Søk

Innhold

2. Resultater av undersøkelsene

2.1 Sak 1: Helseforetakenes forebygging av angrep mot sine IKT-systemer

Målet med undersøkelsen har vært å vurdere hvordan helseforetakenes IKT-systemer sikres mot dataangrep, hvordan de regionale helseforetakene understøtter dette arbeidet, og hvordan Helse- og omsorgsdepartementet følger opp.

Digitale løsninger som tas i bruk i helsetjenesten, skal tilfredsstille krav til informasjonssikkerhet. Dagens moderne sykehus digitaliseres i økende grad, og IKT blir en stadig viktigere del av kjernevirksomheten. Dette gir grunnlag for økt kvalitet i pasientbehandlingen. Samtidig øker sårbarheten for digitale angrep og datainnbrudd i helseforetakene, og de potensielle negative konsekvensene av sikkerhetsbrudd blir større.

Dersom helseopplysninger eller IKT-systemer manipuleres eller gjøres utilgjengelige, kan det forårsake pasientskader. Helseopplysninger på avveie kan også få alvorlige konsekvenser for helseforetak og pasienter i form av tapt tillit, uønsket eksponering, identitetstyveri, utpressing m.m. Dataangrep kan også få betydelige økonomiske konsekvenser. I behandlingen av Dokument 3:2 (2015–2016) uttalte kontroll- og konstitusjonskomiteen at informasjonssikkerhet må tas på det største alvor hos alle som er involvert i ulike prosesser i helsevesenet.

Helseforetakene kan være interessante mål for både datakriminalitet, industrispionasje og statlig etterretning, som kan ha til hensikt å stjele, endre, hindre eller påvirke data eller funksjoner. Eksempler på slike data er systematiserte, sensitive helsedata som finnes i registre og journaler. Stjålne helseopplysninger kan være verdifulle til forskning og utvikling eller brukes som pressmiddel for å oppnå andre mål. Uvedkommende kan også ha interesse av å sette sykehusfunksjoner ut av spill. Bortfall av IKT vil få konsekvenser for sykehusdriften selv om sykehusene har beredskapsrutiner og gjennomfører beredskapsøvelser hvor bortfall av IKT er et av scenariene.

Når informasjon gjøres tilgjengelig digitalt innad i helseforetak, på tvers av helseforetak og på tvers av regioner, kan en sårbarhet ett sted i nettverket gi angripere adgang til andre deler av nettverket. Små sikkerhetssvakheter kan dermed få store konsekvenser.

Det er en rekke måter angrep kan gjennomføres på, og angrepsformene er i stadig utvikling. Potensielle angripere kan utnytte svakheter i for eksempel nettverk, i medisinsk-teknisk utstyr som mellomlagrer og videresender helseopplysninger, i journalsystemene eller i forsystemene til journalsystemene.

Det har vært et økende omfang av dataangrep mot helseinstitusjoner verden rundt de siste årene. I januar 2018 ble Helse Sør-Øst utsatt for dataangrep som kunne ha blitt brukt til å stjele eller kompromittere pasientopplysninger. I august 2020 ble Sykehuset Innlandet utsatt for et dataangrep. Det er også mange eksempler fra utlandet:

  • «Wannacry-angrepet» i 2017, der helsesektoren i Storbritannia var blant dem som ble verst rammet. Datasystemer ved omtrent 40 britiske sykehus og private klinikker ble infisert av et løsepengevirus.

  • I 2020 ble 400 sykehus/helseinstitusjoner i USA med 90 000 ansatte rammet av et dataangrep som medførte at alt IKT-utstyr måtte slås av i en periode.

  • I 2020 ble et sykehus i Tyskland rammet av et løsepengeangrep, og det tok i overkant av en måned før dette sykehuset var tilbake i normal drift. En kvinne døde som følge av angrepet.

Det er ikke mulig å beskytte seg mot alle forsøk på å bryte seg inn i helseregionenes IKT-systemer eller nettverk. Det er derfor viktig å etablere flere lag med sikkerhet slik at man gjør det vanskeligere for en angriper å gjøre skade dersom de skulle komme seg inn. Videre er det viktig at virksomheter har systemer og rutiner som gjør at de kan oppdage angrep. Dette legger igjen grunnlaget for at angrep kan håndteres. Helseregionene må etablere sikkerhetstiltak ut ifra hva de mener er et forsvarlig risikonivå.

Tidligere revisjoner har vist at helseregionene, inkludert deres IKT-leverandører, har svakheter i rutiner og systemer for å forebygge og følge opp informasjonssikkerhetsbrudd.

Direktoratet for e-helse påpeker i sin Overordnet risiko- og sårbarhetsvurdering for IKT i helse- og omsorgssektoren i 2019 at avhengighetene mellom IKT, pasientbehandling og pasientsikkerhet øker i takt med digitaliseringen. Sykehusenes IKT-systemer er komplekse og har mange avhengigheter, og utilgjengelige IKT-systemer er en alvorlig trussel for helse- og omsorgssektoren. Videre påpeker direktoratet at aktørbildet er komplekst, at ansvaret for de ulike løsningene, produktene og verdikjedene delvis er fragmentert og noe uoversiktlig, og at utstyret til dels er gammelt og utdatert.

Ansvaret for IKT-sikkerheten er delt mellom flere aktører og nivåer i spesialisthelsetjenesten. Helse- og omsorgsdepartementet har det overordnede ansvaret, og de regionale helseforetakene har ansvaret for informasjonssikkerheten i helseregionene. Informasjonssikkerheten i helseregionene ivaretas hovedsakelig av helseforetak og regionale IKT-leverandører (Sykehuspartner HF, Helse Nord IKT HF, Helse Vest IKT AS, og Hemit). De regionale IKT-leverandørene har ansvar for den tekniske sikringen av helseregionenes felles IKT-infrastruktur, av regionale IKT-systemer, samt av mange av helseforetakenes lokale systemer og utstyr. Helseforetakene har ansvar for at systemer og utstyr brukes på en sikker måte. Der helseforetakene selv har ansvar for drift av systemer og utstyr, vil de imidlertid ofte selv stå for teknisk sikring.

Rapporten ble forelagt Helse- og omsorgsdepartementet ved brev av 27. august 2020. I brevet ba Riksrevisjonen departementet om å vurdere hvilke deler av rapporten som ikke kan offentliggjøres. Departementet har i brev av 29. september 2020 gitt kommentarer til rapporten. Kommentarene er i hovedsak innarbeidet i rapporten og i dette dokumentet. Departementet anbefalte også at rapporten som helhet graderes som BEGRENSET etter sikkerhetsloven § 5-3 og § 5-4. I etterkant har Riksrevisjonen og Helse- og omsorgsdepartementet hatt en dialog om behov for gradering og blitt enige om punktgradering av rapporten.

2.1.1 Konklusjoner

  • Riksrevisjonens simulerte dataangrep ga høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner og tilgang til store mengder sensitive pasientopplysninger i alle helseregioner.

  • I alle fire helseregioner er det vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak som skal forebygge og oppdage dataangrep.

  • Helseregionene er på etterskudd i informasjonssikkerhetsarbeidet og mangler oversikt over sikkerheten i IKT-infrastrukturen.

    • Det er økt oppmerksomhet om informasjonssikkerhet i helseregionene, og det er iverksatt flere forbedringstiltak som vil kunne øke IKT-sikkerheten på sikt.

    • Helseregionene har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger.

    • Uklare ansvarsforhold og uklar oppgavefordeling i helseregionene vanskeliggjør forbedringsarbeidet.

    • Ledelsen i både de regionale helseforetakene og de underliggende helseforetakene har mangelfull informasjon om reell sikkerhetstilstand og sikkerhetsrisiko.

    • De regionale helseforetakene har ikke fulgt opp informasjonssikkerhetsarbeidet godt nok.

  • Atferden blant helse- og IKT-personell svekker IKT-sikkerheten.

  • Helse- og omsorgsdepartementet har vært for passive i sin oppfølging av informasjonssikkerhetsarbeidet i helseregionene.

2.1.2 Riksrevisjonens merknader

Undersøkelsen viser at det i alle helseregioners IKT-infrastruktur er vesentlige sårbarheter som kan utnyttes med metodene som er benyttet i Riksrevisjonens angrepssimulering. I tre av helseregionene førte Riksrevisjonens angrepssimulering til at Riksrevisjonen fikk høy grad av kontroll over viktige IKT-systemer, og derigjennom tilganger som kunne utnyttes til å volde stor skade.

Undersøkelsen har avdekket vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak i alle de fire helseregionene. Det varierer mellom regionene på hvilke områder svakhetene ligger, men alle steder kan de utnyttes av angripere. Undersøkelsen viser også at svakheter i tekniske sikkerhetstiltak henger sammen med helseregionenes sikkerhetsorganisering og -styring, og sikkerhetsatferden blant helse- og IKT-personell.

De fleste utfordringene kunne etter Riksrevisjonens vurdering vært løst med dagens IKT-løsninger. Det er i alle regioner et etterslep av oppgaver på sikkerhetsområdet. Noen av de viktigste tiltakene krever systematisk arbeid over tid, og gode prioriteringer i den daglige driften.

Etter Riksrevisjonens vurdering har alle fire helseregionene problemer med å imøtekomme sentrale krav til informasjonssikkerhet stilt i lov og forskrift. Regionenes tekniske og organisatoriske tiltak er ikke tilstrekkelige for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Selv om oppmerksomheten om informasjonssikkerhet har økt i helseregionene, og det er iverksatt flere tiltak de siste årene, er det mye arbeid som gjenstår før IKT-sikkerhet er betryggende.

Et dataangrep kan få store konsekvenser for pasientbehandlingen og dermed true pasientsikkerheten. Riksrevisjonen mener det er svært alvorlig at helseregionenes arbeid med å forebygge og oppdage dataangrep ikke er i henhold til krav i lov og forskrift. Videre mener Riksrevisjonen det er sterkt kritikkverdig at de påviste svakhetene i styringen av området ikke står i samsvar med betydningen IKT har for sykehusdriften.

Riksrevisjonen har følgende merknader:

  • De simulerte dataangrepene ga høy grad av kontroll over IKT-infrastrukturen i tre av fire regioner og tilgang til store mengder sensitive pasientopplysninger i alle helseregioner.

  • I alle fire helseregioner er det vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak som skal forebygge og oppdatere dataangrep.

  • Helseregionene er på etterskudd i informasjonssikkhetsarbeidet og mangler oversikt over sikkerheten i IKT-infrastrukturen.

  • Atferden blant helse- og IKT-personell svekker IKT-sikkerheten.

  • Helse- og omsorgsdepartementet har vært for passive i sin oppfølging av informasjonssikkhetsarbeidet i helseregionene.

2.1.3 Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at:

Helseforetakene og de regionale helseforetakene

  • sørger for å ha tilstrekkelig kunnskap om sikkerhetstilstanden, blant annet gjennom risikoanalyser på virksomhetsnivå, revisjoner og analyser av sikkerhetsavvik, for å kunne prioritere nødvendige tiltak.

  • iverksetter tiltak som sikrer at:

    • ansvars- og oppgavefordeling blir avklart

    • nødvendige tekniske sikkerhetstiltak blir gjennomført

    • det blir systematisk ryddet i gamle løsninger og sensitive helse- og personopplysninger

    • sikkerhetsatferd hos helse- og IKT-personell blir bedre

De regionale helseforetakene

  • sikrer at krav som er stilt til helseforetakene på informasjonssikkerhetsområdet, blir fulgt opp, slik at det oppnås nødvendig framdrift i forbedringsarbeidet.

  • sikrer at det iverksettes nødvendige tekniske sikkerhetstiltak med utgangspunkt i anerkjente sikkerhetsprinsipper som sørger for et egnet sikkerhetsnivå i tråd med lovkrav.

  • tar et større ansvar for å samordne informasjonssikkerhetsarbeidet i egen region, og bl.a. gjøre nødvendige avklaringer om ansvar, roller og oppgaver.

  • vurderer egnede tiltak for økt samarbeid på tvers mellom helseregionene for å styrke informasjonssikkerheten i sektoren.

Helse- og omsorgsdepartementet

  • sikrer at krav som er stilt til de regionale helseforetakene på informasjonssikkerhetsområdet, blir fulgt opp.

  • vurderer hvordan det best kan legge til rette for robuste sikkerhetsmiljøer i spesialisthelsetjenesten, og i den forbindelse hva slags rolle Norsk Helsenett (HelseCert) kan ha i sikkerhetsovervåking av regionale nettverk, og hvorvidt Direktoratet for e-helse bør ha en tydeligere rolle når det gjelder informasjonssikkerhet.

  • følger opp at de regionale helseforetakene oppnår et egnet sikkerhetsnivå i tråd med lovkrav.

2.1.4 Departementets oppfølging

Statsråden opplyser at helseforetakene blir utsatt for dataangrep hver dag, og at det foreløpig er håndtert på en god måte uten at det har gått ut over pasientbehandlingen. Angrepene blir imidlertid stadig mer avanserte, og angriperne har større ressurser til rådighet.

Statsråden er enig med Riksrevisjonen i at undersøkelsen har avdekket flere svakheter som viser at spesialisthelsetjenesten har en vei å gå. Arbeidet med å styrke det forebyggende arbeidet mot dataangrep har høy prioritet. Dette innebærer også økt samarbeid med de nasjonale sikkerhetsmyndigheter og helsesektorens eget sikkerhetsmiljø i HelseCERT.

Statsråden påpeker at de simulerte dataangrepene som ble gjort i undersøkelsen, vitner om at informasjonssikkerheten ikke var god nok. Samtidig påpeker statsråden at Riksrevisjonen, før de simulerte dataangrepene, ble gitt informasjon av helseforetakene som var egnet til å gjøre angrepene enklere å gjennomføre. I tillegg var det avtalt at dersom de simulerte dataangrepene ble oppdaget, så skulle de regionale helseforetakene ikke forsøke å stoppe disse eller gjøre mottiltak. En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, mens de andre tre oppdaget mindre eller ingenting.

Når det gjelder Riksrevisjonens vurdering av at departementet har vært for passive i sin oppfølging av informasjonssikkerhetsarbeidet i helseregionene, viser statsråden til at den etablerte ansvarsfordelingen innebærer at det er helseforetakenes ansvar å forvalte den løpende driften, og at informasjonssikkerhet er en integrert del av drift og forvaltning i de regionale helseforetakene og helseforetakene. Området er i stor grad regulert av lover og forskrifter, og departementet legger til grunn at helseforetakene som egne rettssubjekter har ansvaret for å etterleve regelverket og følge opp sitt ansvar i arbeidet. Statsråden framhever at departementet skal tilrettelegge for at foretakene kan oppfylle sitt sørge-for-ansvar, og kan gi overordnende føringer på hvordan driften skal gjennomføres. Videre har de regionale helseforetakene et tilsynsansvar med helseforetakene de eier. Dette følger av helseforetaksloven.

Statsråden understreker at den etablerte ansvarsmodellen i spesialisthelsetjenesten ikke tillegger departementet et operativt ansvar, og at det heller ikke er naturlig at et departement har en slik rolle. Med utgangspunkt i både tidligere Riksrevisjonssaker, eierkrav knyttet til disse og enkelthendelser hvor informasjonssikkerhet har vært tema, har departementet hatt særskilte felles oppfølgingsmøter med alle helseregionene. Hensikten har både vært å følge opp arbeidet med å lukke avvik og håndtere konkrete enkelthendelser og å styrke informasjonssikkerhetsarbeidet på tvers av regionene gjennom erfaringsoverføring og læring.

Når det gjelder rollen til Direktoratet for e-helse, påpeker statsråden at departementet siden etableringen av direktoratet har gitt seks oppdrag knyttet til informasjonssikkerhet og digital sikkerhet. Direktoratet har faste oppgaver som følger av hovedinstruksen av 15. januar 2020, og som ikke gjengis i det enkelte tildelingsbrev eller som oppdrag. De skal blant annet utvikle, formidle og vedlikeholde nasjonale veiledere og retningslinjer om informasjonssikkerhet.

Statsråden tar Riksrevisjonens hovedfunn, merknader og anbefalinger til etterretning. Hovedfunnene fra undersøkelsen viser at dette er et område som vil kreve stor grad av oppmerksomhet og prioritet i spesialisthelsetjenesten framover. Videre er det behov for å styrke spesialisthelsetjenestens samarbeid med Direktoratet for e-helse og Norsk Helsenett SF. Statsråden vil følge opp dette arbeidet i eierlinjen.

Flere av de avdekkede sårbarhetene er ifølge statsråden av en slik karakter at det vil ta tid for helseregionene å utbedre dem. Dette arbeidet inngår som en del av det systematiske forbedringsarbeidet der det legges vekt på erfaringsoverføring mellom helseregionene. Direktoratet for e-helse og Norsk Helsenett SF bidrar inn i arbeidet. Statsråden opplyser at det også er etablert dialog og samarbeid med Nasjonal sikkerhetsmyndighet (NSM). Viktige problemstillinger er klargjøring av oppgave- og ansvarsfordelingen, videreutvikling av ledelsessystemer, forbedring av sikkerhetskulturen, redusert kompleksitet i IKT-porteføljen og sikkerhet i dybden.

Statsråden understreker at virksomhetene må tenke digital beskyttelse i dybden og etablere flere lag med sikkerhet. Dersom førstelinjeforsvaret svikter ved dataangrep, må det være etablert barrierer i andre- og tredjelinje som overtar. Digital beskyttelse i dybden tar tid å implementere, og særlig innenfor medisinsk-teknisk utstyr, men også innenfor nettverksdesign og sikring av applikasjoner med stor kompleksitet. Virksomheter må ha en risikobasert tilnærming til forbedring av den digitale sikringen. Samtidig vil man aldri fullt ut kunne gardere seg mot digitale trusler. Statsråden viser til at dette er noen av de tiltakene det vil bli arbeidet med i tiden framover.

Statsråden vil be virksomhetene samarbeide om å følge opp Riksrevisjonens hovedfunn, merknader og anbefalinger i sin styring av de regionale helseforetakene, Norsk Helsenett SF og Direktoratet for e-helse. Statsråden vil også be virksomhetene om å presentere status fra dette arbeidet i egne felles årlige møter, i de etablerte felles tertialoppfølgingsmøtene samt i årlig melding og årsrapport. Det skal legges opp til at helseregionene lærer av hverandre både i det systematiske arbeidet med å styrke informasjonssikkerheten, i hendelseshåndteringen ved angrep fra trusselaktører og i arbeidet med å håndtere de sårbarheter og hovedfunn som undersøkelsen har avdekket. Det konstruktive samarbeidet med NSM og andre sikkerhetsmyndigheter skal videreføres.

2.1.5 Riksrevisjonens sluttmerknad

Riksrevisjonen merker seg statsrådens kommentarer til konklusjonen om at departementet har vært for passiv i sin oppfølging av informasjonssikkerhetsarbeidet i helseregionene. Riksrevisjonen er enig med statsråden i at departementet ikke er tillagt et operativt ansvar i den etablerte ansvarsmodellen i spesialisthelsetjenesten, og det er heller ikke naturlig at et departement har en slik rolle.

Samtidig framhever statsråden at departementet har ansvar for å legge til rette for at foretakene kan ivareta sitt sørge-for ansvar. Riksrevisjonen vil i denne sammenheng påpeke at departementet for å kunne ivareta sitt overordnede ansvar, må skaffe seg tilstrekkelig styringsinformasjon, stille nødvendige krav og følge opp at stilte krav til de regionale helseforetakene innfris. Videre må departementet sette de regionale helseforetakene i stand til å kunne oppfylle sine forpliktelser gjennom rammevilkår og virkemiddelbruk.

Hvor aktiv departementets styring og oppfølging bør være, avhenger av sakens karakter og betydning for sykehusdriften. Når undersøkelsen avdekker så alvorlige avvik på et vesentlig område, mener Riksrevisjonen at departementet bør ha en tettere styring og oppfølging av området. Flere av de påviste svakhetene er kjent, og de er også avdekket i tidligere undersøkelser. Dette viser at oppfølgingen har vært for passiv. Videre er trusselnivået med tanke på dataangrep forhøyet, samtidig som IKT-sikkerhet er en forutsetning for å sikre forsvarlig pasientbehandling og for å lykkes med økt digitalisering av sektoren.

Riksrevisjonen merker seg også statsrådens kommentar om at foretakene ga informasjon til Riksrevisjonen før de simulerte dataangrepene slik at de dermed ble enklere å gjennomføre. Tilretteleggingen effektiviserte revisjonen noe, men Riksrevisjonen er ikke enig i at det ga noen fordel som angriper. Det ble i etterkant vist i angrepssimuleringen at det var mulig å få kontroll med IKT-infrastrukturen uten denne kunnskapen og uten at de simulerte angrepene ble oppdaget i tre av regionene. Det var også mulig å hente ut sensitive opplysninger om pasienter i alle regioner.

2.1.6 Komiteens behandling

Som ledd i behandlingen av saken gjennomførte komiteen 22. februar 2021 en lukket kontrollhøring.

Komiteen besluttet at høringen skulle omhandle – men ikke begrense seg til – følgende problemstillinger:

  • Hvordan er ansvaret for IKT-sikkerheten delt mellom aktørene i spesialisthelsetjenesten – og hvordan fungerer samordning, ansvars- og oppgavefordelingen?

  • Bidrar de regionale IKT-leverandørene og helseforetakenes sikkerhetsstyring til å opprettholde et forsvarlig sikkerhetsnivå?

  • Hvordan tilrettelegger og følger de regionale helseforetakene opp at helseforetakene kan beskytte seg mot dataangrep?

  • Hvordan følger Helse- og omsorgsdepartementet opp IKT-sikkerhetsområdet i spesialisthelsetjenesten, og hvilke virkemidler tas i bruk?

Følgende ble invitert og møtte til høring:

  • Helse- og omsorgsminister Bent Høie

  • Direktoratet for e-helse v/fung. direktør Karl Vestli

  • Norsk Helsenett SF ved adm. direktør Johan Ronæs

  • Helse Midt-Norge RHF v/adm. direktør Stig A. Slørdahl

  • Helse Sør-Øst RHF v/adm. direktør Cathrine M. Lofthus

  • Helse Nord RHF v/adm. direktør Cecilie Daae

  • Helse Vest RHF v/adm. direktør Inger Cathrine Bryne og tidl. adm. direktør Herlof Nilssen

  • Universitetssykehuset i Nord-Norge v/adm. direktør Anita Schumacher

  • Sykehuset i Østfold v/adm. direktør Hege Gjessing

  • Helse Nord IKT v/adm. direktør Oddbjørn Schei

  • Sykehuspartner v/adm. direktør Gro Jære

Det ble tatt stenografisk referat fra høringen.

2.1.7 Komiteens merknader

Komiteen viser til Dokument 3:2 (2020–2021) Riksrevisjonens kontroll med forvaltningen av statens interesser i selskaper 2019, sak 1: Helseforetakenes forebygging av angrep mot sine IKT-systemer. Riksrevisjonen har avdekket store sårbarheter i IKT-sikkerheten i helseforetakene, og bruker betegnelsen «svært alvorlig» om det at arbeidet med å forebygge dataangrep ikke er i henhold til kravene i lov og forskrift. Videre mener Riksrevisjonen det er sterkt kritikkverdig at de påviste svakhetene i styringen av området ikke står i samsvar med betydningen IKT har for sykehusdriften.

Komiteen viser til Meld. St. 7 (2019–2020) Nasjonal helse- og sykehusplan 2020–2023, der det framkommer at målbildet for pasientbehandlingen forutsetter at informasjonen om pasientene behandles på en trygg og sikker måte. Pasienter og innbyggere skal ha tillit til at opplysninger ikke kommer på avveie, og at uvedkommende ikke får tilgang. Helsepersonell som trenger informasjonen, må få tilgang til den raskt og enkelt, og de må ha tillit til at opplysningene er korrekte, oppdaterte og fullstendige.

Komiteen påpeker at et dataangrep kan få store konsekvenser for pasientbehandlingen og dermed true pasientsikkerheten, dersom det ikke håndteres på en god måte. Det har vært et økende omfang av dataangrep mot helseinstitusjoner verden rundt de siste årene. Riksrevisjonens undersøkelse avdekket vesentlige sårbarheter i alle fire helseregioners IKT-infrastruktur, de simulerte dataangrepene ga tilgang til sensitive pasientopplysninger i tre av fire helseregioner. Riksrevisjonen har gjennom sin undersøkelse funnet at det er vesentlige svakheter i sikkerhetstiltakene som skal forebygge og oppdage dataangrep. Svakhetene gjelder både organiseringen og styringen av sikkerhetsarbeidet og sikkerhetsatferden til de ansatte innen helse og IKT.

Komiteen merker seg Riksrevisjonens overordnede kritikk om at de regionale helseforetakene ikke har fulgt opp informasjonssikkerhetsarbeidet godt nok, og at departementets oppfølging i tillegg kan sies å ha vært for passiv.

Komiteen avholdt høring i saken den 22. februar 2021. Komiteen besluttet at høringen skulle være lukket. Bakgrunnen for dette var at deler av Riksrevisjonens undersøkelse er gradert Begrenset, jf. sikkerhetsloven. I tillegg ble det vektlagt av komiteen at det under høringen ville kunne være behov for å beskrive svakheter i dagens system som er under utbedring. Til høringen møtte relevante aktører fra flere nivåer i spesialisthelsetjenesten, fra ledelse i helseforetak, regionale helseforetak, IKT-leverandører, HelseCERT, Direktoratet for e-helse og helse- og omsorgsminister Bent Høie.

Komiteen viser til at ansvaret for IKT-sikkerheten er delt mellom flere aktører og nivåer i spesialisthelsetjenesten, men at det øverste ansvaret ligger hos Helse- og omsorgsdepartementet og statsråden. Det er de regionale helseforetakene (RHF) som har ansvaret for informasjonssikkerheten i sine helseregioner. Det er helseforetakene (HF) som er ansvarlige for alle data som behandles i forbindelse med deres pasienter. I dette ansvaret ligger også ansvaret for at systemer og utstyr brukes på en sikker måte. De regionale IKT-leverandørene har ansvar for den tekniske sikringen av helseregionenes felles IKT-infrastruktur, regionale IKT-systemer, samt mye lokalt utstyr og systemer.

Komiteen merker seg Riksrevisjonens kritikk av de regionale helseforetakenes oppfølgning av informasjonssikkerhetsarbeidet. Riksrevisjonen peker spesielt på at ansvar og oppgavefordeling i helseregionene innen noen områder er uavklart, og at samordningen på tvers av helseregionene ikke har vært god nok. Spesielt gjaldt dette opprydning og utfasing av eldre systemer, medisinsk-teknisk utstyr og tilganger.

Komiteen merker seg at det fremkom av høringen at roller og ansvar for informasjonssikkerhet i helseregionene hovedsakelig oppleves som tydelig avklart og definert, og at det regionale samarbeidet innen informasjonssikkerhet foregår på flere plan. Riksrevisjonens kritikk har også bidratt til at ansvarsforholdene har blitt ytterligere presisert fra de regionale helseforetakenes side, også innen områder der Riksrevisjonen har påpekt et forbedringspotensial. Komiteen vil også vektlegge at betydningen av at risikovurderinger og analyser av informasjonssikkerheten løpende tilflyter de styrende organene i helseforetakene og helseregionene, slik at disse har riktig risikoforståelse og informasjon.

Komiteen er kjent med at dataangrep er en del av det daglige trusselbildet for helseforetakene. Motkreftene kan være store, og metodene for å begå slike angrep blir stadig mer avanserte. Dette gjør at det må jobbes kontinuerlig med datasikkerhet, slik at en hele tiden er parat til å lukke sårbarheter som oppstår. IKT-sikkerhet er et kontinuerlig forbedringsarbeid.

Komiteen viser til at Riksrevisjonens simulering av dataangrep hadde som formål å teste helseregionenes evne til å oppdage aktiviteter i et angrep, ikke responsevnen eller håndteringen av sikkerhetsevnen. I forbindelse med angrepssimuleringen hadde Riksrevisjonen bedt om at helseregionene skulle gi beskjed når de merket angrep, men at de ikke skulle gripe inn. Kun en av helseregionene rapporterte tilbake at de oppdaget flere av aktivitetene i angrepssimuleringen. Angrepene ble derfor ikke håndtert slik reelle angrep ville blitt håndtert, der fokus ville vært å stoppe angrepet og begrense tilgangen. Ved å la Riksrevisjonen få fortsette angrepene kunne man se hvor stor sårbarheten kunne være, dersom man ikke foretok seg noe. Umiddelbart etter simuleringen ble helseregionene informert om svakhetene som ble oppdaget.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti, merker seg at helse- og omsorgsministeren godtar at informasjonssikkerheten ikke var god nok, men samtidig viser til at Riksrevisjonen var gitt informasjon av helseforetakene som var egnet til å gjøre angrepene enklere å gjennomføre. I tillegg viser statsråden til at dersom de simulerte dataangrepene ble oppdaget, skulle de regionale helseforetakene ikke forsøke å stoppe disse eller gjøre mottiltak. Flertallet merker seg Riksrevisjonens kommentar om at informasjonen fra helseforetakene kan ha effektivisert angrepene, men at de ikke har gitt noen fordel som angriper. Flertallet merker seg også at tre av fire av regionene ikke oppdaget angrepene, og at det for disses vedkommende er irrelevant at de ikke skulle gjøre motstand.

Komiteen registrerer at helseregionene raskt har utbedret mange av de konkrete svakhetene i etterkant av dette, men at noen av svakhetene er av en slik karakter at det vil ta tid for helseregionene å utbedre dem.

Komiteen viser til at selv om IKT-sikkerhet er et kontinuerlig forbedringsarbeid, så forventer komiteen at Riksrevisjonens anbefalinger følges opp så raskt som mulig. Komiteen viser til at Riksrevisjonen her har funnet grunnlag for sin sterkeste form for kritikk, og at det bør medføre rask og kraftfull oppfølging.

Komiteen viser til HelseCERT, som ble etablert som en tjeneste under Norsk Helsenett i 2011. Norsk Helsenett er eid av Helse- og omsorgsdepartementet og utgjør sammen med HelseCERT og Direktoratet for e-helse en viktig del av departementets virkemiddelapparat for å styrke IKT-sikkerheten. HelseCERT er et rådgivende organ og et felles kompetansesenter for operativ IKT-sikkerhet. Komiteen er kjent med at HelseCERT jevnlig bistår helseforetakene med å forebygge, oppdage og håndtere uønskede hendelser. HelseCERT tester også helseforetakene gjennom simulerte angrep. Disse testene bidrar til å kontrollere effekten av tiltak som løpende iverksettes for å tette sårbarheter. Det fremkom under høringen at HelseCERT er en kompetent og god samarbeidspartner. Noen aktører pekte på at det er et behov for å styrke kapasiteten til HelseCERT. Helseforetakene har også selv betydelig økt ressursene knyttet til informasjonssikkerhetsarbeidet i takt med risikoen som drives av digitaliseringen og utviklingen i dataangrep.

Komiteen viser til Riksrevisjonens funn om at atferden blant helse- og IKT-personell svekker helseforetakenes IKT-sikkerhet, og at det er behov for å styrke sikkerhetskulturen i helseforetakene. Å lede arbeidet med sikkerhetskulturutvikling og skape gode rammebetingelser for dette er en lederoppgave. Av forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren går det fram at ledelsen skal sørge for at medarbeidere i virksomheten har nødvendig kunnskap om og kompetanse i det aktuelle fagfeltet, relevant regelverk, retningslinjer, veiledere og styringssystemet. Riksrevisjonens undersøkelse viser at uheldig praksis blant ansatte i dag ofte er knyttet til valg av enkle passord, deling av brukernavn og passord, at ansatte får tilgang til mer enn tjenstlig behov tilsier, og at anbefalte prosedyrer ikke følges. I tillegg er det flere helsemedarbeidere som lar seg lure av svindel-e-poster der de klikker på lenker. I undersøkelsene gjennomført av Riksrevisjonen, der det ble sendt ut 2300 e-poster, klikket 4 av 10 ansatte på lenken. En av fire ga opplysninger. Dette viser at ansatte har mangelfull kunnskap om sikker atferd, og at det er et behov for å styrke sikkerhetskulturen.

Komiteen viser til at det er en bred enighet blant aktørene i spesialisthelsetjenesten og Helse- og omsorgsdepartementet om at Riksrevisjonens undersøkelse har vært et nyttig bidrag for å styrke informasjonssikkerheten. Funnene fra Riksrevisjonen avdekket både kjente og nye sårbarheter.

Komiteen viser til Riksrevisjonens bemerkning om at Helse- og omsorgsdepartementet ikke utnytter alle tilgjengelige virkemidler for å ivareta informasjonssikkerheten. Spesifikt pekes det på at det er behov for å styrke rollen HelseCERT har for å overvåke og teste IKT-sikkerheten i helseregionene og tillegge Direktoratet for e-helse flere oppgaver knyttet til informasjonssikkerhet. Undersøkelsen viser at Helse- og omsorgsdepartementet har stilt krav om informasjonssikkerhet i foretaksmøtene, men at de regionale helseforetakene ikke har rapportert konkret tilbake i de årlige meldingene i perioden 2017–2019.

Komiteen viser til statsrådens orientering om departementets oppfølgning av de avdekte svakhetene i Riksrevisjonens rapport, slik de fremgår av rapporten. Komiteen merker seg at statsråden er enig med Riksrevisjonen i at undersøkelsen har avdekket flere svakheter, og at han tar Riksrevisjonens hovedfunn, anbefalinger og merknader til etterretning. Komiteen merker seg videre at statsråden vil be virksomhetene samarbeide om å følge opp Riksrevisjonens hovedfunn, merknader og anbefalinger i sin styring av de regionale helseforetakene, Norsk Helsenett SF og Direktoratet for e-helse. Statsråden vil også be virksomhetene om å presentere status fra dette arbeidet i egne felles årlige møter, i de etablerte felles tertialoppfølgingsmøtene samt i årlig melding og årsrapport.

Komiteen viser videre til Riksrevisjonens anbefalinger til helseforetakene, de regionale helseforetakene og Helse- og omsorgsdepartementet. Komiteen forutsetter, som uttales både i rapport og på høring, at det tas på alvor og følges opp.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti, viser til at Helse- og omsorgsdepartementet har det overordnede ansvaret for IKT-sikkerhet i spesialisthelsetjenesten. Flertallet understreker statsrådens ansvar for løpende å vurdere om gjeldende ansvarsdeling på området er hensiktsmessig for å sikre det til enhver tid nødvendige sikkerhetsnivå. Dette innebærer å sette de regionale helseforetakene i stand til å oppfylle sine plikter til å sørge for spesialisthelsetjeneste til befolkningen innen sine helseregioner. Departementet er videre ansvarlig for å fastsette de overordnede helsepolitiske målsettingene og for å gi de regionale helseforetakene rammebetingelser som gjør det mulig for dem å nå disse målene. Flertallet viser til at svakheter som har blitt avdekket gjennom Riksrevisjonens revisjoner i 2014 og 2015, fortsatt er til stede. Flertallet forventer en mer aktiv statsråd som tar ansvar for de svært alvorlige funnene til Riksrevisjonen. For å kunne ta dette ansvaret må statsråden sørge for at departementet skaffer seg tilstrekkelig styringsinformasjon, stiller nødvendige krav og følger opp at stilte krav til de regionale helseforetakene innfris. Flertallet viser til at Riksrevisjonen skriver følgende:

«Hvor aktiv departementets styring og oppfølging bør være, avhenger av sakens karakter og betydning for sykehusdriften. Når undersøkelsen avdekker så alvorlige avvik på et vesentlig område, mener Riksrevisjonen at departementet bør ha en tettere styring og oppfølging av området. Flere av de påviste svakhetene er kjent, og de er også avdekket i tidligere undersøkelser. Dette viser at oppfølgingen har vært for passiv. Videre er trusselnivået med tanke på dataangrep forhøyet, samtidig som IKT-sikkerhet er en forutsetning for å sikre forsvarlig pasientbehandling og for å lykkes med økt digitalisering av sektoren.»

Flertallet stiller seg fullt bak dette synspunktet fra Riksrevisjonen og forventer at statsråden sørger for at departementet har nødvendig styring og oppfølging av området, for å sikre et tilstrekkelig sikkerhetsnivå gitt alvoret i Riksrevisjonens kritikk.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre, og uavhengig representant, merker seg at statsråden, både i sitt svar til Riksrevisjonens rapport og i sin redegjørelse i den lukkede høringen, er tydelig på at IKT-sikkerhet prioriteres høyt i styringsdialogen med helseforetakene. Det arbeides kontinuerlig med internrevisjoner, og helseforetakene jobber uavbrutt med oppfølgning av inntrengningstester for å avdekke og lukke mulige sårbarheter. Dette arbeidet har høy prioritet for å forebygge alvorlige dataangrep utenfra. I tillegg jobbes det kontinuerlig i helseforetakene med å skape en god sikkerhetskultur hos de nærmere 250 000 ansatte som har ulike tilganger til IKT-systemene.

Disse medlemmer påpeker at statsråden i sin redegjørelse viste til at IKT-sikkerhet har vært en prioritert oppgave helt siden han tiltrådte som helseminister i 2013, og IKT-sikkerhet har vært en del av styringsdialogen med helseforetakene. Statsråden viste til at han ga Helsedirektoratet i oppdrag å utarbeide en oversikt over tilstanden for IKT i helse- og omsorgssektoren. Det ble utarbeidet tre rapporter. Disse beskrev et samlet utfordringsbilde, en analyse av arbeidet med IKT i spesialisthelsetjenesten og en analyse av det norske leverandørmarkedet for elektroniske pasientjournaler. Dette var et viktig grunnlag for statsråden og helseforetakene i arbeidet med å styrke informasjonssikkerheten. Som en del av det systematiske forbedringsarbeidet har man de senere årene lagt til rette for en overordnet styring og kontroll med sikkerhetsarbeidet i sektoren. Dette er gjort blant annet gjennom å etablere Direktoratet for e-helse, som er ansvarlig for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten (Normen), styrking av HelseCert som sektorens felles kompetansesenter, Norsk Helsenett, som sikrer en lukket kommunikasjonsarena, og Helsetilsynet, som har fått ansvar for IKT-revisjon.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti, viser til at Riksrevisjonen sjelden finner grunnlag for å gi «svært alvorlig» kritikk. Dette gjøres bare «ved forhold som har svært alvorlige konsekvenser for samfunnet eller berørte borgere, for eksempel risiko for liv eller helse».

Flertallet viser videre til at statsminister Solberg i sin tiltredelseserklæring uttalte følgende:

«Regjeringen vil bygge sin politikk på den enkeltes behov for trygghet. Trygghet i hverdagen og en styrket beredskap blir derfor et viktig satsingsområde for regjeringen. Den enkelte skal kunne føle seg trygg i og utenfor sitt eget hjem.»

Videre uttalte statsminister Solberg:

«Regjeringen vil gjøre Norge bedre rustet til å møte fremtidige kriser.» Hun avsluttet dette punktet med følgende: «Regjeringen vil styrke samordningen av beredskapsarbeidet og legge vekt på å øke gjennomføringskraften.»

Flertallet viser til at Riksrevisjonen over lang tid har rapportert svak informasjonssikkerhet i sentrale samfunnsfunksjoner og i statlige virksomheter, jf. Dokument 3:2 (2020–2021), Dokument 1 (2019–2020), Dokument 1 (2018–2019), Dokument 1 (2017–2018), Dokument 1 (2016–2017), Dokument 1 (2015–2016), Dokument 3:2 (2015–2016), Dokument 3:2 (2014–2015) og Dokument 1 (2014–2015). Flertallet viser til Nasjonal sikkerhetsmyndighets risikovurdering for 2021 som fremhever at det digitale risikobildet er skjerpet, og at pandemien har gitt økt risiko. Det at det er gjennomført alvorlige angrep mot demokratiske institusjoner viser at risikoen er reell. Digital beredskap er en kritisk samfunnsfunksjon. Flertallet oppfordrer derfor regjeringen til å gjennomgå og vurdere om tverrgående virkemidler, kompetanse og risikoforståelse i staten er tilstrekkelig til å møte identifiserte trusler.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre, og uavhengig representant, viser til at beredskapsarbeidet på digital sikkerhet har vært en prioritet for regjerningen.

Disse medlemmer merker seg at det jobbes godt og kontinuerlig fra flere hold for å styrke IKT-sikkerheten og tette avvikene Riksrevisjonen har avdekket. Arbeidet spenner fra å styrke sikkerhetsatferden til den enkelte helsearbeider til internasjonale sikkerhetssamarbeid. Disse medlemmer peker på at det å styrke forståelsen for en sikkerhetskultur hos den enkelte ansatte er av spesielt stor betydning for at helseforetakene skal lykkes med å holde inntrengere ute.

Disse medlemmer viser til regjeringens nasjonale strategi for digital sikkerhet og tiltakene for å styrke digital sikkerhet som ble lansert i januar 2019. Blant tiltakene i strategien er en videreutvikling av varslingssystemene for samfunnskritisk digital infrastruktur (VDI) som styrker evnen til å oppdage målrettede digitale angrep. Strategien har også bevisstgjørende tiltak rettet mot befolkningen, kommuner og virksomheter. Dette går rett inn i arbeidet med å styrke sikkerhetskulturen i samfunnet. Regjeringen anerkjenner at det er behov for å styrke kunnskapsgrunnlaget knyttet til digital sikkerhet. Strategien har også tiltak for å styrke kunnskapsgrunnlaget om digital sikkerhet og utviklingen i trusselbildet. I strategien fremgår prioriteringer innenfor kompetanseområdet på over 800 mill. kroner. Disse medlemmer viser til at det skal gjennomføres en departementsvis oppfølgning av utviklingen på sikkerhetsområdet. Det er Justis- og beredskapsdepartementet og Forsvarsdepartementet som har ansvar for å innhente status fra departementenes oppfølging av strategien.

Komiteen mener at det er svært viktig at befolkningen har tillit til helsevesenet, og at det oppleves som trygt å være pasient. Den digitale infrastrukturen er avgjørende for at helsevesenet skal kunne løse sine oppgaver i dagens samfunn.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti, stiller spørsmål ved om Norge nå er bedre rustet til å møte fremtidige kriser, slik statsministeren varslet at vi skulle være. Flertallet finner særlig grunnlag for å stille spørsmålet grunnet den svært alvorlige kritikken som Riksrevisjonen finner grunnlag for, men spørsmålet forsterkes også ved at mange av svakhetene som ble avdekket i Riksrevisjonens revisjoner i 2014 og 2015, fortsatt er til stede.

Flertallet viser til at et fungerende helsevesen er en helt sentral del av nasjonens beredskap. Flertallet forventer at statsråden viser gjennomføringskraft og sørger for å gi IKT-sikkerheten i helsesektoren et betydelig løft. Flertallet imøteser en vurdering fra Riksrevisjonen av disse forholdene i lys av tidligere rapporterte svakheter, og ser særlig behov for at grunnleggende IKT-infrastruktur i helsesektoren faller inn under sikkerhetsloven.

2.2 Sak 2: Kvaliteten på informasjon om forventede ventetider i ordningen med fritt behandlingsvalg

Målet med undersøkelsen har vært å vurdere om informasjonen om forventede ventetider som gis på nettstedet helsenorge.no/velg-behandlingssted, er god nok for å ivareta formålet med ordningen fritt behandlingsvalg.

Ordningen fritt behandlingsvalg gir pasienter med henvisning fra fastlege rett til å velge hvor henvisningen skal vurderes. Pasienter som har rett til nødvendig helsehjelp fra spesialisthelsetjenesten, kan velge ved hvilken offentlig eller privat virksomhet helsehjelpen skal ytes. Pasienten kan velge mellom både offentlige virksomheter og private virksomheter som enten har avtale med et regionalt helseforetak eller er godkjent etter forskrift med hjemmel i lov om spesialisthelsetjenesten m.m. (spesialisthelsetjenesteloven). Ordningen er hjemlet i lov om pasient- og brukerrettigheter (pasient- og brukerrettighetsloven) § 2-4.

Ordningen har flere formål. I Prop. 56 L (2014–2015) står det at «Fritt behandlingsvalg […] skal redusere ventetidene, øke valgfriheten for pasientene og stimulere de offentlige sykehusene til å bli mer effektive». I Meld. St. 11 (2015–2016) Nasjonal helse- og sykehusplan 2016–2019, jf. Innst. 195 S (2014–2015), går det fram at ordningen «innebærer flere valgmuligheter for den enkelte pasient, og at ledig kapasitet kan utnyttes».

En avgjørende forutsetning for at ordningen skal kunne fungere etter formålet, er at behandlingsvalgene fattes på et godt informasjonsgrunnlag. Pasient- og brukerrettighetsloven gir pasienter og brukere rett til den informasjonen som er nødvendig for å få tilstrekkelig innsikt i tjenestetilbudet og for å kunne ivareta sine rettigheter. Ifølge Nasjonal helse- og sykehusplan 2016–2019 er det viktig at pasienter og helsepersonell får god og brukervennlig informasjon om ordningen. Informasjonstjenesten Velg behandlingssted ble opprettet for dette formålet.

Informasjonen på nettstedet helsenorge.no/velg-behandlingssted er en sentral kilde til informasjon for pasientene. Bruken av nettsidene har økt hvert år siden 2016 og var 40 prosent høyere i 2019 enn i 2016. Det var mellom 20 000 og 46 000 besøk på nettsidene hver måned i 2019.

Det er de ulike behandlingsstedene som selv rapporterer inn de forventede ventetidene som publiseres på nettstedet. Helsedirektoratet har utarbeidet en veileder til behandlingsstedene for å hjelpe dem med å fastsette de forventede ventetidene skjønnsmessig. Ifølge veilederen skal behandlingsstedene for hver type behandling de tilbyr, rapportere inn den maksimale ventetiden for de lavest prioriterte pasientene. Informasjon om hva som menes med forventet ventetid, har vært tilgjengelig på nettstedet for brukerne.

Det enkelte behandlingsstedet må foreta en skjønnsmessig vurdering basert på ressursene behandlingsstedet råder over, og forventet etterspørsel etter tjenester framover i tid. Veilederen gir dermed rom for at behandlingsstedene kan ha ulike tolkninger av hvordan de skjønnsmessige forventede ventetidene skal fastsettes.

Undersøkelsen er basert på en sammenligning av ventetider som har vært oppgitt på nettstedet helsenorge.no/velg-behandlingssted med faktiske ventetider fra Norsk pasientregister for utvalgte prosedyrer hos ISF-finansierte behandlingssteder. Avtalespesialister er ikke inkludert i analysen. Pasientene i datagrunnlaget ble henvist i perioden 1. april 2016 til 30. juni 2018 og har påbegynt utredning eller behandling innen utgangen av 2019.

Undersøkelsen tar utgangspunkt i følgende vedtak og forutsetninger fra Stortinget:

  • lov om pasient- og brukerrettigheter (pasient- og brukerrettighetsloven) § 2-4.

  • Prop. 56 L (2014–2015)

  • Innst. 195 S (2014–2015), jf. Meld St. 11 (2015–2016) Nasjonal helse- og sykehusplan 2016–2019

Rapporten ble forelagt Helse- og omsorgsdepartementet ved brev 29. september 2020. Departementet har i brev 15. oktober 2020 gitt kommentarer til rapporten. Kommentarene er i hovedsak innarbeidet i rapporten og i Riksrevisjonens dokumentet.

2.2.1 Konklusjoner

Informasjonen om forventede ventetider på nettstedet helsenorge.no/velg-behandlingssted gir ikke et godt bilde av den faktiske ventetiden. Konsekvensen er at formålet med ordningen fritt behandlingsvalg ikke ivaretas fordi mange pasienter ikke får mulighet til å velge sykehus med kortest faktisk ventetid, og at ledig kapasitet ikke blir utnyttet.

2.2.2 Riksrevisjonens merknader

Ordningen med fritt behandlingsvalg skal bidra til kortere ventetider for pasienter og god ressursutnyttelse i helsetjenesten. Nettstedet helsenorge.no/velg-behandlingssted er opprettet for å gi pasienter informasjon om ventetider. Slik informasjon er en forutsetning for å kunne ta kvalifiserte valg av behandlingssted, slik at formålet med ordningen skal kunne realiseres.

Undersøkelsen viser at de forventede ventetidene som oppgis på nettstedet helsenorge.no/velg-behandlingssted, ikke reflekterer den faktiske ventetiden for veldig mange pasienter. Ved 80 prosent av 73 sykehus venter over halvparten av pasientene minst to uker enten lenger eller kortere enn forventet ventetid. Det er dermed stor variasjon mellom behandlingsstedene når det gjelder samsvar mellom forventet ventetid og faktisk ventetid. Ved om lag 10 prosent av 73 sykehus har over halvparten av pasientene måttet vente minst to uker lenger enn det som ble oppgitt som maksimalt forventet ventetid. De fleste av disse er private behandlingsteder som har en avtale med et regionalt helseforetak.

Selv om sykehusenes forventede ventetider ikke er realistiske, er det likevel teoretisk mulig at informasjonen om forventet ventetid gir et riktig bilde av sykehusenes kapasitet sammenlignet med hverandre. Dette forutsetter at sykehuset med kortest forventet ventetid også har kortest faktisk ventetid.

Analysen viser imidlertid at få sykehus har lik rangering på forventet og faktisk ventetid. Det betyr at sykehus som har opplyst på nettstedet at de har kortest forventet ventetid, ikke nødvendigvis har det sammenlignet med andre sykehus.

Dette betyr at informasjonen på helsenorge.no/velg-behandlingssted gir et misvisende bilde av rangeringen av sykehusenes faktiske ventetider. Selv om over halvparten av pasientene venter kortere enn det som blir oppgitt som forventet ventetid ved fire av fem sykehus, legger ikke informasjonen til rette for at de kan velge sykehuset der den faktiske ventetiden er enda kortere. Informasjonen om forventede ventetider gir dermed ikke et godt bilde av hvilket sykehus som har kortest ventetid.

Veilederen legger opp til at behandlingsstedene skal ta utgangspunkt i maksimal ventetid for de lavest prioriterte pasientene. Når undersøkelsen viser at 10 prosent av behandlingsstedene har en ventetid som er lengre enn det de oppgir som forventet, tyder dette på at de ikke følger veilederen på dette punktet. I tillegg utøves en god del skjønn ved fastsettelsen av ventetidene. Samlet sett fører dette til at ventetider som oppgis på nettstedet, ikke er sammenlignbare på tvers av behandlingssteder slik ordningen fritt behandlingsvalg forutsetter.

Selv om det ikke er realistisk å forvente fullt samsvar mellom forventet og faktisk ventetid, er det etter Riksrevisjonens vurdering for stor variasjon mellom forventet ventetid og faktisk ventetid ved det enkelte behandlingssted. Konsekvensen er at formålet med ordningen fritt behandlingsvalg ikke ivaretas fordi mange pasienter ikke får mulighet til å velge sykehus med kortest faktisk ventetid, og at ledig kapasitet ikke blir utnyttet.

2.2.3 Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Helse- og omsorgsdepartementet iverksetter tiltak for å sikre bedre samsvar mellom forventet og faktisk ventetid slik at informasjonsgrunnlaget for behandlingsvalgene styrkes og formålet med ordningen fritt behandlingsvalg ivaretas. Dette kan blant annet gjøres ved å vurdere om veilederen ivaretar hensikten med ordningen og ved å følge opp at behandlingsstedene har mest mulig ensartet registreringspraksis.

2.2.4 Departementets oppfølging

Pasienters rett til fritt behandlingsvalg omfatter alle offentlige helseforetak, private leverandører som de regionale helseforetakene har inngått avtale med, og de private leverandørene som er godkjent av Helfo. Statsråden konstaterer at Riksrevisjonen finner til dels store avvik mellom ventetidene pasientene faktisk opplever og de forventede ventetidene som oppgis på nettsiden helsenorge.no/velg-behandlingssted.

Statsråden er enig i at dette ikke gir et riktig bilde av sykehusenes kapasitet sammenlignet med hverandre. Det kan utfordre målet med fritt behandlingsvalg om å utnytte ledig kapasitet på tvers av både offentlige og private behandlingssteder.

Statsråden vil vurdere følgende tiltak:

  • Be de regionale helseforetakene om å følge opp registreringspraksisen hos sine helseforetak og private avtaleparter

  • Be Helsedirektoratet vurdere veilederen for rapportering av forventet ventetid

Dette, samt eventuelt andre tiltak, vil følges opp i styringsdialogen med regionale helseforetak og Helsedirektoratet.

2.2.5 Riksrevisjonens sluttmerknad

Riksrevisjonen har ingen ytterligere merknader.

2.2.6 Komiteens merknader

Komiteen viser til Dokument 3:2 (2020–2021) Riksrevisjonens kontroll med forvaltningen av statens interesser i selskaper 2019, sak 2: Kvaliteten på informasjon om forventede ventetider i ordningen med fritt behandlingsvalg. Riksrevisjonen har funnet at informasjonen om forventede ventetider på helsenorge.no ikke gir et godt bilde av den faktiske ventetiden. Dette kan lede til at pasienter ikke får mulighet til å velge behandlingstilbudet med kortest faktisk ventetid, og at den ledige kapasiteten ikke utnyttes.

Komiteen viser til at intensjonen med ordningen Fritt behandlingsvalg er å sikre pasienten valgfrihet blant godkjente behandlingssteder og bidra til kortere ventetider og god ressursutnyttelse i helsetjenesten. Pasienters rett til fritt behandlingsvalg omfatter alle offentlige helseforetak, private leverandører som de regionale helseforetakene har inngått avtale med, og de private leverandørene som er godkjent av Helfo. Informasjonen på helsenorge.no/velg-behandlingssted er en viktig kilde til informasjon for pasienter som vurderer hvor de skal ha sin behandling. Bruken av nettsidene har økt hvert år siden 2016 og var 40 prosent høyere i 2019 enn i 2016. Det er viktig at informasjonen på helsenorge.no gir et riktig bilde av de faktiske ventetidene, og at måten ventetidene er beregnet på, er sammenlignbare på tvers av behandlingsstedene.

Komiteen viser til at veilederen for beregningstidene legger opp til at behandlingsstedene skal ta utgangspunkt i hva som vil være maksimal ventetid for de lavest prioriterte pasientene. Ved 80 prosent av 73 behandlingssteder viser Riksrevisjonens undersøkelse at over halvparten av pasientene venter minst to uker lenger eller kortere enn forventet ventetid. Det er dermed stor variasjon mellom behandlingsstedene når det gjelder samsvar mellom forventet ventetid og faktisk ventetid. Ved om lag 10 prosent av 73 sykehus har over halvparten av pasientene måttet vente minst to uker lenger enn det som ble oppgitt som maksimalt forventet ventetid.

Komiteen merker seg at statsråden er enig i at de forventede ventetidene som oppgis på nettsiden helsenorge.no/velg-behandlingssted, ikke gir et riktig bilde av ventetid og kapasitet. Statsråden vurderer å be de regionale helseforetakene om å følge opp registreringspraksisen hos sine helseforetak og private avtaleparter, samt be Helsedirektoratet vurdere veilederen for rapportering av forventet ventetid. Statsråden oppgir at dette og eventuelle andre tiltak vil følges opp i styringsdialogen med de regionale helseforetakene og Helsedirektoratet.

Komiteen imøteser statsrådens oppfølgning av Riksrevisjonens anbefalinger for å sikre bedre samsvar mellom forventet og faktisk ventetid i ordningen.

2.3 Sak 3: Styring og oppfølging av drift og måloppnåelse i Space Norway AS

Målet med undersøkelsen har vært å vurdere om styringen og oppfølgingen av Space Norway AS understøtter effektiv drift og sektorpolitisk måloppnåelse. Undersøkelsesperioden har vært fra 2014 til og med 2019.

Space Norway AS er et sentralt sektorpolitisk virkemiddel for norsk romvirksomhet hvor målet med statens eierskap i undersøkelsesperioden har vært å bidra til drift og utvikling av romrelatert infrastruktur for å dekke nasjonale brukerbehov og tilrettelegging for verdiskaping basert på romvirksomhet i Norge. I siste eierskapsmelding er statens mål som eier å tilby kostnadseffektiv og forsvarlig forvaltet romrelatert infrastruktur som dekker viktige norske samfunnsbehov. I 2014 ble eierforvaltningen flyttet fra forvaltningsorganet Norsk Romsenter og lagt direkte under Nærings- og fiskeridepartementet. I den forbindelse fikk selskapet en egen administrasjon og administrerende direktør. Space Norway AS har vært i en oppbyggings- og utviklingsfase fra 2014 og fram til sommeren 2019.

Det vedtektsfestede formålet til Space Norway AS er å eie og leie ut infrastruktur innen romrelatert infrastruktur og foreta andre investeringer innen romvirksomhet, herunder eie aksjer i andre selskaper med romrelatert virksomhet. Hovedaktivitetene i Space Norway AS er å eie og/eller drifte infrastruktur og drive med innovasjon og utvikling. Space Norway AS eier og drifter sjøfiberkabelen mellom Fastlands-Norge og Svalbard (Svalbardkabelen) og drifter en langsiktig leieavtale til én transponder i Telenors Thor 7-satellitt, som skal sikre kommunikasjon til Trollstasjonen i Antarktis. Etter hvert som innovasjons- og utviklingsprosjektene er besluttet gjennomført, har Space Norway AS opprettet heleide datterselskaper som skal stå for videre gjennomføring og drift. Løsningen med datterselskaper er valgt for å sikre at Space Norway AS ikke blir stående økonomisk ansvarlig for selve driften av prosjektene. Per desember 2019 bestod konsernet av morselskapet Space Norway AS og de to heleide datterselskapene Statsat AS (opprettet i 2013) og Space Norway Heosat AS (opprettet i 2018). I tillegg eier Space Norway AS 50 prosent av aksjene i det tilknyttede selskapet Kongsberg Satellite Services AS (KSAT).

Konsernet Space Norway har store, komplekse og kapitalkrevende oppgaver på tvers av departementsområder. Oppgavene er knyttet til Svalbard- og nordområdepolitikk, sikkerhets- og forsvarspolitikk og kommunikasjon og beredskap innenfor sjøredning, oljeberedskap og krisehåndtering. De store ressurs- og kapitalkrevende innovasjons- og utviklingsoppgavene i undersøkelsesperioden har vært etableringen av satellittbasert bredbåndskommunikasjon i nordområdene (Heosat) og utvikling av småsatellitter for skipsdeteksjon og havovervåking (MicroSAR). Begge utviklingsprosjektene ble påbegynt i 2015. Som eier og drifter av kritisk infrastruktur er konsernet underlagt både lov om elektronisk kommunikasjon (ekomloven) og lov om nasjonal sikkerhet (sikkerhetsloven) med tilhørende forskrifter.

Siden eiendelene til morselskapet Space Norway AS i hovedsak består av kritisk infrastruktur som ikke egner seg for sikkerhetsstillelse, kan ikke selskapets aktiviteter finansieres gjennom ordinære banklån. Dette innebærer at selskapets virksomhet må finansieres med egne midler. Space Norway AS mottar ikke driftstilskudd fra staten og skal drives i henhold til vanlige forretningsmessige prinsipper og ha en effektiv drift. Regjeringen ga i juni 2019 Space Norway AS tilsagn om tilførsel av inntil 101 mill. amerikanske dollar i egenkapital. Kapitalen tilføres over flere år, i takt med kapitalbehovet til etableringen av satellittbasert bredbåndskommunikasjon i nordområdene gjennom datterselskapet Space Norway HeoSat AS. For 2020 ble det bevilget 72,6 mill. kroner i kapitaltilførsel, som tilsvarer 8,3 mill. amerikanske dollar.

I Riksrevisjonens tidligere undersøkelse – Mål og indikatorer for måloppnåelse og effektiv drift i heleide selskaper hvor staten har en samfunnsmessig begrunnelse eller et sektorpolitisk mål med eierskapet – rapport i Dokument 3:2 (2017–2018) kom det fram at Nærings- og fiskeridepartementet verken hadde stilt tydelige forventninger til Space Norway AS’ sektorpolitiske måloppnåelse og effektive drift eller krav til rapportering om dette. Videre kom det fram at styret i Space Norway AS heller ikke hadde satt egne mål for selskapets måloppnåelse eller effektive drift. Manglende eller uklare forventninger kan gjøre det vanskelig å følge opp om statens mål med eierskapet blir ivaretatt.

Undersøkelsen er basert på analyse av regnskapsdata, dokumentanalyse og analyse av skriftlige svar på tilsendte spørsmål (spørrebrev). Sistnevnte metode ble også brukt for å erstatte planlagte intervjuer/møter med styrelederen og ledelsen i Space Norway AS på grunn av koronasituasjonen. Dette fordi digitale intervjuer/møter ikke kunne benyttes grunnet den tette koblingen det er mellom selskapets virksomhet og sikkerhetsforvaltning etter sikkerhetsloven og ekomloven.

Undersøkelsen tar utgangspunkt i følgende vedtak og forutsetninger fra Stortinget:

  • Lov om aksjeselskaper (aksjeloven)

  • Lov om årsregnskap (regnskapsloven)

  • Lov om revisjon og revisorer (revisorloven)

  • Reglement for økonomistyring i staten (økonomireglementet)

  • Innst. 140 S (2014–2015), jf. Meld. St. 27 (2013–2014) Et mangfoldig og verdiskapende eierskap

Et utkast til rapport ble forelagt Nærings- og fiskeridepartementet i brev av 27. august 2020. Departementet har i brev av 12. oktober 2020 gitt kommentarer til rapportutkastet. Kommentarene er i hovedsak innarbeidet i rapporten og i Riksrevisjonens dokument.

2.3.1 Konklusjoner

  • Space Norway AS’ aktiviteter har ikke vært tilpasset selskapets finansielle rammer

  • Space Norway AS’ kapasitet har ikke vært tilpasset kompleksiteten i og omfanget på selskapets aktiviteter

  • Nærings- og fiskeridepartementet har ikke innhentet tilstrekkelig informasjon om selskapets økonomi og virksomhet

  • Nærings- og fiskeridepartementets oppfølging av selskapets utviklingsoppgaver har vært svak

2.3.2 Riksrevisjonens merknader

Space Norway AS har i undersøkelsesperioden vært i en oppbyggings- og utviklingsfase fra 2014 og fram til sommeren 2019. Undersøkelsen viser at selskapet i denne perioden har hatt et større ambisjonsnivå og en større vilje til å gjennomføre store, komplekse og kapitalkrevende aktiviteter enn selskapets kapital og kapasitet faktisk skulle tilsi, samtidig som departementets styring og oppfølging har vært svak.

Utover dialog i forbindelse med generalforsamlinger har Nærings- og fiskeridepartementet etablert en fast styringsdialog med selskapet. Den går ut på at departementet hvert år i januar eller februar, via brev til Space Norway AS, gir retningslinjer for hva styrets faste rapporter skal inneholde. To–tre uker etter at departementet har mottatt styrets rapport, avholder departementet faste møter med Space Norway AS. Temaet på disse møtene er den aktuelle rapporten departementet har pålagt selskapets styre å sende inn sammen med selskapets regnskap for siste kvartal. Space Norway AS rapporterte først fast hvert kvartal til departementet, deretter hvert halvår fra høsten 2017. Undersøkelsen viser at departementet de første fire årene i undersøkelsesperioden var passiv i sin oppfølging av Space Norway AS, men at departementet fra høsten 2018 har blitt mer aktiv og bedt om mer informasjon fra selskapets styre.

2.3.3 Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Nærings- og fiskeridepartementet

  • sørger for at styret i Space Norway AS og departementet har en omforent forståelse av hvor grensen for selskapets vedtektsfestede formål går når det gjelder innovasjons- og utviklingsoppgaver

  • følger opp at styret i Space Norway AS balanserer viljen til å gjennomføre ressurs- og kapitalkrevende innovasjons- og utviklingsoppgaver med selskapets faktiske evne knyttet til finansielle rammer og kapasitet

  • følger opp at styret i Space Norway AS får på plass et hensiktsmessig system for mål- og resultatstyring som et verktøy for å understøtte effektiv drift og sektorpolitisk måloppnåelse

  • vurderer om det er hensiktsmessig at et heleid statlig konsern som Space Norway med balanse (eiendeler) på hele 1,7 mrd. kroner fortsatt skal føre årsregnskapet sitt etter reglene for små foretak

2.3.4 Departementets oppfølging

Statsråden mener problemstillingene Riksrevisjonen har tatt opp, er relevante og omhandler forhold som departementet er og har vært opptatt av i eieroppfølgingen av Space Norway AS. Statsråden vil ta med læringspunkter fra undersøkelsen i den videre oppfølgingen av selskapet.

Statsråden vil følge opp Riksrevisjonens anbefaling om at styret i Space Norway AS balanserer viljen til å gjennomføre ressurs- og kapitalkrevende innovasjons- og utviklingsoppgaver med selskapets faktiske evne knyttet til finansielle rammer og kapasitet. Statsråden vil også arbeid for at styret i Space Norway AS og departementet har en omforent forståelse av hvor grensen for selskapets vedtektsfestede formål går når det gjelder innovasjons- og utviklingsoppgaver. I den forbindelse opplyser statsråden at selskapets vedtektsfestede formål i høst er endret til «Selskapets formål er å forvalte og videreutvikle sikkerhetskritisk og kostnadseffektiv romrelatert infrastruktur som dekker viktige norske samfunnsbehov». Vedtektsendringen ble vedtatt på ekstraordinær generalforsamling 25. november 2020.

Statsråden er enig med Riksrevisjonen i at gode mål og indikatorer er viktige for å understøtte effektiv drift og sektorpolitisk måloppnåelse. Statsråden trekker fram at det er krevende å utarbeide gode mål og indikatorer for effektiv drift, og at departementet vil fortsette å følge opp at effektivitet tas inn i selskapets system for mål- og resultatstyring. Statsråden understreker at arbeidet med å få på plass et hensiktsmessig system for mål- og resultatstyring allerede har høy oppmerksomhet og at departementet vil fortsette å følge opp dette tett framover.

Statsråden påpeker at departementet som eier har fått informasjon ut over det som oppgis i de offentlige regnskapene, gjennom egne rapporter og i møter med selskapet. Departementet har i eierdialogen oppfordret selskapet til å bryte ned regnskapet på hvert virksomhetsområde for lettere å kunne følge utviklingen over tid og eventuelt gjøre sammenligninger med andre virksomheter. Selskapet arbeider videre med dette og har varslet at det, på bakgrunn av Riksrevisjonens rapport, vil se på hvordan notene kan forbedres slik at regnskapet skal kunne gi mer informasjon og være mer tilgjengelig. Statsråden viser til at det følger av rollefordelingen mellom eier, styre og selskap at etterlevelse av regelverk er styrets ansvar, og slår fast at selskapet følger regnskapsloven når det rapporterer som små foretak slik regelverket er vedtatt av Stortinget.

2.3.5 Riksrevisjonens sluttmerknad

Riksrevisjonen er enig med statsråden i at etterlevelse av regelverk er styrets ansvar. Både små og store foretak er ifølge regnskapsloven § 3-2 a pålagt at årsregnskapet skal gi et rettvisende bilde av eiendeler og gjeld, finansielle stilling og resultat. Dette bildet utdypes gjennom kravene til noteopplysninger. I § 7-1 i regnskapsloven slås det fast at selskaper som oppfyller kravene til å anses som små foretak, kan oppgi begrensede noteopplysninger, men de må ikke. Samtidig følger det av aksjeloven at det er generalforsamlingen som vedtar selskapets årsregnskap. Riksrevisjonen vil bemerke at den rollefordelingen mellom eier, styre og selskap som departementet viser til, således ikke er et hinder for at departementet som eier kan vedta at det heleide statlige konsernet Space Norway ikke lenger skal fortsette å føre årsregnskapet sitt etter reglene for små foretak.

2.3.6 Komiteens merknader

Komiteen viser til at Space Norway AS skal bidra til drift og utvikling av romrelatert infrastruktur i Norge ved å dekke nasjonale brukerbehov. Hovedaktivitetene i Space Norway AS er å eie og/eller drifte infrastruktur og drive med innovasjon og utvikling. Dette er gjenspeilet i det vedtektsfestede formålet til Space Norway AS, som er å eie og leie ut infrastruktur innen romrelatert infrastruktur og foreta andre investeringer innen romvirksomhet, herunder eie aksjer i andre selskaper med romrelatert virksomhet.

Komiteen viser til at Space Norway AS har store, komplekse og kapitalkrevende oppgaver knyttet til Svalbard- og nordområdepolitikk, sikkerhets- og forsvarspolitikk og kommunikasjon og beredskap innenfor sjøredning, oljeberedskap og krisehåndtering. Siden virksomheten i hovedsak består av å eie eller leie kritisk infrastruktur som ikke egner seg for sikkerhetsstillelse, kan selskapets aktiviteter ikke finansieres gjennom ordinære banklån. Dette innebærer at selskapets virksomhet må tilføres kapital på andre måter. Da selskapet skal drives i henhold til vanlige forretningsmessige prinsipper, blir selskapet finansiert via egenkapital, i stedet for driftstilskudd som for øvrige statlige virksomheter.

Målet med Riksrevisjonens undersøkelse har vært å vurdere om styringen og oppfølgingen av Space Norway AS understøtter effektiv drift og sektorpolitisk måloppnåelse.

Komiteen viser til at Space Norway AS som aksjeselskap til enhver tid skal ha en egenkapital og likviditet som er forsvarlig ut fra risikoen ved og omfanget av virksomheten selskapet driver. Riksrevisjonens undersøkelse tyder på at dette ikke har vært tilfelle. Til tross for at Space Norway AS har begrensede finansielle ressurser og dertil handlekraft, har selskapet valgt å igangsette to store og meget kapitalkrevende utviklingsprosjekter samtidig, Heosat og MicroSAR. Etter Riksrevisjonens vurdering har igangsetting av Heosat og MicroSAR samtidig gått på bekostning av oppfølgingen i MicroSAR-prosjektet. Ifølge Riksrevisjonen har selskapet ikke hatt tilstrekkelig kapasitet til å gjennomføre to så store og komplekse utviklingsoppgaver samtidig. Dette har i sin tur ført til at selskapet kom i en anstrengt likviditetsmessig situasjon. I juni 2019 ga regjeringen derfor Space Norway AS tilsagn om tilførsel av inntil 101 millioner amerikanske dollar i økt egenkapital.

Komiteen mener det er kritikkverdig at Space Norway AS har operert med en meget høy finansiell risiko og selv bidratt til å sette seg i en krevende likviditetssituasjon. Ifølge Riksrevisjonen har det vært et misforhold mellom selskapets ambisjoner og den faktiske økonomiske evnen til å bære utviklingskostnadene innenfor de finansielle rammene uten kapitaltilførsel fra staten.

Komiteen har også merket seg at Riksrevisjonen mener at departementet på et langt tidligere tidspunkt burde ha sørget for en bedre dialog med selskapet om hvilke nye oppgaver som skal prioriteres, innenfor de økonomiske rammene som foreligger. Komiteen finner grunn til å understreke at det er viktig at det ikke settes i gang nye aktiviteter før finansieringen er på plass. Både selskapet og Nærings- og fiskeridepartementet som eierdepartementet har ansvaret for dette.

Komiteen forventer at statsråden vil følge opp Riksrevisjonens anbefaling om at styret i Space Norway AS balanserer viljen til å gjennomføre ressurs- og kapitalkrevende innovasjons- og utviklingsoppgaver med selskapets faktiske evne knyttet til finansielle rammer og kapasitet.

Komiteen forventer også at statsråden vil sørge for at styret i Space Norway AS og departementet har en omforent forståelse av selskapets vedtektsfestede formål. Komiteen har videre merket seg at selskapets vedtektsfestede formål høsten 2020 ble endret til «Selskapets formål er å forvalte og videreutvikle sikkerhetskritisk og kostnadseffektiv romrelatert infrastruktur som dekker viktige norske samfunnsbehov».

Komiteen registrerer at selskapet rapporterer i årsregnskapene som små selskaper selv om egenkapitalen nå er på 1,7 mrd. kroner. Selv om årsrapporteringen er i henhold til gjeldende lovgivning, bør det vurderes om ikke dette bør endres slik at rapporteringen er mer i tråd med aktivitetsnivået.

Komiteen viser til at Space Norway AS dekker viktige infrastrukturområder som er kritiske for Norge, men dette må skje innenfor de rammer som regjeringen og Stortinget fastsetter.

Komiteens medlem fra Sosialistisk Venstreparti vil minne om at mandatet til Andøya Space og styringsdialogen mellom departementet og selskapet har vært til diskusjon i Stortinget flere ganger, blant annet når det gjelder de sikkerhetspolitiske ringvirkningene av selskapets virksomhet. Dette medlem vil i denne sammenheng fremheve Dokument 8:236 S (2017–2018), hvor Sosialistisk Venstreparti fremmet forslag om å sette tydeligere retningslinjer for virksomheten i tilknytning til egenkapitalstilsagnet.

2.4 Sak 4: Olje- og energidepartementets oppfølging av Equinors utenlandsinvesteringer

Målet med undersøkelsen har vært å belyse i hvilken grad Olje- og energidepartementets oppfølging av Equinors utenlandsinvesteringer bidrar til å nå statens mål med eierskapet om høyest mulig avkastning over tid.

Olje- og energidepartementet forvalter statens eierskap på 67 prosent av aksjene i Equinor ASA (Equinor). Eierskapet av disse aksjene gjør Equinor til det enkeltstående selskapet som representerer de klart største økonomiske verdiene for staten som eier, både målt i aksjeverdi og i løpende utbytter. Fra å være en aktør utelukkende på norsk sokkel har Equinor gjennom store investeringer fra begynnelsen av 1990-tallet etablert en betydelig virksomhet internasjonalt. I dag er tyngdepunktet i USA. Måten Olje- og energidepartementet forvalter eierskapet i Equinor på, er potensielt av stor betydning for selskapets verdiskaping for staten som eier. Internasjonaliseringen av selskapet setter samtidig krav til departementet om å følge opp denne delen av virksomheten nøye.

Riksrevisjonen gjennomførte en revisjon av Olje- og energidepartementets eieroppfølging av Equinor i 2010 som ble rapportert i Dokument 3:2 (2011–2012). Riksrevisjonen påpekte den gangen at Equinors rapportering ga et mangelfullt grunnlag for å vurdere resultatene i den modne delen av selskapets utenlandsinvesteringer. Riksrevisjonen anbefalte at gitt den strategiske betydningen av Equinors utenlandsengasjement burde departementet styrke oppfølgingen av at de internasjonale investeringene på sikt gir et tilfredsstillende resultat. Olje- og energidepartementet uttalte at det ville legge mer vekt på å følge opp de internasjonale investeringene i påfølgende år, i takt med at en stadig større del av produksjonen foregår utenfor Norge. I sin behandling av saken uttrykte kontroll- og konstitusjonskomiteen at den forventet mer regnskapsdata om utenlandsinvesteringene, og at departementet vil legge mer vekt på dette i eieroppfølgingen.

Våren 2020 viet media og Stortinget oppmerksomhet til sviktende intern kontroll, dårlig forretningskultur og store tap i Equinors USA-satsing. Det ble samtidig reist spørsmål ved Olje- og energidepartementets forvaltning av statens eierinteresser i selskapet.

Riksrevisjonens kontroll med deleide selskaper er begrenset til å vurdere statsrådens forvaltning av eierinteressene i selskapet. Riksrevisjonen har bare rett på den informasjonen som departementet har mottatt fra selskapet. I utgangspunktet har ikke staten som eier rett på mer informasjon fra et deleid selskap enn det andre aksjonærer har.

Undersøkelsen er basert på gjennomgang av interne dokumenter i Olje- og energidepartementet, rapporter som departementets rådgiver har utarbeidet for departementet, og Equinors offentlige rapportering siden 2011. Departementet har svart på spørsmål både skriftlig og i møter. Informasjon om forvaltningen av deleide selskaper hentes inn via eierdepartementet. Vi har derfor ikke kontaktet Equinors administrasjon, styre eller ekstern revisor gjennom denne undersøkelsen.

Undersøkelsen tar utgangspunkt i følgende vedtak og forutsetninger fra Stortinget:

  • Lov om allmennaksjeselskaper

  • Reglement for økonomistyring i staten (økonomireglementet)

  • Meld. St. 13 (2010–2011) Aktivt eierskap – norsk statlig eierskap i en global økonomi

  • Meld. St. 27 (2013–2014) Et mangfoldig og verdiskapende eierskap, jf. Innst. 140 S (2014–2015) Innstilling fra næringskomiteen om et mangfoldig og verdiskapende eierskap

  • Meld. St. 8 (2019–2020) Statens direkte eierskap i selskaper – Bærekraftig verdiskaping

  • OECD Guidelines on Corporate Governance of State-Owned Enterprises, 2015 Edition

Et utkast til rapport ble forelagt Olje- og energidepartementet i brev 8. oktober 2020. Departementet har i brev 22. oktober 2020 og i møte 26. oktober 2020 gitt kommentarer til rapportutkastet. De fleste av kommentarene er innarbeidet i rapporten og i Riksrevisjonens dokument.

2.4.1 Konklusjoner

  • Olje- og energidepartementet har ikke stilt tydelige nok forventninger til åpenhet i Equinors offentlige rapportering om utenlandsinvesteringene

  • Olje- og energidepartementet har ikke hatt tilstrekkelig oppmerksomhet rettet mot utenlandsinvesteringenes bidrag til Equinors lønnsomhet

  • Olje- og energidepartementet har ikke hatt tilstrekkelig oversikt over innholdet i Equinors offentlige rapportering

2.4.2 Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Olje- og energidepartementet:

  • stiller tydelige forventninger om åpenhet i Equinors rapportering, slik at allmenheten og investorer settes bedre i stand til å vurdere risiko og lønnsomhet av Equinors investeringer i utlandet.

  • i større grad vurderer lønnsomhet, risiko og avkastning i Equinors utenlandsinvesteringer.

2.4.3 Departementets oppfølging

Statsråden er enig i at åpenhet er viktig for aksjeeiere, kapitalmarkedet og andre interessenter og at mer åpenhet om investeringer kan ha verdifremmende effekt. Hva gjelder de totale regnskapsmessige tapene i USA som Equinor har rapportert på i årsrapportene for 2017 til 2019, viser statsråden til at dette kunne vært gjort tydeligere. Samtidig påpeker statsråden at det er styrets oppgave å fastsette retningslinjer for selskapets rapportering av finansiell og annen informasjon, herunder hvilke rapporteringssegmenter som skal benyttes.

Statsråden påpeker at undersøkelsesperioden omfatter et av de tre største oljeprisfallene som har funnet sted etter andre verdenskrig, og at Equinor på tross av dette har levert en årlig totalavkastning på 7,7 prosent til sine eiere på Oslo Børs. Dette er høyere enn det selskaper som Shell, Eni, ExxonMobil, Chevron og BP har oppnådd på sine respektive børser. I motsetning til Riksrevisjonen mener departementet at man bør ta utgangspunkt i lokal valuta når man skal sammenligne selskapenes utvikling. Statsråden deler Riksrevisjonens vurdering at investeringene i USA har påvirket totalavkastningen i perioden negativt.

Statsråden viser til at departementet siden Riksrevisjonens forrige undersøkelse har styrket eieroppfølgingen av Equinor, herunder selskapets internasjonale portefølje. Blant annet har departementet engasjert meglerhuset Arctic Securities som rådgiver som har levert omfattende informasjon om og vurderinger av Equinors utenlandssatsing. Nedskrivninger, men også kostnadsforbedringer og andre tiltak for økt lønnsomhet har vært sentrale temaer i eierdialogen. Statsråden er ikke enig i at departementet har rettet for stor oppmerksomhet mot oljeproduksjon, og viser til at lønnsom oljeproduksjon også inkluderer aspekter som kostnader. Departementet vil fortsette å være opptatt av dette.

Departementet vil følge opp anbefalingene fra Riksrevisjonen i en aktiv eierdialog med Equinor.

2.4.4 Riksrevisjonens sluttmerknad

Riksrevisjonen har ingen ytterligere merknader.

2.4.5 Komiteens behandling

Komiteen gjennomførte 26. februar 2021 en åpen kontrollhøring som ledd i behandlingen av denne delundersøkelsen.

Komiteen besluttet at høringen skulle omhandle – men ikke begrense seg til – følgende problemstillinger:

  • I hvilken grad har Olje- og energidepartementet fulgt opp at Equinors utenlandsinvesteringer bidrar til å nå målet om høyest mulig avkastning over tid, jf. Riksrevisjonens merknader og konklusjoner i Dokument 3:2 (2020–2021)?

  • I hvilken grad har Olje- og energidepartementet fulgt opp saken om utbetalinger av signaturbonus og tilskudd til sosiale fond i Angola etter korrespondansen mellom kontroll- og konstitusjonskomiteen og Olje- og energidepartementet i 2016?

Det var problemstillingen vedrørende Equinor i Angola som var den mest sentrale for høringen. Dette ble også formidlet til deltakerne på høringen.

Det vises i denne forbindelse til at kontroll- og konstitusjonskomiteen i 2016 hadde en korrespondanse med tidligere olje- og energiminister Tord Lien om Statoils kontrakt i Angola. Komiteen hadde også i september og oktober 2020 en korrespondanse med olje- og energiminister Tina Bru om Equinor i Angola. Korrespondansen fra 2020 følger som vedlegg. Ingen av disse korrespondansene førte til at komiteen åpnet sak.

Følgende ble invitert og møtte til høring:

  • Olje- og energiminister Tina Bru

  • Tidligere olje- og energiminister Terje Søviknes

  • Tidligere olje- og energiminister Tord Lien

  • Styreleder Jon Erik Reinhardsen

  • Konsernsjef Anders Opedal

  • Tidligere styreleder Øystein Løseth

  • Tidligere styreleder Svein Rennemo

  • Tidligere konsernsjef Eldar Sætre

  • Tidligere konsernsjef Helge Lund

  • Seniorforsker ved Chr. Michelsens Institutt Aslak Orre

Stenografisk referat fra høringen følger som vedlegg til denne innstillingen.

2.4.6 Komiteens merknader

Komiteen viser til Riksrevisjonens undersøkelse av Olje- og energidepartementets oppfølging av Equinor ASAs utenlandsinvesteringer. Målet med undersøkelsen har vært å belyse i hvilken grad Olje- og energidepartementets oppfølging av Equinors utenlandsinvesteringer bidrar til å nå statens mål med eierskapet om høyest mulig avkastning over tid. Dessuten har komiteen stilt spørsmål om Equinor (da Statoil) sine investeringer i Angola. Komiteen vil i det videre omtale selskapet under sitt nåværende navn Equinor.

Komiteen viser til at staten eier 67 prosent av aksjene i Equinor, og at selskapet er et av de viktigste selskapene staten er eier av. Equinor er det klart mest verdifulle selskapet staten eier. Selskapet har gått fra å drive utelukkende på norsk sokkel, til å også ha en betydelig virksomhet internasjonalt. Tyngdepunktet er i USA, men også Angola er et land hvor selskapet har gjort betydelige investeringer.

Komiteen viser til at statens mål som eier av Equinor er høyest mulig avkastning over tid.

USA-investeringene

Våren 2020 fikk Equinor betydelig oppmerksomhet på grunn av sviktende intern kontroll, dårlig forretningskultur og store tap i selskapets USA-satsing. Ifølge Equinor selv tapte selskapet 21,5 mrd. dollar på investeringen i USA. Det ble ved behandlingen i Stortinget også reist spørsmål ved Olje- og energidepartementets forvaltning av statens eierinteresser i selskapet i media, og også i Stortinget. Energi- og miljøkomiteen behandlet en redegjørelse fra olje- og energiministeren om Equinors virksomhet i USA og statens eieroppfølging, jf. Innst. 146 S (2020–2021).

Komiteen viser til at etter olje- og energiministerens redegjørelse i Stortinget satte Equinors styre ned et utvalg ledet av PWC, som la frem en rapport om USA-investeringene. Energi- og miljøkomiteen merket seg hovedfunnene i denne rapporten, som blant annet slo fast at Equinors vekststrategi hadde gått på bekostning av verdiskapning og kontroll, og at aktiviteten i den landbaserte virksomheten økte raskere enn det kritiske støttesystemet kunne håndtere. Rapporten slo fast at selskapets oppfølging burde vært sterkere, og i større grad reflektert risikobildet ved denne virksomheten. Videre kom det frem at ledelsen hadde begrenset erfaring innenfor landbasert virksomhet i USA, og at det var manglende kontinuitet i sentrale roller. Dette hadde i sin tur en negativ påvirkning på selskapets oppfølging og drift av denne virksomheten.

Energi- og miljøkomiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet, Sosialistisk Venstreparti og Miljøpartiet De Grønne, hadde flere merknader. Flertallet mente at det er svært viktig at staten opptrer som en ansvarlig eier av selskaper som Equinor. Som eierdepartement må Olje- og energidepartementet vurdere selskapets måloppnåelse, herunder lønnsomhetsutviklingen. Dette må også inkludere at man har tydelige forventninger til ansvarlig virksomhet, åpenhet og rapportering. Flertallet mente at selskapet burde ha vist mer åpenhet om resultater og gitt mer informasjon om større utfordringer som selskapet har møtt i sin virksomhet i USA. Flertallet mente også at oppfølgingen fra departementets side kunne vært tettere, jf. Innst. 146 S (2020–2021).

Komiteen merker seg Riksrevisjonens konklusjoner. Riksrevisjonen har for det første konkludert med at Olje- og energidepartementet ikke har stilt tydelige nok forventninger til åpenhet i Equinors offentlige rapportering om utenlandsinvesteringene. Riksrevisjonen har funnet det kritikkverdig at statsråden først i 2020 framsatte forventninger om mer åpenhet fra Equinor rundt resultatene fra utenlandsinvesteringene og uttrykte behov for at relevant informasjon om selskapets virksomhet i USA skulle gjøres mer tilgjengelig. For det andre har ikke departementet hatt tilstrekkelig oppmerksomhet rettet mot utenlandsinvesteringenes bidrag til Equinors lønnsomhet. Riksrevisjonen mener det ville vært naturlig at staten, som en strategisk utfordrende eier, hadde etterspurt informasjon som gjorde det mulig å foreta egne vurderinger av selskapets risiko og avkastning på investeringer i utlandet. For det tredje har ikke departementet hatt tilstrekkelig oversikt over innholdet i Equinors offentlige rapportering.

Komiteen viser til at Riksrevisjonen anbefaler Olje- og energidepartementet å stille tydelige forventninger om åpenhet i Equinors rapportering, slik at allmenheten og investorer settes bedre i stand til å vurdere risiko og lønnsomhet av Equinors investeringer i utlandet. Videre anbefaler Riksrevisjonen at Olje- og energidepartementet i større grad vurderer lønnsomhet, risiko og avkastning i Equinors utenlandsinvesteringer.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti, mener Riksrevisjonens kritikk i stor grad underbygger flertallets syn i energi- og miljøkomiteen, som mente at det var viktig at staten opptrer som en ansvarlig eier, og at Olje- og energidepartementet må vurdere selskapets måloppnåelse, herunder lønnsomhetsutviklingen. Flertallet ønsket også mer åpenhet, noe Riksrevisjonen også mener Olje- og energidepartementet burde stilt tydeligere forventninger om.

Komiteen merker seg også at Equinors virksomhet i Brasil ikke blir rapportert selvstendig, fordi selskapet mener det ikke er modent nok. Komiteen viser til at tilsvarende begrunnelse ble brukt frem til november 2020 for ikke å rapportere fornybarvirksomheten. Komiteen deler Riksrevisjonens oppfatning av at departementet bør vurdere å stille tydeligere forventninger om åpenhet til Equinor også på dette punktet, herunder åpenhet om Equinors vurderingskriterier for når segmenter av virksomheten er modne for selvstendig rapportering.

Komiteen viser til den åpne høringen som ble gjennomført 26. februar 2021. Høringen skulle for det første vurdere i hvilken grad Olje- og energidepartementet har fulgt opp at Equinors utenlandsinvesteringer bidrar til å nå målet om høyest mulig avkastning over tid, jf. Riksrevisjonens merknader og konklusjoner i Dokument 3:2 (2020–2021).

Komiteen merker seg at konsernsjef Anders Opedal under høringen ga uttrykk for at det er mulig å tjene inn tapene i USA igjen, dersom prisene på olje og gass fremover er gode. Styreleder Jon Erik Reinhardsen viste til at Equinor har tilstrekkelige reserver, og at de har god kontroll på driften, og at det avgjørende er oljeprisen, men at de tror det er mulig å tjene det tapte inn igjen. Videre hevdet Opedal at de nå har en strategi som setter verdi over volum.

Komiteen viser til at Finanstilsynet i 2014 offentliggjorde at det hadde kontrollert enkelte deler av Equinors konsernårsregnskap for 2012. Komiteen merker seg særlig at Finanstilsynet anbefalte at Equinor presenterte virksomheten i Nord-Amerika som et eget rapporteringssegment ettersom dette utgjorde et separat driftssegment som stod for mer enn halvparten av selskapets internasjonale anleggsmidler. Equinor valgte å ikke følge anbefalingen og viste til at de følger bransjestandard i rapporteringen. Under høringen 26. februar 2021 uttalte Helge Lund:

«Det ble meget grundig vurdert av selskapet på den tiden, og ut fra en helhetsvurdering, også ved å se på regnskapsstandarder, regnskapspraksis, hva våre konkurrenter gjorde, og også anledning til å kommunisere rundt enkelthendelser, valgte vi å fortsette med den praksisen vi hadde. Og jeg understreker at det var en helt korrekt regnskapsmessig måte å rapportere på.»

Komiteens medlem fra Senterpartiet påpeker at Equinor i høringen ikke kunne angi hvilke regnskapsstandarder de her refererte til.

Komiteen viser til at Lund ikke kunne huske hvilken dialog de hadde med departementet om saken. Også nåværende styreleder Reinhardsen, tidligere styreleder Rennemo og tidligere statsråd Tord Lien viste til at det er selskapet og styrets ansvar å gjøre vurderingene av hvordan selskapet skal rapportere. Lien viste til at departementet ble gjort oppmerksom på selskapets oppfølging av Finanstilsynets anbefaling, og at departementet tok den til etterretning. Komiteen mener dette er et eksempel på passiv eierstyring. Komiteen mener at departementet her hadde muligheten til å stille tydeligere forventninger om åpenhet i rapporteringen, og forventning om at anbefalinger fra norske myndigheter blir fulgt.

Komiteen viser til at begge de tidligere olje- og energiministrene Tord Lien og Terje Søviknes mener departementet fikk den informasjonen de trengte. Samtidig registrerer komiteen at det i begrenset grad ble stilt forventninger til åpenhet, noe også Riksrevisjonen mener gir grunnlag for kritikk. Komiteen mener det er god grunn til å stille spørsmål ved departementets eierutøvelse da de ikke ble kjent med det totale beløpet som var tapt i USA, før mediene omtalte det, selv om de tidligere statsrådene begge mente departementet fikk informasjonen de trengte. Komiteen registrerer med en viss forundring at departementet ikke klarte å fange opp implikasjonene av tapet før dette, til tross for at Equinor hadde rapportert om tapet i sine årsrapporter siden 2017.

Komiteen merker seg at statsråden til Riksrevisjonen har sagt at de totale regnskapsmessige tapene i USA kunne vært gjort tydeligere. Statsråden viser også til at departementet har styrket eieroppfølgingen av Equinor, herunder selskapets internasjonale portefølje. Blant annet har departementet engasjert meglerhuset Arctic Securities som rådgiver. Komiteen finner det betryggende at departementet vil følge opp anbefalingene fra Riksrevisjonen i en aktiv eierdialog med Equinor, og at statsråden i høringen er tydelig på at hun ikke forsvarer en passiv eierskapsutøvelse.

Komiteen viser for øvrig til at tidligere konsernsjefer Helge Lund og Eldar Sætre, nåværende konsernsjef Anders Opedal, tidligere styreleder Svein Rennemo og Øystein Løseth, nåværende styreleder Jon Erik Reinhardsen, samt tidligere og nåværende olje- og energiministre Tord Lien, Terje Søviknes og Tina Bru, alle gav inntrykk av en åpen og fungerende eierdialog mellom Equinor og Olje- og energidepartementet.

Equinors investeringer i Angola

Komiteen viser til at Equinor har gjort betydelige investeringer og har omfattende aktivitet i Angola. Som en del av aktiviteten i Angola har Equinor inngått en produksjonsdelingsavtale. Gjennom denne avtalen skulle selskapet blant annet betale 420 mill. kroner til et forsknings- og teknologisenter og 291 mill. kroner til sosiale prosjekter og opplæring av angolansk personell. Komiteen viser i den forbindelse til korrespondanse mellom komiteen og Olje- og energidepartementet i 2016.

Komiteen viser til medieoppslagene som kom høsten 2020, der det igjen ble stilt spørsmål ved utbetalingene. Komiteen sendte på denne bakgrunn 16. september 2020 brev til olje- og energiministeren og ba om en redegjørelse for hvordan saken var fulgt opp fra departementets side, og hvilken informasjon statsråden hadde om realisering av prosjektet. 2. oktober 2020 svarte statsråden. Hun viste da til at innbetalingene til forsknings- og teknologisenteret jevnlig hadde vært tema på møter mellom departementet og Equinor. Komiteen merker seg at oppfølgingen av innbetalingene til sosiale formål er av vesentlig betydning for staten som eier, og at departementet i eieroppfølgingen har hatt oppmerksomhet mot selskapets arbeid med antikorrupsjon og åpenhet i økonomiske transaksjoner. Komiteen registrerer at disse midlene ifølge statsrådens brev skal være satt inn på en angolansk statlig konto.

Komiteen registrerer videre at Equinor har fått presentert planer for forsknings- og teknologisenteret, men som ennå ikke er realisert. Pengene skal stå øremerket senteret på en konto tilhørende Sonangol i banken Standard Chartered i London.

Komiteen merker seg særlig at statsråden refererte til Equinors avsluttende bemerkning, der de sier de i dag ikke ville ha inngått en avtale som den de inngikk for letevirksomhet i Angola i 2011.

Komiteen bestemte seg for å også ta opp investeringene i Angola i høringen 26. februar 2021. Høringen skulle derfor også belyse i hvilken grad Olje- og energidepartementet har fulgt opp saken om utbetalinger av signaturbonus og tilskudd til sosiale fond i Angola etter korrespondansen mellom kontroll- og konstitusjonskomiteen og Olje- og energidepartementet i 2016.

Komiteen viser til seniorforsker Aslak Orre, som sammen med journalist og historiker Maren Sæbø forklarte seg i høringen. Komiteen merker seg at Orre og Sæbø mente pengene til forsknings- og teknologisenteret trolig har forsvunnet. Komiteen merker seg også at Orre mener man burde ha vurdert den reelle risikoen som var kjent for alle på det tidspunktet.

Komiteen merker seg også at seniorforsker Aslak Orre viste til at korrupsjon var en integrert del av det politisk-økonomiske systemet i Angola på tidspunktet avtalen ble inngått. Både Equinor og olje- og energiministeren har forklart hvordan selskapet har jobbet med å motvirke korrupsjon oppstrøms, gjennom forhandlingene om avtalene og oppfølging av avtalen. Når det gjelder korrupsjon nedstrøms, altså etter at pengene er kommet inn til Angola, viser Orre til at man har mindre påvirkning, men at «man må jobbe politisk og gjennom press over tid og rette fokuset på at Angola kunne ha brukt oljeinntektene på mye bedre måte enn det som faktisk ble gjort». Komiteen har ikke registrert at hverken statsråden eller Equinor har rettet en like betydelig innsats inn mot å motvirke korrupsjon nedstrøms. Tvert imot har statsråden og flere av Equinors representanter vist til at det viktigste har vært å forsikre seg om at pengene faktisk har gått til statskassen, og at de da mener korrupsjonsrisikoen er betydelig redusert. Komiteen noterer seg at statsråden også sier at staten ikke må opptre slik at den kan komme i ansvar eller at det hevdes at staten er part og ansvarlig i et privat kontraktsforhold.

Komiteen merker seg at Orre og Sæbø mener det er stengte dører for forskere og journalister hos Equinor i Angola. Komiteen ser ikke at dette samsvarer med Equinors uttalte verdi om åpenhet. Av Meld. St. 8 (2019–2020) Statens direkte eierskap i selskaper – Bærekraftig verdiskaping kommer det frem at staten forventer at:

«Selskapet er åpen om rapporter på vesentlige forhold knyttet til virksomheten. Staten forvalter sitt eierskap på vegne av befolkningen. Å gi allmennheten innsikt i vesentlige forhold knyttet til selskapets virksomhet er nødvendig for tilliten til selskapet og staten som eier. Åpenhet er sentralt for at interessenter skal kunne vurdere selskapets virksomhet, måloppnåelse og risiko selskapet kan påføre mennesker, samfunn og miljø. Videre er åpenhet viktig for at allmenheten kan ha tillit til at det er rettferdig konkurranse mellom selskaper med og uten statlig eierandel. Åpenhet kan også blant annet lette tilgangen til kapital.»

Komiteen ser det som uheldig at selskapet oppleves som lukket.

Komiteen synes det er positivt at Equinor tydelig ønsker å arbeide mot korrupsjon, og at de ulike aktørene gjennom høringen også viser at selskapet evner å utvikle seg i positiv retning. Komiteen viser til at Equinor som et delstatseid norsk selskap skal bidra ved å ta samfunnsansvar. Tidligere og nåværende ledelse uttrykker tydelig at dette er viktig for selskapet, noe komiteen mener er positivt.

Komiteen ser det også som tillitvekkende at Equinor arbeider for å avdekke skjult eierskap hos sine partnere i Angola. Komiteen deler statsrådens syn på at selskapet tok et godt standpunkt ved å uttale at selskapet ville gå ut av blokk 1/14 i Angola dersom ikke eierforholdene ble tilstrekkelig avklart.

Komiteen merker seg at situasjonen rundt Equinors investeringer i Angola har vært oppe i eierdialogen. Komiteen viser til statsrådens svarbrev av 13. oktober 2020 til komiteen med svar på spørsmål om det er riktig forstått at de aktuelle statsrådene i Olje- og energidepartementet ikke har hatt møter med Equinor rundt selskapets engasjement i Angola i hele 2019 og fram til 28. september 2020. Statsråden svarte:

«I den perioden spørsmålet dekker har ikke tidligere statsråd Freiberg, tidligere statsråd Listhaug eller jeg diskutert selskapets virksomhet i Angola på eiermøter.»

Komiteen merker seg at statsråden i høringen sa at hun nok ville satt Angola på dagsorden uansett om komiteen hadde stilt spørsmål eller ikke, men ut fra statsrådens svar virker det ikke som om at situasjonen ble tatt opp på eiermøtet som ble avholdt 18. mai 2020. I september 2020 begynte mediene og komiteen igjen å vise oppmerksomhet for saken. Komiteen forventer at Olje- og energidepartementet som eier følger opp saker om mulig korrupsjon grundig, uavhengig av hvor omfattende oppmerksomhet investeringene får i den offentlige debatten.

Konklusjon

Komiteen viser til Riksrevisjonens konklusjoner om at:

  • Olje- og energidepartementet ikke har stilt tydelige nok forventninger til åpenhet i Equinors offentlige rapportering om utenlandsinvesteringene

  • Olje- og energidepartementet ikke har hatt tilstrekkelig oppmerksomhet rettet mot utenlandsinvesteringenes bidrag til Equinors lønnsomhet

  • Olje- og energidepartementet ikke har hatt tilstrekkelig oversikt over innholdet i Equinors offentlige rapportering

Komiteen slutter seg til Riksrevisjonens funn og konklusjoner.

Komiteen viser videre til Riksrevisjonens anbefalinger om at Olje- og energidepartementet:

  • stiller tydelige forventninger om åpenhet i Equinors rapportering, slik at allmenheten og investorer settes bedre i stand til å vurdere risiko og lønnsomhet av Equinors investeringer i utlandet.

  • i større grad vurderer lønnsomhet, risiko og avkastning i Equinors utenlandsinvesteringer.

Komiteen slutter seg til disse anbefalingene og forventer at departementet følger disse opp.

Komiteen viser også til situasjonen i Angola. Komiteen forventer at statsråden vil følge opp situasjonen i Angola videre med Equinor gjennom eierdialogen. I lys av forklaringene som er gitt, mener komiteen det er det grunn til å stille spørsmål ved om senteret vil bli bygget og om pengene til de sosiale prosjektene faktisk har gått til formålet. Komiteen forventer at statsråden signaliserer at selskapet må gjøre sitt ytterste for å sikre at pengene går til de planlagte formålene. Komiteen vil understreke at denne innsatsen ikke bør være avhengig av oppmerksomheten situasjonen får fra Stortinget eller mediene.

2.5 Sak 5: Bane NORs drift, vedlikehold og investeringer

Formålet med undersøkelsen har vært å vurdere i hvilken grad Bane NOR når målene for drift, vedlikehold og investeringer, og om foretaket har etablert et system for å måle produktiviteten. Videre har formålet vært å undersøke om Samferdselsdepartementet har tilstrekkelig styringsinformasjon til å følge opp effektiviteten i Bane NORs drift, vedlikehold og investeringer.

Bane NOR SF ble etablert med jernbanereformen fra 1. januar 2017 for å bidra til mer effektiv forvaltning av jernbaneinfrastrukturen. Bevilgningen til drift og vedlikehold av jernbaneinfrastrukturen skal bidra til en driftsstabil jernbane. Det er også et mål å gjennomføre investeringsprosjektene innenfor kostnadsrammene. Det har vært en betydelig vekst i bevilgningene til drift, vedlikehold og investeringer i jernbaneinfrastrukturen. Det er viktig at bevilgningene blir brukt på en tilfredsstillende måte, og at målene med bevilgningene og etableringen av Bane NOR nås. Bane NORs virksomhet er av stor samfunnsmessig betydning, og det er derfor viktig at departementet følger opp at Bane NOR bidrar til en effektiv forvaltning av jernbaneinfrastrukturen. Riksrevisjonens undersøkelse er begrunnet ut fra denne vesentligheten og den risikoen som over mange år har vært knyttet til jernbanedriften.

Undersøkelsen er også en oppfølging av Riksrevisjonens rapport om effektivitet i vedlikehold av jernbanenettet (Dokument 3:10 (2015–2016)). I innstillingen til rapporten (Innst. 47 S (2016–2017)) pekte kontroll- og konstitusjonskomiteen i Stortinget på at en forbedring av driftsstabiliteten i togtrafikken og drift og vedlikehold av jernbanen har vært omtalt som høyt prioriterte områder i alle statsbudsjettene de siste 15 årene. Komiteen støttet Riksrevisjonens oppfatning av at det var kritikkverdig at resultatene for driftsstabilitet ikke var bedret totalt i perioden 2006–2014, gitt økningen i bevilgningene til vedlikehold. Komiteen understrekte at det var viktig at nødvendige styringsverktøy var på plass og ble tatt i bruk ved etableringen av Jernbanedirektoratet og Bane NOR. Det var også viktig å sikre resultatmålbarhet.

Undersøkelsen er basert på dokumentanalyse, regnskapsanalyse og analyse av investeringsprosjekter, samt skriftlige og muntlige spørsmål til Samferdselsdepartementet, Bane NOR, foretakets styreleder og Jernbanedirektoratet. Spørsmålene er besvart gjennom brev og i møter.

Undersøkelsen tar utgangspunkt i følgende vedtak og forutsetninger fra Stortinget:

  • Lov om statsforetak

  • Meld St. 27 (2014–2015) På rett spor – reform av jernbanesektoren, jf. Innst. 386 S (2014–2015) Innstilling fra transport- og kommunikasjonskomiteen om På rett spor – reform av jernbanesektoren

  • Meld. St. 33 (2016–2017) Nasjonal transportplan 2018–2029, jf. Innst. 460 S (2016–2017) Innstilling fra transport- og kommunikasjonskomiteen om Nasjonal transportplan 2018–2029

  • Meld. St. 27 (2013–2014) Et mangfoldig og verdiskapende eierskap, jf. Innst. 140 S (2014–2015) Innstilling fra næringskomiteen om et mangfoldig og verdiskapende eierskap

  • Meld. St. 8 (2019–2020) Statens direkte eierskap i selskaper – Bærekraftig verdiskaping

  • Meld. St. 17 (2019–2020) Noen saker om jernbane

  • Prop. 1 S (2019–2020) Samferdselsdepartementet

  • Dokument 3:10 (2015–2016) Riksrevisjonens undersøkelse av effektivitet i vedlikehold av jernbanenettet

  • Reglement for økonomistyring i staten (økonomireglementet) § 10

Rapporten ble forelagt Samferdselsdepartementet ved brev av 16. september 2020. Departementet har i brev av 12. oktober 2020 gitt kommentarer til rapportutkastet. Kommentarene er i all hovedsak innarbeidet i rapporten og i Riksrevisjonens dokument.

2.5.1 Konklusjoner

  • Driftsstabiliteten i jernbanenettet er ikke forbedret etter at Bane NOR ble etablert.

  • Bane NOR har fått bedre oversikt over infrastrukturen, men har fortsatt ikke et system som er godt nok til å måle produktiviteten i driften og vedlikeholdet av jernbanenettet.

  • Bane NOR har ikke god nok kontroll med kostnadene i store investeringsprosjekter.

  • Samferdselsdepartementet har fått for lite styringsinformasjon til å følge opp effektiviteten i Bane NORs drift, vedlikehold og investeringer i jernbaneinfrastrukturen.

Etter Riksrevisjonens vurdering er det kritikkverdig at Bane NOR fortsatt ikke har et godt nok system for å måle produktiviteten, ikke har god nok kontroll med kostnadene i store investeringer og at Samferdselsdepartementet har fått for lite styringsinformasjon til å følge opp effektiviteten.

2.5.2 Riksrevisjonens merknader

  • Driftsstabiliteten i jernbanenettet er ikke forbedret etter at Bane NOR ble etablert

  • Bane NOR har fått bedre oversikt over infrastrukturen, men har fortsatt ikke et system som er godt nok til å måle produktiviteten i driften og vedlikeholdet av jernbanenettet

  • Bane NOR har ikke god nok kontroll med kostnadene i store investeringsprosjekter

  • Samferdselsdepartementet har fått for lite styringsinformasjon til å følge opp effektiviteten i Bane NORs drift, vedlikehold og investeringer i jernbaneinfrastrukturen

2.5.3 Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler at Samferdselsdepartementet følger opp at:

  • Bane NOR etablerer et system som er godt nok til å måle produktiviteten i driften og vedlikeholdet av jernbanenettet.

  • Bane NOR får bedre kostnadskontroll i store investeringsprosjekter.

  • det foreligger nødvendig og pålitelig styringsinformasjon for å følge opp effektiviteten i Bane NORs drift, vedlikehold og investeringer i jernbaneinfrastrukturen.

2.5.4 Departementets oppfølging

Samferdselsministeren er enig i Riksrevisjonens hovedfunn og anbefalinger. Statsråden har forventninger til at endringene i sektoren som følger av jernbanereformen, skal gi resultater raskt. Samferdselsdepartementet vil derfor i eierdialogen med Bane NOR fortsette å vektlegge forventninger om at foretaket raskt får på plass systemer for å måle produktiviteten, har god kontroll med kostnadene i store investeringer og at departementet som eier får god nok styringsinformasjon til å følge opp effektiviteten.

Departementet vil følge opp Riksrevisjonens merknader og anbefalinger gjennom eierdialogen og ved å iverksette konkrete tiltak. Tiltakene retter seg både mot departementets rolle som eier og som budsjett- og sektormyndighet.

Departementet har engasjert en ekstern rådgiver som skal gjennomføre en selskapsgjennomgang av Bane NOR. Selskapsgjennomgangen skal gi innspill til forhold som departementet bør ha spesielt fokus på i eieroppfølgingen av foretaket.

2.5.5 Riksrevisjonens sluttmerknad

Riksrevisjonen har ingen ytterligere merknader.

2.5.6 Komiteens behandling

Som ledd i behandlingen av saken gjennomførte komiteen 22. februar 2021 en åpen kontrollhøring.

Komiteen besluttet at høringen skulle omhandle – men ikke begrense seg til – følgende problemstillinger:

  • I hvilken grad når Bane NOR målet for bevilgningen til drift og vedlikehold om å bidra til en driftsstabil jernbane?

  • Har Bane NOR etablert et tilfredsstillende system for å måle produktiviteten i drifts- og vedlikeholdsarbeidet?

  • Hva er status for Bane NORs arbeid for å nå målet om å gjennomføre investeringsprosjekter innenfor kostnadsrammene?

  • Har Samferdselsdepartementet tilstrekkelig styringsinformasjon til å følge opp effektiviteten i Bane NORs drift, vedlikehold og investeringer?

  • Hvordan fungerer styringslinjene til hhv. Samferdselsdepartementet og Jernbaredirektoratet?

Følgende av de inviterte møtte til høring:

  • Samferdselsminister Knut Arild Hareide

  • Tidligere samferdselsminister Ketil Solvik-Olsen

  • Konsernsjef Bane NOR Gorm Frimannslund

  • Norsk Jernbaneforbund v/forbundsleder Jane B. Sætre

Komiteen inviterte også tidligere jernbanedirektør Elisabeth Enger, men hun takket nei til å delta i høringen.

Stenografisk referat fra høringen følger som vedlegg til innstillingen.

Som ledd i behandlingen av saken sendte komiteen 9. mars 2021 brev med spørsmål til samferdselsministeren. Samferdselsministeren svarte på spørsmålene i brev av 16. mars 2021. Korrespondansen følger som vedlegg til innstillingen

2.5.7 Komiteens merknader

Komiteen viser til Riksrevisjonen si undersøking av drift, vedlikehald og investeringar i Bane NOR. Målet med undersøkinga er å undersøke i kva grad Bane NOR når måla for drift, vedlikehald og investeringar, og om føretaket har etablert eit system for å måle produktiviteten. Vidare var formålet å undersøke om Samferdselsdepartementet har tilstrekkeleg styringsinformasjon til å følgje opp effektiviteten i drifta, vedlikehaldet og investeringane til Bane NOR.

Komiteen viser til at Bane NOR vart etablert som ein del av jernbanereforma, og er ein svært viktig aktør i utviklinga og drifta av den norske jernbanen. Selskapet si verksemd spelar ei stor rolle for samfunnet, og det er difor viktig at departementet følgjer opp at Bane NOR medverkar til ei effektiv forvalting av jernbaneinfrastrukturen.

Komiteen merkar seg hovudfunna Riksrevisjonen har gjort. For det første har Riksrevisjonen konkludert med at driftsstabiliteten i jernbanenettet ikkje er betra etter at Bane NOR vart skipa. For det andre har Bane NOR fått betre oversikt over infrastrukturen, men har framleis ikkje eit system som er godt nok til å måle produktiviteten i drifta og vedlikehaldet av jernbanenettet. For det tredje har ikkje Bane NOR god nok kontroll med kostnadane i store investeringsprosjekt. Til sist merkar komiteen seg at Samferdselsdepartementet har fått for lite styringsinformasjon til å følgje opp effektiviteten i drifta, vedlikehaldet og investeringane til Bane NOR.

Komiteen fann behov for å gjennomføre ei open høyring for å kaste lys over spørsmåla i saka. Komiteen meiner høyringa underbygde Riksrevisjonen sine funn og tilrådingar.

Komiteen viser i tillegg til forbundsleiar i Norsk Jernbaneforbund, Jane B. Sætre, si fråsegn om at

«Vi beskriver det å drive jernbane mest ved å sammenligne det med et urverk. Alt som foregår, er helt i symbiose – der er ingen selskaper innenfor jernbanesektoren som kan lykkes hver for seg.»

Komiteen merkar seg at direktøren i Bane NOR, Gorm Frimannslund delte vurderinga av jernbanen som eit urverk. Komiteen meiner urverksmetaforen er eit nyttig bilete å ha med seg i den vidare utviklinga av jernbanen, og merkar seg at samferdselsministeren tydeleg slår fast at det er departementet sin jobb å sikre denne heilskapen.

Komiteen noterer seg at fleire av aktørane i høyringa peika på at Bane NOR vert styrt gjennom mange avtalar mellom dei og Jernbanedirektoratet. Samferdselsministeren meinte det må bli langt færre avtalar mellom Jernbanedirektoratet og Bane NOR. Frimannslund uttalte at

«det er krevende med mer enn hundre avtaler, som i svært stor grad detaljstyrer hvordan Bane NOR skal gjennomføre prosjektene.»

Komiteen merkar seg at Sætre uttalte følgjande:

«Det er klart at når det blir så mange selskaper og så mange grensesnitt, og det inngås avtaler om kjøp og salg mellom alle selskapene, er det ekstremt krevende, og det er ikke alltid enkelt å få kart og terreng til å stemme.»

Fleirtalet i komiteen, medlemene frå Arbeidarpartiet, Senterpartiet og Sosialistisk Venstreparti, meiner det kan verke noko paradoksalt at ein peikar på avtalestyring og mange enkeltkontraktar som eit problem for jernbanesektoren, samtidig med at jernbanen vert delt opp i fleire selskap, og fleire oppgåver vert konkurranseutsett. Dess fleire oppgåver som vert sett ut på anbod, dess fleire enkeltkontraktar må jernbanen styrast gjennom. Fleirtalet merkar seg i den samanheng også Norsk Jernbaneforbund sin skepsis til at konkurranseelementet får for stor merksemd.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre, og uavhengig representant, minner om at en viktig analyse før jernbanereformen var at jernbanesektoren var preget av uklare ansvarsforhold og for lite markeds- og kundeorientering i sektoren. Med jernbanereformen har man fått en tydeligere ansvarsfordeling i sektoren, tillagt Jernbanedirektoratet, Bane NOR og selskapene. Da er det viktig at reformens intensjon om tydelig frihet og ansvar til Bane NOR blir gjennomgått slik statsråden har varslet.

Komiteen viser til at løyvingane til jernbanen har vore auka betydeleg dei seinaste åra, både til investeringar og vedlikehald, men at etterslepet er blitt større. Komiteen viser vidare til Riksrevisjonen sin kritikk om at driftsstabiliteten i jernbanenettet ikkje er betra sidan Bane NOR vart oppretta, og at vedlikehaldsetterslepet har auka til over 20 mrd. kroner ved inngangen til 2020. Komiteen merkar seg at Frimannslund meinte at etterslepet ideelt sett burde vore ned mot null, og at det ikkje går veldig mykje lenger, slik som det held på no. Komiteen registrerer også at samtidig med at det vert gjort omfattande investeringar i store investeringsprosjekt, så har Bane NOR ifølgje Riksrevisjonen ikkje god nok kontroll med kostnadane. Komiteen merkar seg i den samanheng forbundsleiar Jane B. Sætre si fråsegn om at ein fokuserer for lite på å drive med dagleg drift i jernbanesystemet. Komiteen legg til grunn at det å få mest mogleg ut av det eksisterande jernbanenettet også verkar til å vere ein naturleg målsetnad.

Komiteen registrerer også at Bane NORs direktør Gorm Frimannslund og samferdselsministeren har motståande syn på eit av elementa knytt til korleis Bane NOR skal få betre kostnadskontroll i store investeringsprosjekt. Frimannslund ynskjer at Bane NOR skal ha ansvaret for konseptvalutgreiingane. Dette ansvaret har Jernbanedirektoratet i dag. Samferdselsministeren på si side meiner det er rett at desse vert gjorde på direktoratsnivå.

Til sist merkar komiteen seg at samferdselsministeren er samd i hovudfunna og tilrådingane til Riksrevisjonen, og at han forventar raske resultat av jernbanereforma. Komiteen tek til orientering at Samferdselsdepartementet gjennom eigardialogen med Bane NOR vil halde fram med å vektlegge forventingar om at føretaket raskt får på plass system for å måle produktiviteten, ha god kontroll med kostnadane i store investeringar og at departementet som eigar får god nok styringsinformasjon til å følgje opp effektiviteten.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre, og uavhengig representant, mener likevel det er svært positivt at jernbanereformen totalt sett gir en gevinstrealisering i jernbanesektoren, som gjør at samfunnet kan få mer jernbane igjen for pengene. Selve driften av BaneNOR er vesentlig effektivisert etter foretaket er stiftet, og konkurranseutsetting av persontransporten har gitt flere milliarder i sparte kostnader for staten.

Disse medlemmer ønsker å peke på et poeng som kom tydelig frem i høringen, nemlig at vedlikeholdsetterslepet på jernbanen ikke er noe som kan organiseres vekk. Det må først og fremst prioriteres gjennom økte bevilgninger. Samtidig forventes det at man får mer drift og vedlikehold for pengene etter hvert som dette blir konkurranseutsatt.

Fleirtalet i komiteen, medlemene frå Arbeidarpartiet, Senterpartiet og Sosialistisk Venstreparti, viser til kontroll- og konstitusjonskomiteen si Innst. 47 S (2016–2017), der komiteen legg vekt på at det ved oppstarten av Jernbanedirektoratet og Bane NOR SF frå starten av måtte etablerast betre rutinar for datainnhenting og -behandling: at resultatmålbarheit skulle sikrast, at naudsynte styringsverktøy skulle vera på plass, og at desse skulle takast i bruk.

I svarbrevet sitt til kontroll- og konstitusjonskomiteen den 16. mars 2021 seier samferdsleminister Knut Arild Hareide at krava departementet set til dei store investeringsprosjekta i Bane NOR, fylgjer av dei generelle krava i utgreiingsinstruksen og staten sin prosjektmodell. Statsråden fortel òg at det vart utarbeidd ein gevinstrealiseringsplan som utgangspunkt for arbeidet med Meld. St. 27 (2014–2015) På rett spor – Reform av jernbanesektoren. Planen inneheldt anslag på kva for område og kor store nettogevinstar ein kunne forventa ved å gjennomføra jernbanereforma. Etter handsaminga av stortingsmeldinga vart gevinstrealiseringsplanen utvikla vidare og konkretisert i 2017. Fleirtalet viser til Riksrevisjonen sine funn om at Bane NOR sitt bidrag til gevinstrealiseringsplanen for jernbanesektoren berre omfattar tre jernbaneprosjekt. Berre det eine prosjektet med kostnadsanslag under vedtatte rammer går inn i Bane NOR og departementet sine berekningar av gevinstar, mens dei to prosjekta med kostnadsanslag over vedtatte rammer ikkje går inn i berekningane, sjølv om kostnadsauken i to av prosjekta overstig gevinstane for det eine prosjektet. Fleirtalet støttar Riksrevisjonen si vurdering av at det ikkje gjev ei reell oversikt over gevinstane ved jernbanereforma når berre det eine prosjektet med gevinst går inn i gevinstberekningane. Samferdsledepartementet har ikkje etablert naudsynte styringsverktøy for å måla produktiviteten i vedlikehaldsarbeidet ved oppstarten av Bane NOR slik kontroll- og konstitusjonskomiteen ba om i Innst. 47 S (2016–2017). Fleirtalet viser òg til at Bane NOR fleire gonger har kommunisert til departementet at styringsramma for store investeringsprosjekt er vedteken på feil grunnlag.

Fleirtalet legg vekt på at når rapporten syner at aukinga i bevilgningane ikkje har ført til at måla for driftsstabiliteten blir nådde, korkje før eller etter at Bane NOR vart oppretta, er føresetnaden i jernbanereforma om at opprettinga av Bane NOR skulle gje betre effektivitet og meir føremålstenleg ressursbruk i sektoren ikkje gjennomført. Det er kritikkverdig at Bane NOR enno ikkje har eit godt nok system for å måla produktiviteten, ikkje har god nok kontroll med kostnadane i store investeringar, og at Samferdsledepartementet har fått for lite styringsinformasjon til å følgja opp effektiviteten.

Fleirtalet viser til at statsråd Knut Arild Hareide i brevet til kontroll- og konstitusjonskomiteen den 16. mars 2021 seier at departementet sine krav til avtalestyringa i Jernbanedirektoratet og oppfølginga av større investeringsprosjekt skal bli betre ved at Jernbanedirektoratet må syte før at Bane NOR varslar direktoratet raskt når dei investeringsprosjekta som pågår, ikkje når, eller ikkje ser ut til å nå, dei måla og førsetnadene som er avtalefesta og/eller går fram av budsjettproposisjonane. Direktoratet skal rapportera dette vidare til Samferdsledepartementet etter ei fastlagt matrise. Fleirtalet legg vekt på at den samla bruken av verkemiddel i gjennomføringa av jernbanereforma er statsråden sitt ansvar, og at fleire selskap på området ikkje fører med seg betre kontroll eller oversyn.

Medlemene i komiteen frå Arbeidarpartiet og Sosialistisk Venstreparti merkar seg at statsråd Knut Arild Hareide fortsatt legg anbudsutsetting og oppsplitting av jernbanen til enda fleire selskap til grunn for styringa av jernbanen. Desse medlemene viser til at det har blitt skipa fleire titals nye selskap for å drive den same jernbanen, og at styringa av jernbanen skjer gjennom hundrevis av avtalar. Den manglande dokumenterbare betringa i produktivitet som Riksrevisjonen peikar på i sin rapport, burde vere ei åtvaring mot meir marknadsretting av jernbanen.

Komiteen sluttar seg til Riksrevisjonen sine tilrådingar.

2.6 Sak 6: Informasjonssikkerhet i Norfund

Våren 2020 ble Statens investeringsfond for næringsvirksomhet i utviklingsland (Norfund) svindlet for om lag 100 mill. kroner etter et målrettet dataangrep.

Svindelen skjedde gjennom at en ansatts e-postkonto ble kompromittert i september 2019. Den kompromitterte e-postkontoen ble i flere måneder overvåket av svindlerne. Gjennom denne overvåkingen fikk svindlerne i mars 2020 informasjon om en nært forestående transaksjon mellom Norfund og finansinstitusjonen LOLC Plc. i Kambodsja. Svindlerne opprettet falske e-postkontoer og utga seg for å være henholdsvis Norfund og LOLC. Ved å infiltrere kommunikasjonen fikk svindlerne endret betalingsdetaljene slik at 100 mill. kroner ble overført til svindlernes bankkonto i Mexico 16. mars 2020. Norfund oppdaget svindelen 30. april 2020.

Mange virksomheter utsettes hvert år for dataangrep. Svindel gjennom sosial manipulering, det vil si at svindleren manipulerer betaleren til å gjennomføre en transaksjon, har økt betydelig de siste årene. Risikoen datakriminalitet utgjør, stiller økte krav til informasjonssikkerhet både når det gjelder tekniske sikkerhetsløsninger, interne rutiner, organisering og sikkerhetskultur.

Målet med undersøkelsen har vært å vurdere Norfunds arbeid med risikostyring på informasjonssikkerhetsområdet med utgangspunkt i svindelen selskapet ble utsatt for våren 2020. Det er ikke foretatt en fullstendig gjennomgang av Norfunds internkontroll eller av eierstyringen av Norfund.

Undersøkelsen er basert på dokumentanalyse og intervjuer. I tillegg er det gjennomført kontroller av sikkerhetstiltak i Norfunds IKT-systemer.

Undersøkelsen omfatter perioden fra 2017 til august 2020.

Undersøkelsen tar utgangspunkt i følgende vedtak og forutsetninger fra Stortinget:

  • Innst. 225 S (2019–2020), jf. Meld. St. 8 (2019–2020) Statens direkte eierskap i selskaper – Bærekraftig verdiskaping.

  • Innst. 140 S (2014–2015), jf. Meld. St. 27 (2013–2014) Et mangfoldig og verdiskapende eierskap.

  • Reglement for økonomistyring i staten

Rapporten ble forelagt Utenriksdepartementet ved brev av 6. oktober 2020. Departementet har i brev av 22. oktober 2020 gitt kommentarer til rapporten. Kommentarene er i all hovedsak innarbeidet i rapporten og i Riksrevisjonens dokument.

2.6.1 Konklusjoner

  • Norfund har undervurdert informasjonssikkerhet som en risiko

  • Norfund har ikke hatt tilstrekkelig oppfølging av tjenesteleverandøren av IKT-tjenester

  • Innføringen av besluttede tiltak for å styrke informasjonssikkerheten tok for lang tid

  • Det er fortsatt svakheter i Norfunds informasjonssikkerhet per august 2020

  • Informasjonssikkerhet har ikke vært en del av eierdialogen

2.6.2 Riksrevisjonens merknader

  • Svindelen av Norfund for 100 mill. kroner var mulig fordi selskapet ikke har hatt tilstrekkelig bevissthet om og forståelse for informasjonssikkerhet

  • Norfund har undervurdert informasjonssikkerhet som en risiko

  • Norfund har ikke hatt tilstrekkelig oppfølging av leverandøren av IKT-tjenester

  • Innføringen av besluttede tiltak for å styrke informasjonssikkerheten tok for lang tid

  • Det er fortsatt svakheter i Norfunds informasjonssikkerhet per august 2020

  • Informasjonssikkerhet har ikke vært en del av eierdialogen

2.6.3 Riksrevisjonens anbefalinger

Riksrevisjonen anbefaler Norfund å gjøre vurderinger av hvilken informasjon selskapet må beskytte, og at informasjonssikkerheten følges opp gjennom selskapets risikostyring og internkontroll.

Riksrevisjonen anbefaler at Utenriksdepartementet følger opp at tiltak for å bedre informasjonssikkerheten i Norfund blir gjennomført.

2.6.4 Departementets oppfølging

Statsråden merker seg at Riksrevisjonen retter sterk kritikk til Norfund for manglende bevissthet og forståelse for informasjonssikkerhet i forbindelse med svindelsaken selskapet ble utsatt for våren 2020.

Statsråden er informert om at Norfund allerede har iverksatt tiltak for å styrke informasjonssikkerheten, men at gjennomføringen av enkelte tiltak vil ta noe tid.

Flere opplever slike dataangrep som Norfund ble utsatt for, og det vil også kunne skje andre. Statsråden er derfor glad for at Norfund har bidratt med åpenhet om svindelsaken gjennom å dele sine erfaringer med andre aktører.

Statsråden vil gjennom kontakten med styret følge opp at Norfund har en god og hensiktsmessig risikostyring. Gjennom eierstyringsdialogen vil også arbeidet med å bedre informasjonssikkerheten i Norfund bli fulgt opp.

2.6.5 Riksrevisjonens sluttmerknad

Riksrevisjonen har ingen ytterligere merknader.

2.6.6 Komiteens merknader

Komiteen viser til at våren 2020 ble Statens investeringsfond for næringsvirksomhet i utviklingsland (Norfund) svindlet for om lag 100 mill. kroner etter et målrettet dataangrep. Komiteen understreker at Norfund er et sentralt virkemiddel i norsk utviklingspolitikk, og viser til at Riksrevisjonen sitt mål har vært å vurdere arbeidet med risikostyring på informasjonssikkerhet med bakgrunn i svindelen.

Komiteen viser til Riksrevisjonens konklusjoner om at Norfund har undervurdert informasjonssikkerhet som risiko, at de ikke har hatt tilstrekkelig oppfølging av tjenesteleverandøren av IKT-tjenester, og at innføringen av besluttede tiltak for å styrke informasjonssikkerheten tok for lang tid. Komiteen viser videre til at Riksrevisjonen mener dette er sterkt kritikkverdig. Komiteen støtter dette. Komiteen vil uttrykke bekymring over at det fortsatt er svakheter i Norfunds informasjonssikkerhet per august 2020, og komiteen registrerer at informasjonssikkerhet ikke har vært en del av eierdialogen.

Komiteen viser til Riksrevisjonens anbefalinger hvor de ber om at Norfund gjør vurderinger av hvilken informasjon selskapet må beskytte, og at informasjonssikkerheten følges opp gjennom selskapets risikostyring og internkontroll.

Komiteen viser videre til at Riksrevisjonen anbefaler at Utenriksdepartementet følger opp at tiltak for å bedre informasjonssikkerheten i Norfund blir gjennomført. Komiteen forventer at Utenriksdepartementet følger opp disse anbefalingene.