke stilt noen krav eller gitt styringssignaler til etaten om økt bruk av gradert uføretrygd.

Direktoratet har videre ikke etterspurt rapportering om måloppnåelse eller informasjon om hvordan det arbeides i etaten for å nå målene med uførereformen.

Manglende styringssignaler og styringsinformasjon innebærer at direktoratet har et svakt grunnlag for å vurdere om målene med reformen nås, og om innsatsen for å nå målene er hensiktsmessig innrettet. Lite oppfølging fra direktoratet gir videre risiko for at arbeidet for å nå Stortingets mål om økt yrkesdeltakelse blant uføretrygdede blir prioritert i ulik grad i Nav Arbeid og ytelser og ved de lokale Nav-kontorene.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Arbeids- og sosialdepartementet følger opp at arbeids- og velferdsetaten styrker arbeidet for å nå uførereformens mål om økt yrkesdeltakelse blant uføretrygdede. Departementet bør følge opp at

• etatens arbeid med å fastsette uføregrad styrkes, slik at flest mulig uføretrygdede kan opprettholde en tilknytning til arbeidslivet

• uføretrygdede arbeidssøkere som oppsøker Nav, sikres lik behandling og får vurdert sitt behov for bistand til å kombinere trygd med arbeidsinntekt

• etaten fortsetter å styrke arbeidet med å formidle arbeidskraft, slik at flest mulig uføretrygdede får muligheten til å utnytte restarbeidsevnen sin

• Arbeids- og velferdsdirektoratet innhenter relevant styringsinformasjon for bedre å kunne vurdere etatens innsats for å nå målene i uførereformen.

Riksrevisjonens sluttmerknad

Statsråden er av den oppfatning at Riksrevisjonen har lagt til grunn en for bred fortolkning av målene med reformen, og mener at hovedhensikten med de sentrale føringene i uførereformen er endringer i regelverket. Riksrevisjonen deler ikke denne oppfatningen og fastholder at Stortingets mål som framgår av Innst. 80 L (2011–2012) om økt yrkesdeltakelse blant uføretrygdede ikke er nådd, og at Arbeids- og velferdsdirektoratet ikke i tilstrekkelig grad har fulgt opp Stortingets mål.

Hovedfunn

• Arbeidstilsynet har ikke gjennomført risikovurderinger, og styringssystemet for informasjonssikkerhet definerer ikke hvordan arbeidet skal evalueres og forbedres.

• Arbeidstilsynet har ikke stilt krav eller beskrevet hvordan viktige sikkerhetstiltak skal gjennomføres og følges opp, og har heller ikke gjennomført og fulgt opp tiltak i henhold til beste praksis.

• Arbeidstilsynet har ikke et helhetlig system for hendelser knyttet til informasjonssikkerhet og har ikke fulgt opp om styringssystemet fungerer etter hensikten.

Riksrevisjonens merknader

Riksrevisjonen finner det kritikkverdig at Arbeidstilsynet har et styringssystem for informasjonssikkerhet som ikke fullt ut er i samsvar med eForvaltningsforskriften § 15 og personvernopplysningsloven.

Arbeidstilsynet har utarbeidet mål og prinsipper som definerer prosessene for arbeidet med informasjonssikkerhet og planlegging av sikkerhetstiltak. Dette inkluderer føringer for klassifisering av informasjonssystemer, risikoanalyser og avvikshåndtering. Det er imidlertid ikke stilt krav om interne revisjoner eller gjennomganger av om sikkerhetsstrategien og sikkerhetstiltakene fungerer etter hensikten. Videre er det ikke stilt krav om evaluering og kontinuerlig forbedring av styringssystemet.

Arbeidstilsynet har klassifisert informasjonssystemene. Risikoarbeidet på informasjonssikkerhetsområdet har imidlertid ikke vært en del av den ordinære virksomhetsstyringen ved Arbeidstilsynet, og den helhetlige risikoen på området er ikke blitt vurdert siden 2014. Videre er ikke risikovurderingene på systemnivå fullstendige for alle systemene som er omfattet av revisjonen. Tiltak for å håndtere risiko går ikke alltid fram av risikoanalysene, og det er ikke dokumentert om identifiserte tiltak er gjennomført eller evaluert. Tilsynet har ikke utarbeidet en samlet oversikt over sikkerhetstiltak for hvert system, slik det er gitt føringer om i styringssystemet.

Revisjonen har omfattet et utvalg sikkerhetstiltak som er ansett som viktigst for å redusere risiko. For disse sikkerhetstiltakene har Arbeidstilsynet i liten grad utarbeidet rutiner, prosedyrer eller lignende som benyttes i driften av etatens systemer. Videre er det ikke dokumentert når og hvordan etterkontroll og evaluering av de enkelte sikkerhetstiltakene skal gjennomføres. Dette kan være en medvirkende årsak til at flere av tiltakene som er omfattet av revisjonen, ikke er implementert i henhold til beste praksis og anbefalinger i anerkjente standarder. Svakheter i sikkerhetstiltak kan indikere at styringssystemet ikke fungerer på alle områder, enten ved at svakhetene ikke er identifisert, eller at korrigerende tiltak ikke er iverksatt.

Arbeidstilsynet har ikke kontrollert eller evaluert om arbeidet med informasjonssikkerhet og sikkerhetstiltak fungerer som forutsatt. Ledelsens gjennomgang av informasjonssikkerhetsarbeidet har ikke blitt gjennomført de siste årene. Det foreligger videre ikke et helhetlig system for registrering, håndtering og oppfølging av informasjonssikkerhetshendelser.

Manglende sikring av informasjon kan føre til uheldige konsekvenser for enkeltpersoner, samfunnet og/eller skade omdømmet til virksomheten. Svakhetene i sikkerhetstiltakene indikerer at Arbeidstilsynets styring ikke er tilstrekkelig, enten ved at svakhetene ikke er identifisert, eller at korrigerende tiltak ikke er iverksatt.

Arbeidstilsynet har igangsatt en gjennomgang av sikkerhetsarbeidet. Dette inkluderer å etablere et felles overordnet styringssystem for informasjonssikkerhet, fysisk sikkerhet, personellsikkerhet, samt helse-, miljø- og sikkerhet knyttet til arbeidsmiljø. Den nye personopplysningsloven vil ha betydning for dette arbeidet.

Revisjonen er basert på regelverk gjeldende i 2017. Den nye personopplysningsloven som er vedtatt i 2018, medfører nye plikter for alle virksomheter som behandler personopplysninger. Det stilles også krav til databehandler, som får flere selvstendige plikter, herunder å sørge for informasjonssikkerhet.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Arbeids- og sosialdepartementet

• påser at Arbeidstilsynet etterlever gjeldende regelverk for informasjonssikkerhet.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Barne- og likestillingsdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Barne- og likestillingsdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere om Barne-, ungdoms- og familieetaten (Bufetat) etterlever krav til kvalitetssikring av omsorgssentre for enslige mindreårige asylsøkere under 15 år, og om Fylkesmannen gjennomfører tilsyn med kvaliteten i omsorgssentrene i henhold til gjeldende lov og regelverk.

Hovedfunn

• Det gjennomføres ikke et tilstrekkelig antall kvalitetskontroller og meldte og uanmeldte tilsyn med omsorgssentrene.

• Det gjennomføres ikke i tilstrekkelig grad enkeltsamtaler med barn for å ivareta deres interesser.

• Manglende metodikk, mangelfull dokumentasjon og manglende oppfølging av kvalitetskontroller og tilsyn sikrer ikke tilstrekkelig informasjon om kvaliteten i tilbudet til barn som bor på omsorgssentrene.

Riksrevisjonens merknader

Riksrevisjonen ser alvorlig på at Bufdir og Helsetilsynet ikke har sikret at det gjennomføres kvalitetskontroller og tilsyn med omsorgssentrene for enslige mindreårige asylsøkere under 15 år i samsvar med kravene i lov og forskrifter.

Det gjennomføres ikke et tilstrekkelig antall kvalitetskontroller og meldte og uanmeldte tilsyn med omsorgssentrene

Fylkesmannen skal gjennomføre minst to årlige tilsyn på omsorgssentrene, og ett av dem skal være uanmeldt, jf. forskrift om tilsyn med barn i barneverninstitusjoner.

Bufetat skal gjennomføre en årlig kvalitetskontroll. Det er ikke gitt unntak fra kravene.

Bufetat gjennomførte i 2017 ikke årlig kvalitetskontroll ved sju av de ti utvalgte omsorgssentrene. I 2016 ble det gjennomført én årlig kontroll på hvert av de ti sentrene. Fylkesmannen gjennomførte i 2017 de to pålagte tilsynene på seks av de ti utvalgte omsorgssentrene. To sentre var ikke gjenstand for tilsyn i det hele tatt, og på to av sentrene ble det gjennomført bare ett tilsyn. I 2016 ble det gjennomført to lovpålagte tilsyn på ni av ti omsorgssentre og ett på det siste. I 2017 ble det verken gjennomført kvalitetskontroll eller tilsyn ved to av de ti omsorgssentrene.

Etatene opplyser at hovedårsaken til manglende kvalitetskontroller og tilsyn var at flere av de private omsorgssentrene var under avvikling. Barne- og likestillingsdepartementet uttaler at det ikke nødvendigvis er riktig bruk av ressurser å føre en relativt omfattende kvalitetskontroll med omsorgssentre som er under avvikling.

Bufetats og Fylkesmannens manglende gjennomføring av pålagte kvalitetskontroller og tilsyn kan føre til at kontrollinstansene ikke får tilstrekkelig informasjon om kvaliteten i omsorgstilbudet til barna og om sentrene etterlever kravene i regelverkene. Revisjonen viser at alle sentrene som skulle avvikles, var i drift og hadde barn bosatt i hele 2017.

Ved avvikling er det risiko for at omsorgstilbudet til barna ikke blir opprettholdt på et forsvarlig nivå, blant annet fordi økonomiske rammevilkår endres og ansatte kan slutte.

Det er et krav at halvparten av Fylkesmannens tilsyn skal være uanmeldte. Av totalt 61 gjennomførte tilsyn for hele landet i 2017 var 13 tilsyn (21 pst.) uanmeldt. I 2016 var 16 av 152 tilsyn (11 pst.) uanmeldt. Når det ikke gjennomføres uanmeldte tilsyn, er det risiko for at Fylkesmannen ikke får kjennskap til hverdagssituasjonen på sentrene slik den er når ledelsen og de ansatte ikke er forberedt og ikke har hatt anledning til å tilrettelegge forholdene før tilsynet.

Det gjennomføres ikke i tilstrekkelig grad enkeltsamtaler med barn for å ivareta deres interesser

Fylkesmannen skal ifølge forskrift om tilsyn med barn i barneverninstitusjoner ta kontakt med hvert enkelt barn for å få frem barnets syn på kvaliteten i tilbudet på omsorgssenteret. Revisjonen viser at to av sju kontrollerte embeter ikke har gjennomført enkeltsamtaler med barna, men bare har hatt samtaler med barn i grupper. Fylkesmannen oppgir at årsaken til dette er at det kan være utfordrende å få gjennomført enkeltsamtaler med barna. Dette er uheldig fordi det i gruppesamtaler kan være vanskelig for barna å fortelle om de får dekket behovene sine for for eksempel medisinsk behandling, fritidsaktiviteter og et godt skoletilbud. Informasjonen fra barna er viktig for at Fylkesmannen skal kunne vurdere om omsorgssenteret drives forsvarlig, og om hvert enkelt barn får forsvarlig omsorg og behandling.

I Helsetilsynets registrerings- og styringssystem NESTOR skal Fylkesmannen registrere hvor mange enkeltsamtaler som er gjennomført. Systemet har ikke funksjonalitet for å skille mellom enkeltsamtaler og gruppesamtaler, og flere fylkesmenn registrerer derfor gruppesamtaler med barn som om det er gjennomført samtaler med hvert enkelt barn. Av systemet går det fram at de sju kontrollerte fylkesmennene i 2017 snakket med 57 pst. av barna. Tilsvarende registrering i 2016 viste at det ble gjennomført samtale med 90 pst. av barna.

Informasjonen fra barna er viktig for at Fylkesmannen skal kunne bedømme om hvert enkelt barn får forsvarlig omsorg og behandling. I gruppesamtaler er det ikke naturlig at barna gir uttrykk for sine personlige utfordringer. Fylkesmannen kan heller ikke la barna utlevere personlige opplysninger eller drøfte private forhold mens andre er til stede, fordi barn og unge ikke har taushetsplikt. Fylkesmannen kan derfor gå glipp av viktig informasjon, for eksempel om at barna har vært utsatt for krenkelser, ulovlig bruk av tvang eller andre forhold som indikerer at de ikke får forsvarlig omsorg og behandling. Når registreringssystemet ikke skiller mellom enkeltsamtaler med barn og gruppesamtaler, gir statistikken til Helsetilsynet misvisende styringsinformasjon, og den kan ikke brukes til å avgjøre om det må iverksettes tiltak.

Manglende metodikk, mangelfull dokumentasjon og manglende oppfølging av kvalitetskontroller og tilsyn sikrer ikke tilstrekkelig informasjon om kvaliteten i tilbudet til barn som bor på omsorgssentrene

Bufdir har utarbeidet rutiner og retningslinjer for regionenes planlegging, gjennomføring og oppfølging av kvalitetskontroll, sist revidert i 2010, men har ikke utviklet en risikobasert kontrollmetodikk som skal styrke internkontrollen og bidra til felles praksis i regionene. Direktoratet startet i 2015 et arbeid med å utvikle en metodikk, men har ikke fastsatt en plan for når kontrollmetodikken skal implementeres. Bufdirs manglende kontrollmetodikk gir risiko for at kontrollene ikke gjennomføres på en helhetlig og samordnet måte med god kvalitet.

Helsetilsynet har det overordnede faglige tilsynet med omsorgssentrene. Det er utviklet en veileder i tilsyn med barneverninstitusjoner som kan brukes ved tilsyn på omsorgssentre så langt den passer. I 2017 startet Helsetilsynet et arbeid for å vurdere kvaliteten på Fylkesmannens rapporter om tilsyn med omsorgssentre.

Ifølge god forvaltningsskikk skal saksbehandlingen i offentlig forvaltning dokumenteres for blant annet å sikre etterprøvbarhet. Verken Bufetat eller Fylkesmannen dokumenterer kvalitetskontrollene og tilsynene på en slik måte at det går tydelig fram hvilke dokumenter og hvilken informasjon som ligger til grunn for kontrollene, hva som er kontrollert, og hva som er resultatet av kontrollene. Blant annet har mange av Bufetats rapporter fra kvalitetskontroller og Fylkesmannens tilsynsrapporter mangelfulle beskrivelser og vurderinger av gjennomførte kontroller på viktige områder, som barns skole- og opplæringstilbud, medisinsk tilsyn og behandling og bruk av tolk. Det er derfor vanskelig å etterprøve hva som faktisk er kontrollert.

Bufdir følger opp at regionene gjennomfører pålagte årlige kvalitetskontroller gjennom mål og resultatstyringen. Videre har Bufdir satt krav til at regionene skal utarbeide en årlig sammenstilling av rapportene fra gjennomførte kvalitetskontroller og peke på områder med utfordringer. Revisjonen viser at ingen av regionene utarbeider en årlig sammenstilling. Det er også krav i forskrift om tilsyn med barn i barneverninstitusjoner om at Fylkesmannen skal sende årsrapport til Bufetat og rapportere om saker som tilsynet har tatt opp i løpet av året. Revisjonen viser at én av de sju kontrollerte fylkesmennene ikke har rapportert. Bufdir har i de siste årene heller ikke etterspurt rapporteringen verken fra regionene eller fra Fylkesmannen.

Bufdirs manglende oppfølging av regionenes og fylkesmennenes rapportering om kvalitetskontroller og tilsyn gir risiko for at kontrollene ikke gjennomføres på en helhetlig og samordnet måte og med god kvalitet.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Barne- og likestillingsdepartementet

• påser at Bufdir og Helsetilsynet gjennomfører kvalitetskontroll og tilsyn på omsorgssentrene i samsvar med krav i barnevernloven og forskrifter for å sikre at mindreårige asylsøkere får forsvarlig omsorg og behandling.

Riksrevisjonens sluttmerknad

Riksrevisjonen er kjent med at Bufetat har flere virkemidler for å ivareta kvaliteten i omsorgssentrene. Riksrevisjonen understreker viktigheten av at det gjennomføres en årlig etterfølgende kontroll for å sikre at disse virkemidlene virker etter hensikten, og at barn i en sårbar situasjon får den kvalitet i omsorgen som de har krav på.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere om fylkesnemndene har et styringssystem for informasjonssikkerhet som oppfyller kravene i forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) og lov om behandling av personopplysninger (personopplysningsloven).

Hovedfunn

• Fylkesnemndene har ikke et styringssystem for informasjonssikkerhet som oppfyller kravene i eForvaltningsforskriften, og som ivaretar kravene i personopplysningsloven.

• Fylkesnemndene har ikke stilt krav til, fulgt opp eller evaluert informasjonssikkerheten i tjenester som er satt ut.

• Viktige sikkerhetstiltak som blant annet skal forhindre uautorisert bruk av informasjonssystemet, er ikke gjennomført av tjenesteleverandøren i henhold til beste praksis.

• Fylkesnemndene følger ikke opp at sikkerhetstiltak gir tilfredsstillende informasjonssikkerhet.

Riksrevisjonens merknader

Riksrevisjonen finner det kritikkverdig at fylkesnemndene ikke har et styringssystem for informasjonssikkerhet i samsvar med eForvaltningsforskriften § 15 og anerkjente standarder.

Kontroll- og konstitusjonskomiteen har tidligere understreket betydningen av gode rutiner for sikring av personvern i barnevernet, og den ser alvorlig på at merknader om blant annet informasjonssikkerhet er forhold som har gått igjen i Dokument 1 de siste årene.

Styring og ledelsesinvolvering skal bidra til at virksomheten gjennomfører nødvendige analyser av sikringsbehov før tiltak iverksettes. Revisjonen viser at fylkesnemndene ikke har sikkerhetsmål og sikkerhetsstrategier som sikrer ledelsen et tilstrekkelig grunnlag for å planlegge sikkerhetstiltak. Fylkesnemndene har identifisert at de har skjermingsverdige personopplysninger i saks- og ansettelsesforhold, men har ikke oversikt over informasjonsaktiva/-verdier eller klassifisering av slike. Virksomheten har heller ikke en helhetlig prosess for risikovurdering som vil gi grunnlag for å vurdere omfang og innretning på internkontrollen. Det er gjennomført risikovurderinger med hovedvekt på fysisk sikkerhet og ved utvikling av saksbehandlingssystemet ProSak, men det er ikke gjennomført risikovurderinger rettet mot fylkesnemndenes IKT-infrastruktur, som er tjenesteutsatt til Bufetat.

Fylkesnemndene har, med bakgrunn i en tjenesteavtale og vedlikeholdsavtale, satt ut driften av IKT-infrastrukturen og saksbehandlingssystemet ProSak til Bufetat. Ved tjenesteutsetting skal fylkesnemndene som behandlingsansvarlig påse at kravene knyttet til sikkerhet følges hos tjenesteleverandøren. Databehandleravtalen med Bufetat inneholder flere av elementene som Datatilsynet anbefaler for slike avtaler, men den stiller ikke krav til hva databehandler skal ha av sikringstiltak for behandling av personopplysninger, eller krav om oppfølging av sikkerhetstiltak.

Fylkesnemndene har delvis utarbeidet policyer og retningslinjer som skal danne grunnlaget for internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. For sikkerhetstiltak som gjennomføres hos Bufetat, har fylkesnemndene i liten grad stilt krav til dokumenterte policyer, retningslinjer og rutiner. Gjennom avtalene med Bufetat er det i liten grad dokumentert hvordan prosessene og kommunikasjonen om sikkerhetstiltak skal foregå. Fylkesnemndene har basert seg på Bufetats styringssystem, uten at dette er tilpasset, fulgt opp eller evaluert.

Internkontrollen skal ivareta og stille nødvendige krav til prosedyrer for sikring av personopplysninger og oppfølging av at iverksatte sikkerhetstiltak fungerer etter hensikten. Svakheter i gjennomføring av sikkerhetstiltak kan indikere at det ikke er etablert et godt nok grunnlag for å vurdere omfang og innretning på internkontrollen, enten ved at tiltak ikke er iverksatt, eller at svakhetene i etablerte tiltak ikke er identifisert.

Revisjonen har omfattet et utvalg sikkerhetstiltak i systemer som driftes hos Bufetat, og som er ansett som viktigst for å redusere risiko. Revisjonen viser at fylkesnemndene ikke har fulgt godt nok opp at Bufetat har systematiske sikkerhetstiltak som bidrar til å sikre tilfredsstillende informasjonssikkerhet. Blant annet er det funnet svakheter i tiltak som skal sikre autorisert bruk av informasjonssystemet, og det mangler tilstrekkelig logging og systematisert gjennomgang av logger for å oppdage eventuell uautorisert bruk av systemer. Tiltak mot ødeleggende programvare ved hjelp av sikkerhets- oppdateringer eller tiltak for å hindre kjøring av uautorisert programvare på PC-er og kontroll av enheter i nettverket er ikke gjennomført i tråd med anbefalinger.

De valgte løsningene skal evalueres og forbedres om nødvendig, og det skal følges opp at sikkerhetstiltak som er besluttet, faktisk er iverksatt og fungerer etter hensikten. Dette inkluderer også oppfølging av avtalte sikkerhetstiltak hos tjenesteleverandør.

Fylkesnemndenes avvikshåndteringssystem har ikke fungert godt nok, og det er ikke et enhetlig system for rapportering, håndtering og analyse av hendelser og avvik. De prosedyrer som er etablert, gjelder primært håndtering av fysiske dokumenter med taushetsbelagt informasjon, mens prosedyrer for håndtering av avvik hos tjenesteleverandøren Bufetat primært har vært rettet mot avvik i tilgjengelighet og responstid. Avvik i den tekniske informasjonssikkerheten skal varsles, men det er ikke prosedyrer for systematisk dokumentasjon av dette.

Revisjonen viser at fylkesnemndene i liten grad har gjennomført jevnlige sikkerhetsrevisjoner av organisering, sikkerhetstiltak og bruk av leverandør. De har foretatt enkelte risikoanalyser som grunnlag for å kunne vurdere tiltak for informasjonssikkerhet, men disse har primært vært rettet mot ikke-tekniske tiltak. Oppfølging av tjenesteavtalen og databehandleravtalen med Bufetat har primært vært rettet mot tilgjengelighet og funksjonalitet i ProSak. Fylkesnemndene har ikke en formalisert og systematisk rapportering fra Bufetat på oppfølging av den tekniske informasjonssikkerheten.

Svakhetene i fylkesnemndenes styring av og kontroll med informasjonssikkerheten medfører risiko for at sensitive opplysninger ikke blir godt nok beskyttet mot uautorisert innsyn og endring. Mangelfulle sikkerhetstiltak kan føre til uheldige konsekvenser for barn og barnas nærmeste. Sett i lys av det økte trusselnivået med flere cyberhendelser de siste årene gir de avdekkede svakhetene i styringen av sikkerhetstiltak økt risiko for uønskede hendelser. Allmennhetens tillit til at offentlige virksomheter sikrer den informasjon de forvalter i elektroniske systemer, er også vesentlig for at digitale løsninger skal bli brukt som forutsatt i dialogen med brukerne.

Revisjonen er basert på regelverk gjeldende i 2017. Den nye personopplysningsloven som er vedtatt i 2018, medfører nye plikter for alle virksomheter som behandler personopplysninger. Det stilles også krav til databehandler, som får flere selvstendige plikter, herunder å sørge for informasjonssikkerhet.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Barne- og likestillingsdepartementet

• påser at fylkesnemndene iverksetter tiltak som sikrer et styringssystem for informasjonssikkerhet i samsvar med eForvaltningsforskriften § 15 og anerkjente standarder

• påser at avtaleforholdene mellom fylkesnemndene og Bufetat blir avklart og innarbeidet etter fylkesnemndenes behov, og avtalefestet i tråd med krav i personopplysningsloven og anerkjente standarder.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Finansdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Skatteetaten

Basert på revisjonen av årsregnskapet og kontrollhandlinger funnet nødvendige i henhold til ISSAI 4000-serien, er det avdekket brudd på følgende regelverk:

• Reglement for økonomistyring i staten § 14 Intern kontroll og bestemmelser om økonomistyring i staten punkt 2.5.1 Generelt om transaksjonskontroller og punkt 2.5.3 Transaksjonskontroll av inntekter. Revisjonen viser over 200 000 uidentifiserte a-meldinger som berører over 40 000 inntektsmottakere. Over 13 000 a-meldinger med innbetalt forskuddstrekk er ikke identifisert på riktig skatteyter og har dermed ikke blitt godskrevet ved skatte- oppgjøret. I tillegg foreligger det inntektsgrunnlag på over 2,6 mrd. kroner uten at det er foretatt skattetrekk for 26 000 uidentifiserte inntektsmottakere hvor Skatteetaten ikke har tilstrekkelige kontroller for å kunne vurdere skatteplikt. Videre viser revisjonen at en tredjedel av utenlandske oppdragstakere som har oppdrag på land eller kontinentalsokkelen, ikke har oppfylt sin opplysningsplikt i henhold til lov om arbeidsgivers innrapportering av ansettelses- og inntektsforhold m.m. (a-opplysningsloven) – uten at skattemyndighetene har satt i verk tilstrekkelige tiltak for å sikre skatteinntektene. Disse forholdene medfører tapt skatteproveny.

• Reglement for økonomistyring i staten § 14 f, som stiller krav om at alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler jf. bestemmelser om økonomistyring i staten punkt 4.3.6 tredje ledd, som stiller krav til intern kontroll knyttet til endring av lagrede data uten bruk av applikasjonenes normale funksjoner.

Det er påvist svakheter knyttet til fellesbrukere, logging og manglende oppfølging av logger ved direkte pålogging i merverdiavgiftsapplikasjonens database.

Riksrevisjonen har ingen øvrige kommentarer til etterlevelsen av administrativt regelverk.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen er å undersøke om de virkemidler Finansdepartementet og Skattedirektoratet (SKD) har til rådighet for faglig styring og oppfølging av de kommunale skatteoppkreverne (SKO), utnyttes, og hva som eventuelt er årsakene til at virkemidler ikke brukes.

Hovedfunn

• Bruken av organisatoriske og pedagogiske virkemidler i styringen og oppfølgingen av skatteoppkreverfunksjonen fungerer i hovedsak.

• Finansdepartementet og Skattedirektoratet benytter ikke instruksjonsmyndigheten i skattebetalingsloven § 2-3 andre ledd.

Riksrevisjonens merknader

Bruk av organisatoriske og pedagogiske virkemidler

Revisjonen viser at organisatoriske virkemidler som benyttes i styringen og oppfølgingen av skatteoppkreverfunksjonen, i hovedsak fungerer, men at det i oppfølgingen av mål og krav kan være en iboende konflikt mellom resultatkravet for arbeidsgiverkontrollen om en årlig kontrolldekning på fem pst. og kravet om at kontrollene skal være risikobasert. Skatteetaten tilbyr også kurs og andre kompetansehevende tiltak for skatteoppkreverkontorene som pedagogiske virkemidler. Det er imidlertid ikke fastsatt konkrete kompetansekrav eller krav om obligatorisk deltakelse på kompetansetilbudene til skatteoppkreverne. Konsekvensen er at disse kan velges bort.

Bruk av instruksjonsmyndigheten i skattebetalingsloven § 2-3 andre ledd

Skattebetalingsloven § 2-3 annet ledd lyder:

«Departementet kan gi kommunene instruks om nødvendig utbygging av skatteoppkreverkontorene. Departementet kan også gi instruks om teknisk og arbeidsmessig samordning av skatteoppkrevernes og skattekontorenes oppgaver.»

Denne myndigheten er delegert til Skattedirektoratet, jf. F21.12.2007 nr. 1766 § 2-3. Med denne bestemmelsen kan departementet gripe inn i kommunenes selvbestemmelsesrett, et prinsipp som gjenspeiles i kommuneloven § 6.

Skattedirektoratet gir i intervju uttrykk for en forståelse av at Skattebetalingshåndboken angir bestemmelsens innhold, hvor det vises til at meningen er «å sikre den nødvendige samordning av arbeidsoppgavene i forbindelse med skriving av skattelister, skatteberegning og avregning». Riksrevisjonen viser til at Skattebetalingshåndboken første gang ble utgitt i 2010 av Skatteetaten. Det er uklart hvor denne forståelsen kommer fra, og hvorfor bestemmelsen er tolket så snevert. Departementet viser i tilbakemeldingene til at de har fått opplyst fra Skattedirektoratet at tolkningen bygger på uttalelser gitt til tidligere skattebetalingslov, uten at det er nærmere angitt hva disse tolkningene bygger på.

Forståelsen av ordlyden i «nødvendig utbygging av skatteoppkreverkontorene» i bestemmelsen tilsier en myndighet til å instruere kommunene om ressursbruken på skatteoppkreverfunksjonen. Videre i andre punktum er det gitt myndighet til å instruere kommunene om «[...] teknisk og arbeidsmessig samordning [...]». Ordlyden tilsier etter revisjonens mening en instruksjonsmyndighet som omfatter mer enn «skriving av skattelister, skatteberegning og avregning», og at departementet har myndighet til å instruere skatteoppkrevere om å organisere seg slik at de ivaretar samfunnets behov for en effektiv skatteinnkreving. Dette støttes etter revisjonens mening også av forarbeidene til skattebetalingsloven av 2005 og tidligere lov av 1952.

Riksrevisjonen har i intervjuene med Skattedirektoratet og Finansdepartementet stilt flere spørsmål om begrepene «sanksjonsmulighet» og «instruksjonsmyndighet», og oppfatter at både direktoratet og departementet er enige i at det er lenge siden bestemmelsene i skattebetalingsloven ble fortolket, og at de kan ha tolket bestemmelsen for snevert.

Riksrevisjonen finner det kritikkverdig at Finansdepartementet ikke har avklart hva som ligger i hjemmelen i skattebetalingsloven § 2-3 andre ledd. Skattedirektoratet rapporterer til Finansdepartementet om gjentatte pålegg til skatteoppkreverne som ikke følger retningslinjene for innkrevingsarbeidet, og om kommuner som ikke gjennomfører arbeidsgiverkontroll, i de årlige kontrollrapportene for skatteoppkreverfunksjonen for 2015 og 2016. Denne rapporteringen viser også at det er aktuelt å vurdere bruk av instruksjonsmyndigheten i slike tilfeller.

Selv om Finansdepartementet og Skatteetaten ikke har direkte sanksjonsmuligheter overfor kommunene, kan det vurderes om det bør rapporteres om manglende resultater i skatteoppkreverfunksjonen til Kommunal- og moderniseringsdepartementet. Departementet har ansvaret for økonomiske og juridiske rammebetingelser for kommunesektoren og skal bidra til at statens styring av kommunesektoren er samordnet, helhetlig og konsistent. Kommunal- og moderniseringsdepartementet har muligheter til sanksjonering med hjemmel i kommuneloven ved manglende etterfølgelse av instruksen. Finansdepartementet uttaler at de vurderer dette som en sanksjonsmulighet.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Finansdepartementet

• avklarer bruk av instruksjonsmyndigheten i skattebetalingsloven § 2-3 andre ledd for å sikre en effektiv og målrettet skatteoppkreverfunksjon i samsvar med Stortingets vedtak og forutsetninger, jf. Stortingets behandling av Prop. 1 S (2016–2017) for Finansdepartementet

• vurderer om det kan rapporteres til Kommunal- og moderniseringsdepartementet, som har sanksjonsmuligheter, hvis enkelte kommuner ikke retter seg etter gjentatte pålegg fra Skatteetaten.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere om Direktoratet for økonomistyring (DFØ) sørger for tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i lønns- og personalsystemet SAP.

Hovedfunn

• Revisjonen viser at det er svakheter ved flere sider av DFØs arbeid med å sikre personopplysningene:

  • DFØ har ikke dokumentert oversikt over det samlede risikobildet for behandlingen av personopplysninger.

  • DFØs sikkerhetstiltak gir ikke tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i lønnssystemet SAP.

  • DFØs oppfølging av iverksatte tiltak og oppfølgingen av den eksterne leverandøren er mangelfull.

Riksrevisjonens merknader

Tidligere revisjoner av informasjonssikkerhet i DFØ og andre statlige virksomheter har avdekket vesentlige svakheter. I 2012 gjennomførte Riksrevisjonen en revisjon av informasjonssikkerheten i lønns- og personalsystemet SAP i DFØ, som blant annet viste svakheter ved sikkerhetsrevisjoner, risikovurderinger og brukertilganger.

Riksrevisjonen mener det er sterkt kritikkverdig at DFØ på flere områder ikke etterlever sentrale krav i personopplysningsloven og personopplysningsforskriften om sikring av personopplysninger i lønns- og personalsystemet. Dette øker risikoen for at personopplysninger kan komme på avveie eller misbrukes. Flere av svakhetene har blitt tatt opp av Riksrevisjonen i tidligere revisjoner.

DFØ har ikke dokumentert oversikt over det samlede risikobildet for behandlingen av personopplysninger

Virksomheter som behandler personopplysninger, skal gjennomføre risikovurderinger for å klarlegge sannsynligheten for og konsekvensene av sikkerhetsbrudd.

Risikovurderingene danner grunnlaget for arbeidet med å beskytte personopplysninger og skal gjøre det mulig å ta informerte valg om hvilke sikkerhetstiltak som må etableres for å oppnå tilfredsstillende sikkerhet.

DFØ gjennomfører ikke risikovurderinger av sikringen av personopplysninger i SAP, og har bare i begrenset grad utført risikovurderinger av informasjonssikkerheten i systemene. Revisjonen viser også at DFØ ikke har noen dokumentert oversikt over den samlede risikoen for behandlingen av personopplysninger. Direktoratet har heller ikke fastsatt kriterier for hva som er akseptabel risiko. Dette medfører at DFØ ikke har nødvendig grunnlag for å prioritere og sette i verk tiltak for å oppnå tilstrekkelig informasjonssikkerhet.

DFØs sikkerhetstiltak gir ikke tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i lønnssystemet SAP

Virksomheter som behandler personopplysninger, skal etablere tiltak for å sikre konfidensialitet, integritet og tilgjengelighet. DFØ har etablert sikkerhetstiltak med dette formålet, men flere av tiltakene er ikke i tråd med kravene i lov, forskrift eller anbefalinger i anerkjente standarder.

Et av de viktigste prinsippene innen informasjonssikkerhet er at tilganger bør begrenses til tjenstlig behov. Dette innebærer at ingen bør ha tilgang til mer informasjon eller flere funksjoner enn det som er nødvendig for at vedkommende skal kunne utføre arbeidsoppgavene sine. DFØ bryter dette prinsippet på flere områder.

Revisjonen viser manglende sammenheng mellom DFØs risikovurderinger og sikkerhetstiltak, samt gjennomgående svakheter ved sikkerhetstiltakene.

DFØs oppfølging av iverksatte tiltak og oppfølgingen av den eksterne leverandøren er mangelfull

Sikkerhetstiltak som er satt i verk må jevnlig følges opp for å sikre at de fungerer etter hensikten, og at de bidrar til å nå virksomhetens sikkerhetsmål og sikkerhetsstrategi.

En sentral metode for oppfølging er å gjennomføre sikkerhetsrevisjoner av informasjonssystemene jevnlig. Revisjonen viser at DFØ ikke rutinemessig gjennomfører interne sikkerhetsrevisjoner. Videre er det i perioden 2012–2018 heller ikke gjennomført sikkerhetsrevisjoner av leverandøren som er ansvarlig for driften av SAP.

DFØ har heller ikke etablert et system for kontinuerlig måling og evaluering av hvordan sikringstiltakene fungerer. Dermed har DFØ et svakt grunnlag for å vite om sikkerhetstiltakene har ønsket virkning, og det er risiko for at svakheter ved sikkerheten i informasjonssystemene ikke blir oppdaget og fulgt opp.

En virksomhet som lar en annen virksomhet behandle personopplysninger på sine vegne, har ansvar for å følge opp at opplysningene behandles i tråd med lov og forskrift.

DFØ har ansvaret for at SAP og IKT-infrastrukturen som dette systemet benytter, er tilfredsstillende sikret selv om driften av systemene er satt ut til en ekstern leverandør. Når det gjelder sikker konfigurasjon av systemene, har DFØ bare stilt krav om at konfigurasjonen skal følge beste praksis, uten å beskrive hva dette betyr. Det er ikke etablert et system for å følge opp at kravene til konfigurasjon blir fulgt. DFØ har heller ikke stilt krav som skal sikre et tilfredsstillende sikkerhetsnivå hos underleverandører.

Revisjonen viser at DFØ ikke følger krav om å ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. DFØ mottar rapporter fra den eksterne leverandøren om enkelte sider ved leverandørens sikkerhetstiltak, men det er ikke etablert en formalisert og systematisk rapportering om viktige elementer i den tekniske informasjonssikkerheten. Svakheter ved rapporteringen gjør det vanskelig for DFØ å vurdere om leverandørens sikkerhetsarbeid er tilfredsstillende. Det er derfor risiko for at informasjon ikke er beskyttet slik DFØ forutsetter.

Etter Riksrevisjonens vurdering er DFØs oppfølging av leverandørens arbeid med informasjonssikkerhet ikke tilfredsstillende.

Den nye personopplysningsloven som er vedtatt i 2018 på bakgrunn av personvernforordningen i EU, fastsetter nye plikter for alle virksomheter som behandler personopplysninger. DFØ etterlever ikke dagens regelverk fullt ut. Ifølge Datatilsynet vil virksomheter som ikke etterlever dagens regelverk, finne det krevende å etterleve de nye kravene.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Finansdepartementet

• påser at DFØ iverksetter nødvendige tiltak for å etterleve kravene i personopplysningsloven og EUs personvernforordning (GDPR)

• påser at DFØ etablerer et system som sikrer tilfredsstillende oppfølging av informasjonssikkerheten hos eksterne driftsoperatører.

Riksrevisjonens sluttmerknad

Riksrevisjonen merker seg at statsråden er uenig i Riksrevisjonens forståelse av prinsippet om å begrense tilganger til tjenstlig behov. DFØ har ifølge statsråden tatt bevisste valg om hvem og hvor mange som ved en effektiv prosessorganisering skal ha tilgang til alle kundedata på alle klienter i SAP. Riksrevisjonens vurdering bygger også på at det er flere miljøer enn ansatte i lønnsavdelingen som har omfattende tilganger til lønnssystemet SAP. Mange og omfattende tilganger er ikke i samsvar med beste praksis om å begrense tilganger til tjenstlige behov. Dette øker risikoen for uautorisert spredning av personopplysninger om statens ansatte og svekker informasjonssikkerheten.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har i 2017 gitt modifiserte beretninger til både Forsvaret og Forsvarsmateriell.

Det er fortsatt utfordringer med å skille Forsvarets og Forsvarsmateriells regnskaper fra hverandre på grunn av felles regnskapsføring.

Forsvarsmateriell og Forsvaret har i stor grad samlokaliserte beholdninger av varer og driftsmateriell. Forsvarets lagre er ikke fullstendige i 2017, da det eksisterer varer og driftsmateriell som ikke er registrert. Dette gjør at regnskapslinjen beholdninger av varer og driftsmateriell ikke er fullstendig for verken Forsvaret eller Forsvarsmateriell.

Denne utfordringen blir forsterket ved at deler av Forsvarets og Forsvarsmateriells beholdninger ikke blir telt årlig. Forsvaret har i 2017 innregnet materiell i regnskapet som skulle ha vært innregnet i tidligere år. Dette materiellet er verdt 357 mill. kroner.

Forsvarsmateriell har som følge av feil i regnskapet for 2016 korrigert verdsettelsen av kampflyene i åpningsbalansen og overleveringer med om lag 706 mill. kroner.

I tillegg er det foretatt korrigeringer som gjelder F-35 på andre fordringer og andre driftskostnader med til sammen 304 mill. kroner. Forsvaret har korrigert feil i verdsettelsen av kampflyene i åpningsbalansen og overleveringer for 2016 på til sammen 430 mill. kroner.

Forsvarsmateriell og Forsvaret har felles hovedbok. Per 31. desember 2017 er det postert om lag 213 mill. kroner mellom Forsvaret og Forsvarsmateriell på regnskapslinjen avregnet med statskassen. Grunnlaget for denne posteringen kan imidlertid ikke dokumenteres. Riksrevisjonen kan derfor ikke bekrefte regnskapslinjen avregnet med statskassen for Forsvaret og Forsvarsmateriell.

På grunn av felles hovedbok også i 2016 er det utfordringer med å skille regnskapslinjen skyldig skattetrekk i både Forsvarets og Forsvarsmateriells regnskaper for 2017. Verken for Forsvaret eller for Forsvarsmateriell er skyldig skattetrekk per 31. desember 2016 sammenlignbart med tilsvarende regnskapstall for 2017. Det er dermed ikke mulig å bekrefte om skyldig skattetrekk er korrekt for de to virksomhetene for den inngående balanseverdien. I tillegg er det for Forsvaret ikke sammenlignbare tall på regnskapslinjen leverandørgjeld mellom 2016 og 2017. Det har derfor ikke vært mulig å bekrefte regnskapslinjen leverandørgjeld for den inngående balanseverdien i Forsvarets regnskap i 2017.

Riksrevisjonen kan verken for Forsvaret eller for Forsvarsmateriell bekrefte regnskapslinjen andre fordringer. Grunnen til dette er at forskuddsbetalinger ved anskaffelser fra internasjonale organisasjoner og fra andre lands myndigheter ikke er holdt à jour.

For Forsvaret forekommer det feil i behandlingen av inngående merverdiavgift ved innkjøp av tjenester for redningshelikoptrene, fellesanskaffelser og intern samhandel. Inngående merverdiavgift har derfor ikke kommet med på omsetningsoppgaven til Skatteetaten. Videre har Forsvaret ikke kunnet legge fram dokumentasjon på hvor mye fradrag for inngående merverdiavgift som mangler på Forsvarets omsetningsoppgave. Riksrevisjonen har derfor ikke vært i stand til å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for det regnskapsførte beløpet.

Forsvaret har også brutt statens regnskapsstandarder ved å inntektsføre 40 mill. kroner mer enn det som faktisk er bevilget, som inntekt fra bevilgning. Forsvaret har heller ikke vært i stand til å spesifisere fordelingen mellom forbruk av egne innkjøpte varer og varer som er overført fra Forsvarsmateriell. Det har derfor ikke vært mulig å bekrefte dette i Forsvarets regnskap for 2017.

Riksrevisjonen har ikke kommentarer til de andre årsregnskapene under departementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Forsvaret har brutt Rundskriv 116 Nettoføringsordning for budsjettering og regnskapsføring av merverdiavgift i statsforvaltningen. Dette er lagt til grunn i Riksrevisjonens konklusjon om at det ikke er mulig å bekrefte regnskapslinjen skyldige offentlige avgifter.

Ut over denne uttalelsen har Riksrevisjonen ikke kommentarer til etterlevelsen av administrativt regelverk i de andre virksomheter under departementets ansvarsområde.

Virksomheter med modifisert uttalelse om årsregnskap

Riksrevisjonen har avgitt modifisert beretning for regnskapet til Norsk Pasientskadeerstatning Reguleringsfond fordi fondets beholdning er vesentlig underrapportert. Norsk Pasientskadeerstatning har etablert en praksis hvor utbetalingene knyttet til kap. 722 post 71 skjer fra fondets bankkonto, ikke Norsk Pasientskadeerstatnings egen bankkonto. I etterkant overføres midler fra Norsk Pasientskadeerstatning til fondet, slik at fondets beholdning svarer til det som angår fondet, og riktig kapittel og post blir belastet. I 2017 ble den siste overføringen på 4,7 mill. kroner ikke gjennomført. Fondets beholdning ble dermed vesentlig feil. Videre medførte feilen at det ble rapportert et mindreforbruk på 0,8 mill. kroner på kap. 722 post 71. I realiteten var det et uhjemlet merforbruk på om lag 4 mill. kroner.

Ut over virksomheten omtalt over, har ikke Riksrevisjonen kommentarer til de øvrige årsregnskapene under departementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Helse- og omsorgsdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Tilskudd er et viktig virkemiddel for å nå vedtatte mål på helseområdet, og de skal gis ut fra målsettingene som Stortinget har bestemt. Målet med undersøkelsen har vært å vurdere om Helse- og omsorgsdepartementet og Helsedirektoratet etterlever kravene til forvaltning av tilskudd.

Hovedfunn

• Helsedirektoratet har ikke dokumentert kontrollen av at tilskuddsmidler er brukt i tråd med Stortingets vedtak og forutsetninger.

• Rapporteringen om tilskuddsordningene som er undersøkt, omhandler i begrenset grad oppnådde resultater.

• Helse- og omsorgsdepartementet har fastsatt regelverk for hver av tilskuddsordningene og gitt styringssignaler for tilskuddsforvaltningen.

Riksrevisjonens merknader

Helsedirektoratet har ikke dokumentert kontrollen av at tilskuddsmidler er brukt i tråd med Stortingets vedtak og forutsetninger

Økonomibestemmelsene stiller krav om at kontrolltiltakene som er gjennomført, skal være dokumentert på en tilfredsstillende måte. Riksrevisjonen mener derfor at det er kritikkverdig at Helsedirektoratet for om lag halvparten av de kontrollerte mottakerne ikke har dokumentert en vurdering av om målet med de enkelte tilskuddene er nådd. Der det er gjort en vurdering av måloppnåelsen, viser revisjonen at den faglige begrunnelsen for denne vurderingen i liten grad er dokumentert i Helsedirektoratets elektroniske saksbehandlingssystem. Ettersom det elektroniske saksbehandlingssystemet skal ivareta kravene i økonomibestemmelsene, og systemet ikke er brukt som forutsatt, svekker dette direktoratets tilskuddsforvaltning.

Videre mener Riksrevisjonen at det er kritikkverdig at Helsedirektoratet ikke har innhentet utskrifter fra regnskapssystemet til de fleste undersøkte tilskuddsmottakerne. Etter revisjonens vurdering er dette dokumentasjon som er nødvendig for å kunne vurdere om målet for tilskuddsordningene er nådd og om midlene er brukt i tråd med Stortingets vedtak og forutsetninger.

Rapporteringen om tilskuddsordningene som er undersøkt, omhandler i begrenset grad oppnådde resultater

Helse- og omsorgsdepartementet skal i den årlige budsjettproposisjonen rapportere til Stortinget om oppnådde resultater sett opp mot vedtatte mål. Departementets omtale i budsjettproposisjonen er basert på rapporteringen fra Helsedirektoratet om de kontrollerte tilskuddsordningene. Departementet uttaler at evalueringer ofte er den beste måten å undersøke effekten av tilskuddsordninger på. Revisjonen viser at det er gjennomført flere evalueringer av helse- og omsorgssektoren på oppdrag fra Helse- og omsorgsdepartementet og Helsedirektoratet, men at disse sjelden omhandler om tilskudd bidrar til å nå målene på området. Etter Riksrevisjonens vurdering burde rapporteringen til Stortinget i større grad omtale oppnådde resultater.

Helse- og omsorgsdepartementet har fastsatt regelverk for hver av tilskuddsordningene og gitt styringssignaler for tilskuddsforvaltningen

Tilskuddsregelverket blir utarbeidet av Helsedirektoratet og godkjent av Helse- og omsorgsdepartementet. Hensikten med regelverket er å sikre informasjon til tilskuddsmottakere om blant annet behandling av søknader, tildeling av tilskudd, kontroll av bruken av midlene og evalueringer. Revisjonen viser at regelverket for de seks tilskuddsordningene revisjonen omfatter, i all hovedsak er utarbeidet i tråd med kravene i økonomireglementet og økonomibestemmelsene. Ettersom departementet har delegert tilskuddsforvaltningen til Helsedirektoratet, følger det av økonomibestemmelsene at departementet skal føre kontroll med at direktoratet forvalter tilskuddene på en forsvarlig måte. Revisjonen viser at Helse- og omsorgsdepartementet har gitt styringssignaler for tilskuddsforvaltningen til Helsedirektoratet blant annet gjennom instruks, tildelingsbrev og etatsstyringsmøter. Etter Riksrevisjonens vurdering kunne departementet likevel ha fulgt bedre opp at direktoratet utfører tilskuddsforvaltningen i tråd med regelverket.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at:

• Helsedirektoratet etterlever interne rutiner for tilskuddsforvaltningen og følger opp at tilskuddsmidler blir brukt i tråd med forutsetningene.

• Helsedirektoratet sørger for at saksbehandlingssystemet for tilskuddsforvaltning benyttes på en måte som gjør at kravene i økonomibestemmelsene etterleves.

• Helse- og omsorgsdepartementet påser at Helsedirektoratets tilskuddsforvaltning utføres i tråd med kravene i økonomibestemmelsene.

• Helse- og omsorgsdepartementet vurderer om det bør gjennomføres evalueringer av tilskuddsordninger, slik at departementet bedre kan rapportere til Stortinget om tilskuddene fremmer målet med ordningene.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Justis- og beredskapsdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Justis- og beredskapsdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å undersøke om politiet i behandlingen av våpensaker etterlever kravene i våpenloven med forskrift og andre sentrale bestemmelser på området. Undersøkelsesperioden er 2017, men det er også hentet inn data for 2014 til 2016 for å se helhet og sammenhenger.

Hovedfunn

• Politiet har ikke oversikt over et stort antall våpen. Politidistriktene gjennomfører for få kontroller av sivil oppbevaring hos våpeninnehavere og forhandlere til å ha grunnlag for å vurdere tilbakekall av våpenkort og bevillinger.

• Systemet med bekymringsmeldinger, som ble innført i 2013/2014 for å fange opp meldinger fra etatens ansatte hvor det er grunn til å tro at våpeneier/forhandler ikke lenger er egnet til å inneha skytevåpen/bevilling, fungerer ikke godt nok.

• Politidistriktene har ikke arbeidet systematisk for å sikre personopplysninger i nasjonalt våpenregister, og registeret har ikke en kvalitet som sikrer oppdatert og korrekt informasjon.

• Politidirektoratets styring og kontroll av politidistriktenes arbeid på våpenområdet er mangelfull, og Justis- og beredskapsdepartementet har ikke i etatsstyringen fulgt opp at direktoratet har tilstrekkelig styring og kontroll på området.

Riksrevisjonens merknader

Politiet har ikke oversikt over et stort antall våpen. Politidistriktene gjennomfører for få kontroller av sivil oppbevaring hos våpeninnehavere og -forhandlere til å ha grunnlag for å vurdere tilbakekall av våpenkort og bevillinger

Riksrevisjonen ser alvorlig på at politiet ikke har oversikt over et stort antall våpen.

Dette gjelder blant annet våpen i dødsbo og utvandrede som fortsatt er registrert med våpen, våpeneiere uten fast bopel og enkelte våpen i foreninger og klubber. I tillegg finnes det et høyt antall hagler anskaffet før 1990 som ikke er registreringspliktige, og våpen som er meldt tapt eller stjålet. Revisjonen viser at politidistriktene ikke fullt ut benytter seg av de tilgjengelige virkemidlene for å sikre kontroll med registreringspliktige skytevåpen i sivilt eie. Det gjennomføres få kontroller og vurderinger i politidistriktene av om våpeninnehaver og -forhandlere fortsatt oppfyller vilkårene for å ha skytevåpen, eller av at våpenkort og bevillinger blir tilbakekalt hvis det er påkrevet. Manglende oversikt over skytevåpen og manglende tilbakekall av våpen kan utgjøre en sikkerhetsrisiko for politipatruljer og allmennheten med tanke på hendelser og ulykker.

Systemet med bekymringsmeldinger, som ble innført i 2013/2014 for å fange opp meldinger fra etatens ansatte hvor det er grunn til å tro at våpeneier/forhandler ikke lenger er egnet til å fylle vilkårene for å inneha skytevåpen/bevilling, fungerer ikke godt nok

Riksrevisjonen mener det er kritikkverdig at Politidirektoratet ikke har sikret at det etablerte systemet for bekymringsmeldinger fungerer som forutsatt. Kun 16,9 pst. av bekymringsmeldingene om personer som bør få vurdert sin skikkethet til å inneha våpen eller førerkort som forvaltningstjenesten i politiet mottok i 2017, ble vurdert som grunnlag for tilbakekall av våpentillatelser. Dette innebærer at flere politidistrikter ikke har etablert rutiner for å sikre oppfølging av at alle bekymringsmeldinger om våpen og førerkort blir vurdert mot våpentillatelser. Revisjonen viser også at bare halvparten av politidistriktene gjennomfører kontroller ut over det å følge opp mottatte bekymringsmeldinger. Dette kan føre til at våpenkort ikke blir tilbakekalt, og det gir økt risiko for uønskede ulykker og hendelser med skytevåpen.

Politidistriktene har ikke arbeidet systematisk for å sikre personopplysninger i nasjonalt våpenregister, og registeret har ikke en kvalitet som sikrer oppdatert og korrekt informasjon

Riksrevisjonen finner det kritikkverdig at politiet ti år etter at Datatilsynet i 2008 påpekte en rekke mangler ved våpenregisteret, ikke har arbeidet systematisk med datakvalitet, sikkerhetstiltak og interne kontroller i registeret for å sikre at personopplysningene er tilstrekkelig beskyttet. Revisjonen viser også at registeret fortsatt inneholder mange feilføringer, dobbeltføringer og våpen som er lagt inn på en slik måte at det er vanskelig å finne dem igjen. Disse feilene påvirker kvaliteten og reduserer mulighetene til å bruke nasjonalt våpenregister som et godt verktøy i våpenforvaltningen. Lav datakvalitet fører også til at statistikk og rapportdata som blir hentet ut av registeret, har mange feilkilder og dermed gir feil styringsinformasjon.

Politidirektoratets styring og kontroll av politidistriktenes arbeid på våpenområdet er mangelfull, og Justis- og beredskapsdepartementet har ikke i etatsstyringen fulgt opp at direktoratet har tilstrekkelig styring og kontroll på området

For å kunne eie eller inneha skytevåpen, våpendeler eller ammunisjon må søkeren i henhold til våpenloven §§ 7 og 8 ha tillatelse fra politiet. Politiet skal gjennom sin kontroll sikre at søkeren oppfyller våpenlovens krav til edruelighet, pålitelighet, skikkethet, alder og behov eller annen rimelig grunn for å ha skytevåpen. Revisjonen viser at politidistriktene i hovedsak følger forvaltningslovens bestemmelser og god forvaltningsskikk i saksbehandlingen. Ulike rutiner og ulik oppfølging i distriktene fører imidlertid til at våpensøkere blir behandlet forskjellig avhengig av hvilket politidistrikt som har mottatt søknaden. Det er også ulike rutiner for dokumentasjon av gjennomførte kontroller og oppbevaring av dokumentasjon. Mangelfulle rutiner for og oppbevaring av blant annet skjønnsmessige vurderinger av søkerne fører til at det ikke kan etterprøves om vilkårene for vedtak er oppfylt.

Politidirektoratet har ansvar for faglig ledelse, styring, oppfølging og utvikling av politidistriktene og særorganene. Dette innebærer at direktoratet som virksomhetsleder skal etablere en integrert internkontroll som blant annet skal sikre etterlevelse av gjeldende lover og regler.

Riksrevisjonen finner det kritikkverdig at Politidirektoratet gjennom sin styring og kontroll ikke har sikret likhet i politidistriktenes rutiner for søknadsbehandling, dokumentasjon og oppfølging og kontroll av våpeninnehavere. Dette kan føre til at våpensøkere blir behandlet forskjellig avhengig av hvilket politidistrikt som behandler søknaden. Det øker også risikoen for ubevisste og bevisste feil. Ulike rutiner i distriktene øker også risikoen for manglende prioriteringer og likebehandling av våpensaker.

Det er heller ikke gjennomført noen systematisk rapportering og kontroll mot våpenområdet de siste årene, noe som fører til at direktoratet ikke har hatt tilstrekkelig styringsinformasjon til å kunne planlegge og vurdere risiko som grunnlag for oppfølging og kontroll.

Justis- og beredskapsdepartementet har ikke i etatsstyringen fulgt opp Politidirektoratets styring og kontroll på området. Våpenområdet har ikke blitt tatt særskilt opp i den løpende styringsdialogen mellom departementet og direktoratet. Manglende dialog, føringer og krav fra departementets side øker risikoen for at området ikke i tilstrekkelig grad blir prioritert, og at våpensaker blir behandlet ulikt i politiet.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Justis- og beredskapsdepartementet

• påser at Politidirektoratets styring og kontroll av våpensaker sikrer tilstrekkelig oversikt over våpen

• påser at det etableres tilfredsstillende rutiner for oppfølging av våpeninnehaveres egnethet til å eie våpen

Riksrevisjonens sluttmerknad

Riksrevisjonen har ingen ytterligere merknader.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene under Klima- og miljødepartementet.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene under Klima- og miljødepartementet.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Kommunal- og moderniseringsdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Kommunal- og moderniseringsdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere om Statens kartverk har et styringssystem for informasjonssikkerhet i henhold til kravene i forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) og som ivaretar krav i lov om behandling av personopplysninger (personopplysningsloven).

Hovedfunn

• Kartverket har et styringssystem for informasjonssikkerhet, men ikke en helhetlig oppfølging av om styringssystemet fungerer etter hensikten.

• Kartverket har ikke stilt krav og beskrevet hvordan viktige sikkerhetstiltak skal gjennomføres og følges opp, og har heller ikke gjennomført og fulgt opp tiltak i henhold til beste praksis.

Riksrevisjonens merknader

Riksrevisjonen finner det kritikkverdig at Kartverket har et styringssystem for informasjonssikkerhet som ikke fullt ut er i samsvar med eForvaltningsforskriften § 15 og personopplysningsloven.

Kartverket behandler kart- og eiendomsinformasjon som ikke må bli gjenstand for uautoriserte endringer. Dette er av avgjørende betydning for samfunnet. Kartverket har utarbeidet mål og prinsipper som definerer prosessene for arbeidet med informasjonssikkerhet og planleggingen av sikkerhetstiltak. Det er blant annet gitt føringer for risikoanalyser, interne revisjoner, avvikshåndtering og kontinuerlig forbedring av styringssystemet. Det er imidlertid ikke utarbeidet retningslinjer eller rutiner for klassifisering av informasjon. Kartverket har klassifisert informasjonssystemene de vurderer som kritiske, men vurderingene som ligger til grunn for klassifiseringen, er ikke dokumentert. Risikoanalyser skal være det bærende elementet i Kartverkets sikkerhetsarbeid, men risikoanalysene for de kritiske systemene er ikke oppdatert slik styringssystemet krever.

Revisjonen har omfattet et utvalg sikkerhetstiltak som er ansett for å være de viktigste for å redusere risiko. For disse sikkerhetstiltakene har Kartverket i varierende grad dokumenterte rutiner, prosedyrer eller lignende som beskriver hvordan sikkerhetstiltakene skal gjennomføres og benyttes i driften av systemene. Videre er det ikke dokumentert når og hvordan etterkontroll og evaluering av de enkelte sikkerhetstiltakene skal gjennomføres. En del av de tekniske tiltakene som skal være innført, er ikke gjennomført eller er svakere enn beste praksis. Det er i liten grad gjennomført etterkontroller av sikkerhetstiltak eller evaluert om disse fungerer etter hensikten.

Kartverket har stilt krav til og utarbeidet rutiner for evaluering og forbedring av styringssystemet. Dette skal skje med bakgrunn i avviks- og hendelseshåndtering, interne og eksterne revisjoner samt gjennomførte risikovurderinger. Kartverket gjennomfører imidlertid ikke evaluering av om arbeidet med informasjonssikkerhet fungerer som forutsatt.

Mangelfull sikring av informasjon kan føre til uheldige konsekvenser for enkeltpersoner og for samfunnet, og det kan skade omdømmet til virksomheten. Svakheter i sikkerhetstiltakene indikerer at Kartverkets styring ikke er tilstrekkelig, enten ved at svakhetene ikke er identifisert, eller ved at det ikke er iverksatt korrigerende tiltak.

Revisjonen er basert på gjeldende regelverk i 2017. Den nye personopplysningsloven som er vedtatt i 2018, medfører nye plikter for alle virksomheter som behandler personopplysninger.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Kommunal- og moderniseringsdepartementet

• påser at Kartverket foretar jevnlige evalueringer og oppdateringer av sikkerhetstiltak og styringssystemet for øvrig, slik at de fungerer som forutsatt og er i tråd med regelverket for informasjonssikkerhet.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Kulturdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Kulturdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å vurdere om Norsk filminstitutt (NFI) forvalter oppgavene sine på en hensiktsmessig og effektiv måte, og om Kulturdepartementet bidrar til dette gjennom etatsstyringen. Undersøkelsen omfatter i hovedsak perioden 2014–2017.

Hovedfunn

• Virksomhetsstyringen i NFI er ikke i tråd med prinsippene for god styring i statlige virksomheter.

• Tilskuddsforvaltningen i NFI er lite effektiv og har svakheter når det gjelder innretning, sporbarhet og habilitet.

• Kulturdepartementet legger i sin oppfølgning for lite vekt på at NFI skal ha god intern styring og effektiv ressursbruk.

Riksrevisjonens merknader

Virksomhetsstyringen i Norsk filminstitutt er ikke i tråd med prinsippene for god styring i statlige virksomheter

Styringsprinsippene i staten krever at alle virksomheter skal fastsette mål og resultatkrav innenfor rammen av disponible ressurser og forutsetninger som er gitt av overordnet myndighet. Virksomhetene skal sikre at de fastsatte målene og resultatkravene oppnås, og at ressursbruken er effektiv. Styringsinformasjonen skal være tilstrekkelig og beslutningsgrunnlaget forsvarlig.

Undersøkelsen viser at NFI i liten grad har satt mål og krav for virksomheten. De strategiske planene i perioden 2015–2017 inneholder ikke konkrete mål og prioriteringer for hva NFI selv skal bidra med for å nå de overordnede målene på filmområdet, eller hva instituttet skal prioritere i den strategiske planperioden. NFI har i perioden 2015–2017 ikke utarbeidet årlige virksomhetsplaner for hele virksomheten. I stedet hadde hver av NFIs avdelinger egne strategier og handlings-planer.

Kulturdepartementet opplyser at NFI nå er pålagt å utarbeide en helhetlig virksomhetsplan som skal omfatte organisasjon, mål og resultater, risikovurderinger, HMS-plan og budsjettdisponering.

Ingen av de strategiske planene i perioden 2012–2017 har inneholdt informasjon om eventuelle sentrale risikoer for virksomheten. Risikovurderingene som utarbeides av NFI, er hovedsakelig knyttet til prosesser som foregår i filmbransjen. NFI har ikke gjennomført risikovurderinger knyttet til hvorvidt instituttets virkemiddelbruk støtter opp om nasjonale mål, om tilskuddsforvaltningen utøves i henhold til lov og regelverk, om virksomheten har tilstrekkelig fag- og forvaltningskompetanse, og om det er risiko for ineffektiv bruk av ressurser internt.

Riksrevisjonen merker seg at NFIs styre i flere sammenhenger har etterspurt risikovurdering av prosjekter og nye oppgaver. Blant annet ble det i styremøtet 3. mars 2017 etterspurt risikovurderinger av sikkerhet og beredskap, tilskuddsforvaltning og oppfølging av fondskapitalen, og av innkreving av kinoavgift. I løpet av 2017 utarbeidet NFI risikovurderinger av sikkerhet og beredskap og innkreving av kinoavgift.

Revisjonen fikk i januar 2018 dokumentasjon på at instituttet hadde startet arbeidet med å vurdere risiko ved instituttets tilskuddsforvaltning. Kulturdepartementets gjennomgang av internkontrollen i NFI i 2016 viste at viktige forutsetninger for god internkontroll ikke var på plass. I januar 2018 manglet NFI fortsatt en virksomhetsplan for hele virksomheten, enkelte rutinebeskrivelser i økonomiforvaltningen og risikovurderinger av internkontrollen.

Ledelsen i NFI har i liten grad sørget for å skaffe seg informasjon om tids- og ressursbruk for ulike arbeidsoppgaver. Det er ikke utarbeidet mål for hvilke resultater som skal oppnås når det gjelder effektivisering, og de interne styringsdokumentene inneholder ikke informasjon om hvilken rapportering ledelsen skal motta om virkninger eller oppfølging av effektiviseringstiltak. Etter Riksrevisjonens vurdering er det dermed ikke etablert gode prosesser for å vurdere ressursbruk og forbedring i virksomhetens oppgaveløsning.

NFI gjennomførte i 2016 en intern omorganisering som skulle bidra til å effektivisere tilskuddsforvaltningen. Instituttet kan ikke dokumentere hvilken virkning de gjennomførte omorganiseringstiltakene har hatt, verken når det gjelder ressursbruk, saksbehandlingstid eller antall behandlede saker. Det finnes heller ikke dokumentasjon som viser hvorvidt de endringene som er gjennomført de to siste årene, har frigjort ressurser til utviklingsoppgaver, slik Stortinget forutsatte i forbindelse med behandlingen av Innst. 83 S (2015–2016).

NFI har ikke utarbeidet en ny kompetansestrategi etter omorganiseringen i 2016 og vurderte heller ikke kompetansebehovet i forbindelse med omorganiseringen. Å styrke egen analysekompetanse var et av de prioriterte områdene i den strategiske planen for 2015–2017. NFI bruker totalt 1,5 årsverk på statistikk- og analysearbeid, inkludert rapportering i årsrapporten og andre årlige rapporter. Departementet opplyser til Riksrevisjonen i mai 2018 at NFI umiddelbart skal starte arbeidet med å oppdatere kompetanseplanen.

Riksrevisjonen mener det er kritikkverdig at NFIs virksomhetsstyring fortsatt har store mangler. Oppsummert viser undersøkelsen at NFI blant annet mangler tydelige prioriteringer og mål for virksomheten, et system for å måle resultater og ressursbruk, et velfungerende risikostyringssystem, tilstrekkelig styringsinformasjon og en god internkontroll som er integrert i styringen.

Tilskuddsforvaltningen i Norsk filminstitutt er lite effektiv og har svakheter når det gjelder innretning, sporbarhet og habilitet

I Innst. 83 S (2015–2016) forutsetter Stortinget at NFI etablerer et enkelt, effektivt og transparent tilskuddssystem som er uavhengig av hvilken plattform (kino, strømmetjenester, DVD mm.) audiovisuell produksjon lanseres på. Midlene skal ikke bindes opp i særordninger knyttet til de ulike formatene (spillefilm, dokumentar, serier m.m.), men skilles etter produksjonsfase (før, til eller etter produksjon). Undersøkelsen viser at NFIs tilskuddssystem fortsatt er rettet inn mot ulike formater og ikke mot prosjektfaser. Instituttet bruker i all hovedsak de samme tilskuddsordningene som de hadde før filmmeldingen, og fordelingen av midler mellom disse ordningene har i liten grad endret seg. Spillefilm er fortsatt det prioriterte formatet, som i 2017 fikk tildelt 70 pst. av de fordelte tilskuddsmidlene over post 50. Dette betyr at tilskuddsmidlene som er tilgjengelige for utvikling av andre formater, blant annet spill og serier, er relativt små.

Det går fram av Meld. St. 30 (2014–2015) En framtidsrettet filmpolitikk at NFIs tilskuddssystem skal styrke talentutviklingen i norsk film og fremme nyskaping og innovasjon. NFI har i dag ett talentutviklingsprogram, kalt Nye veier. I 2017 gikk 2,5 pst. av de fordelte tilskuddsmidlene til dette programmet. Store deler av disse midlene gikk til allerede anerkjente regissører og produsenter. NFI opplyser at det var en høy andel debuterende regissører som fikk tilskudd da ordningen ble innført i 2012, men at mange ikke oppnådde gode resultater. Det ble ifølge NFI vanskelig for regissørene å utvikle seg karrieremessig, og Nye veier ble i stedet rettet mot etablerte regissører. Riksrevisjonen konstaterer at NFI per i dag ikke har egne tilskuddsordninger hvor nye talenter kan få støtte til utvikling eller produksjon.

Det går fram av Innst. 83 S (2015–2016) til filmmeldingen at NFI skal innføre et hurtigslusesystem som et tiltak for forenkling og effektivisering av tilskuddsforvaltningen i NFI, og at systemet vil være innrettet mot etablerte, profesjonelle og suksessfulle produksjonsselskaper og filmskapere som kan måles ut fra tidligere oppnådde resultater. Undersøkelsen viser at NFI har innført hurtigslusesystemet, men at informasjon om innføring av systemet, dets kriterier og hvilke ordninger det omfatter, ikke er godt nok kommunisert i bransjen.

NFI har i dag et system der de som søker tilskudd fra ordninger med konsulentvurdering, har mulighet til å velge hvilken konsulent som skal behandle søknaden deres. Den åremålsansatte konsulenten vurderer hver søknad ut fra kunstneriske kriterier, mens en fast ansatt produksjonsrådgiver vurderer søknaden ut fra produksjonsmessige, økonomiske og markedsmessige kriterier. NFI bekrefter at konsulentens vurdering i alle tilfeller er avgjørende for om produksjonen får tilskudd. Undersøkelsen viser at det ikke finnes definerte kvalitetskriterier som konsulentene må ta stilling til i sine vurderinger ved tildeling av tilskudd. Vurderingene er i stedet avhengig av skjønnsutøvelsen til hver enkelt konsulent. Kulturdepartementet opplyser at NFI i 2017 begynte arbeidet med å definere kvalitetskriterier for konsulenter. Videre opplyser departementet at kvalitetskriteriene vil danne grunnlag for konsulentenes vurderinger, og at de vil være tilgjengelige for søkerne slik at de bedre kan forstå hva som legges til grunn for innstillingene.

Etter Riksrevisjonens vurdering er det betydelige habilitetsutfordringer knyttet til konsulentordningen. Undersøkelsen viser at NFI i liten grad dokumenterer habilitetsvurderingene som er foretatt i forbindelse med konsulentordningen. De vurderingene som dokumenteres, gjelder først og fremst direkte inhabilitet, det vil si tilfeller der det er nære familierelasjoner mellom konsulenten og søkeren. Man vurderer i svært liten grad tilfeller der det er forhold mellom søkeren og saksbehandleren som vil kunne redusere tilliten til NFIs saksbehandling. Konsulentene kommer ofte fra filmbransjen og går tilbake til bransjen når de avslutter sine åremål ved NFI. Etter Riksrevisjonens vurdering forutsetter dette at det stilles strenge krav til habilitetsvurderinger for å opprettholde legitimiteten til ordningen. Riksrevisjonen har merket seg at NFI har satt i gang arbeidet med Retningslinjer for vurdering av habilitet i NFI.

Undersøkelsen viser at NFIs saksbehandling av tilskudd er lite effektiv og sporbar. Saksbehandlere må forholde seg til flere systemer og gjennomføre mange manuelle operasjoner, blant annet fordi fagsystemene ikke er integrert med økonomisystemet. Saksbehandlere bruker mye tid på å avstemme informasjon fra ulike kilder, og det er mange muligheter for å gjøre manuelle feil. I tillegg henter ulike saksbehandlere inn samme informasjon fra søkerne flere ganger, og denne informasjonen lagres på ulike steder. Kulturdepartementet opplyser at NFI lenge har arbeidet med å få på plass et nytt saksbehandlingssystem, og at dette er et svært krevende arbeid som har blitt forsinket.

Riksrevisjonen mener det er kritikkverdig at de nevnte svakhetene ved NFIs tilskuddssystem ikke er utbedret, og forutsetter at de varslede tiltakene som blant annet implementering av et nytt saksbehandlingssystem, utarbeidelse av kvalitetskriterier for konsulentvurderinger og retningslinjer for vurdering av habilitet, vil styrke tilliten til NFIs tilskuddsforvaltning og bidra til en mer sporbar og effektiv saksbehandling.

Kulturdepartementet legger i sin oppfølgning for lite vekt på at Norsk filminstitutt skal ha god intern styring og effektiv ressursbruk

Riksrevisjonen finner det kritikkverdig at Kulturdepartementet ikke har fulgt opp at NFI har etablert et system for å måle og følge opp resultater av virksomheten.

Departementet stiller ikke tydelige krav til ressursutnyttelsen i NFI og etterspør heller ikke rapportering om dette. Videre mangler Kulturdepartementet styringsinformasjon som kan belyse hvorvidt driften av NFI er effektiv, eller hvilken virkning gjennomførte forbedringstiltak i virksomheten har hatt. Kulturdepartementet opplyser at det vil styrke styringsdialogen og oppmerksomheten mot NFI, særlig når det gjelder internkontroll og effektiv ressursbruk.

Det går fram av Innst. 83 S (2015–2016) at målet om sunn økonomi er grunnleggende for å kunne sikre en framgangsrik og solid filmnæring. Kulturdepartementet stiller i tildelingsbrevene for 2016 og 2017 krav om at NFI skal ha særlig fokus på målet om en profesjonell filmbransje med sunn økonomi, men departementet følger ikke opp dette kravet. Etter Riksrevisjonens vurdering mangler NFIs rapportering til departementet flere sentrale opplysninger for å kunne vurdere om dette målet blir oppnådd. NFI rapporterer ikke om finansiering av spill, dokumentar, kortfilm og dramaserier. Instituttet rapporterer heller ikke om utviklingen i produksjonskostnader, hvor store inntekter audiovisuell produksjon genererer på hver visningsplattform, og hvor mye av disse inntektene som går til produksjon av filmer. Videre mangler årsrapporten vurderinger av hvorvidt NFIs virkemiddelbruk og regionale filmsentre og filmfond bidrar til en bærekraftig bransje.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Kulturdepartementet

• påser at NFI etablerer et system som gir bedre informasjon om resultatene og ressursbruken i virksomheten

• påser at NFI forbedrer sin tilskuddsforvaltning slik at:

  • habiliteten i saksbehandlingen ivaretas

  • saksbehandlingen blir effektiv og sporbar

  • innretningen av tilskuddssystemet tar hensyn til Stortingets forutsetninger både når det gjelder talentutvikling og plattformnøytralitet

• sikrer at departementet har tilstrekkelig styringsinformasjon av god kvalitet om NFIs måloppnåelse, virksomhetsstyring og ressursbruk.

Riksrevisjonens sluttmerknad

Riksrevisjonen har merket seg at statsråden opplyser at departementet har iverksatt flere tiltak for å rette opp svakhetene som Riksrevisjonen har påpekt. Riksrevisjonen understreker viktigheten av at Kulturdepartementet forsikrer seg om at de iverksatte tiltakene retter opp disse manglene, og at departementet sørger for at det får tilstrekkelig informasjon om NFIs måloppnåelse og ressursbruk.

Riksrevisjonen har videre merket seg at statsråden vil foreta en gjennomgang av tilskuddsordningene på filmområdet. Etter Riksrevisjonens vurdering må departementet påse at tilskuddene bidrar til å nå målet om å styrke talentutviklingen, og sørge for at tilskuddsmidlene ikke lenger bindes opp i særordninger knyttet til de ulike formatene.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen er å undersøke om Norges idrettsforbund og olympiske og paralympiske komité (NIF) har brukt spillemidlene effektivt og i henhold til krav og prioriteringer fra Kulturdepartementet i perioden 2012–2017, og å vurdere departementets oppfølging av NIFs bruk av spillemidler.

Hovedfunn

• I perioden 2012–2017 har kostnadene til administrasjon økt vesentlig på bekostning av idrettslig aktivitet.

• Det er uklart om Norges idrettsforbund når målene for prioriterte grupper.

• Kulturdepartementet har fulgt opp tilskuddet til Norges idrettsforbund, men mangler vesentlig informasjon om måloppnåelse.

Riksrevisjonens merknader

I perioden 2012–2017 har kostnadene til administrasjon økt vesentlig på bekostning av idrettslig aktivitet

Tilskuddet til NIF er i hovedsak begrunnet ut fra aktiviteten som foregår lokalt i idrettslagene. Kulturdepartementet har i tilskuddsbrevene framholdt at NIF har et overordnet ansvar for at en størst mulig andel av ressursene går til aktivitet, og at NIF skal jobbe kontinuerlig med effektivisering og organisasjonsutvikling.

Revisjonen viser at NIF sentralt har økt kostnadene til administrasjon vesentlig i perioden. De totale kostnadene til drift av NIF sentralt og regionalt (post 5.1) har økt med 28 pst. i perioden 2012–2016. I 2017 ble det gjennomført innsparings- og effektiviseringstiltak sentralt, men driftskostnadene var på tilnærmet samme nivå som i 2016. Kostnadsøkningen i perioden skyldes i hovedsak kostnadsvekst på IT-området, innenfor stabsfunksjoner og til administrativt arbeid for funksjonshemmede innenfor breddeidrettsavdelingen. I tillegg har NIF hatt store kostnader i forbindelse med ungdoms-OL og søknaden om å arrangere olympiske leker/paralympiske leker i 2022. Kostnadene har økt mer enn økningen i spillemiddeltilskuddet, og NIF har brukt en vesentlig andel av andre inntekter, inkludert merverdiavgiftskompensasjon, til å dekke driftskostnadene. Egenkapitalen er redusert med 41 pst. i perioden 2012–2017.

Midlene til barn, ungdom og breddeidrett (post 5.3) skal gå direkte til tiltak og ikke brukes til å finansiere virksomhet som bør finansieres over de øvrige postene.

Regnskapsanalysen viser at 52 mill. kroner av tilskuddet på post 5.3 har gått til drift av kompetanseseksjonen i NIFs sentralorganisasjon i perioden 2012–2017.

Kulturdepartementet er enig i at det kan argumenteres for at lønnskostnader til NIF sentralt hører hjemme på post 5.1 og ikke post 5.3, men har likevel lagt til grunn at noe av midlene på post 5.3 kan brukes til samordningstiltak. Revisjonen anerkjenner at det kan være fornuftig i et effektiviseringsperspektiv å bruke noe midler på samordningstiltak, men mener at lønns- og driftskostnader som gjelder ansatte i NIFs kompetanseseksjon, burde ha blitt finansiert over post 5.1, slik praksis er for andre fellestjenester som NIF sentralt ivaretar.

Kulturdepartementet understreker idrettsstyrets og ledelsens ansvar for å sikre at kravene i tilskuddsbrevene blir fulgt. Idrettsstyret har behandlet få saker om kostnadsvekst og effektivisering av sentralorganisasjonen i perioden 2012–2016. Styret har i liten grad vært involvert på IT-området, som er en av de store kostnadsdriverne i sentralorganisasjonen. Styret satte heller ikke rammer for organisasjonens pengebruk i forbindelse med ungdoms-OL 2016 og for søknaden om å arrangere olympiske leker/paralympiske leker i 2022.

Med unntak av budsjettet har ikke NIF sentralt noe styringsdokument med årlige prioriteringer for fordeling av ressurser i sentralleddet. Samtidig gir NIFs regnskaper etter Riksrevisjonens vurdering mangelfull styringsinformasjon. For eksempel er regnskapssystemet innrettet slik at regnskapet ikke viser hvor mye som reelt sett er brukt på blant annet de ulike IT-systemene, noe som etter Riksrevisjonens syn vanskeliggjør en helhetlig styring av NIFs ressurser.

NIFs retningslinjer for bruk av midler i sentralorganisasjonen har ikke vært gode nok i deler av perioden. Etter medieoppmerksomhet om pengebruk i forbindelse med arrangementer satte NIF ned et utvalg for å vurdere idrettens kontrollrutiner og hvordan idretten bør praktisere åpenhet. I etterkant av åpenhetsutvalgets rapport i 2016 har NIF blant annet innført beløpsgrenser for bevertning og reiser, innført strengere retningslinjer for idrettsstyrets representasjon, oppdatert rutinene for innkjøp og oppdatert habilitetsreglementet.

NIF har rapportert om en del organisasjonsutviklingstiltak til Kulturdepartementet, men det er rapportert om få tiltak som innebærer effektivisering i perioden 2012–2016. NIF har i hele perioden rapportert om hvor mye som er brukt på administrasjon og aktivitet i NIF, særforbundene og idrettskretsene. Etter Riksrevisjonens vurdering er NIFs framstilling ikke godt egnet til å si hvor mye midler som går til aktivitet, og hvor mye som går til administrasjon. Dette skyldes blant annet at det NIF kaller «ledelse og administrasjon» ikke inneholder alle kostnader som gjelder stabsfunksjonene.

Samlet sett mener Riksrevisjonen at NIFs styring og forvaltning ikke i tilstrekkelig grad har lagt til rette for målrettet og effektiv bruk av spillemidlene, og at en større andel av spillemidlene kunne ha blitt brukt til aktivitet og til å ivareta medlemsorganisasjonene.

Det er uklart om Norges idrettsforbund når målene for prioriterte grupper

Familie- og kulturkomiteen framhever i Innst. 211 S (2012–2013) at barn og ungdom, personer med nedsatt funksjonsevne og inaktive voksne er sentrale målgrupper i idrettspolitikken, som blant annet skal nås gjennom tilskuddet til NIF. Kulturdepartementet har formulert mål og krav til NIF som legger vekt på hovedmålene i meldingen og de sentrale målgruppene. NIFs rapportering til Kulturdepartementet skal bekrefte at midlene er brukt i samsvar med forutsetningene, og vise til måloppnåelse.

Undersøkelsen viser at rapporteringen om måloppnåelse er omfattende, men at den ikke gir et klart bilde av om NIF når målene som departementet har vært særlig opptatt av i perioden. To av de tre overordnende målene som Kulturdepartementet har satt for tilskuddet til NIF, er knyttet til antall medlemmer. For årene 2012–2016 har idrettsforbundet rapportert om antall medlemskap, noe som betyr at dersom samme person er medlem i flere idrettslag, eller utfører flere idretter i samme idrettslag, blir vedkommende talt flere ganger i medlemsstatistikken. Riksrevisjonen mener dette skaper usikkerhet om hvor godt statistikken speiler den reelle utviklingen i antall medlemmer over tid. Usikkerheten forsterkes av at det i perioden er gjort endringer i rapporteringen, uten at det er forklart hvordan dette påvirker statistikken.

Riksrevisjonen mener usikkerheten gjør det vanskeligere å vurdere hvor godt NIF lykkes med de overordnede målene, og at den gjør statistikken mindre egnet til å vurdere utviklingen for viktige målgrupper som ungdom, personer med nedsatt funksjonsevne, inaktive og kvinner. NIF har siden 2013 arbeidet med å få på plass et elektronisk medlemsregister, men arbeidet er ikke ferdig.

Undersøkelsen viser at NIFs rapportering om bruken av grunnstøtten til særforbund (post 5.2) og midler til barn, ungdom og breddeidrett (post 5.3) er så begrenset at den etter Riksrevisjonens syn gjør det vanskelig å vurdere om midlene brukes effektivt og målrettet. NIF har innrettet fordelingen av midler til særforbund på post 5.2. og 5.3 for å belønne særforbund som innfrir idrettspolitiske mål og departementets krav på flere områder. NIF stiller imidlertid i svært liten grad krav til bruken av midlene, og kravene til rapportering fra særforbund til NIF er begrenset. Til departementet rapporterer NIF hovedsakelig om antall årsverk i særforbundene.

Kulturdepartementet stiller krav om at det av NIFs rapportering skal gå tydelig fram hva som inngår i tallene, at tallene skal være sammenlignbare fra år til år, og at særlige endringer bør kommenteres spesielt. Etter Riksrevisjonens vurdering har NIF i for liten grad definert sentrale begreper og gjort rede for endringer i grunnlaget for og innholdet i rapporteringen. Undersøkelsen viser videre at NIF på noen områder ikke har rapportert korrekt til Kulturdepartementet. Blant annet viser den økonomiske rapporteringen om kostnader i forbindelse med ungdoms-OL og søknaden om å arrangere olympiske leker/paralympiske leker i 2022 gjennomgående lavere kostnader enn revisjonens regnskapsanalyse.

Etter Riksrevisjonens vurdering gir ikke NIFs rapportering tilstrekkelig oversikt over hvordan spillemidlene er brukt for å nå målene med tilskuddet. Det er videre uklart om NIF når vesentlige mål for tilskuddet.

Kulturdepartementet har fulgt opp tilskuddet til Norges idrettsforbund, men mangler vesentlig informasjon om måloppnåelse

Kulturdepartementet har stilt krav til NIFs arbeid med prioriterte målgrupper og bedt om utfyllende informasjon for disse gruppene. Dette gjelder blant annet frafall i ungdomsidretten, NIFs arbeid med forbedret kjønnsbalanse og bruk av øremerkede midler til personer med nedsatt funksjonsevne. Etter Riksrevisjonens syn mangler departementet fortsatt gode data om måloppnåelsen for disse målgruppene.

Av innstillingen til idrettsmeldingen, Meld. St. 26 (2011–2012) Den norske idrettsmodellen, går det fram at inaktive voksne primært skal ivaretas gjennom utbygging av idrettsanlegg og særskilte tiltak. I tilskuddsbrevene i perioden er det forutsatt at tiltak for inaktive blir ivaretatt over post 5.1. Undersøkelsen viser at NIF ikke har satt i verk tiltak for inaktive med midler fra post 5.1, og NIF rapporterer til Kulturdepartementet at de ikke prioriterer dette så lenge det ikke bevilges midler til formålet. Fra og med 2017 er ikke målet om å nå inaktive nevnt i tilskuddsbrevet. Etter Riksrevisjonens vurdering har ikke departementet fulgt opp Stortingets mål om å nå inaktive.

I idrettsmeldingen legges det også til grunn at NIF er bevisst på utfordringene med sosial ulikhet i deltakelsesmønstre. Departementet har likevel ikke stilt spesifikke krav i tilskuddsbrevene til NIF for årene 2012 til 2017 om å arbeide med å redusere økonomiske barrierer for deltakelse blant barn og unge. Kulturdepartementet har opplyst at dette er en problemstilling som har fått mer oppmerksomhet i den senere tid, og at departementet har fastsatt krav på området i tilskuddsbrevet for 2018.

I innstillingen til idrettsmeldingen viser familie- og kulturkomiteen til at Kulturdepartementet har et overordnet ansvar for kunnskapsutviklingen på vegne av hele idrettsområdet, og komiteen mener at forskning og utvikling (FoU) er en forutsetning for en kunnskapsbasert utvikling av den statlige idrettspolitikken. Undersøkelsen viser at departementet bare har foretatt én evaluering i perioden, og at denne bare gjaldt post 5.1. Riksrevisjonen mener at departementet har et begrenset grunnlag for å vurdere hvor effektivt og målrettet midlene på post 5.2 og 5.3 brukes. I tilskuddsbrevet for 2018 skriver departementet imidlertid at de vil ta initiativ til en ekstern evaluering av tilskuddet på disse postene. Riksrevisjonen legger til grunn at dette vil styrke departementets informasjonsgrunnlag om bruken av midlene på de to postene.

Idrettens autonomi er et grunnleggende prinsipp i den statlige idrettspolitikken. Samtidig er tilskuddet til NIF det viktigste statlige virkemiddelet for å nå de idrettspolitiske målene. Etter Riksrevisjonens vurdering har Kulturdepartementet fulgt opp tilskuddet til NIF ved å sette mål og krav som i hovedsak bygger på Stortingets vedtak og forutsetninger. Riksrevisjonen mener imidlertid det er kritikkverdig at departementet ikke har sørget for at det i større grad får relevant informasjon fra NIF, slik at det kan ha et bedre grunnlag for å vurdere om bruken av tilskuddet bidrar til å nå vesentlige idrettspolitiske mål.

Riksrevisjonens anbefalinger

Riksrevisjonen mener at Kulturdepartementet bør vurdere hvordan departementet kan bedre informasjonsgrunnlaget om måloppnåelse og bruk av tilskuddet til NIF. Riksrevisjonen anbefaler at departementet

• vurderer hvordan kravene til rapportering kan endres for å sikre mer relevant og riktig informasjon om

  • måloppnåelse for prioriterte grupper

  • effektiviteten i ressursbruken

  • økonomi og kostnader til ulike formål.

Riksrevisjonens sluttmerknad

Riksrevisjonen har merket seg at statsråden opplyser at departementet er godt i gang med oppfølgingen av Norges idrettsforbund (NIF) når det gjelder ressursutnyttelse, effektivisering og informasjon om måloppnåelse. Riksrevisjonen understreker viktigheten av at Kulturdepartementet sørger for å bedre grunnlaget for å vurdere hvordan tilskuddet til NIF bidrar til å nå vesentlige idrettspolitiske mål.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Kunnskapsdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Kunnskapsdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere om Kunnskapsdepartementet har sikret at økonomisystemene som benyttes i universitet- og høyskolesektoren (UH-sektoren), har et sikkerhetsnivå som gjør det mulig å bekrefte at regnskapene for 2017 er uten vesentlige feil og mangler.

Statlige universiteter og høgskoler mottok i 2017 bevilgninger på 32,7 mrd. kroner over statsbudsjettet. Av disse forvaltes og regnskapsføres 29 mrd. kroner i økonomisystemer som driftes av Kunnskapsdepartementets heleide aksjeselskap Uninett AS, heretter omtalt som Uninett, og Universitetets senter for informasjonsteknologi (USIT) som er en sentral IT-enhet direkte underlagt Universitetet i Oslo (UiO). Uninett og USIT med underleverandører drifter i 2017 økonomi-systemer og/eller bestillings- og fakturahåndteringssystem for 19 av totalt 21 statlige universiteter og høgskoler. UH-sektoren bygger i stor grad internkontrollen av regnskapene på automatiske kontroller i økonomisystemene, og eventuelle svakheter og mangler i systemene vil kunne medføre feil i UH-sektorens regnskaper.

Kunnskapsdepartementet skal ivareta kontrollen med at underliggende virksomheter utfører sine oppgaver på en forsvarlig måte og i henhold til kravet om internkontroll. I regnskapsbekreftelsen av UH-sektorens regnskaper for 2017 har Riksrevisjonen gjennomført en revisjon av leveransene av økonomisystemene Unit4 Business World, heretter omtalt som Agresso, og Oracle EBS, og av bestillings- og fakturahåndteringssystemet Basware. Revisjonen er basert på dokumentanalyse, dataanalyse, intervjuer med Kunnskapsdepartementet, Uninett og USIT og tilleggskontroller i regnskaps- bekreftelsen av de enkelte årsregnskapene i UH-sektoren for 2017.

Riksrevisjonen gjennomførte også i 2015 en revisjon av informasjonssikkerheten i økonomisystemer i UH-sektoren. Revisjonen for 2015 påviste svakheter og mangler ved tilgangsstyringen, passordforvaltningen og loggingen av aktiviteter i systemene, at disse forholdene var mangelfullt regulert i driftsavtalene, og at avtalene ikke var oppdatert. Riksrevisjonen anbefalte Kunnskapsdepartementet å vurdere tiltak for å fornye og videreutvikle avtaleverket mellom kunnskapssektoren og Uninett, slik at det reflekterer ny organisasjonsstruktur i sektoren, spesifiserer krav til sikkerhet og formaliserer arbeids- og ansvarsfordeling mellom kontraktspartene. Stortingets kontroll- og konstitusjonskomite sluttet seg til anbefalingen og forventet at departementet fulgte opp dette på en hensiktsmessig måte, jf. Innst. 144 S (2016–2017).

Kunnskapsdepartementet har forutsatt at det stilles de samme kravene til informasjonssikkerhet for driftsleverandørene som til virksomhetene som benytter økonomisystemene. Revisjonen for 2017 har med utgangspunkt i dette lagt til grunn følgende lover, vedtak, forutsetninger og anbefalte standarder:

• Reglement for økonomistyring i staten (økonomireglementet) med bestemmelser om økonomistyring i staten (økonomibestemmelsene)

• forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriftens) § 15 og standardene NS-ISO/IEC 27001:2017 Ledelsessystemer for informasjonssikkerhet og NS-ISO/IEC 27002:2017 Tiltak for informasjonssikring

• lov om behandling av personopplysninger (personopplysningsloven) med forskrift om behandling av personopplysninger (personopplysningsforskriften)

• lov om arkiv (arkivlova)

Resultatene av revisjonen ble lagt fram for Kunnskapsdepartementet i brev av 17. april 2018, og departementet har i brev av 4. mai 2018 vedgått at det er svakheter knyttet til driftsleverandørenes leveranser av økonomisystemer til UH-sektoren og at en rekke forhold ikke er tilfredsstillende dokumentert.

Hovedfunn

• Kunnskapsdepartementet har ikke ivaretatt sitt overordnede ansvar for å sikre at økonomisystemene i UH-sektoren tilfredsstiller kravene til informasjonssikkerhet.

• Departementet har ikke sikret oppdaterte driftsavtaler hvor oppgave- og ansvarsforhold, avtalt tjenestekvalitet og datasikkerhet er tilstrekkelig definert.

• Leverandørene har i varierende grad gjennomført risiko- og sårbarhetsanalyser, og departementet har ikke gjennomført tilsyn for å sikre at leveransene er i henhold til behov og gjeldende regelverk.

• Departementet har ikke sikret at Uninett og USIT leverer tilfredsstillende sikkerhet i økonomisystemene.

Riksrevisjonens merknader

Riksrevisjonen finner det sterkt kritikkverdig at Kunnskapsdepartementet ikke har ivaretatt sitt overordnede ansvar for å sikre at økonomisystemene i UH-sektoren tilfredsstiller kravene til informasjonssikkerhet i gjeldende regelverk og anbefalte standarder, selv om flere av forholdene også ble påpekt i Dokument 1 (2016–2017).

Revisjonen for 2017 har påvist at det fortsatt er svakheter og mangler som vurderes å svekke det generelle sikkerhetsnivået i økonomisystemene til UH-sektoren. Forholdene vil kunne medføre feil i regnskapene til de fleste statlige universiteter og høgskoler, som i 2017 samlet forvalter og regnskapsfører 89 pst. av bevilgningen til UH-sektoren. Som følge av påviste forhold hos driftsleverandørene har det i begrenset grad vært mulig å basere revisjonen av UH-sektorens regnskaper for 2017 på virksomhetenes internkontroll. Gjennomførte tilleggskontroller i forbindelse med bekreftelse av regnskapene for 2017 har imidlertid ikke avdekket vesentlige feil.

Kunnskapsdepartementet opplyser at det som følge av omorganiseringen i sektoren og opprettelsen av Kunnskapsdepartementets tjenesteorgan per 1. januar 2018 forutsettes, at tiltak og videre oppfølging skal gjennomføres av tjenesteorganet i samarbeid med departementet. Driftsleverandørene Uninett og USIT leverer og drifter de økonomisystemer som brukes av UH-sektoren. Kunnskapsdepartementets tjenesteorgan har fra 2018 blant annet overtatt Uninetts ansvar som driftsleverandør til UH-sektoren. Kunnskapsdepartementet har beskrevet atskillige tiltak som i all hovedsak skal gjennomføres av tjenesteorganet. Det er imidlertid uklart om tjenesteorganet vil ha ansvar både for egne og USITs driftsleveranser til UH-sektoren. Riksrevisjonen viser til at de forholdene som ble påpekt i Dokument 1 (2016–2017), fortsatt ikke er tilstrekkelig ivaretatt, og understreker departementets oppfølgingsansvar.

Mangelfulle driftsavtaler mellom kunder, driftsleverandører og underleverandører

Flere driftsavtaler mellom kunder, driftsleverandører og underleverandører er av eldre dato og er ikke oppdatert selv om det er gjennomført flere organisasjonsmessige endringer og endringer i regelverk. Driftsavtalene er inngått før styringssystemet for informasjonssikkerhet var påbegynt, og det synes uklart om avtalene sikrer at sikkerhetskravene i økonomibestemmelsene med anbefalte standarder blir ivaretatt. For flere av systemene foreligger det ikke databehandleravtaler for behandling av personopplysninger, slik personopplysningsloven krever.

Departementet forventer at Uninett bidrar til samvirke i sektoren, men rolle- og ansvarsdelingen fremstår uklar siden det ikke foreligger noen avtale eller instruks for Uninett. Ut over at Uninett har etablert prioriteringsråd og endringsutvalg, synes UH-sektoren i liten grad å motta råd og veiledning om sikkerhetsmessige forhold i økonomisystemene.

Avtaler som ikke klart definerer oppgave- og ansvarsforhold, avtalt tjenestekvalitet og tilstrekkelig datasikkerhet, kan blant annet føre til at sikkerhetsbrudd ikke blir oppdaget og håndtert. Det øker risikoen for både tilsiktede og utilsiktede feil. Forholdet ble også påpekt i Dokument 1 (2016–2017).

Manglende oppfølging og kontroll med driftsleverandører og underleverandører

Uninett har i 2017/2018 gjennomført risiko- og sårbarhetsanalyser av Agresso og Basware, og flere tiltak er beskrevet. Uninett er ikke kjent med om underleverandørene gjennomfører risiko- og sårbarhetsvurderinger, og departementet opplyser at rutiner for dette arbeidet ikke har vært tilfredsstillende. USIT har ikke gjennomført risiko- og sårbarhetsvurderinger av driftstjenestene. Departementet opplyser at UH-sektoren i varierende grad gjennomfører risikovurderinger av økonomisystemene. Virksomheter skal etablere internkontroll som er tilpasset risiko og vesentlighet, som fungerer på en tilfredsstillende måte, og som kan dokumenteres. Manglende risiko- og sårbarhetsanalyser kan medføre at nødvendige tiltak ikke blir identifisert og satt i verk.

Kunnskapsdepartementet skal sikre at de underliggende virksomhetene har tilfredsstillende internkontroll og drives i samsvar med gjeldende lover og regler. Departementet har imidlertid ikke gjennomført tilsyn av driftsleverandørene av økonomisystemer til UH-sektoren for å sikre at leveransene er i henhold til behov og gjeldende regelverk. Videre er det ikke gjennomført tilsyn av underleverandører eller hentet inn annen dokumentasjon for å bekrefte at leveransene utføres som avtalt.

Mangelfull sikkerhet i økonomisystemene

Sikkerhetsnivået i økonomisystemet skal være tilpasset virksomhetenes aktiviteter, og det skal tas hensyn til risiko og vesentlighet knyttet til aktiviteten. Revisjonen for 2017 viser imidlertid at det i liten grad er stilt krav til driftsleverandører og underlevererandører om blant annet arbeidsdeling, tilgangsstyring, passordoppsett, logging, endringshåndtering og sikkerhetskopiering, og for flere av områdene er det ikke etablert rutiner.

Det er fortsatt svakheter og mangler ved sikkerheten i økonomisystemene til UH-sektoren til tross for at Riksrevisjonen har påpekt flere av de samme forholdene i Dokument 1 (2016–2017), og at departementet i den forbindelse opplyste at forhold skulle utbedres. Revisjonen viser at det er flere svakheter i tilgangsstyringen, blant annet manglende arbeidsdeling for brukere med utvidede rettigheter, flere fellesbrukere i systemer og databaser og svakheter i passordoppsett. Til tross for manglende veiledning om oppsett av logger har UH-sektoren aktivert enkelte logger, men det foretas i liten grad regelmessig oppfølging av disse. I tillegg er det påvist at leverandørene ikke oppbevarer logger i samsvar med økonomibestemmelsenes krav. Svakheter i tilgangsstyringen kan medføre uautoriserte endringer i økonomisystemene, mens manglende sporing, oppfølging og oppbevaring av logger vil gjøre det vanskelig å identifisere og eventuelt ansvarliggjøre enkeltindivider ved slik aktivitet.

Revisjonen viser videre at det ikke foretas systematisk oppfølging av at endringer i økonomisystemet gjennomføres på en kontrollert måte. Det er videre påvist at det i UH-sektoren er variasjon i avstemming og metoder for overføring av data mellom systemer, og at det fortsatt ikke er etablert ensartede og effektive løsninger for korrekt overføring, selv om departementet ba en av leverandørene følge opp dette forholdet i 2016. Revisjonen viser også at testing av sikkerhetskopi for flere av systemene ikke gjennomførtes i tråd med kravene i økonomibestemmelsen, og at det ikke er foretatt en tilstrekkelig vurdering av om dataene som en av underleverandørene til UH-sektoren oppbevarer i utlandet, behandles og sikres i tråd med gjeldende regelverk.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Kunnskapsdepartementet

• oppdaterer avtaleporteføljen slik at driftsavtalene sikrer klare oppgave- og ansvarsforhold, avtalt tjenestekvalitet og tilstrekkelig datasikkerhet

• sikrer og følger opp at driftsleverandørene ivaretar krav til sikkerhet i gjeldende regelverk og anbefalte standarder.

Riksrevisjonens sluttmerknad

Statsråden viser til at Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning – skal gjennomføre tiltak som skal løse de utfordringer Riksrevisjonen har tatt opp. Riksrevisjonen merker seg at statsråden ikke har redegjort for særskilte tiltak rettet mot leveransene fra Universitetets senter for informasjonsteknologi (USIT).

Riksrevisjonen vil understreke viktigheten av at påpekte mangler og svakheter hos begge driftsleverandører blir korrigert, slik at berørte regnskaper for 2018 får tilfredsstillende kvalitet.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere hvordan Utdanningsdirektoratet, som forvalter denne tilskuddsordningen på vegne av Kunnskapsdepartementet, følger opp at statstilskudd og skolepenger disponeres i samsvar med krav.

Hovedfunn

• Nær 80 pst. av alle skoler hvor det er identifisert høy risiko for at statstilskudd og skolepenger disponeres i strid med friskoleloven, følges ikke opp av Utdanningsdirektoratet, verken gjennom den etablerte tilsynsordningen eller på annen måte.

• Utdanningsdirektoratet klargjør krav og vilkår som gjelder disponeringen av statstilskudd og skolepenger, i årlige tilskuddsbrev til skolene og følger opp at de formelle rapporteringskravene overholdes.

Riksrevisjonens merknader

Riksrevisjonen finner det kritikkverdig at et vesentlig antall skoler hvor Utdanningsdirektoratet har observert eller på annen måte vurdert at det er høy risiko for at statstilskudd og skolepenger ikke disponeres i samsvar med friskoleloven, ikke har blitt fulgt opp av Utdanningsdirektoratet. Direktoratets manglende oppfølging av disse forholdene vurderes å være i konflikt med økonomibestemmelsenes krav om forebyggende og korrigerende kontroll- og oppfølgingsrutiner. Dette øker risikoen for at statstilskudd og skolepenger nyttes til andre formål enn skoledrift, og at elevene ikke sikres et skoletilbud som er i henhold til friskoleloven.

Friskoleloven skal bidra til å sikre den enkeltes reelle mulighet til å velge en annen skole enn dem som er opprettet av offentlige myndigheter. Det er et grunnleggende krav i loven at statstilskudd og skolepenger i sin helhet skal øremerkes elevenes opplæring og komme elevene til gode.

Riksrevisjonens kontroll viser at Utdanningsdirektoratet har etablert et tilsynssystem rundt forvaltningen av tilskudd til friskolene. Innrettingen av tilsynsvirksomheten er basert på direktoratets vurdering av risiko og vesentlighet og hvilken ressursbelastning tilsynet utløser både for forvaltningen og for skolene.

Kontrollen viser at det til tross for Utdanningsdirektoratets risikobaserte tilsynssystem foreligger en betydelig restrisiko som ikke fanges opp gjennom tilsynene eller andre kontroll- og oppfølgingsrutiner. 91 av 116 skoler (nær 80 pst.) der Utdanningsdirektoratet har observert eller på annen måte vurdert at det på ett eller flere områder er høy risiko for at statstilskudd og skolepenger disponeres i strid med friskoleloven, har ikke blitt fulgt opp gjennom direktoratets tilsynsarbeid. Risikoen er i hovedsak knyttet til skolenes disponering av overskudd, fastsettelse av lønn til daglig leder og styrehonorarer, utlån av statstilskudd og handel med nærstående parter. Det er videre avdekket at en rekke friskoler har svak likviditet og lav egenkapital. Det knyttes derfor høy risiko til skolenes økonomiske grunnlag for forsvarlig drift gjennom hele skoleåret.

Riksrevisjonen vurderer at disse forholdene er så vesentlige og har et slikt omfang at de bør følges opp av tilskuddsforvalter på annen hensiktsmessig måte, selv om de etter departementets vurdering ikke gir grunnlag for ressurskrevende, regulære tilsyn.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Kunnskapsdepartementet

• påser at det etableres særskilte rutiner for oppfølging av friskoler hvor Utdanningsdirektoratet ut ifra en helhetlig vurdering ikke velger å gjennomføre ordinært tilsyn, men hvor det likevel vurderes å være risiko for at statstilskudd og skolepenger ikke kommer elevene til gode.

Riksrevisjonens sluttmerknad

Riksrevisjonen merker seg at statsråden mener at Riksrevisjonen legger til grunn en for høy prosentandel av skoler med høy risiko og ikke har tatt hensyn til sentrale forutsetninger i Utdanningsdirektoratets risikomodell.

Den prosentandelen som Riksrevisjonen har lagt til grunn, er beregnet ut fra at det er identifisert høy risiko på ett eller flere kontrollområder ved 116 skoler, hvorav 91 av skolene (nær 80 pst.) ikke har vært gjenstand for tilsyn. Legges Utdanningsdirektoratets presisering av deres risikomodell til grunn for beregningen, er det fortsatt høy risiko ved 104 skoler, hvorav 80 av disse skolene (nær 80 pst.) ikke har vært gjenstand for tilsyn.

Riksrevisjonen merker seg også at statsråden ikke finner det hensiktsmessig å endre Utdanningsdirektoratets rutiner for kontroll- og tilsynsvirksomheten, og at det i liten grad vil være mulig å redusere den totale risikoen ved hjelp av andre særskilte rutiner enn gjennom ordinært tilsyn.

Riksrevisjonen understreker viktigheten av at skoler med høy risiko for at statstilskudd og skolepenger ikke kommer elevene til gode, blir fulgt opp på en hensiktsmessig måte. Dette er særlig viktig der det knyttes høy risiko til skolenes økonomiske grunnlag for forsvarlig drift gjennom hele skoleåret, slik at elevene sikres et skoletilbud i henhold til friskoleloven.

Innledning – revisjonens mål og revisjonskriterier

Målet med revisjonen har vært å kontrollere om utvalgte universiteter/høgskoler har dokumenterte styringssystemer som skal sørge for tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i forskningsprosjekter i samsvar med kravene i lov om behandling av personopplysninger (personopplysningsloven) og forskrift om behandling av personopplysninger (personopplysningsforskriften).

Hovedfunn

• Det er mangler ved dokumentasjonen av sentrale elementer i styringssystemet for informasjonssikkerhet ved alle de tre kontrollerte universitetene/høgskolene. Manglene viser at virksomhetene ikke etterlever flere av kravene som følger av personopplysningsloven § 13 og personopplysningsforskriften.

• Virksomhetene følger i mindre grad opp at styringssystemene gir tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i forskningsprosjekter.

Riksrevisjonens merknader

Riksrevisjonen finner det kritikkverdig at virksomhetene som er omfattet av denne revisjonen, har mangler ved dokumentasjonen knyttet til ivaretakelse av informasjonssikkerheten i forskningssystemene.

I 2017 besto UH-sektoren av 8 universiteter og 13 høgskoler med statlig eierskap. Forskning er en stor og viktig del av universitetene/høgskolene, og det opprettes flere hundre nye prosjekter hvert år. Mange av forskningsprosjektene behandler sensitive personopplysninger, for eksempel helseopplysninger. Når et forskningsprosjekt behandler personopplysninger, må kravene i personopplysningsloven og tilhørende forskrift følges. Dette regelverket skal beskytte den enkelte fra å få personvernet sitt krenket. Det skal etableres tilfredsstillende informasjonssikkerhet gjennom planlagte systematiske tiltak ved behandling av personopplysninger. I 2018 får Norge nye personvernregler (personvernforordningen) som stiller ytterligere krav til behandling av personopplysninger.

De kontrollerte virksomhetene har i varierende grad et styringssystem for sikkerhet som inkluderer informasjonssikkerhet for forskningsprosjekter på et overordnet nivå, slik loven krever. For eksempel har en av de kontrollerte virksomhetene kun utarbeidet en rekke frittstående dokumenter og retningslinjer, hvor enkelte dokumenter er 7–12 år gamle og ikke oppdatert.

For virksomheter som benytter ekstern databehandler, foreligger det formelle avtaler mellom partene i overensstemmelse med kravene i personopplysningsloven § 15.

De kontrollerte virksomhetene har dokumentert at ansvarsforholdet for behandling av persondata i forskningsprosjekter er formalisert, og at det foreligger skriftlige rutiner for å behandle sikkerhetsbrudd og andre avvik.

Ingen av virksomhetene som omfattes av revisjonen, har utarbeidet en egen fullstendig oversikt over hvor mange prosjekter som behandler personopplysninger, hvilke typer personopplysninger som behandles, eller hvordan prosjektene sikrer nødvendig konfidensialitet, tilgjengelighet og integritet for opplysningene.

Alle virksomhetene benytter Norsk senter for forskningsdata (NSD) som personvernombud. For prosjekter som omfattes av tjenesten til NSD, kan virksomhetene hente inn oversikt over hvilke personopplysninger som behandles i forskningsprosjekter. To av tre virksomheter kan ikke dokumentere at de har en fullstendig oversikt over hvilke personopplysninger som behandles i prosjektene som ikke omfattes av denne tjenesten.

De kontrollerte virksomhetene kan i varierende grad dokumentere at det er gjennomført risikovurderinger for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd i forskningsprosjekter. Én virksomhet har dokumentert at det ble gjennomført en risikovurdering av forskningsvirksomheten i 2015. De øvrige virksomhetene kan ikke dokumentere risikovurderinger på dette området.

De kontrollerte virksomhetene følger i mindre grad opp at styringssystemene gir tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger i forskningsprosjekter.

Ingen av virksomhetene kan dokumentere sikkerhetsrevisjoner av organisering, sikkerhetstiltak og bruk av leverandører.

Ingen av de virksomhetene som hadde rammeavtale med ekstern databehandler gjennom 2017, har hatt noen form for oppfølging etter at databehandleravtalen ble inngått, slik Datatilsynet anbefaler.

Én av de kontrollerte virksomhetene kan dokumentere gjennomgang av sikkerhetsstrategien i 2017. De andre virksomhetene kan ikke dokumentere en slik gjennomgang.

De avdekkede forholdene innebærer at det er vesentlig risiko for uautorisert bruk av sensitiv informasjon fra forskningsvirksomheten eller at denne informasjonen kommer på avveie. Dette kan påføre virksomhetene tap av både materielle verdier, tillit og omdømme.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Kunnskapsdepartementet

• sikrer at kravene til informasjonssikkerhet i personopplysningsloven og tilhørende forskrift etterleves for forskningsvirksomheten gjennom etatsstyringen av virksomhetene.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Landbruks- og matdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Landbruks- og matdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Nærings- og fiskeridepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Nærings- og fiskeridepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Olje- og energidepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Oljedirektoratet

Revisjonen viste flere tilfeller av brudd på kravene i bestemmelser om økonomistyring i staten (økonomibestemmelsene) og prinsippet om dobbel bokføring.

Virksomheter med modifisert uttalelse om årsregnskapet

Samferdselsdepartementet

Samferdselsdepartementet har mottatt revisjonsberetning med forbehold. Bakgrunnen er at kapitalforhøyelsen på 1 milliard kroner i Nye Veier AS er presentert feil i artskontorapporteringen.

Statens vegvesen

Statens vegvesen har mottatt revisjonsberetning med forbehold. Bakgrunnen for forbeholdet er at saldoen på regnskapslinjen forskudd vegarbeid inneholder 122,5 mill. kroner som er gjort opp i tidligere år. Dette påvirker også mellomregnskapet med statskassen. I tillegg er ikke tilbakebetaling av forskudd til bompengeselskapene på 96 mill. kroner korrekt klassifisert. Statens vegvesen har også feilaktig betalt husleie for første kvartal 2018 på 18,8 mill. kroner.

Ut over virksomhetene nevnt over, har ikke Riksrevisjonen kommentarer til årsregnskapene under departementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Samferdselsdepartementets ansvarsområde.

Innledning – revisjonens mål og revisjonskriterier

Målet med undersøkelsen har vært å vurdere om Kystverkets styring og oppfølging er innrettet slik at etaten når sine mål på en effektiv måte, og om Samferdselsdepartementet bidrar til dette gjennom etatsstyringen.

Hovedfunn

• Kystverket har ikke etablert et godt nok system for å måle og følge opp resultatene av virksomheten.

• Kystverket har ikke utbedret mangler i styringssystemene.

• Kystverket har, med unntak for lostjenesten, lite styringsinformasjon som kan belyse om virksomheten drives effektivt.

• Samferdselsdepartementet har lite informasjon om Kystverkets resultater, og departementets styring er i hovedsak konsentrert om losområdet.

Riksrevisjonens merknader

Kystverket har ikke etablert et godt nok system for å måle og følge opp resultatene av virksomheten

Av økonomireglementet går det fram at fastsetting av mål og resultatkrav er grunnleggende styringsprinsipper. Undersøkelsen viser at Kystverket ikke har etablert en overordnet strategi for virksomheten eller for etatens kjerneoppgaver. Det er i liten grad satt langsiktige mål for virksomheten. Kystverkets målstruktur er basert på de fire transportpolitiske hovedmålene, men den videre operasjonaliseringen av målene er i stor grad overlatt til hovedkontorets underliggende enheter. Krav fra hovedkontoret til underliggende enheter formidles i et stort antall årlige oppdragsbrev, og i 2017 ble det internt i Kystverket tatt opp at oppdragsstyringen krever mer administrative ressurser enn nødvendig. Rapporteringen er i hovedsak konsentrert om gjennomførte aktiviteter framfor oppnådde resultater. I 2017 startet Kystverket et arbeid med å legge om oppdragsstyringen, blant annet for å utvikle mer presis og kortfattet styringsinformasjon. Arbeidet skal føre til en målstruktur med tydeligere sammenhenger mellom hovedmål, delmål og resultatindikatorer. Det er imidlertid ikke satt noen tidsplan for når arbeidet skal være ferdig.

Riksrevisjonen mener det er kritikkverdig at Kystverket ikke har etablert et godt nok system for å måle og følge opp resultater av virksomheten. Fastsettelse av mål- og resultatkrav, og systematisk oppfølging av disse, er viktig for å sikre at ressursene som tildeles Kystverket, gir gode og effektive løsninger for brukerne av etatens tjenester.

Kystverket har ikke utbedret mangler i styringssystemene

Det går fram av økonomireglementet at alle virksomheter skal etablere systemer og rutiner som har innebygget intern kontroll, blant annet for å sikre at ressursbruken er effektiv. I 2010 var konklusjonen i en ekstern konsulentrapport at Kystverket ikke hadde et helhetlig internkontrollsystem, og i rapporten kom det klare anbefalinger om forbedringer. I starten av 2018 var flere av anbefalingene i rapporten fortsatt ikke fulgt opp.

Undersøkelsen viser at manglende prosedyrer og retningslinjer, og lite systematikk i forankringen av eksisterende prosedyrer og retningslinjer, har bidratt til ulikheter i utførelsen av like oppgaver, variasjon i plankvalitet og unødvendig ressursbruk.

Kystverkets ledelse setter i verk tiltak når avvik fra prosedyrer og retningslinjer oppdages. Avvikene skal meldes i et støttesystem. Dette systemet har imidlertid tekniske problemer og er derfor lite brukt.

Riksrevisjonen mener at det er kritikkverdig at Kystverket fortsatt ikke har utbedret påviste og vesentlige mangler i styringssystemene. Ufullstendige og lite forankrede styringssystemer gir risiko for brudd på lover og regler, og for svekket kvalitet og effektivitet i oppgaveutførelsen.

Kystverket har, med unntak for lostjenesten, lite styringsinformasjon som kan belyse om virksomheten drives effektivt

Økonomibestemmelsene stiller krav om at Kystverkets styring skal være innrettet slik at virksomhetens økonomisystem sammen med statistikk, analyser og andre relevante systemer belyser om virksomheten drives effektivt når det gjelder kostnader og resultatoppnåelse. Undersøkelsen viser at Kystverket har lite informasjon om etatens kostnads- og produksjonsutvikling. Oppfølgingen av effektivitet i arbeidsprosessene varierer imidlertid mellom virksomhetsområdene, og lostjenesten har kommet lengst i dette arbeidet.

I 2013 ble det gjennomført en offentlig utredning av losområdet, som pekte på flere svakheter ved Kystverkets fordeling av losområdet på Kystverkets fem regioner. I tråd med utvalgets anbefalinger ble den operative delen av losområdet i 2015 skilt ut fra regionene i en egen driftsenhet. Undersøkelsen viser at utskillelsen har ført til kortere styringslinjer, forbedret styring og effektiviseringsgevinster. For navigasjons- infrastrukturområdet og utbyggingsområdet er ansvaret og oppgavene delt mellom Kystverkets hovedkontor, regioner, fagsentre og en driftsenhet (Kystverket Rederi).

Videre er ansvaret for innkjøp og anskaffelser delt mellom ulike enheter. For disse områdene viser undersøkelsen at Kystverkets organisering bidrar til å gjøre styringen krevende.

På navigasjonsinfrastrukturområdet er reduksjon av vedlikeholdsetterslepet en prioritering fra Samferdselsdepartementet. I undersøkelsesperioden har det vært betydelig usikkerhet med hensyn til om beregningene av etterslepet gir et korrekt bilde av etterslepets faktiske størrelse. Mangel på strategier og annen styringsinformasjon på området har bidratt til at etaten ikke har en felles forståelse av hva som skal prioriteres, og hvordan oppgavene skal løses. Videre har plankvaliteten variert, og planleggingsarbeidet har tidvis blitt nedprioritert i regionene. Kystverket Rederi har utviklet styringsinformasjon som på sikt kan bidra til å belyse om utførelsen av vedlikeholdet av innretningene drives effektivt, men denne informasjonen har hovedkontoret ennå ikke tatt i bruk.

På utbyggingsområdet er det ingen systematisk oppfølging av effektiviteten i gjennomføringen av prosjektene. Det er ikke utarbeidet indikatorer som kan belyse om prosjektene blir gjennomført effektivt, og det blir ikke rapportert om framdrift i forhold til opprinnelige planer. Det blir heller ikke gjennomført evalueringer av om prosjektene er gjennomført innen tidsrammen, og hvor godt samhandlingen mellom de involverte aktørene fungerte. Det er planer om å evaluere effektiviteten i utbyggingsprosjektene, men arbeidet er i startfasen.

Undersøkelsen viser at det er dårlig kvalitet på planene for Kystverkets utbyggingsprosjekter, og at dette henger sammen med manglende utveksling av informasjon mellom fagsentrene på navigasjonsinfrastrukturområdet og utbyggingsområdet. Videre viser undersøkelsen at det er behov for et tettere samarbeid mellom de to fagsentrene, med sikte på å oppnå en bedre og mer effektiv gjennomføring av prosjektene.

Kystverket anskaffer for om lag 1,5 mrd. kroner årlig. Over en tredel av Kystverkets ansatte kan forplikte etaten økonomisk. Undersøkelsen viser at svært få av disse har spesialisert kompetanse på innkjøpsprosessen. Videre er det stor variasjon når det gjelder hvordan de ulike enhetene arbeider med anskaffelser. Av interne dokumenter fra Kystverket og intervju med staben med ansvar for anskaffelser ved hovedkontoret har det framkommet at Kystverket kunne fått mer ut av midlene etaten anskaffer for, og at staben har gitt uttrykk for at antallet ansatte som kan forplikte etaten økonomisk, må reduseres.

Videre viser undersøkelsen at Kystverket i liten grad har lyktes med å etablere samarbeid på tvers av enheter, selv om kystdirektøren mener slikt samarbeid må være en forutsetning når organisasjonen er spredt over store deler av landet. Manglende samarbeid på tvers av enheter gir risiko for svak utnyttelse av tilgjengelige ressurser.

Riksrevisjonen mener det er kritikkverdig at Kystverket, med unntak av lostjenesten, i liten grad har utviklet styringsinformasjon som kan belyse om driften er effektiv, og at etaten ikke har etablert en mer samordnet og effektiv styring av områder hvor flere enheter deler ansvaret. Kystverket forvalter årlig om lag tre mrd. kroner, og det er viktig at etaten sikrer en god og effektiv utnyttelse av midlene. En lite systematisk bruk av styringsinformasjon og oppfølging av effektivitet i arbeidsprosessene kan bidra til løsninger som koster mer og har dårligere kvalitet enn nødvendig.

Samferdselsdepartementet har lite informasjon om Kystverkets resultater, og departementets styring er i hovedsak konsentrert om losområdet

For lostjenesten har departementet bedt om rapportering som kan bidra til å belyse om tjenesten drives effektivt, og undersøkelsen viser at departementets oppfølging av tjenesten har bidratt til effektivisering.

For de andre virksomhetsområdene har departementet stilt få krav til effektivitet i arbeidsprosessene. Videre har Samferdselsdepartementet lite informasjon om virkningene og nytten av midlene som tilføres Kystverket. En konsekvens av dette er at departementet mangler informasjon om hvordan Kystverket bidrar til at målene for samferdselspolitikken nås, og om etatens ressursbruk er effektiv sett i forhold til virksomhetens resultater. Mangelen på dekkende og pålitelig styringsinformasjon gjør departementets styring og oppfølging av etaten vanskelig.

Riksrevisjonen mener det er kritikkverdig at Samferdselsdepartementet ikke har fulgt opp at Kystverket har etablert et godt system for å måle og følge opp resultatene av virksomheten. Med unntak av losområdet er det gjennomført få eksterne evalueringer av effektivitet, måloppnåelse og resultater av Kystverkets virksomhet.

Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Samferdselsdepartementet

• påser at Kystverket har et oppdatert og velfungerende styringssystem

• sikrer forbedret styringsinformasjon om Kystverkets resultater, måloppnåelse og effektivitet

Riksrevisjonens sluttmerknad

Riksrevisjonen merker seg at departementet vil følge opp Riksrevisjonens anbefalinger. For lostjenesten har departementet bedt om rapportering som kan bidra til å belyse om tjenesten drives effektivt, og departementets oppfølging har bidratt til effektivisering.

For de andre virksomhetsområdene har departementet stilt få krav til effektivitet. Når det gjelder gjennomføringen av utbyggingsprosjektene, mener statsråden at Kystverkets vektlegging av pris og kvalitet i konkurranseutsettingen sikrer effektivitet. Riksrevisjonen vil påpeke at undersøkelsen viser at det ikke er en systematisk oppfølging av effektiviteten i utbyggingsprosjektene, og at planunderlaget er svakt.

Riksrevisjonen mener at et godt planunderlag er en forutsetning for at utbyggingsprosjektene kan gjennomføres effektivt og med god kvalitet. Etter Riksrevisjonens oppfatning er det behov for å bedre kvaliteten på planunderlagene, utvikle systematikken i oppfølgingen av utbyggingsprosjektene og utarbeide god styringsinformasjon.

Virksomheter med modifisert uttalelse om årsregnskapet

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Utenriksdepartementets ansvarsområde.

Virksomheter med modifisert uttalelse om administrativt regelverk

Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Utenriksdepartementets ansvarsområde.